สังเกตไหมครับว่าพฤติกรรมการใช้งานอุปกรณ์ไอที เช่น คอมพิวเตอร์, สมาร์ทโฟน เวลาที่เราอยู่ที่บ้าน และอยู่ที่ทำงานนั้นไม่เหมือนกัน เมื่ออยู่บ้านเราอาจใช้คอมพิวเตอร์ในการเล่นเกม, ดูหนัง, ดาวน์โหลดโปรแกรมที่ไม่เกี่ยวข้องกับการทำงานมาใช้ แม้ว่าคอมพิวเตอร์เครื่องนั้นจะเป็นของบริษัท ยิ่งที่บ้านของเรามีการใช้งานอุปกรณ์ IoT เช่น กล้องวงจรปิด หรือ ระบบสัญญาณกันขโมยที่เชื่อมต่อกับอินเทอร์เน็ต สมาร์ทโฟนที่ใช้ในเรื่องงานก็อาจถูกนำมาใช้เชื่อมต่อกับอุปกรณ์ IoT ที่เราใช้งานที่บ้านด้วย

ถึงแม้ว่าการใช้งานเช่นนี้จะสะดวกกับผู้ใช้งาน แต่ในแง่ของการรักษาความปลอดภัยไซเบอร์แล้ว พฤติกรรมการใช้งานเช่นนี้ก่อให้เกิดช่องโหว่ต่อระบบเครือข่ายขององค์กรเป็นอย่างมาก ยิ่งในช่วงที่ต้องทำงานที่บ้านแล้ว การนำเอาอุปกรณ์ของบริษัทมาใช้ในเรื่องส่วนตัวก็มีโอกาสเกิดขึ้นสูง

ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ยังให้ข้อมูลที่น่าสนใจคือ เมื่ออยู่ที่ทำงานเราจะมีความตระหนักในเรื่องความปลอดภัยไซเบอร์อยู่เพราะมันเกี่ยวข้องกับการทำงาน ยิ่งในบางองค์กรจะมีนโยบายที่เข้ามาช่วยลดความเสี่ยง และควบคุมการทำงานของพนักงาน ทำให้แม้แต่จะคลิกลิงก์อะไรพนักงานก็จะระวัง แต่เมื่ออยู่ที่บ้านเป็นระยะเวลานาน เช่น ผู้ที่ทำงานที่บ้าน หรือผู้ที่อยู่ในช่วงกักตัว การแชร์เครื่องคอมพิวเตอร์ให้กับคนในครอบครัว ที่ไม่ได้ตระหนักถึงการใช้งานโลกไซเบอร์ที่ถูกต้องอาจจะทำให้อุปกรณ์ขององค์กรถูกคุกคามหรือติดมัลแวร์ และเมื่อพนักงานนำเครื่องกลับมาใช้ทำงานที่บริษัทและมีการเชื่อมต่อกับระบบเครือข่ายขององค์กร ก็มีโอกาสที่จะทำให้ระบบขององค์กรเกิดความเสี่ยงได้ และเป็นเรื่องยากมากที่ทีมงานด้านการรักษาความปลอดภัยไซเบอร์ขององค์กรจะรู้ และป้องกันปัญหาที่อาจเกิดขึ้นได้ทัน

ยิ่งหากมีการเชื่อมต่อกับอุปกรณ์ IoT ที่อาจมีช่องโหว่ที่ไม่ได้รับการดูแล เมื่อพนักงานมีการเชื่อมต่ออุปกรณ์ของบริษัทกับซอฟท์แวร์ที่ใช้เชื่อมต่อกับอุปกรณ์ IoT การจู่โจมก็อาจจะมาจากอุปกรณ์ IoT ต่างๆที่กล่าวมา และเป็นช่องทางในการจู่โจมแทบทั้งสิ้น

การเชื่อมต่อกับอุปกรณ์เหล่านี้ทำให้ระบบรักษาความปลอดภัยของทางบริษัทต้องมีการเตรียมพร้อมรับมือที่แข็งแกร่งขึ้นและกว้างกว่าเดิม เพราะอุปกรณ์เหล่านี้เป็นสิ่งที่ผู้จู่โจมเริ่มที่จะใช้เป็นช่องทางในการจู่โจม เพราะมีการใช้ร่วมกันระหว่างเรื่องงานกับเรื่องส่วนตัว ทำให้ช่องโหว่ที่เกิดจากอุปกรณ์ที่บ้าน ได้กลายมาเป็นช่องโหว่ของอุปกรณ์ของบริษัทที่พนักงานใช้ในการทำงานไปด้วย

เบื้องต้นผมแนะนำให้องค์กรเตรียมใช้ Cloud Based Security หรือการนำระบบของบริษัท รวมถึงข้อมูลต่างๆขึ้นไปเก็บไว้บน Cloud ที่มีการรักษาความปลอดภัยระดับสูง สามารถควบคุมสิทธิ์ในการเข้าถึง และใช้งานได้โดยบริหารความปลอดภัยเป็นแบบส่วนตัว นอกจากนี้ยังสามารถทำงานร่วมกับระบบต่างๆได้อีกด้วย เพื่อให้บริษัททำการตรวจจับพฤติกรรมของพนักงานที่ทำงานจากบ้านได้ สำหรับบริษัทที่ยังไม่มีการใช้งาน VPN (Virtual Private Network) ควรจะเริ่มการใช้งานตั้งแต่ตอนนี้ โดยสอนให้พนักงานแยก VPN ระหว่างอุปกรณ์ที่ใช้ที่บ้านกับอุปกรณ์ของบริษัท เพื่อช่วยลดความเสี่ยงของภัยคุกคามที่น่าจะเกิดขึ้นในช่วงเวลานี้ครับ

เมื่อการทำงานระยะไกล หรือการทำงานนอกสถานที่กลายเป็นเรื่องปกติในปัจจุบัน ทุกคนต่างคุ้นเคยกับการทำงานลักษณะนี้จนแทบจะไม่ใช่ New Normal สำหรับบางบริษัทที่ต้องทำงานผ่านระบบ VPN (Virtual Private Network) หรือ “เครือข่ายส่วนตัวเสมือน” วันนี้ระบบของท่านเตรียมรับภัยคุกคามนี้หรือยังครับ

Vishing (วิชชิง) คือภัยที่มีเป้าหมายคือการขโมยบัญชีผู้ใช้ผ่านการใช้งาน VPN บางท่านอาจจะรู้จัก Phishing (ฟิชชิง) มาก่อน ทั้งสองอย่างนี้มีลักษณะคล้ายกันครับ แต่ว่า Vishing นั้นจะเป็นการล่อลวงผ่านการใช้โทรศัพท์พูดคุยกับเหยื่อ ในขณะที่ Phishing จะเป็นการใช้อีเมลหรือเว็บไซต์ครับ

