Tuesday, August 16, 2011

เทคนิคการแฮกด้วยข้อมูลบนเฟซบุค (เพื่อสร้างความตระหนักเท่านั้น)

วันนี้ผมได้อ่านเจอข่าวเกี่ยวกับการใช้เฟซบุคในการขโมยข้อมูลต่างๆ ที่เราอาจจะคาดไม่ถึง รวมไปถึงเงินจากบัญชีธนาคารได้อีกด้วย ที่จริงผมเองก็กังวลอยู่ว่า บทความนี้อาจจะเป็นแรงจูงใจที่ทำให้เกิดอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไปก็ได้ แต่ทั้งนี้ทั้งนั้นผมตัดสินใจว่า เรื่องราวในบทความนี้ ผมมีจุดประสงค์เพื่อให้เกิดความตระหนักของข้อมูลส่วนตัวของเรา ที่เราโพสท์บนเฟซบุคโดยที่เราอาจจะไม่ได้ตั้งใจได้

นาย Iain Wood (ผมขอเรียกว่านาย วู้ด นะครับ) แฮกเกอร์ชาวอังกฤษ วัย 33 ปี ถูกจับในข้อหาฉ้อโกงเงินจากบัญชีธนาคารผู้อื่น เขาเป็นต้นแบบของแนวความคิดที่ทำให้ผมอยากจะเล่าให้ฟังในบทความนี้ นายวู้ดกล่าวว่าเขาจำกัดกลุ่มของเหยื่อเฉพาะผู้ที่อาศัยในอพาร์ทเม้นต์เดียวกับเขา และเป็นผู้ที่ไม่ได้ป้องกันอีเมล์ของตัวเองมาก ทำให้เขาสามารถรู้จักอีเมล์ได้ จากนั้นเขาเข้าไปยังเว็บไซต์ของธนาคารเพื่อที่จะทำธุรกรรมออนไลน์ โดยใช้ชื่อของเหยื่อที่ได้มา แต่แน่นอนว่าเขาไม่สามารถเข้าได้เนื่องจากระบบต้องการรหัสผ่าน เขาได้เลือกช่องที่บอกว่าเขาได้ลืมรหัสผ่าน ระบบของธนาคารก็จะถามคำถามความลับส่วนตัว เช่นวันที่ในความทรงจำ โรงเรียนแรกของตัวเอง หรือแม้กระทั่งชื่อของมารดา เป็นต้น ซึ่งนายวู้ดใช้เวลา 18 ชั่วโมงต่อวันในการไล่ล่าหาข้อมูลของเหยื่อผ่านทางเฟซบุค เมื่อได้ข้อมูลดังกล่าวมาแล้ว เขาก็สามารถเข้าถึงบัญชีธนาคารออนไลน์ของเหยื่อได้อย่างง่ายดาย จากนั้นเขาได้ทำการแก้ไขที่อยู่ของเหยื่อแล้วถอนเงินออกมาและให้ส่งให้เขาทางไปรษณีย์


ผมได้คิดต่อยอดจากสิ่งที่นายวู้ดได้ทำ โดยใช้แนวคิดที่ตอบคำถามความลับส่วนตัวของเหยื่อ แทนที่จะค้นหาบนเฟซบุค เราก็อาจจะใช้วิธีการที่เรียกว่า Social Engineering ในการหลอกถามข้อมูลส่วนตัวของเหยื่อก็เป็นได้

หากผู้อ่านเคยฟังผมบรรยายให้ความรู้เรื่องการสร้างความตระหนักด้านการรักษาความปลอดภัยสารสนเทศคงทราบถึงตัวอย่างที่ผมมักจะเล่าให้ฟังว่า ข้อมูลความลับส่วนบุคคลของเรานั้นสำคัญมาก ถ้าหากเราโพสท์ลงเฟซบุคหรือเว็บไซต์ต่างๆ โดยที่เราตั้งใจหรือไม่ก็ตาม ก็จะส่งผลเสียตามมาได้ ยกตัวอย่างเช่น (หมายเหตุ ผมตั้งใจเล่าให้ฟังเพื่อเป็นอุธาหรณ์ ดังนั้นห้ามปฏิบัติการ หรือลอกเลียนแบบ) ถ้าหากมีคนได้หมายเลขโทรศัพท์ของเราที่เราโพสท์อยู่บนเฟซบุค เขาก็อาจจะเอาไปประกาศตามเว็บไซต์ลามก หรือส่งอีเมล์บอกว่า เราขายบริการทางเพศ หรือประกาศเพื่อให้มีคนติดต่อเรามามากมายก็ได้ (แนวคิดนี้ผมได้ฟังดร.โกเมนบรรยายหลายปีก่อน ท่านได้สอนเกี่ยวกับความสำคัญของข้อมูลส่วนบุคคล) หรืออีกตัวอย่างเรื่องของการธุรกรรมต่างๆผ่านโทรศัพท์ ไม่ว่าจะเป็นเรื่องบัตรเครดิต โทรศัพท์มือถือ ล้วนแต่ก็ใช้วันเดือนปีเกิดของเราเป็นข้อมูลสำหรับยืนยันตัวตนแทบทั้งสิ้น เป็นต้น นี่เป็นเพียงแค่ตัวอย่างเล็กน้อยของการใช้ข้อมูลของเราบนเฟซบุคทำร้ายเราได้ จนมีคนเรียกเฟซบุคว่า "อาวุธทางสงครามข่าวสาร (Information Warfare Weapon)"

ดังนั้นสิ่งที่ผมอยากจะฝากไว้ก็คือ เรื่องของการระวังการให้ข้อมูลแก่ผู้อื่น ไม่ว่าจะเป็นการหลอกถามหรือการประกาศข้อมูลไว้ตามที่ต่างๆ โดยเฉพาะอย่างยิ่งบนเฟซบุค หรือเครือข่ายสังคมออนไลน์ต่างๆ รวมไปถึงการใช้งานบริการธุรกรรมออนไลน์ต่างๆ เราควรเข้าใจระบบกลไกของทางธนาคารก่อน ทางธนาคารเองก็ควรจะมีระบบที่มีความปลอดภัย และเราเองก็ควรรู้จักวิธีการป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์หรือม้าโทรจันที่จะขโมยข้อมูลส่วนตัวของเราอีกด้วย

No comments: