สายชาร์จแฮกโทรศัพท์ วางขายเกลื่อน

สายชาร์จ-USB อุปกรณ์การแฮกข้อมูล รหัสผ่าน และเข้าควบคุมอุปกรณ์ไอที หาได้ง่าย วางขายเกลื่อนหน้าเว็บ ตำรวจเตือนให้ระวัง

วันที่ 16 มกราคม 2565 จากกรณีที่เพจ สายไหมต้องรอด แจ้งว่ามีผู้เข้าร้องทุกข์กับเพจว่า ถูกกลุ่มมิจฉาชีพแฮกข้อมูลโทรศัพท์ และโอนเงินออกไปจากบัญชีธนาคารโดยมีผู้เสียหาย มากกว่า 10 คน เสียหายกว่า 1 ล้านบาท ด้านตำรวจสอบสวนกลาง เตือนประชาชนระมัดระวังสายชาร์จ USB ความว่า

• ร้านธงฟ้า 1.4 แสนแห่ง พร้อมรับดิจิทัลวอลเลต เช็กจังหวัดไหนร้านธงฟ้ามาก-น้อยสุด
• นักท่องเที่ยวเข้าต่ำแสน หวั่นโลว์ซีซั่นทรุดหนัก ททท.ชี้กระทบสั้นยอดบุ๊กกิ้งแอร์ไลน์แน่น
• เปิด 10 อันดับมหาวิทยาลัยรัฐ-ราชภัฏ-เอกชน ที่ได้รับความนิยมมากสุด

“ปัจจุบันพบว่ามีสายชาร์จที่ฝังตัวส่งสัญญาณไร้สาย Access Point ที่เมื่อเราเสียบสายชาร์จเข้ากับอุปกรณ์ หรือโทรศัพท์มือถือของเราแล้ว จะทำให้เหล่าแฮกเกอร์สามารถเข้าถึงข้อมูลในอุปกรณ์ของเราได้จากระยะทางไกล โดยแฮกเกอร์จะสามารถโจรกรรมข้อมูลต่าง ๆ ไม่ว่าจะเป็น เลขบัญชีธนาคาร, รหัสธนาคาร, รหัสผ่าน หรืออาจจะถูกส่ง Malware อันตรายเข้ามายังอุปกรณ์”

แม้ว่ากรณีการโดนดูดเงินของผู้เสียหายเหล่านั้น ยังไม่มีข้อสรุปว่าเป็นการโดนแฮกหรือโจรกรรมข้อมูลด้วยวิธีใด แต่คำเตือนของตำรวจสอบสอนกลาง นับว่าเป็นสิ่งที่ต้องระวัง

“ประชาชาติธุรกิจ” จึงได้รวบรวมข้อมูลเพิ่มเติมเกี่ยวกับการใช้อุปกรณ์แฮกประเภทสาย USB พบว่าเป็นอุปกรณ์ที่ถูกคิดค้นมายาวนานแล้ว ทั้งยังวางขายตามท้องตลาดเข้าถึงได้ง่ายและมีราคาถูกลงเรื่อย ๆ อย่างไรก็ตามราคาก็ยังถือว่าสูงเกินกว่าที่จะใช้เป็นอุปกรณ์หลอกลวงคนทั่วไปจึงนิยมใช้กับผู้ทำงานด้านไซเบอร์ซีเคียวริตี้ ทั้งยังถ่ายโอนข้อมูลลำบากเกินกว่าจะสุ่มดูดเงินจากบัญชีธนาคารได้

ย้อนรอยอุปกรณ์แฮกเล็กจิ๋ว

นับตั้งแต่อุปกรณ์ไอทีเข้าสู่ทศวรรษที่ 2010 เป็นต้นมา ชิปประมวลผลมีขนาดเล็กจิ๋วลงเรื่อย ๆ จนทำให้อุปกรณ์ประจำตัวไม่ว่าจะเป็นโทรศัพท์ นาฬิกา หลอดไฟ แม้กระทั่งกระจกรถยนต์ มีชิปประมวลผลคุณภาพสูงขนาดเล็กกว่า 10 นาโนเมตร ที่สามารถส่งคำสั่งซับซ้อนกว่าเดิมหลายเท่าไปยังอุปกรณ์รอบตัวเรา

