กลลวงทางสังคม หลอกล่อและโจมตี

Social Engineering technics…กลลวงทางสังคม หลอกล่อและโจมตี…
ทั่วไป โดย anantayut บ.ก. Winmag เวลา 13:03 น.

“ถ้าจะถามถึงหลักการในด้านมืดที่อุดมไปด้วยพลังแห่งศรัธทาและความเชื่อละก็..คุณต้องอ่านเรื่องต่อไปนี้เลยครับ…ถึงแม้ฟังดูชื่อเรื่องจะไม่ค่อยเกี่ยวข้องกันเท่าไร แต่เชื่อว่ามันมีประโยชน์ต่อคนในสังคม โดยเฉพาะเราๆ ท่านๆ ที่อาศัยเทคโนโลยีเป้นเครื่องมือทำมาหากิน ผมหมายถึงพึ่งพาเทคโนโลยีในการทำมาหากินครับ..”
…..การหลอกลวงอาจเป็นภัยที่น่ากลัวกว่าที่คิด ถ้าคุณไม่เคยรู้จักหรือเห็นหน้าคนที่กระทำการดังกล่าวได้เลย…บทความตอนนี้เป็นการนำเสนอเบื้อหลังของการทำงานของเหล่าอาชยากร หรืออาจจะเป็นแฮกเกอร์ที่หันมาเอาดีทางด้านนี้ โดยอาศัยความชำนาญทางด้านคอมพิวเตอร์ที่มีเป้นทุนเดิมอยู่แล้วมาใช้ให้เกิดประโยชน์ แน่นอนว่าแรงจูงใจในครั้งนี้คือผลตอบแทนทีคุ้มค่าพอตัว…..
…….Social Engineering technics ในความหมายของแฮกเกอร์ก็คือ การหลอกล่อและลงมือ ซึ่งอาศัยหลักการทางจิตวิทยาที่คนหมู่มากในสังคมส่วนใหญ่ให้การยอมรับและไว้วางใจ เมื่อแฮกเกอร์สามารถสร้างแรงจูงใจให้กับเป้าหมายได้ ขั้นต่อไปก็คือ การทำให้เป้าหมายรู้สึกคล้อยตามและเอนเอียง จนในที่สุดก็ยอมรับในข้อเสนอที่อยู่ตรงหน้าอย่างง่ายดาย แน่นอนว่าวิธีการของแฮกเกอร์ย่อมไม่ทำแบบเปิดเผย ดังนั้น จึงต้องอาศัยเทคโนโลยีมาเป็นเครื่องมือที่คอยช่วยในเรื่องนี้ ผมขอยกตัวอย่างที่สามารถเกิดขึ้นจริงๆ ได้ในสังคม
SMS แปลกหน้า สัญญาณเตือนภัย :
…… สมมุติว่ามีแฮกเกอร์คนหนึ่งกำลังมองหาเหยื่อเพื่อต้องการติดตามข้อมูลว่าเป็นใคร มีฐานะอย่างไร และมีคนรู้จักเป็นใครบ้าง สถานที่ที่แฮกเกอร์จะใช้หาเป้าหมายก็ควรเป็นแหล่งที่มีผู้คนพุกพ่าน เช่น ย่านธุรกิจ หรือห้างสรรพสินค้าต่างๆ เมื่อเลือกสถานที่ลงมือได้แล้ว อุปกรณ์หลักๆ ที่แฮกเกอร์พวกนี้ใช้ก็คือ คอมพิวเตอร์โน้ตบุ๊ก และโทรศัพท์มือถือที่เป็นสมาร์ทโฟน เนื่องจากการเข้าถึงตัวเป้าหมายโดยตรงไม่ใช่วิธีการของแฮกเกอร์ ดังนั้น จึงต้องใช้โทรศัพท์นี่แหละครับเป็นเครื่องมือในการเข้าถึงตัว โดยมุ่งเป้าการแฮกไปที่โทรศัพท์มือถือที่เปิดสัญญาณบลูทูธทิ้งเอาไว้ ซึ่งในหัวข้อนี้จะเล่าให้ฟังว่าแฮกเกอร์ใช้หลักการของ Social Engineering มาใช้ให้เป้าหมายติดเบ็ดได้อย่างไร