Vishing ถือว่าเป็นวิธีการโจมตีที่มีประสิทธิภาพ อันตราย และแพร่หลายอย่างมาก จนทำให้รัฐบาลสหรัฐอเมริกาต้องออกมาแจ้งเตือน พร้อมทั้งให้คำแนะนำวิธีการป้องกันกับการจู่โจมรูปแบบนี้ โดยในเดือนที่ผ่านมา ทีมแฮกเกอร์ได้จู่โจมเหยื่อด้วยการให้แฮกเกอร์หนึ่งคนโทรไปหลอกสอบถามข้อมูล ในขณะที่แฮกเกอร์อีกคนขโมยชื่อผู้ใช้งาน รหัสผ่าน และรหัสยืนยันตัวตน จากหน้าเว็บปลอมที่ทำขึ้นให้เหมือนกับหน้าเว็บสำหรับเข้าใช้งาน VPN ของบริษัทที่เหยื่อทำงานอยู่นั่นเอง จนแฮกเกอร์สามารถเอารหัสเหล่านั้นไปใช้เข้าระบบของบริษัทได้ในภายหลัง

ซึ่งในบางครั้งพนักงานที่ตกเป็นเหยื่อก็ได้เผลอบอกรหัสยืนยันตัวตนหรือ OTP (One-time password) ให้กับแฮกเกอร์ ไม่ว่าจะด้วยเป็นอุบัติเหตุหรือความเข้าใจผิดว่าเป็นการแจ้งก่อนที่จะเข้าใช้ระบบ Help Desk โดยจุดประสงค์ของเหล่าแฮกเกอร์ที่เลือกใช้วิธีการ Vishing ก็เพื่อให้สามารถเข้าถึงระบบของบริษัทที่ตกเป็นเหยื่อได้เป็นระยะยาวในระหว่างที่พวกเขาปลอมตัวเป็นฝ่าย IT Help Desk ของบริษัทที่เหยื่อทำงานอยู่ จากนั้นเหล่าแฮกเกอร์ก็จะกลายเป็นนายหน้าในการขายบัญชีการเข้าถึง และขายให้กับสมาชิกของกลุ่มที่ชอบทำการยึดบัญชีผู้ใช้ในโลกไซเบอร์ ไม่ว่าจะเพื่อขโมยสกุลเงินดิจิตอล (Cryptocurrency) หรือเพื่อการโอ้อวด นักวิจัยพบว่ากลุ่มเป้าหมายส่วนใหญ่คือ สถาบันการเงินและการแลกเปลี่ยนสกุลเงินดิจิทัล, กลุ่มธุรกิจด้านโทรคมนาคมและมือถือ, ผู้ให้บริการ SSO (Single Sign-On) และผู้ให้บริการสื่อสังคม

Vishing มีอัตราการจู่โจมที่สำเร็จสูง โดยส่วนใหญ่ทีมแฮกเกอร์จะดำเนินการตามการจ้างงาน หรือการจ่ายค่าหัวให้เมื่อผู้จ้างต้องการเจาะจงให้ลงมือขโมยบัญชีผู้ใช้งานของบริษัท หรือพนักงานที่ทำงานนอกสถานที่ หรือทำงานที่บ้าน (Work from Home)

การป้องกันให้บริษัทอยู่รอดปลอดภัย ไม่ตกเป็นเหยื่อของ Vishing เริ่มต้นจากการปรับนโยบายการใช้ VPN ใหม่, แจ้งเตือนพนักงานให้ทราบถึงวิธีการโจมตีที่เรียกว่า Vishing อีกทั้งยังเลือกใช้วิธีการทางเทคนิคในการป้องกันไม่ว่าจะเป็นการติดตั้ง X.509 Certificates ใน Browser เพื่อใช้ในการพิสูจน์ตัวตน การปรับระบบอุปกรณ์พกพา (Mobile Device Management) เพื่อช่วยให้พนักงานได้ใช้งานบนหน้าเว็บ VPN ของจริง

ยังมีอีกหลายวิธีที่จะช่วยป้องกันบริษัทจาก Vishing เช่น การแบ่งสิทธิ์การเข้าใช้งานแบบ Role-based Access แต่วิธีที่ง่ายและทรงประสิทธิภาพคือการจัด Security Awareness Training ที่บริษัทควรจัดให้มีอย่างต่อเนื่อง เพื่อให้พนักงานตระหนักรู้และไม่ตกเป็นเหยื่อ จนสร้างช่องโหว่ให้ภัยคุกคามเข้ามาสร้างความเสียหายให้บริษัทได้ครับ

ในโลกไซเบอร์การ ‘รู้เขารู้เรา’ เป็นเรื่องสำคัญครับ ก่อนหน้านี้เรามีโซลูชันที่ช่วยแจ้งเตือนเมื่อระบบถูกจู่โจมจากภัยคุกคาม ทั้งยังมี Inception Tool เครื่องมือที่ใช้หลอกผู้จู่โจมให้ติดกับในเครื่องเสมือน จนหลงคิดว่ากำลังจู่โจมอยู่บนเครื่องของเหยื่อจริงๆ มาวันนี้เหล่าแฮกเกอร์ก็รู้ทันผู้เชี่ยวชาญด้าน Cybersecurity จนได้ครับ เมื่อโซลูชันที่ทำการติดตามและแกะรอยการจู่โจมของแฮกเกอร์กลับถูกโจมตีเสียเอง โดยผลการวิจัยจากบริษัทผู้เชี่ยวชาญด้านโซลูชันที่ใช้สำหรับแกะรอยการจู่โจมของภัยคุกคามพบว่า 33% มีการจู่โจมที่ตอบโต้ต่อระบบตอบสนองภัยคุกคาม (Incident Response – IR) ซึ่งเพิ่มขึ้นจากเดิมมากถึง 10%

นอกจากนี้อีก 50% ของการจู่โจมพบว่าแฮกเกอร์พยายามลบร่องรอยการจู่โจมอีกด้วย เช่น การลบ Log ในการจู่โจม และอีก 44% พยายามที่จะเบี่ยงเบนข้อมูลการจู่โจม รวมทั้งยังมีการปลอมแปลงเวลาที่จู่โจม หรือการเปลี่ยนแปลง Subnet และหลอกลวงในเรื่องของการพิสูจน์สิทธิในการเข้าถึงระบบ เป็นต้น

ซึ่งหากแฮกเกอร์สามารถลบประวัติการจู่โจม และสามารถเบี่ยงเบนข้อมูลการจู่โจมได้ พวกเขาก็จะใช้ Ransomware ในการโจมตีเป็นลำดับถัดมา ซึ่งบ่อยครั้งมักจะใช้ NetPetya-style Ransomware ปัจจุบันการตอบโต้ต่อระบบ IR นั้นมีจำนวนมากขึ้นและบ่อยครั้งที่สามารถสร้างความเสียหายได้อีกด้วย ซึ่งวิธีการลบข้อมูลการจู่โจมเช่นนี้เกิดบ่อยขึ้น โดยการลบ Log รวมถึงวิธีต่างๆนั้นถือเป็นส่วนหนึ่งของการจู่โจมขั้นสูงที่แฮกเกอร์เริ่มใช้กันมาเป็นระยะเวลาหนึ่งแล้ว

ในบางครั้งแฮกเกอร์ใช้วิธีจู่โจมที่สามารถถูกจับได้ง่ายๆและจู่โจมเป็นวงกว้างไปยังเป้าหมาย เพื่อทำให้ระบบตอบสนองภัยคุกคามทำงานช้าลง รวมถึงทำให้ระบบหรือทีมงานด้านการรักษาความปลอดภัยเข้าใจจุดที่ถูกจู่โจมผิดเป็นจุดอื่นได้ นั่นทำให้ทีมงานด้านการรักษาความปลอดภัยไซเบอร์ต้องเสียเวลาไปโฟกัสในจุดที่ไม่ใช่จุดที่เป็นเป้าโจมตีจริงๆ