ดังนั้น สายเคเบิล USB ซึ่งเป็นเหมือนแขนขาสำคัญของอุปกรณ์ไอทีที่เป็นทั้งแหล่งส่งพลังงานและถ่ายโอนข้อมูลระหว่างอุปกรณ์ จึงเป็นเป้าหมายสำคัญว่าหากสามารถใส่ชิปประมวลผลใน USB ได้ หมายความว่าสามารถเชื่อมต่อชิปประมวลผลและส่งคำสั่งเข้าสู่อุปกรณ์ไอทีเป้าหมายได้ทันที

ตลอดช่วงเวลา 10-20 ปีที่ผ่านมา สาย USB ประเภทต่าง ๆ เป็นที่นิยมและถูกพัฒนาเรื่อยมาจนถึงหัวแบบ Lightning ที่ใช้ในอุปกรณ์ของ Apple หรือ Type C ที่นิยมในแอนดรอยด์และอุปกรณ์ไอทีทุกชนิดในปัจจุบัน มีการพัฒนาวิธี “ฝัง” ชิปลงในสายหรือหัวเสียบสาย ด้วยเป้าหมายเพื่อการโจรกรรมข้อมูลมายาวนานแล้ว แต่ด้วยการต้องทำมือ ออกแบบและสร้างเองทำให้มีราคาสูง และไม่เหมาะที่จะใช้เพื่อเป้าหมายการแฮกแบบสุ่ม

แต่ในช่วงกลางปี 2022 ที่ผ่านมาในงาน DEF Con. ซึ่งเป็นงานที่รวมเหล่าแฮกเกอร์ และ Security Expert และผู้ที่สนใจในเรื่องของ IT Security จากทั่วทุกมุมโลก มาแลกเปลี่ยนความรู้กันและยังมีการแสดงการโจมตีใหม่ ๆ

ในงานนี้มีการโชว์ O.MG Cable เป็นครั้งแรก นั่นคือสายชาร์จ USB ที่ผสมผสานระหว่างความสามารถทางเทคนิคและการออกแบบที่แนบเนียนเหมือนอุปกรณ์ทั่วไป แต่สร้างความเสียหายได้มากมายด้วยสายเคเบิลเล็ก ๆ นี้

แม้ว่าการออกแบบสายเคเบิลเพื่อการโจมตีจะมีมานานแล้ว แต่การนำเสนอครั้งนี้ คือ หมุดหมายที่ O.MG จะผลิตอุปกรณ์ดังกล่าวสู่ท้องตลาด ซึ่งนอกจะทำให้อุปกรณ์แพร่หลายแล้ว ยังทำให้ราคาถูกลงอีกด้วย

สาย USB ธรรมดาที่ไม่ธรรมดา

นาย Corin Faife นักเขียนประจำเว็บไซต์ข่าวเทคโนโลยี The Verge รายงานจากงานประชุมดังกล่าว ถึงการที่ MG ผู้สร้างสายเคเบิล นำเสนอต่อผู้ร่วมประชุมว่า O.MG Cable เป็นสายเคเบิลที่มีลักษณะเหมือนกับสายเคเบิลอื่น ๆ ที่มีแต่ภายในสายเคเบิลแต่ละเส้น ใส่อุปกรณ์เทียมที่มีเว็บเซิร์ฟเวอร์ การสื่อสารผ่าน USB และการเข้าถึง WiFi แค่เสียบปลั๊ก เปิดเครื่อง ผู้ควบคุมก็สามารถเชื่อมต่อกับมันได้

หมายความว่าสายเคเบิลที่ดูธรรมดานี้ได้รับการออกแบบมาเพื่อสอดแนมข้อมูลที่ไหลผ่านสาย และส่งคำสั่งไปยังโทรศัพท์หรือคอมพิวเตอร์ที่เชื่อมต่อหรือที่คุมคำสั่งของชิปในสายเคเบิลนั้น ๆ ผ่านจุดเชื่อมต่อ WiFi ในตัวสายเคเบิล ซึ่งคุณลักษณะการถ่ายโอนข้อมูลมีอยู่ในสายเคเบิลดั้งเดิมอยู่แล้ว