แฮกเกอร์จะมีโปรแกรมตัวหนึ่งที่รันอยู่บนโน้ตบุ๊ก โปรแกรมตัวนี้สามารถสแกนหาสัญญาณบลูทูธในละแวกนั้นได้ (รัศมีโดยรอบ 10-15 เมตร) หากพบสัญญาณบลูทูธจากโทรศัพท์มือถือ โปรแกรมก็จะลิสต์ข้อมูลออกมาให้ทราบเป็นหมายเลขโทรศัพท์และชื่อของเจ้าของเครื่องนั้นๆ แฮกเกอร์จะทดลองเจาะเข้าไปทีละเครื่อง โดยการส่ง SMS ที่มีข้อความล่อลวง เช่น “คุณคือผู้โชคดีจากการสุ่มหมายเลขโทรศัพท์ ต้องการทราบรายละเอียดเพิ่มเติมหรือไม่ Y/ N” และอีกตัวอย่างหนึ่งคือ ”ติดต่อร้าน ABCD ชั้น 3 เพื่อซื้อสินค้าราคาพิเศษสำหรับผู้โชคดี ต้องการทราบรายละเอียดสินค้าหรือไม่ Y/N” หากคุณพบว่าอยู่ดีๆ มีข้อความส่งมาแบบนี้ละก็ ไม่ควรรีบกดปุ่มตอบรับใดๆ เพราะแฮกเกอร์สามารถใช้การกดปุ่มใดๆ บนโทรศัพท์ ไม่ว่าคุณจะเลือก ‘Y’ หรือ ‘N’ ก็ตาม ผลที่ออกมาก็จะมีค่าเหมือนกันคือเป็นการตกลงตามข้อเสนอ เมื่อคุณกดปุ่มปุ๊บ เครื่องของคุณก็จะถูกเชื่อมต่อสัญญาณทันที

หลังจากนั้น แฮกเกอร์จะดูดข้อมูลทั้งหมดที่อยู่ในหน่วยความจำของเครื่อง รวมทั้งข้อมูลที่เก็บอยู่ในซิมการ์ดออกมาผ่านทางสัญญาณบลูทูธ ถ้าหากเป้าหมายเป็นคนช่างสังเกตก็อาจจะเอะใจว่าทำไมแบตเตอรีโทรศัพท์ถึงลดลงทั้งๆ ที่ไม่ได้มีการโทรออกเลย นั่นก็เป็นเพราะว่าในขณะที่มีการโหลดข้อมูลและส่งผ่านมาทางสัญญาณบลูทูธ โทรศัพท์มือถือจะใช้พลังงานจากแบตเตอรีมากขึ้นนั่นเอง ข้อมูลต่างๆ ที่แฮกเกอร์ได้มาจะถูกนำมาตรวจสอบว่าคุณคือใคร มีความเกี่ยวข้องกับใครบ้าง หากเป็นบุคคลที่มีชื่อเสียงทางสังคม ข้อมูลทุกอย่างที่ได้มาจะมีความสำคัญมากทีเดียว เห็นได้ชัดว่าการใช้หลักของ Social Engineering ให้เหมาะกับเวลาและสถานที่นั้นๆ สามารถทำให้เหยื่อติดเบ็ดได้โดยง่าย จากตัวอย่างนี้ แฮกเกอร์เลือกเป้าหมายที่เดินอยู่ในห้างสรรพสินค้า และแกล้งส่ง SMS ปลอมเพื่อหลอกล่อว่าคุณคือผู้โชคดีจากทางร้านค้า ให้รีบไปติดต่อกลับโดยด่วน หรือส่ง SMS กลับมายืนยัน ถ้าคนที่ไม่คิดอะไรมากก็อาจหลงเชื่อได้โดยง่าย อันที่จริงแฮกเกอร์ต้องการให้คุณกดปุ่มใดๆ ก็ได้บนตัวเครื่อง เพื่อหาช่องทางเชื่อมสัญญาณหรือเจาะเข้าไป จึงต้องแกล้งส่ง SMS ไปให้คุณเพื่อกระตุ้นความสนใจนั่นเอง
และจากข้อมูลล่าสุดนั้น แฮกเกอร์ได้มุ่งเป้าไปที่การทำธุรกรรมการเงินผ่านโทรศัพท์หรือ Phone Banking ซึ่งข้อมูลที่สื่อสารระหว่างผู้ใช้บริการและธนาคารผ่านโทรศัพท์ก็คือ ชื่อผู้ใช้และรหัสผ่านนั่นเอง หากสามารถเจาะเข้าไปได้ก็เป็นเรื่องที่น่ากลัวมากทีเดียว ดังนั้น ใครที่คิดจะใช้บริการ Phone Banking ควรพิจารณาถึงความปลอดภัยให้ดีๆ ถ้าไม่เหลือบากกว่าแรงแนะนำให้ไปทำธุระของคุณที่ธนาคารด้วยตัวคุณเองจะเป็นการดีที่สุดครับ!
