728 x 90

แฮกเกอร์ - ล้วงรหัสร้าย หายทั้งกระเป๋า

img
โดย++ อ. ศุภเดช สุทธิพงศ์คณาสัย พิธีกรรายการล้ำหน้าโชว์, ผู้เชี่ยวชาญระบบเน็ตเวิร์ค, Committee สมาคมผู้ดูแลเว็บไทย

ผมเชื่อว่าผู้อ่านหลายท่านน่าจะมีความคิดแบบนี้ เวลาอ่านข่าว แฮกเกอร์จู่โจมอะไรซักที่หนึ่งเพื่อให้เกิดความเสียหาย จากนั้นก็ย้อนกลับมาคิดกับตัวเองว่า โอ๊ย ไม่เป็นอะไรหรอก เรามันก็แค่คนธรรมดา ใครจะมาแฮกเรา ถึงแฮกอีเมล์หรือเฟซบุ๊กไป ก็สร้างใหม่ก็ได้ไม่เห็นเป็นไรเลย ซึ่งมองจากมุมของแฮกเกอร์ ผมอยากจะบอกเลยว่า เค้าสามารถเสกเงินจากสิ่งที่ไม่น่าจะมีอะไรเลยรอบๆตัวคุณได้สารพัดแบบเลยครับ

แนวโน้มในการจู่โจมของแฮกเกอร์ในช่วง 3-4ปีที่ผ่านมา มีเป้าหมายที่เปลี่ยนไปจากเมื่อสิบกว่าปีก่อนเยอะมากครับ เพราะเมื่อก่อนเป้าหมายของแฮกเกอร์จะเป็นเรื่องของการโชว์ฝีมือ ทดสอบความรู้ ก่อความวุ่นวายในวงกว้างซะเป็นส่วนใหญ่ แต่ประมาณ 3-4 ปีที่ผ่านมาเป้าหมายคือ “เงิน” ล้วนๆ เลยครับ ซึ่งหลายๆ คนอาจจะมีความคิดที่ว่า ข้อมูลของเราไม่เห็นจะมีประโยชน์อะไรเลย อยากได้อีเมล์ก็เอาไปสิ อยากได้เฟซบุ๊กก็เอาไปสิ เดี๋ยวก็สร้างใหม่ก็ได้ ซึ่งในความเป็นจริงนั้นแฮกเกอร์สามารถเสกเงินจากสิ่งเหล่านี้ได้อย่างมากมายเลยทีเดียวครับ

Hacker สามารถเอาของที่ได้จากคุณไปเสกเป็นเงินได้ทางไหนบ้าง

  • ถ้าได้มาแต่ Email Address ก็เอาไปยัดใน Spam List เพื่อเอาไปส่ง Spam
  • ถ้าได้ User + Password ของ Email มา ก็เจาะเข้าไปดูว่า คุณมีสมัครบริการอะไรไว้บ้าง เพราะคนส่วนใหญ่จะใช้ User + Password เดียวกันกับ Account อื่นๆ เช่น  Social Network หรือ Internet Banking
  • ปลอมเป็นตัวคุณเพื่อไปหลอกเงินเพื่อนๆ ของคุณก็ได้
  • เอาฐานข้อมูลการส่ง Email ของคุณไปจัดการคนอื่นได้ต่อก็ได้
  • ส่ง Phishing Email มาให้คุณติด Malware เพื่อกลายเป็น Zombie Machine เพื่อเป็นฐานการโจมตีแบบ DDoS ก็ได้
  • ตอนคุณติด Malware เครื่องคุณจะเพี้ยนๆ งานนี้ Hacker ก็จะบังคับให้คุณดูโฆษณาจาก Ads Network ของมัน
  • ค้นหาข้อมูลการซื้อของออนไลน์ในเครื่องคุณจากนั้นก็ขโมยข้อมูลบัตรเครดิตซะ
  • ถ้าข้อมูลในเครื่องคุณเยอะ ก็ทำให้คุณติด Ransomware แล้วจับไฟล์คุณเป็นตัวประกันเพื่อปล้นเงินก็ได้
  • พอเค้ายำคนที่ List ที่เค้าได้มาจนสาแก่ใจแล้ว ก็เอา List นั้นไปขายให้ Hacker คนอื่นต่ออีกครับ

ยิ่งหลังๆ ได้ข่าวว่าพวก Hacker พัฒนาพวก Machine Learning ในการวิเคราะห์ข้อมูลเหยื่อว่า เหยื่อมีนิสัยชอบเรื่องอะไรใน Social Network มันจะได้ส่ง Spam ที่เกี่ยวข้องกับเรื่องนั้นๆ ไปหาเหยื่อคนนั้นเพื่อเพิ่มโอกาส Hit Rate ในการที่เหยื่อจะคลิก Email เพื่อให้ติด Malware ด้วย เออ เอากะมันสิ!!