ยังมีผลการวิจัยเพิ่มเติมถึงภัยคุกคามที่ระบาดในช่วงที่เกิดเหตุการณ์ COVID-19 ซึ่งพบว่าโดยภาพรวมทั้งหมด53% ของผู้ตอบแบบสำรวจต่อเหตุการณ์ภัยคุกคามให้ข้อมูลว่า มีการเพิ่มขึ้นของภัยทางด้านไซเบอร์อยู่ไม่กี่ประเภทที่เพิ่มขึ้นในช่วงนั้น โดยส่วนใหญ่ภัยคุกคามจะเกิดขึ้นจากการทำงานนอกสถานที่อย่างไม่มีประสิทธิภาพ 52% จากช่องโหว่ของ VPN 45% และการขาดแคลนพนักงาน 36%

ในส่วนของภาคธุรกิจที่เป็นเป้าหมายในการจู่โจมนั้นมากกว่าครึ่งคือธุรกิจทางด้านการเงิน ซึ่งสอดคล้องกับรายงานก่อนหน้านี้ที่บอกว่าเรื่องของผลประโยชน์ทางการเงินนั้นจูงใจเหล่าแฮกเกอร์เป็นอันมาก อีกจุดหนึ่งที่น่าสนใจคือ 51% ของการตอบโตนั้นมาจากประเทศจีน และยังมีการจู่โจมมาจากสองชาติที่ถือว่ามีเปอร์เซ็นต์ที่สูงขึ้นมากพอสมควรคือเกาหลีเหนือ 40% และรัสเซีย 38%

นับวันภัยคุกคามจะยิ่งมีความแยบยลมากยิ่งขึ้น ทำให้ผู้พัฒนาโซลูชันทางด้านการรักษาความปลอดภัยไซเบอร์ต้องหมั่นพัฒนาหาวิธีการมาป้องกันภัยคุกคามให้เหนือชั้นกว่า ในส่วนของผู้ใช้งานที่เป็นบริษัทก็ควรเลือกใช้และอัพเดทโซลูชันใหม่ๆอยู่เสมอ พร้อมทั้งเลือกวางระบบรักษาความปลอดภัยไซเบอร์ในทุกจุดที่มีความเสี่ยง เพื่อไม่เปิดโอกาสให้แฮกเกอร์เข้ามาสร้างความเสียหายให้กับบริษัทได้ครับ

 

 

มีคำกล่าวที่ว่า “Data is king” (ข้อมูลคือราชา) แต่ในยุคนี้เราจะรักษาข้อมูลให้ปลอดภัยได้อย่างไรเมื่อต้องทำงานนอกสถานที่ ทั้งยังต้องมีการแลกเปลี่ยนข้อมูลในแต่ละแผนก แต่ละบริษัท แต่ละบุคคลอีกด้วย ถึงแม้ว่าการทำงานที่บ้าน หรือการทำงานนอกสถานที่จะกลายเป็นเรื่องธรรมดาที่ทุกคนต่างคุ้นชินในยุค New Normal จนหลายๆท่านได้ปรับเปลี่ยนวิถีชีวิตและการทำงานไปเป็นที่เรียบร้อยแล้ว แต่สิ่งหนึ่งที่เรายังคงต้องเตรียมรับมือเช่นเดิมก็คือ การมาถึงของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่แม้จะเลื่อนออกไปแต่ก็ยังคงมีอยู่ ในบทความนี้ผมจะมาสรุปวิธีการรักษาข้อมูลสำคัญที่บริษัทควรทำไว้ทั้งหมด 5 ข้อ ดังนี้ครับ

 

  1. แจ้งให้พนักงานปฏิบัติตามนโยบายของบริษัทอย่างเคร่งครัด

บริษัทควรมีนโยบายและระเบียบปฏิบัติที่ชัดเจนในเรื่องของการแลกเปลี่ยนข้อมูลสำคัญ ไม่ว่าจะเป็นข้อมูลของพนักงาน, ลูกค้า, คู่ค้า รวมไปถึงข้อมูลบริษัท ผู้ดูแลควรย้ำเตือนถึงนโยบายของการทำงานกับพนักงานเสมอ ไม่ว่าจะเป็นเรื่องของระเบียบในการใช้งาน ข้อควรระวังในการใช้ อีเมล, เว็บไซต์, แอปพลิเคชัน และแพลตฟอร์มอื่นๆที่พนักงานมักจะใช้ทำงาน ก็ควรจะเป็นแพลตฟอร์มที่ได้รับการรับรองว่าปลอดภัย ในส่วนของการเก็บข้อมูลบน Cloud และอุปกรณ์ USB drives ก็ควรมีนโยบายมาคลอบคุลมด้วยเช่นกัน

  1. กำหนดระดับความสำคัญของข้อมูลและจัดกลุ่มข้อมูล

ข้อมูลที่สำคัญและเป็นความลับควรถูกดูแลเป็นพิเศษ เช่น ทำลายน้ำ (Watermarking) ยิ่งในบางโปรแกรมสามารถทำการติด Label ลงบนไฟล์ได้ ทั้งหมดนี้เพื่อให้พนักงานที่เข้าถึงข้อมูลนั้นตระหนักได้ว่าจะต้องเพิ่มความระมัดระวังในการใช้และส่งต่อข้อมูล นอกจากนี้ข้อมูลสำคัญเหล่านั้นก็ควรถูกแยกออกจากข้อมูลกลุ่มอื่นเพื่อที่จะได้ดูแลอย่างทั่วถึงอีกด้วย

  1. จำกัดการเข้าถึงข้อมูลสำคัญ

ผู้ดูแลข้อมูลควรเลือกใช้โซลูชันที่ช่วยติดตามว่ามีใครสามารถเข้าถึงข้อมูลเหล่านี้ได้ รวมถึงสามารถเก็บประวัติการเข้าถึงข้อมูลได้ว่าพนักงานคนไหนนำข้อมูลออกไปใช้ทำอะไร ในวันที่เท่าไหร่ เวลาใดได้อีกด้วย ทั้งนี้ต้องมีการตรวจสอบพนักงานอยู่เสมอ เพื่อเตรียมพัฒนานโยบายให้สอดคล้องกับวิธีการปฏิบัติงานในหลายๆบริบท คอยสังเกตพฤติกรรมที่ผิดปกติ เช่น หากมีการดาวน์โหลดที่สูงขึ้นในช่วงเวลาหนึ่งที่ไม่เป็นไปตามเดิม ก็ควรจะมีการตรวจสอบทันที

  1. จัดอบรมความรู้เรื่องการป้องกันภัยไซเบอร์ให้พนักงานเป็นกิจวัตร

บริษัทควรจัดให้มีการอบรมพนักงานให้ตระหนักถึงภัยไซเบอร์ หากเปรียบเทียบก็เหมือนกับการซ้อมหนีไฟ เพื่อให้พนักงานเข้าใจเรื่อง Security Awareness และในการอบรมควรจะมี Tool ต่างๆมาทำงานร่วมกันเพื่อให้พนักงานเห็นภาพชัดเจน

  1. นำเทคโนโลยี Virtual Desktop Infrastructure (VDI) หรือ Desktop-as-a-service (DaaS) เข้ามาใช้