Note : สำหรับท่านที่ต้องการป้องกันไม่ให้โทรศัพท์ถูกแฮกหรือถูกควบคุมได้นั้น คุณอาจซื้อโทรศัพท์ที่ไม่มีฟังก์ชันบลูทธมาใช้อีกเครื่องหนึ่ง เวลาไปตามที่สาธารณะก็เอาโทรศัพท์เครื่องนี้ละครับมาใช้งาน เปลี่ยนซิมการ์ดให้เรียบร้อยซะ ส่วนเครื่องที่มีระบบบลูทูธก็ปิดเครื่องไปเลย เป็นวิธีที่ป้องกันการแฮกผ่านบลูทูธได้ 100 เปอร์เซ็นต์ เพราะมันไม่มีบลูทูธจะให้แฮกนั่นเอง (555)!
แฮก ATM และ Phone Banking
การเจาะระบบ ATM นั้นมีมานานแล้ว แต่พวกแฮกเกอร์ก็มีเทคนิคใหม่ๆ มาใช้อยู่เสมอ ผมขอยกตัวอย่างที่ค่อนข้างเสี่ยงมากถ้าคุณจะกด ATM จากตู้เหล่านี้ เหตุการณ์นี้เกิดขึ้นจริงในต่างประเทศ แต่ยังไม่มีรายงานในบ้านเรา เมื่อมีงานแสดงสินค้าต่างๆ ที่มักจัดขึ้นในสถานที่ที่ไม่ตายตัว ทำให้แหล่งเงินของผู้เข้าชมจะมาจากไหนไม่ได้เลย นอกเสียจากตู้ ATM ซึ่งหากบริเวณดังกล่าวไม่มีตู้ ATM ทางธนาคารก็จะใช้รถ ATM เคลื่อนที่ไปจอดไว้ข้างตึก หรือบางแห่งก็ติดตั้งตู้ ATM แบบชั่วคราวก็มีให้เห็นเช่นกัน แน่นอนครับว่างานเร่งด่วนแบบนี้ อะไรก็ดูเหมือนจะพลาดไปเสียทุกอย่าง ผมกำลังจะบอกคุณว่าตู้ ATM ที่ถูกติดตั้งอย่างเร่งด่วนมักจะไม่มีเวลาเก็บสายสัญญาณให้เรียบร้อย ยิ่งไปวางไว้ตามซอกหลืบข้างตึกด้วยละก็ โอกาสที่แฮกเกอร์จะใช้ประโยชน์จากความผิดพลาดเล็กๆ น้อยๆ นี้มีมากเลยทีเดียว
จากที่มีรายงานในต่างประเทศนั้น แฮกเกอร์ใช้วิธีพ่วงสายสัญญาณจากตู้ ATM แล้วเชื่อมต่อเข้ากับเครื่องมือพิเศษที่สามารถถอดรหัสข้อมูลออกมาเป็นผลลัพธ์ที่แฮกเกอร์ต้องการในเวลาไม่นานัก ข้อมูลที่ได้สามารถนำไปสั่งให้โอนเงินเข้าบัญชีได้ หรือแม้แต่ทำบัตรปลอมขึ้นมาใหม่ได้เช่นกัน เอาเป็นว่าถ้าบัตร ATM ของใครถูกแฮกไปแล้ว การสั่งอายัดบัตรแบบเร่งด่วนอาจช่วยตามหาตัวอาชญากรพวกนี้ได้ ที่สำคัญเวลาไปต่างประเทศ หากคุณจำเป็นต้องใช้บริการจากตู้บัตรเครดิตหรือ ATM ละก็ สำรวจดูให้ดีๆ ว่ามันปลอดภัยแน่หรือไม่