แนวทางการ Hack ของพวก Hacker
วิธีนี้เป็นแค่คร่าวๆ เท่านั้นนะครับ มันมีหลายวิธีมาก แล้วแต่สไตล์คนชอบเลย

หาเป้าหมายให้เจอก่อนด้วยการ Scan
พวก Hacker จะมี Server ที่ทำหน้าที่ Scan Internet ไปเรื่อยๆด้วยข้อกำหนดที่เป็นช่องโหว่ต่างๆ ของระบบปฏิบัติการครับ พวกนี้จะมีการศึกษาช่องโหว่ใหม่ๆ อยู่เสมอ จากนั้นก็ใส่เงื่อนไขเข้าไปในตัวโปรแกรม Scan จากนั้นก็ให้ Server ทำหน้าที่ Scan ไปเรื่อยๆ ถ้าไปเจอช่องโหว่ตรงตามเงื่อนไขการ Hack ก็จัดไปเลย

ส่ง Phishing ให้เป้าหมายเพื่อลวงให้ติดเชื้อ Malware
Phishing คือการ Hack ที่ใช้เทคนิคปลอมตัวตน เช่น Email หรือหน้าเว็บให้เข้าใจผิดว่ามาจากหน่วยงานหรือองค์กรที่น่าเชื่อถือ จากนั้นก็ใช้จังหวะที่เหยื่อตายใจ หลอกให้กรอกรหัสผ่าน หรือติดตั้งโปรแกรมที่เป็น Malware ครับ วิธีนี้ส่วนใหญ่ ใช้ได้ทั้งแบบเฉพาะเจาะจงและไม่เฉพาะเจาะจงว่าจะ Hack ประมาณสองปีก่อน คนไทยโดนวิธีนี้เล่นงานไปเยอะมากจากการที่กลุ่ม Hacker ปลอมเป็นหน้าเว็บธนาคารกสิกรไทย

Sniffing หรือขโมยเอาจาก Network ดื้อๆ เลยด้วยเทคนิค Man in the Middle
จุดเด่นของ WIFI ก็คือความสะดวกในการที่เราจะใช้งานใช่ไหมล่ะครับ แค่ Scan เจอ กดเชื่อมต่อไปจากที่ไหนของบ้าน หรือของ Office ก็ใช้ได้แล้ว ทีนี้พวก Rogue AP ก็คือ Access Point ที่พวก Hacker แอบเอามาปล่อยในพื้นที่ เพื่อหลอกให้คนใน Office วิ่งเข้ามาเชื่อมต่อครับ ซึ่งเจ้า AP พวกนั้นก็จะให้บริการ Internet ได้เหมือน Access Point ทั่วไปเลย เสียแต่ว่า ข้อมูลทั้งหมดที่วิ่งผ่านจะโดนดักจับไว้หมดเลยครับ พวก Password ที่เรากรอกผ่านหน้าเว็บที่ไม่ใช่ HTTPS เนี่ย โดนเรียบครับ เพราะอย่างที่บอกว่า คนเราส่วนใหญ่จะใช้ User + Password เดียวกันหมดในทุกเรื่อง งานนี้ได้อันเดียวก็เหมือนได้หมดบ้านอ่ะครับ

จริงๆ วิธีการ Hack ยังมีอีกเยอะครับ แต่สามวิธีนี้ส่วนใหญ่จะเป็นวิธีที่ค่อนข้างชัวร์ในแง่การได้มาซึ่งข้อมูลของเป้าหมายที่สุดแล้ว เอาล่ะสิ สำหรับผู้ใช้งานทั่วๆไปเนี่ย เทคนิคที่จะช่วยให้คุณปลอดภัยจากการโจมตีพวกนี้มีอยู่ไม่กี่ข้อครับ

  • รหัสผ่านที่เข้มแข็งพอ คือห้ามเอาคำใน Dictionary หรือคำง่ายๆ มาตั้งนะครับ
  • อย่าใช้รหัสผ่านเดียวกันกับทุกอย่าง ก็อย่างที่บอกไป ได้ไปหนึ่งอัน ก็โดนหมดทุกอันนะครับ
  • อย่าเชื่อคนง่ายคลิก Yes ในทุกๆ Links ที่เข้ามาในชีวิต มีสติ แล้วก็คิดนิดนึง อ่านให้ชัวร์ๆ ก่อน ตรวจสอบดูความน่าเชื่อถือ หรือถาม IT ที่คุณรู้จักในชีวิตซักคนก็ได้ ส่วนใหญ่พวกเขาจะตอบได้ครับ
  • Update โปรแกรมเป็นเวอร์ชั่นใหม่อยู่เสมอ และอย่าใช้โปรแกรมเถื่อน (โปรแกรมเถื่อนที่มาแจกฟรี คิดหรอครับว่า Hacker จะมาบ้าแจกฟรีให้เราใช้ พวกมันฝัง Malware ใส่มาทั้งนั้นแหละครับ)

    ในยุคที่ความปลอดภัยไล่ตามเทคโนโลยีไม่ค่อยทัน ก็มีแต่ผู้ใช้งานเท่านั้นที่ต้องระวังตัวเอง อย่าให้ย้อนกลับมาทำร้ายเราได้

Latest Posts

Leave a Comment

Your email address will not be published. Required fields are marked with *

Cancel reply

1 Comments