การปล่อยให้พนักงานทำงานด้วยคอมพิวเตอร์ที่ไม่ใช้เครื่องของบริษัทก็เป็นความเสี่ยง เช่นเดียวกับการใช้งาน WiFi Networks ภายนอกบริษัท วิธีการแก้ปัญหาคือบริษัทต้องย้ายอุปกรณ์ของพนักงานกลุ่มนี้ไปใช้เป็นเครื่องบน Cloud ด้วยโซลูชัน VDI หรือ DaaS เพื่อให้บริษัทสามารถควบคุมความเสี่ยง และยังคงให้พนักงานทำงานได้ เข้าถึงข้อมูลได้ อย่างมีประสิทธิภาพอีกด้วย

ทั้งหมดนี้คือ 5 ข้อพื้นฐานที่จะช่วยให้บริษัทลดความเสี่ยงข้อมูลสูญหาย รวมทั้งลด Human Error และยังช่วยลดความเสี่ยงจาก Insider Threat ได้อีกด้วยครับ

ปฏิเสธไม่ได้จริงๆว่าเทคโนโลยี Fast Charge ทำให้เราสามารถชาร์จแบตเตอรี่โทรศัพท์มือถือให้เต็มได้เร็วกว่าเดิม จากที่ต้องใช้เวลาเป็นชั่วโมงก็กลายเป็นนาที ทำให้ปัจจุบันโทรศัพท์มือถือรุ่นใหม่มีความสามารถนี้อยู่แทบทุกเครื่อง เมื่อมีผู้ใช้เยอะเท่ากับมีเหยื่อให้จู่โจมเยอะ ล่าสุดภัยคุกคามรูปแบบใหม่ก็ถือกำเนิดขึ้นครับ
นักวิจัยจากบริษัทรักษาความปลอดภัยสัญชาติจีนพบว่า หัวชาร์จประเภท Fast Charge อาจทำให้โทรศัพท์มือถือที่ถูกชาร์จละลายเสียหายได้ ยิ่งไปกว่านั้น Firmware ของอุปกรณ์นั้นอาจถูกคุกคามได้อีกด้วย
การค้นพบนี้เกิดจากการสร้าง Scenario มาทดสอบการจู่โจมที่อาจเกิดขึ้นกับอุปกรณ์ชาร์จแบตเตอรี่ (Charger) และอุปกรณ์อื่นๆที่รองรับการชาร์จไว (Fast-charging) โดยตั้งชื่อภัยคุกคามนี้ว่า “BadPower” และนำอุปกรณ์ 35 ชิ้นจากอุปกรณ์ทั้งหมดประมาณ 234 ชิ้นที่มี Fast Charge มาทดสอบ จนพบว่าอุปกรณ์ 18 ชิ้นจาก 8 ยี่ห้อมีความเสี่ยงถูกคุกคามด้วย BadPower และอีก 11 อุปกรณ์ก็มีความเสี่ยงจะถูกโจมตีได้ผ่านทาง Digital Terminals
Fast-charging นั้นเป็นเทคโนโลยีที่เป็นที่นิยมมากในช่วงไม่กี่ปีที่ผ่านมา ไม่ว่าจะเป็นการให้พลังงานกับอุปกรณ์ต่างๆ เช่น โทรศัพท์มือถือ, แท็บเล็ต และคอมพิวเตอร์ โดยเทคโนโลยีนี้จะเกี่ยวข้องกับการส่งผ่านพลังงานระหว่างอุปกรณ์ที่ให้พลังงาน กับอุปกรณ์ที่เป็นฝั่งรับพลังงานเข้าไป ซึ่งทั้งหมดนี้จะเชื่อมโยงไปถึงกระบวนการทำงานต่างๆที่โดยปกติแล้วจะถูกเก็บอยู่บนชิปในฝั่งของอุปกรณ์ที่ให้พลังงานนั่นเอง
กระบวนการทำงานของเทคโนโลยี Fast Charge ไม่ได้มีเพียงการส่งผ่านพลังงานเพียงอย่างเดียวเท่านั้น แต่เกี่ยวข้องกับการส่งข้อมูลไปยังฝั่งรับพลังงานด้วย บางผู้ผลิตได้ออกแบบ Interfaces ที่สามารถอ่านและเขียน Firmware ใน Data Channel ได้ ซึ่งบางผู้ผลิตก็ไม่ได้คำนึงถึงเรื่องความปลอดภัยของกระบวนการ รวมไปถึงขั้นตอนการอ่านและการเขียนนั้น
ช่องโหว่ดังกล่าวยังมีความเสี่ยงที่จะเกิดจากขั้นตอน Verification Process ซึ่งนำไปสู่ปัญหา Memory Corruption ในระหว่างการทำงาน (Implement) ของเทคโนโลยี Fast Charge ผู้จู่โจมสามารถใช้ช่องโหว่นี้ด้วยการเขียน Firmware ของอุปกรณ์ Fast Charge ใหม่ เพื่อแทรกแซงพฤติกรรมของอุปกรณ์จ่ายพลังงาน
ภัยคุกคาม BadPower ไม่ได้เป็นภัยเกี่ยวกับเรื่องของข้อมูลส่วนบุคคลก็จริง เนื่องจากสภาพแวดล้อมของระบบป้องกันความปลอดภัยเครือข่ายนั้นเป็นตัวช่วยกรองอยู่แล้ว แต่ในอีกมุมหนึ่ง BadPower คือภัยคุกคามที่ทำลายตัวอุปกรณ์ผ่านช่องโหว่ทางดิจิทัล
การป้องกัน BadPower นั้นสามารถทำได้ โดยในผู้ผลิตชิป Fast Charging พบว่าชิป 18 ใน 34 อุปกรณ์สามารถอัพเดทเพื่อแก้ไขปัญหา BadPower ได้ แต่น่าเสียดายที่ตั้งแต่พบว่ามีช่องโหว่นี้เกิดขึ้นตั้งแต่มีนาคมที่ผ่านมา ก็ยังไม่มีรายงานว่ามีการแก้ไขปัญหาเหล่านี้แต่อย่างใด
BadPower ถือว่าเป็นภัยคุกคามที่น่าสนใจนะครับ เพราะเป็นกรณีแรกๆเลยทีเดียวที่การคุกคามทางไซเบอร์สามารถทำอันตรายต่อร่างกายและชีวิตให้กับผู้ใช้งานในโลกความเป็นจริงได้ แสดงให้เห็นว่าตอนนี้ภัยคุกคามทางไซเบอร์ไม่ได้สร้างความเสียหายได้แค่การจารกรรมข้อมูล, การเจาะระบบ, การหลอกลวง, ฯลฯ ที่ส่งผลกระทบกับชื่อเสียง ข้อมูล อะไรที่เป็นนามธรรมเพียงอย่างเดียวแล้ว แต่สามารถทำให้ผู้ใช้งานตกอยู่ในอันตรายถึงชีวิตได้ทีเดียว ผมหวังว่าทุกท่านจะหันมาให้ความสนใจกับการป้องกันความปลอดภัยไซเบอร์มากขึ้น เพื่อให้ทั้งชื่อเสียง ข้อมูล ร่างกาย รวมไปถึงทรัพย์สินของท่านปลอดภัยอยู่เสมอนะครับ

