ไอซีที

‘หลอกลวง’ ออนไลน์พุ่ง ส่องภัยไซเบอร์ครึ่งปี’62

โลกออนไลน์กลายเป็นส่วนหนึ่งของชีวิตประจำวัน ซึ่งหมายถึงภัยคุกคามทางไซเบอร์ก็เข้ามาใกล้ตัวทุกคนมากขึ้น สถิติข้อมูลภัยคุกคามไซเบอร์ ที่รวบรวมโดย ไทยเซิร์ต (ThaiCERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้การกำกับดูแลของ สพธอ.” สำนักพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) พบว่า 6 เดือนแรกของปี 2562 มีการแจ้งเหตุภัยคุกคามแล้ว 1,083 กรณี

โดยสูงสุดคือการหลอกลวงออนไลน์ (fraud) 389 กรณี ความพยายามจะบุกรุกเข้าระบบ (intrusion attempts) 330 กรณี เนื้อหาที่เป็นภัย (abusive content) อีก 112 กรณี เจาะระบบได้สำเร็จ (intrusions) อีก 105 กรณี การเข้าถึงหรือเปลี่ยนแปลงแก้ไขข้อมูลสำคัญโดยไม่ได้รับอนุญาต (information security) 83 กรณี การโจมตีด้วยมัลแวร์ 61 กรณี และอื่น ๆ
3 กรณี

QR code หลอกขโมยข้อมูล

และด้วยรูปแบบภัยคุกคามทางออนไลน์ที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา “ไทยเซิร์ต” จึงได้อัพเดตข้อมูลเกี่ยวกับภัยคุกคามในรูปแบบใหม่ ๆ ที่เกิดขึ้นทั่วโลก เพื่อเตือนภัยผู้ใช้งานอินเทอร์เน็ตในประเทศ
อยู่เสมอ

ล่าสุดได้มีการแจ้งให้ระวังภัยเกี่ยวกับการใช้อีเมล์ฟิชชิ่ง (เว็บปลอมเพื่อหลอกขโมยข้อมูล) หลอกให้สแกน QR code ที่จะเชื่อมต่อไปยังเว็บไซต์ปลอมเพื่อขโมยข้อมูล โดยนักวิจัยจากบริษัท Cofense รายงานการโจมตีแบบฟิชชิ่งที่ใช้วิธีส่งอีเมล์แนบ QR code เพื่อหลอกให้ผู้ใช้

โดยการปลอมอีเมล์เพื่อหลอกว่าส่งมาจากพนักงานขององค์กร และระบุว่า มีเอกสารสำคัญอยู่ในระบบ share point ซึ่งปกติต้องล็อกอินเพื่อเข้าไปดาวน์โหลดมาอ่านได้ โดยผู้ประสงค์ร้ายจะแนบ QR code ที่อ้างว่าใช้เพื่อเข้าไปสู่หน้าดาวน์โหลด หากเหยื่อหลงเชื่อใช้มือถือสแกน QR code จะถูกเชื่อมต่อไปยังหน้าเว็บไซต์ปลอมที่ทำขึ้นเหมือนหน้าล็อกอินของบริการ share point ให้เหยื่อใส่ข้อมูลบัญชีและรหัสผ่าน จากนั้นโจรไซเบอร์ก็จะได้ข้อมูลนำไปสร้างความเสียหายต่อได้

เทคนิคการขโมยข้อมูลด้วยการสแกน QR code เป็นการใช้ช่องว่างของระบบที่ทำให้อีเมล์ฟิชชิ่งผ่านการตรวจจับสู่กล่องอีเมล์ของผู้ใช้งานได้ ทั้งการใช้โทรศัพท์มือถือสแกน QR code นั้นยังทำให้ระบบตรวจจับฟิชชิ่งหรือมัลแวร์ขององค์กรไม่สามารถช่วยป้องกันได้ด้วย เพราะส่วนใหญ่จะใช้อุปกรณ์ส่วนตัวดำเนินการ รวมถึงเป็นการใช้จุดอ่อนของเว็บบราวเซอร์ของหน้าจอมือถือที่อาจไม่ได้แสดง URL ที่ชัดเจนพอ ทำให้
ผู้ใช้ตรวจสอบเว็บไซต์ปลอมได้ยากขึ้น