………… Phone Banking หรือการทำธุรกรรมกับธนาคารผ่านโทรศัพท์ ซึ่งปัจจุบันมีหลายธนาคารที่เปิดให้บริการเสริมแบบนี้ แต่ใช่ว่าจะปลอดภัยร้อยเปอร์เซ็นต์เช่นกัน เพราะแฮกเกอร์สามารถดักเอาข้อมูลในระหว่างที่คุณติดต่อกับทางธนาคารได้เช่นกัน โดยเฉพาะหากเป็นการใช้โทรศัพท์สาธารณะหรือตามตู้ต่างๆ โอกาสที่จะมีการดักฟังสัญญาณก็จะง่ายขึ้น ซึ่งปัญหานี้ทำให้ธนาคารใช้วิธีปล่อยสัญญาณคลื่นรบกวนเป็นระยะๆ ในระหว่างการสนทนา ทำให้การดักจับสัญญาณทำได้ยากขึ้นไปอีก ผมเชื่อว่าตอนนี้ทุกคนคงจะใช้โทรศัพท์มือถือกับเรื่องสำคัญๆ แบบนี้ และปัญหาก็น่าจะหมดไป แต่ทว่าแฮกเกอร์ก็พยายามสร้างอุปกรณ์เชื่อมต่อกับสัญญาณโทรศัพท์มือถือโดยตรง ประมาณว่าถ้าคุณโทรไปหาธนาคารใดก็ตาม หากอยู่ในรัศมีทำการของอุปกรณ์ที่ว่านี้ มันจะบายพาสสัญญาณโทรออกของคุณมาที่นี่เลย และจากนั้นแฮกเกอร์จะปลอมตัวเป็นเจ้าหน้าที่ของธนาคาร ทำทีเป็นพูดคุยกับคุณ เพื่อหลอกถามข้อมูลที่สำคัญเช่นรหัสผ่านต่างๆ เหยื่อส่วนใหญ่ที่ไม่ทันสังเกตความผิดปกติก็จะสนทนาไปจนจบขั้นตอน เหมือนกับเวลาที่ติดต่อกับธนาคารไม่มีผิด เพราะแฮกเกอร์ทำการบ้านในเรื่องนี้มาเป็นอย่างดี จนยากจะดูออกในเวลาอันสั้นๆ ผมขอสรุปง่ายๆ เลยว่า ถ้าคุณจะใช้บริการ Phone Banking ที่เกี่ยวข้องกับบัตรเครดิตละก็ แนะนำให้ไปติดต่อที่ธนาคารด้วยตัวคุณเองจะปลอดภัยที่สุดครับ

เห็นได้ชัดว่า กกลลวงต่างๆ ที่นำมาใช้เกี่ยวข้องกับในชีวิตประจำวันแทบทั้งสิ้น ถ้าคุณหลงเชื่ออะไรง่ายๆ ก็อาจตกเป็นเหยื่อได้ครับ วันพร่งนี้ ขอพักเรื่องหนักสมองไปสักวันสองวันครับ ขอเล่าเรื่องตลกให้ฟังบ้าง เผื่อจะไปแข่งกับ ขำกลิ้ง ลิงกับหมาได้….

Add a Comment

Your email address will not be published. Required fields are marked *