ข่าว Ransomware ระบาดไม่มีทีท่าจะเบาลงเลยครับ เหยื่อรายล่าสุดของการเรียกค่าไถ่ไซเบอร์ (Ransomware) ครั้งนี้ใกล้ตัวเสียจนคนรักสุขภาพหลายๆคนขนลุกเลยทีเดียว เมื่ออยู่ๆก็ไม่สามารถใช้งานนาฬิกาแบรนด์ดังจากสหรัฐอเมริกาอย่าง Garmin ได้

Garmin เป็นแบรนด์นาฬิกาไฮเทคที่ขึ้นชื่อในเรื่องของ Global Positioning System (GPS) และ Fitness-tracker เป็นที่นิยมในหมู่ผู้ใช้งานที่ชื่นชอบการออกกำลังกายและการรักษาสุขภาพ รวมไปถึงยังถูกใช้ในกลุ่มธุรกิจการบินอีกด้วย นั่นทำให้การถูก Ransomware โจมตีในครั้งนี้ ส่งผลให้ผู้ใช้งานไม่สามารถใช้บริการต่างๆของ Garmin ได้ จนเกิดความเสียหายตั้งแต่ผู้ใช้งานทั่วไปจนถึงผู้ใช้งานที่เป็นนักบินเลยทีเดียว

สาเหตุที่กลุ่มธุรกิจการบินได้รับผลกระทบจากการใช้งานนาฬิกาไฮเทคนี้ไม่ได้นั้น เป็นเพราะว่านักบินบางส่วนเลือกใช้นาฬิการุ่น flyGarmin เมื่อใช้งานบริการนี้ไม่ได้ก็ทำให้ไม่สามารถดาวน์โหลดข้อมูลที่อัพเดทล่าสุดจากฐานข้อมูลการบินได้ โดยข้อกำหนดจากทางสมาคม Federal Aviation Administration (FAA) แห่งสหรัฐอเมริกาได้กำหนดไว้ว่า นักบินทุกคนต้องอัพเดทข้อมูลการบินก่อนปฏิบัติการบินเสมอจึงจะสามารถขึ้นบินได้

ทั้งนี้ผมรู้สึกว่าวันที่ 28 กรกฎาคมเวลาไทยที่ผ่านมาก็เริ่มมีคนกลับมาใช้บริการของ Garmin ได้ เท่ากับว่าเป็นเวลาโดยประมาณ 4-5 วันที่เกิดความเสียหาย จากนั้นก็มีข่าวออกมาในช่วงเวลาใกล้ๆกันว่าทาง Garmin เริ่มกระบวนการฟื้นฟูและกู้คืนข้อมูลระบบกลับมา แม้จะสามารถให้บริการกับผู้ใช้งานได้เพียงบางส่วนด้วยข้อจำกัดของ Online Dashboard ซึ่ง Garmin ได้ให้ข้อมูลที่ไม่ค่อยชัดเจนนักว่า บริษัทเป็นเหยื่อจากการจู่โจมทางไซเบอร์ที่จู่โจมด้วยการเข้ารหัสระบบบางระบบของบริษัท ทำให้บริการออนไลน์หลายๆอย่างของ Garmin ไม่สามารถให้บริการได้ เช่น เว็บไซต์, การให้บริการหลังการขาย, แอปพลิเคชันต่างๆ และช่องทางการติดต่อบริษัท

ทาง Garmin ได้ออกมากล่าวว่าข้อมูลลูกค้ารวมถึงข้อมูลการจ่ายเงินต่างๆ ของผู้ใช้งานบริการ Garmin Pay ยังไม่พบว่าสูญหายหรือถูกขโมยแต่อย่างใด โดยคาดว่าระบบทุกอย่างจะสามารถกลับมาใช้งานได้เป็นปกติภายในไม่กี่วันหลังจากถูกโจมตี แต่ก็อาจจะมี Backlog ของข้อมูลผู้ใช้งานค้างอยู่ในกระบวนการบ้าง

นักข่าวทางด้านไซเบอร์จากสำนักข่าวชื่อดังได้คาดการณ์ว่า มัลแวร์ที่มีส่วนเกี่ยวข้องกับเหตุการณ์นี้น่าจะเป็นมัลแวร์ที่มีชื่อว่า Wasted Locker ซึ่งเป็นโปรแกรมที่เข้าไปขโมยหรือจู่โจมข้อมูลสำคัญๆ มัลแวร์นี้ถูกพบครั้งแรกประมาณเดือนเมษายนที่ผ่านมา และส่วนมากเหยื่อที่โดนโจมตีจะได้รับการติดต่อกลับไปที่เครื่องของเหยื่อ โดยผู้จู่โจมจะกล่อมให้เหยื่อจ่ายเงินเพื่อให้ข้อมูลกลับคืนสู่สภาพเดิม มีการคาดเดาว่า Garmin น่าจะถูกขอให้จ่ายเงินเพื่อกู้ข้อมูลกลับมาด้วยเงินจำนวนหลายล้านดอลลาร์สหรัฐ

ยิ่งเราใช้ชีวิตร่วมกับเทคโนโลยีที่เชื่อมต่อกับโลกไซเบอร์มากเท่าไหร่ ก็ยิ่งต้องรักษาความปลอดภัยให้กับข้อมูลของตนเองมากเท่านั้นครับ คอยติดตามข่าวสาร และตระหนักถึงความไม่ปลอดภัยที่อาจเกิดขึ้นได้เสมอ ยิ่งในส่วนของบริษัทที่มีข้อมูลลูกค้าจำนวนมากก็ต้องมีการวางระบบรักษาความปลอดภัยไซเบอร์ที่แน่นหนารัดกุมให้มาก ภัยทางไซเบอร์นั้นใกล้ตัวเรามากกว่าที่เราคิด และยิ่งในอนาคตนี้ทุกอย่างจะรวมกันอยู่ใน Cloud ทั้งหมด นี่เป็นสิ่งที่เราไม่รู้เลยว่าบรรดาข้อมูลที่โดนเข้ารหัสไปนี้จะโดนขโมยออกไปหรือไม่

ในบทความที่ผ่านมาผมพูดถึง Deception Tools ที่สามารถหลอกล่อภัยคุกคามได้ อันมีต้นกำเนิดมาจาก Honeypots ที่ถูกพัฒนาจนกลายเป็น “Next-generation Distributed Deception” โดยวันนี้ผมมีข้อมูลน่าสนใจ 5 ข้อที่ชี้ว่าองค์กรจะได้ประโยชน์อะไรบ้างจากการเลือกใช้โซลูชันนี้มาฝากครับ

  1. ทำให้ทีม Security Operations Center (SOC) มีประสิทธิภาพมากกว่าเดิม

หนึ่งในเรื่องน่าปวดหัวที่ทีม SOC ต้องเผชิญคือการแจ้งเตือนที่เข้ามามากมายในแต่ละวัน ซึ่งจากการวิจัยพบว่ามากกว่า 50% ของการแจ้งเตือนนั้นคือผลการแจ้งเตือนที่ไม่เป็นจริง (False Positives) และเป็นสาเหตุที่ทีม SOC ต้องเสียเวลาและทรัพยากรในการตรวจสอบไปโดยเปล่าประโยชน์