แต่เวอร์ชั่นใหม่ล่าสุดมาพร้อมกับความสามารถด้านเครือข่ายที่เพิ่มขึ้น ทำให้สามารถสื่อสารแบบสองทิศทางผ่านอินเทอร์เน็ตได้ โดยฟังคำสั่งขาเข้าจากเซิร์ฟเวอร์ควบคุมและส่งข้อมูลจากอุปกรณ์ใดก็ตามที่เชื่อมต่อกลับไปยังผู้โจมตี

สามารถทำอะไรเครื่องเราได้บ้าง

“Corin Faife” อธิบายว่า สายเคเบิล O.MG นี้สามารถโจมตีด้วยการกดแป้นพิมพ์ ซึ่งโค้ดคำสั่งจะหลอกให้เครื่องโทรศัพท์หรืออุปกรณ์เป้าหมายคิดว่าเป็นแป้นพิมพ์ จากนั้นพิมพ์คำสั่งข้อความสั่ง นั่นทำให้มีโอกาสโจมตีได้หลากหลาย ทั้งสามารถเปิดแอปพลิเคชั่นซอฟต์แวร์ ดาวน์โหลดมัลแวร์ หรือขโมยรหัสผ่าน Chrome ที่บันทึกไว้และส่งผ่านอินเทอร์เน็ต

นอกจากนี้ยังมีคีย์ล็อกเกอร์ หากใช้เพื่อเชื่อมต่อคีย์บอร์ดกับคอมพิวเตอร์แม่ข่าย สายเคเบิลจะสามารถบันทึกทุกการกดแป้นพิมพ์ที่ผ่านเข้ามา และบันทึกรายการคีย์ได้มากถึง 650,000 รายการ ในที่เก็บข้อมูลออนบอร์ดเพื่อเรียกใช้ในภายหลัง

อย่างไรก็ตาม การดำเนินการโจมตี อาจต้องใช้การเข้าถึงทางกายภาพไปยังเครื่องเป้าหมาย หรือการ “หลอกให้เสียบ” ซึ่งสามารถทำได้หลายวิธี

นอกจากนี้ยังมี WiFi ในตัวที่จะทำการโจมตีแบบ “การกรองข้อมูล” จำนวนมาก เช่น การขโมยรหัสผ่าน Chrome ที่กล่าวถึงข้างต้น ปกติการโจมตีจากภายนอกแล้วส่งข้อมูลผ่านการเชื่อมต่ออินเทอร์เน็ตเสี่ยงต่อการถูกบล็อกโดยซอฟต์แวร์ป้องกันไวรัสหรือกฎการกำหนดค่าเครือข่ายขององค์กร

แต่การใช้สาย USB นี้มีอินเทอร์เฟซเครือข่ายออนบอร์ดล้อมรอบการป้องกันเหล่านี้ หรือทำให้สายเคเบิลมีช่องทางการสื่อสารของตัวเองในการส่งและรับข้อมูล และอาจทำการโจมตีโดยการทำให้อุปกรณ์ไอที “ขาดอากาศ” หรือตัดการเชื่อมต่อจากเครือข่ายภายนอกโดยสิ้นเชิงแล้วจึงส่งข้อมูลผ่านอินเทอร์เฟซตน

สรุปคือ การเสียบสาย USB ที่ว่านี้ ทำให้ความลับทั้งหมดที่อยู่ในอุปกรณ์ไอทีรั่วไหลโดยที่ไม่รู้ตัว แต่กระนั้นต้องเลือกเป้าหมายที่ชัดเจนและต้องอยู่ในระยะการเชื่อมต่อไวไฟระหว่างเครื่องได้

ราคาถูกลง เข้ากับทุกอุปกรณ์

สิ่งที่น่ากลัวเกี่ยวกับสาย O.MG คือ มันแนบเนียน เหมือนสายเคเบิล สายชาร์จ หรือสายพ่วงต่อทั่วไป ไม่มีอะไรให้สงสัยเลย ถ้ามีคนเสนอให้ยืมเป็นที่ชาร์จโทรศัพท์ และยังออกแบบการเชื่อมต่อได้หลากหลายจาก Lightning, USB-A และ USB-C จึงสามารถปรับให้เข้ากับอุปกรณ์เป้าหมายเกือบทุกชนิด ทั้ง Windows, macOS, iPhone และ Android ดังนั้นจึงเหมาะสำหรับสภาพแวดล้อมต่าง ๆ มาก