ฉะนั้นผู้ใช้ต้องตรวจสอบให้แน่ใจว่าอีเมล์ถูกส่งจากผู้ใช้ตัวจริง ด้วยการตรวจสอบชื่ออีเมล์ หรือสอบถามกับผู้ส่ง ก่อนจะสแกน QR code ใด ๆ รวมถึงควรตรวจสอบที่อยู่ของเว็บไซต์ให้ถูกต้องก่อนกรอกข้อมูลทุกครั้ง

เว็บแชร์ไฟล์ช่องทางใหม่มัลแวร์

ขณะเดียวกัน Email Threat Report ของบริษัท FireEye ยังพบข้อมูลภัยคุกคามที่น่าสนใจคือ มีการใช้บริการแชร์ไฟล์อย่าง OneDrive และ Dropbox เพื่อแพร่ “มัลแวร์” เพิ่มขึ้นมาก
เหตุเพราะระบบคัดกรองอีเมล์มักจะเชื่อถือโดเมนของบริการเหล่านี้ จึงปล่อยให้อีเมล์เหล่านี้เข้าถึง inbox ของผู้ใช้

โดยปัจจุบันโจรไซเบอร์ได้ใช้วิธีหลบเลี่ยงระบบตรวจจับภัยคุกคามในหลายรูปแบบ เช่น ส่งอีเมล์ที่มีแค่ลิงก์แต่ไม่มีเนื้อหา เพื่อเลี่ยงการตรวจจับ keyword ที่เป็นสแปม หรือการส่ง URL ของเว็บไซต์ฟิชชิ่งมาแต่ไม่ทำให้เป็นลิงก์แบบที่คลิกได้ทันที แล้วบอกให้ผู้ใช้คัดลอกลิงก์นั้นไปวางในบราวเซอร์เอง

“HTTPS+กุญแจไม่ช่วยอะไร

ส่วนข้อพึงระวังก่อนจะทำธุรกรรมผ่านเว็บไซต์ ด้วยการดูที่ URL ของเว็บว่า มี “HTTPS” และรูป “ไอคอนกุญแจ” แล้วจะปลอดภัย ไม่ถูกดักเก็บข้อมูลระหว่างทางเพราะมีการเข้ารหัสนั้น ในยุคนี้ใช้ไม่ได้แล้ว เพราะบริษัท PhishLabs ได้เปิดเผยสถิติเว็บไซต์ฟิชชิ่งในช่วงไตรมาสแรกของปีนี้ พบว่า 58% เว็บหลอกลวงก็มี URL ที่ขึ้นต้นด้วย “HTTPS” แล้ว และมีแนวโน้มที่จะพบมากขึ้นเรื่อย ๆ เหตุเพราะการขอใบรับรองดิจิทัลเพื่อให้เว็บไซต์สามารถใช้ HTTPS ได้นั้นมีต้นทุนที่ถูกลงมาก หรือแม้กระทั่งขอได้ฟรีก็มี

ฉะนั้นจะให้ปลอดภัยต้องตรวจสอบโดเมนและที่อยู่ของเว็บไซต์ให้ถูกต้องทุกครั้งก่อนกรอกข้อมูลหรือดำเนินการใด ๆ ถ้าทำบนหน้าเว็บบนจอมือถือ ต้องดูทั้ง URL ยาว ๆ ให้ครบ เพราะเดี๋ยวนี้โจรไซเบอร์ใช้วิธีตั้ง “subdomain” ให้เหยื่อเข้าใจว่าเป็นเว็บไซต์จริง แต่จริง ๆ ไม่ใช่

โดยมักระบุ subdomain ในส่วนที่ใกล้กับคำว่า “www” ให้เหมือนชื่อสถาบันการเงินหรือหน่วยงานที่น่าเชื่อถือ อาทิ www.ชื่อเว็บธนาคาร.เว็บฟิชชิ่ง ทำให้ URL ยาวเกินกว่าที่จะแสดงได้หมดบนหน้าจอมือถือ ผู้ใช้งานจึงไม่ได้เห็น domain ท้ายสุดว่าเป็นเว็บหลอกลวง

กรณีนี้จึงเป็นสิ่งยืนยันชัดเจนว่า รูปแบบการหลอกลวงออนไลน์ ต้องหมั่นอัพเดตสถานการณ์เสมอ สิ่งที่คิดว่าปลอดภัยวันนี้ พรุ่งนี้อาจไม่ใช่