Deception จะเข้ามาช่วยในการแยกแยะว่าการแจ้งเตือนใดเป็นของจริง ด้วยเทคโนโลยีการหลอกล่อภัยคุกคามที่มีประสิทธิภาพในการแยกแยะ ทำให้การจู่โจมที่ผิดพลาดเพียงครั้งเดียวจากผู้คุกคามถูกตรวจจับได้ในทันที จนสามารถสืบสวนที่มาได้อย่างรวดเร็ว ช่วยให้ทีม SOC ทุ่มเทเวลาและทรัพยากรไปกับปัญหาหรือภัยคุกคามที่สำคัญและเกิดขึ้นจริงได้ทันที ไม่หลงทางไปกับ False Positives จนทำให้เสียเวลา

  1. ช่วยตรวจจับภัยคุกคามจากภายใน

ผลการวิจัยพบว่าภัยคุกคามมากกว่า 60% คือ Insider Threats เพราะบุคคลภายในสามารถที่จะปฏิบัติการได้เงียบกว่า แนบเนียนกว่า และสร้างความเสียหายได้มากกว่าบุคคลภายนอก เพราะได้รับความไว้เนื้อเชื่อใจในการเข้าถึงข้อมูล หรือทรัพยากรที่มีค่าขององค์กรมากกว่า

Deception จะเข้ามาช่วยในการแยกแยะภัยคุกคามทั้งจากภายในและภายนอก รวมถึงหลอกล่อบุคคลภายในได้อย่างแนบเนียน โดยการใช้เทคนิค Reverse Engineering ในการตรวจสอบ

  1. ปกป้องครอบคลุมทั้ง IT และ OT

เราอาจจะคุ้นชินกับ Information Technology (IT) จนลืมนึกถึง Operational Technology (OT) ที่กลายมาเป็นเป้าหมายสำคัญในการจู่โจมมากขึ้น เพราะระบบ OT นั้นไม่ได้ถูกเฝ้าระวังและได้รับการอุดช่องโหว่เป็นประจำ ซึ่งกรณีนี้จะคล้ายกับกรณีของอุปกรณ์ IoT ที่นับวันจะเริ่มกลายมาเป็นเป้าหมายขึ้นเรื่อยๆ

Deception จะเข้ามาช่วยล่อภัยคุกคามนั้นให้หลงทางด้วยเหยื่อล่อที่สมจริง และตอบสนองได้เหมือนเป็นระบบจริงๆ ทำให้ภัยคุกคามเข้ามาติดกับโดยไม่รู้ว่ากำลังถูกหลอกซ้อนมาอีกที

  1. ตอบโจทย์ข้อบังคับ รวมถึงพ.ร.บ.ต่างๆ

แน่นอนว่าข้อบังคับจากทางภาครัฐเป็นสิ่งที่องค์กรต้องทำตาม ในประเทศไทย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือตัวอย่างที่เห็นได้ชัดที่สุดในการปรับองค์กรให้ทำงานได้ตามข้อบังคับ จนเกิดเป็นความซับซ้อน และขั้นตอนที่เพิ่มขึ้น

Deception จะเข้ามาช่วยในการคาดคะเนล่วงหน้า ซึ่งความสามารถในการจัดการเชิงรุกแบบนี้ จะช่วยให้องค์กรมั่นใจได้ว่าการป้องกันด้วยโซลูชันนี้มีความปลอดภัย และก้าวนำภัยคุกคามอยู่เสมอ

  1. ทำงานร่วมกับโซลูชันอื่นได้เมื่อต้องตรวจสอบสาเหตุของภัยคุกคาม

เมื่อตกเป็นเหยื่อของภัยคุกคาม แน่นอนว่าทุกองค์กรต้องหาสาเหตุเพื่อป้องกันไม่ให้เหตุการณ์เกิดขึ้นอีกในอนาคต

Deception จะเข้ามาช่วยให้องค์กรหาสาเหตุได้ง่ายและรวดเร็วขึ้น ด้วยการทำงานร่วมกับโซลูชันอื่นๆ เช่น SOAR และ SIEM จนสามารถแสดงผลสิ่งที่ผู้จู่โจมทิ้งร่องรอยไว้ได้ชัดเจน และยังสามารถนำข้อมูลออกไปทำการวิเคราะห์ภัยคุกคามต่อได้อีกด้วย ทำให้องค์กรเข้าใจสาเหตุที่เกิดขึ้น และตอบสนองภัยคุกคามได้ดีกว่าเดิม

เมื่อเกิดภัยคุกคามขึ้นองค์กรจะเสียข้อมูลสำคัญ หรือชื่อเสียงขององค์กรไปเสมอ แต่หากเลือกใช้โซลูชันที่ช่วยหลอกภัยคุกคามให้อยู่ในโลกแห่งความฝัน จนไม่ได้ไปแตะต้องทรัพยากรจริงขององค์กรก็จะทำให้องค์กรแทบจะไม่เสียหายอะไร และยังจัดการกับภัยคุกคามได้ทันทีอีกด้วยครับ

ถ้าเปรียบ “ภัยคุกคามทางไซเบอร์” เป็นเหมือนขาซ้ายและเปรียบ “การรักษาความปลอดภัยไซเบอร์” เป็นขาขวา ชั่วโมงนี้โลกไซเบอร์ก็คงกำลังวิ่งอยู่เพราะทั้งสองฝั่งผลัดกันนำครับ ซึ่งในวันนี้ภัยคุกคามทางไซเบอร์คือฝ่ายที่นำอยู่หนึ่งก้าว

ไม่กี่สัปดาห์ที่ผ่านมาผมเพิ่งเขียนถึงมัลแวร์ประเภท Adware ไป มาวันนี้ก็มีมัลแวร์ถือกำเนิดใหม่ในชื่อว่า “Malvertising” ซึ่งเป็นมัลแวร์ที่ผู้จู่โจมจะใส่ Malicious Code ไปในโฆษณาและเครือข่ายออนไลน์ โดยส่วนใหญ่จะระบาดบนเว็บไซต์ที่เป็นที่นิยมและมีผู้เข้าใช้จำนวนมาก รอพาเหยื่อไปสู่เว็บไซต์ที่เป็นอันตรายต่อไป

ที่มาของภัยคุกคามนี้ก็เป็นเพราะว่า ระบบการโฆษณาออนไลน์มีความซับซ้อนและมีหลายส่วนเข้ามาเกี่ยวข้อง เช่น เว็บไซต์, การแลกเปลี่ยนโฆษณา, เซิร์ฟเวอร์ รวมไปถึงเครือข่ายการนำเสนอเนื้อหา (CDNs) ทำให้มีการส่งต่อไปยังเซิร์ฟเวอร์ของแต่ละส่วนที่กล่าวมาหลายๆต่อ จนแฮกเกอร์รู้ถึงช่องโหว่จากขั้นตอนที่มีความซับซ้อนเหล่านั้น และหยิบเอาจุดนี้มาใช้ประโยชน์โดยการใส่ภัยคุกคามรวมไปกับโฆษณา โดยที่ผู้เผยแพร่ไม่ได้คาดคิด

Malvertising นั้นไม่เหมือนกับ Adware ตรงที่ Adware ทำงานบนเครื่องของผู้ใช้คอมพิวเตอร์ที่ใช้ซอฟท์แวร์ถูกกฎหมาย ซึ่งในบางครั้งก็ถูกติดตั้งลงเครื่องโดยที่ผู้ใช้ไม่รู้ตัว โดยส่วนมาก Adware จะแสดงโฆษณาที่ไม่พึงประสงค์ หรือนำผู้ใช้ไปยังเว็บไซต์โฆษณาต่างๆ รวมไปถึงเฝ้าดูพฤติกรรมของผู้ใช้งาน