อย่างไรก็ตาม สำหรับคนส่วนใหญ่ การถูกตกเป็นเป้าหมายโจมตีต่ำมาก รุ่น Elite มีราคา 179.99 เหรียญสหรัฐ (ราว 6,000 บาท) โดย MG อ้างว่าอุปกรณ์แฮกที่ใช้งานระดับเดียวกันนี้ราคาเคยเฉลี่ยที่ 20,000เหรียญสหรัฐ

“Corin Faife” กล่าวว่า MG ผู้ผลิตสายเคเบิลดังกล่าว ประกอบสายเหล่านี้เองในโรงรถด้วยมือ แต่และชิ้นใช้เวลาสี่ถึงแปดชั่วโมง หลายปีต่อมา โรงงานแห่งหนึ่งก็จัดการประกอบชิ้นส่วนนี้ ต้นทุนจึงจะลดลงเมื่อเวลาผ่านไป

ปัจจุบันสายเคเบิลดังกล่าวที่วางขายบนเว็บไซต์ของ MG มีราคา 119 เหรียญสหรัฐ (ราว 4,000 บาท) ยังไม่รวมสายเคเบิลประเภทเดียวกันของแบรนด์อื่น ๆ ที่มีขายเกลื่อนโลกออนไลน์ พร้อมคู่มือการโจรกรรมข้อมูลที่เผยแพร่แบบฟรี ๆ ที่ทำให้ต้นทุนการแฮกถูกลง

แต่หลังจากนั้นสามารถตั้งโปรแกรมผ่านเว็บอินเทอร์เฟซที่เข้าถึงได้จากเบราว์เซอร์ ก็สามารถเขียนสคริปต์โจมตีในเวอร์ชั่นแก้ไขของ DuckyScript ซึ่งเป็นภาษาการเขียนโปรแกรมสำหรับแฮกเกอร์ที่ใช้งานง่าย นอกจากนี้เว็บไซต์โอเพ่นซอร์ซในปัจุบันมีโค้ดฟรีให้ก๊อบปี้มาใช้

ดังนั้นปัจจุบันด้วยเวลาและแรงจูงใจบางอย่าง คนที่มีพื้นฐานหรือมีเทคนิคพื้นฐาน สามารถหาวิธีการง่าย ๆ ที่จะทำให้สายเคเบิล USB สำหรับแฮกใช้งานได้ และจะมีราคาถูกลงเรื่อย ๆ ทั้งยังสั่งซื้อได้ง่ายที่มีโฆษณาเกลื่อนบนเว็บไซต์

แต่ถึงกระนั้น สาย USB ประเภทนี้มีข้อจำกัดมากมายในการใช้ ทั้งการเลือกเป้าหมายการโจมตี เพราะหากสุ่มเป้าหมายอาจทำให้แฮกเกอร์เสียอุปกรณ์มูลค่าหลายพันโดยไม่ได้อะไรกลับมา นอกจากนี้ยังมีปัญหาเรื่องระยะการสื่อสารส่งสัญญาณ แม้กระทั่งความเสี่ยงเมื่อแอปพลิเคชั่นความปลอดภัยสูงทั้งแอปธนาคารหรือการเงินมีการใช้รหัสหลายชั้นก็อาจทำให้การถ่ายโอนข้อมูลไม่สำเร็จ อุปกรณ์ชนิดนี้จึงนิยมใช้ในหมู่ผู้ปกป้องระบบหรืองานด้าน Cyber Security เพื่อทดสอบความปลอดภัยมากกว่าที่จะใช้ในหมู่มิจฉาชีพที่นิยมสุ่มแฮกอุปกรณ์พร้อมกันหลายอุปกรณ์เพื่อโอกาสในการโจรกรรมที่มากกว่า

• บัตรเครดิต-เดบิต ทำอย่างไรให้ปลอดภัยจากการถูกแฮก ตำรวจแนะวิธี
• เตือนอย่าโหลดแอป Remote access เสี่ยงโดนดูดเงินหมดบัญชี