ภัยจาก “Social engineering” จากกรณีถูกแฮกเข้า Internet Banking

จากเรื่อง เตือนภัย K-Mobile Banking ถูก hack ครับ นั้น เอาจริงๆ จากในกระทู้ เป็นการถูกโจมตีในรูปแบบของ Social engineering (วิศวกรรมสังคม) เป็นหลัก คือใช้ข้อมูลส่วนตัวของผู้ใช้ท่านนั้นๆ ในการขอยกเลิก หรือแก้ไขข้อมูลผ่าน Call Center ซึ่งต้องมีข้อมูลอยู่พอสมควร พูดง่ายๆ คือถูกติดตามพฤติกรรมอยู่สักพัก หรือได้รับข้อมูลส่วนตัวที่สำคัญมากพอที่จะทำแบบนี้ ถ้าใครนึกภาพไม่ออก อ่านต่อที่ ทวิตเตอร์ Gizmodo ถูกแฮกเพราะช่องโหว่วิศวกรรมสังคมของ iCloud และ นักข่าว Gizmodo โดนขโมยบัญชี iCloud ไปได้อย่างไร ได้ เป็นรูปแบบเดียวกัน ซึ่งเป็นข่าวที่ “นักข่าว Gizmodo ถูกแฮกเพราะช่องโหว่วิศวกรรมสังคมของ iCloud” และสุดท้าย “โดน remote wipe จาก iCloud อีกต่อหนึ่งโดยใช้ช่องโหว่นี้ผ่านทาง Apple” เช่นกัน สรุปคือโดนกันหน้าแหละครับ

รูปแบบช่องโหว่นี้เกิดจาก “ความง่าย” ที่ต้องการให้ผู้ใช้งานทั่วไป “สะดวกสบาย” แน่นอนว่าผู้ใช้งานทั่วไปคงชอบ เพราะไม่เรื่องมาก แต่นั้นหมายถึงการนำมาซึ่ง “หายนะ” ได้ง่ายมากขึ้น ผู้ใช้งานควรศึกษา ทำความเข้าใจ และหวงแหน ข้อมูลส่วนตัวเช่น วัน-เดือน-ปีที่เกิด หมายเลขโทรศัพท์บ้าน ที่อยู่ปัจจุบัน หมายเลขบัตรประจำตัวประชาชน เป็นต้น เพราะถ้าใครติดต่อทำธุรกรรมผ่าน Call Center บ่อยๆ จะทราบว่า มันคือข้อมูลที่ใช้ในการระบุและสามารถเปลี่ยนแปลงข้อมูลทำธุรกรรมกับ ทางบริษัทต่างๆ ผ่าน Call Center ได้ เพราะฉะนั้น ข้อมูลพวกนี้ไม่แนะนำให้เปิดเผยเป็นปรกติบน Social Network ใดๆ เพื่อป้องกันการถูกนำไปใช้เพื่อการนี้

ในส่วนของ K-Bank ก็มีปัญหาเรื่องการระบุตัวตนตรงนี้เช่นกัน คงต้องมีการปรับปรุงส่วนนี้เพื่อให้รัดกุมมากขึ้น เช่นการเปลี่ยนแปลงหมายเลขโทรศัพท์สำหรับ OTP ต้องใช้เอกสารในการทำเท่านั้นเป็นต้น (เห็นว่าจริงๆ ต้องมีเอกสาร แต่ไม่รู้เคสนี้หลุดไปได้อย่างไร)

สำหรับคนทีใช้ Internet Banking ต่างๆ ควรศึกษาข้อมูลด้านความปลอดภัยในเครื่องคอมพิวเตอร์และมือถือให้มากพอ การใช้งานซอฟต์แวร์ที่อาจนำมาซึ่ง Key logger และ Malware ควรหลีกเลี่ยงการใช้งาน รวมไปถึงคอมพิวเตอร์ที่ไม่สามารถควบคุมการติดตั้ง หรือทราบแน่ชัดว่ามีอะไรติดตั้งอยู่บ้าง ควรหลีกเลี่ยง เวลาใช้อะไรเกี่ยวกับการเงิน ควรศึกษาเรื่องเหล่านี้ไว้ให้มากที่สุดครับ

Leave a Reply