ในขณะที่ Malvertising นั้นจะมุ่งเป้าไปที่การฝัง Malicious Code ลงไปในเว็บไซต์ของผู้เผยแพร่เลย ไม่ได้เฉพาะเจาะจงไปที่ผู้ใช้งานอย่าง Adware นั้นทำให้ช่องทางที่ Malvertising ส่งผลกระทบไปยังผู้ใช้งานคือผ่านหน้าเว็บไซต์นั้นๆ แต่สำหรับ Adware นั้นคือเครื่องของผู้ใช้งานเอง

บางรายงานกล่าวว่า Malvertising อาจจู่โจมไปยังผู้ใช้งานได้ ถึงแม้ว่าผู้ใช้งานจะไม่ได้คลิกอะไรบนหน้าเว็บไซต์เลย ไม่ว่าจะเป็นการบังคับให้ดาวน์โหลดเพื่อติดตั้งมัลแวร์หรือ Adware บนเครื่องคอมพิวเตอร์ของผู้ใช้งาน, การบังคับบราวเซอร์ให้นำผู้ใช้งานไปยังหน้า Malicious Site, การแสดงโฆษณาที่ไม่พึงประสงค์ รวมไปถึง Pop-ups ต่างๆ

Malvertising ไม่ได้กระทบแต่ผู้เข้าใช้งานเว็บไซต์เท่านั้น แต่ยังส่งผลไปถึงเจ้าของเว็บไซต์เองด้วย เพราะนอกจากจะทำให้เสียชื่อเสียงแล้ว ยังรวมไปถึงการสูญเสีย Traffic จนอาจส่งผลให้กำไรที่ควรจะได้ก็น้อยลง และอาจจะต้องรับผิดชอบทางกฎหมายเมื่อเกิดความเสียหายกับผู้ใช้ด้วย เพราะต้นเหตุของความเสียหายเกิดจากการเข้ามาใช้งานเว็บไซต์นั่นเอง

หากจะว่ากันจริงๆแล้วการป้องกัน Malvertising สำหรับเจ้าของเว็บไซต์เองก็เป็นไปได้ยาก เพราะเครือข่ายของการโฆษณาพยายามป้อนโฆษณาเป็นล้านๆจากนักทำการตลาดทั้งหลาย และทำการแสดงผลโฆษณาแบบไดนามิก จึงเป็นการยากที่จะทำการทดสอบโฆษณาทั้งหมดว่าอันไหนเป็นโฆษณาจริงๆหรือโฆษณาที่แฝงภัยคุกคามมาด้วย

ในส่วนของผู้ใช้งานเว็บไซต์อย่างเราเองก็คงต้องรอติดตามกันครับว่าจะมีโซลูชันใด หรือวิธีการใดที่จะช่วยป้องกันตัวเองไม่ให้ตกเป็นเหยื่อของ Malvertising ซึ่งหากมีวิธีการป้องกันใหม่ๆ ผมจะรีบนำมาเล่าให้ฟังทันทีครับ

 

ผู้ใช้งานระบบปฏิบัติการ Mac OS อาจคิดว่าระบบนี้จะช่วยให้ท่านใช้งานได้อย่างปลอดภัยมากยิ่งขึ้น แต่หลายปีที่ผ่านมาเราจะพบว่ามีมัลแวร์เข้ามาโจมตีในระบบมากขึ้น อันเป็นผลมาจากในสมัยก่อนมีผู้ใช้งานระบบนี้น้อย ส่วนใหญ่จะใช้ระบบปฏิบัติการ Windows แต่ปัจจุบันเราจะเห็นได้ว่ามีผู้ใช้งานระบบ Mac OS เพิ่มขึ้นมา ไม่ว่าจะใช้ในด้านการศึกษาและการทำงาน จนเป็นสาเหตุที่ทำให้เหล่าแฮกเกอร์หันมาโจมตีผู้ใช้งานระบบ Mac OS อย่างเช่นเรื่องที่ผมจะเล่าให้ฟังต่อจากนี้ครับ

 

เมื่อไม่นานมานี้นักวิจัยค้นพบมัลแวร์สายพันธุ์ใหม่ที่พัฒนามาจากมัลแวร์ที่ชื่อว่า “Shlayer” บนเครื่อง Mac ซึ่งสามารถผ่านระบบป้องกันของ Apple มาได้ และแพร่กระจายผ่าน Search Engine (เว็บไซต์เพื่อการค้นหาข้อมูล) ชื่อดังเจ้าหนึ่ง

Shlayer นั้นโดยปกติถูกใช้เพื่อแพร่กระจายโปรแกรมจำพวก Adware (ซอฟต์แวร์สนับสนุนการโฆษณา) หรือโปรแกรมที่ไม่เป็นที่ต้องการต่างๆ โดยที่มัลแวร์เวอร์ชันใหม่ล่าสุดนี้ได้อาศัย .dmg ไฟล์ โดยหลอกว่าเป็นตัวติดตั้งจากทาง Adobe Flash Player

ผู้ใช้อุปกรณ์ macOS ที่ค้นหาข้อมูลผ่าน Search Engine เจ้านั้นอาจจะตกเป็นเหยื่อได้ เพราะอาชญากรไซเบอร์ได้ใช้เทคนิค Search Poisoning มาพัฒนาการจู่โจมให้แยบยลขึ้น ซึ่งผู้ใช้งานที่คลิกลิงก์ผ่าน Search Engine เจ้านั้นจะถูกส่งไปยังไซต์ที่อ้างว่าพบปัญหาเกี่ยวกับ Flash Player ที่เป็นรุ่นเก่าเกินไปจนทำให้แสดงผลไม่ได้ จากนั้นจึงหลอกให้เหยื่อดาวน์โหลดและติดตั้งเพื่อใช้งานต่อ ซึ่งไฟล์นั้นก็คือไฟล์ที่เป็นนามสกุล .dmg ตามที่กล่าวมาข้างต้นนั่นเอง

ทั้งนี้ในขณะที่ทำการติดตั้งก็จะแสดงไอคอนของ Flash Player ซึ่งดูเหมือนกับว่าเป็นแอปพลิเคชันสำหรับเครื่อง Mac ปกติ ซึ่งแน่นอนว่าจริงๆแล้วมันคือ Bash Shell Script ที่ได้มีการเปิดและรันตัวมันเองทาง Terminal appซึ่งหลังจาก Mac App ถูกเปิดขึ้นมา มันจะทำเสมือนว่าเป็น Adobe ของแท้โดยแสดงสัญลักษณ์ของ Adobe Flash Player ขณะที่ทำการติดตั้ง แต่จริงๆแล้วมีการแฝงความสามารถในการดาวน์โหลดมัลแวร์หรือ Adware เข้ามาพร้อมกันด้วย ซึ่งการใช้ Bash Shell Script ถือเป็นแนวคิดใหม่ในการต่อกรและพยายามหลบเลี่ยงการตรวจจับของ Antivirus นอกจากนี้ในระหว่างขั้นตอนของการติดตั้ง ผู้ใช้งานจะถูกหลอกให้ทำการคลิกขวาบนการติดตั้ง Flash Installer ของปลอมและทำการเลือก “Open” Command ต่อไป

เทคนิคการเลือกคลิกขวานั้นเป็นเทคนิคในการแนะนำผู้ใช้งานเพื่อหลีกเลี่ยงการ Double-clicking ไปที่ตัวติดตั้งของปลอม ซึ่งหลังจากคลิกแล้วก็จะมี Dialog Box แสดงขึ้นมาเตือนว่าผู้พัฒนาแอปรายนี้ไม่ได้รับการยืนยัน แต่ก็ยังคงมีทางเลือกให้ผู้ใช้งานคลิก Open the App เป็นทางเลือก

ในกรณีนี้ผู้ที่สร้างมัลแวร์ขึ้นมาก็ได้แต่ลุ้นให้ผู้ใช้งานไม่สนใจคำเตือนจาก Dialog Box แล้วทำตามคำแนะนำจากอาชญกรไซเบอร์แทน

ผมขอแนะนำทุกท่านให้หมั่นอัพเดทแพตช์ของ Mac OS ให้เป็นปัจจุบันอยู่เสมอ ทั้งนี้ควรจะมีการติดตั้ง Endpoint Security ไว้ที่ตัวเครื่องด้วยอีกชั้นหนึ่ง จะช่วยให้ปลอดภัยได้มากขึ้นครับ ในตอนนี้นั้นไม่มีระบบใดจะปลอดภัย 100% เราที่เป็นผู้ใช้งานจะต้องหมั่นอัพเดทข้อมูล ดูแลเครื่องของเราให้ปลอดภัย เมื่อต้องการดาวน์โหลดสิ่งใดขอให้ตรวจสอบจนมั่นใจก่อน เพราะยุคนี้เป็นยุคที่ข้อมูลคือเป้าหมายหลักในการจู่โจมครับ

 

ข้อมูลใดในโลกจะมีค่าเท่าข้อมูลที่เป็นของผู้ทรงอิทธิพลและมีชื่อเสียง เพราะเขาเหล่านั้นเป็นผู้ที่ได้เข้าถึงข้อมูลที่สามารถส่งผลกระทบได้กับคนจำนวนมาก หรือแม้กระทั่งในส่วนของภาคธุรกิจ ผู้บริหารเองก็มีข้อมูลทางการเงิน แผนการตลาด ข้อมูลวิธีและกระบวนการผลิตสินค้าอันเป็นความลับ ที่คู่แข่งทั้งเจ้าเก่าเจ้าใหม่ ต่างก็อยากได้มาเพื่อหาจุดอ่อนในการโค่นบัลลังก์

 

เมื่อมีความต้องการเกิดขึ้น แน่นอนว่าก็ต้องมีกลุ่มคนหัวใสเปิดบริษัทมาเพื่อรองรับความต้องการที่แปลกใหม่ เพื่อบริการลูกค้าที่พร้อมจ่ายค่าตอบแทนงามๆมาให้ อย่างเช่นที่ทีมนักวิจัยทางด้านไซเบอร์ซิเคียวริตี้ได้มีการออกมาเปิดเผยว่าบริษัททางด้านไอทีของอินเดียบริษัทหนึ่งมีการให้บริการรับจ้างเจาะข้อมูลเป็นงานๆไป รวมถึงมีการให้บริการทางด้านขโมยข้อมูลแบบครบวงจร โดยส่วนมากจะรับทั้งกลุ่มเป้าหมายที่เป็นข้อมูลส่วนบุคคล แต่ก็ยังมีการรับงานที่กลุ่มเป้าหมายเป็นองค์กรต่างๆในหลายทวีปกว่าเจ็ดปีที่ผ่านมา

 

บริการรับจ้างขโมยข้อมูลที่กล่าวมานั้นไม่ได้มีการสนับสนุนจากทางภาครัฐเหมือนที่บริษัทอื่นๆเคยถูกเปิดเผยมาก่อน แต่เป็นบริการรับจ้างขโมยข้อมูลในเชิงพานิชย์ ซึ่งรับจ้างขโมยข้อมูลจากเป้าหมายที่ผู้ว่าจ้างระบุมาให้

จากรายงานของผู้เชี่ยวชาญพบว่า กลุ่มแฮกเกอร์นี้มุ่งเป้าไปที่นักการเมืองที่มีชื่อเสียง กลุ่มพนักงานภาครัฐ กลุ่มผู้บริหารระดับสูง นักข่าว และกลุ่มนักปกป้องสิทธิมนุษยชน ซึ่งกลุ่มแฮกเกอร์นี้น่าจะอยู่เบื้องหลังการโจรกรรมข้อมูลต่างๆหลายเหตุการณ์ ทั้งในเหตุการณ์ทางการเงิน เหตุการณ์ความไม่สงบต่างๆ

 

นักวิจัยพบว่าการจู่โจมนั้นใช้การย่อยลิงก์ (URL Shortener) เพื่อปลอมแปลงและหลอกลวงเหยื่อ โดยในลิงก์ URL นั้นมีลิงก์ฟิชชิ่ง (Phishing) อยู่ในนั้นอีกกว่า 27,591 ลิงก์ ส่งไปยังอีเมลของเป้าหมายต่างๆ เมื่อตรวจสอบดูทางนักวิจัยจึงได้ทราบว่ากลุ่มแฮกเกอร์นี้น่าจะเป็นกลุ่มที่ได้รับการว่าจ้างจากภาคเอกชน

นอกจากนี้ยังมีข้อมูลที่น่าสนใจคือ เจ้าของบริษัทที่รับจ้างเจาะข้อมูลรายนี้เคยถูกฟ้องร้องในรัฐแคลิฟอร์เนียในปี 2015 ว่ามีส่วนเกี่ยวข้องในการรับจ้างขโมยข้อมูล กับนักลงทุนสองรายซึ่งมีข้อตกลงในการจ่ายเงินให้เพื่อทำการล้วงข้อมูลของนักการตลาดระดับสูง โดยในการเจาะข้อมูลนั้นได้มีการทิ้งร่องรอยของรหัสต้นฉบับ (Source Code) ของเครื่องมือในการทำฟิชชิ่งในโลกออนไลน์ รวมถึง Log file ต่างๆ ที่มีการติดต่อกับหน้าเว็บไซต์หลอกลวง รวมถึงทุกกิจกรรมที่ถูกดำเนินการ

คุณจะเห็นได้ว่ามีการรับจ้างเจาะข้อมูลออกมาขาย แต่กลับไม่มีการรับจ้างรักษาความปลอดภัยของข้อมูล เพราะการรักษาปกป้องข้อมูลนั้นต้องเกิดจากตัวเจ้าของข้อมูลหรือบริษัทเป็นผู้กระทำการเอง ดังนั้นทั้งในภาคบุคคลและภาคธุรกิจจะต้องเริ่มพัฒนาที่ตัวเองก่อน ศึกษาหาความรู้ในการปกป้องตัวเองจากภัยคุกคาม ในขณะเดียวกันก็ต้องเลือกที่จะแบ่งสันปันส่วนในเรื่องของงบประมาณของแผนกไอที ที่นอกจากจะต้องใช้งบเพื่อเพิ่มประสิทธิภาพในการทำงานแล้ว การเพิ่มประสิทธิภาพการรักษาความปลอดภัยให้ระบบภายในของบริษัทก็เป็นเรื่องที่ต้องให้ความสำคัญเช่นกันครับ