กรณีศึกษาระวังการทำธุรกรรมทางการเงินออนไลน์

กรณีศึกษาการหลอกลวง ให้ทำธุรกรรมการเงิน มีจุดประสงค์ร้ายต่อชีวิตและทรัพย์สินโดยตรง

http://www.pantip.com/cafe/blueplanet/topic/E11105496/E11105496.html

จากลิงกิ์ด้านบนนี้ มีกันรายวันก็นำมาเตือนกันเป็นรอบๆไป คนที่ไม่ทราบก็ยังมีอีกมาก บางคนกว่าจะรู้ก็สายไปแล้ว ซึ่งผู้บังคับใช้กฏหมายก็หวังพึ่งพาไม่ได้ ต้องพึ่งตัวเองให้มากๆนะครับ

ภาพจากกระทู้ดังกล่าว สังเกตุ URL เจ้าของกระทู้เข้าใจและเขียนแนะนำได้ดีมาก

เทคนิควิธีการก็ไม่ต่างไปจากเดิมนัก ผู้ที่ไม่รู้ ไม่ได้ฉุกคิดก่อน มักจะตกเป็นเหยื่อวิธีการที่เรียกว่า phishing ลักษณะคือใช้เหยื่อล่อเหมือนตกปลา ผมเห็นคนพลาดเป็นเหยื่อออกข่าวทีวีรายวันจนมันน่าจะทำให้รู้จักเข้าใจมีความตื่นตัวกันได้แล้ว ผมรู้สึกว่ามันเยอะมากจนไม่ใช่เป็นการตกปลาตามคลองน้ำทั่วไปแล้ว มันกำลังจะกลายเป็น whaling ระดับตกปลาวาฬแล้วล่ะครับ  แต่ว่า…. ก็ไม่ได้มีทุกคนที่รู้และเข้าใจ เรื่องของเทคโนโลยีบางทีก็ไม่ได้รู้กันง่ายๆสำหรับทุกคน

จากกระทู้ดังกล่าว เรื่องที่ผมหยิบมาสรุปให้เป็นข้อสังเกตุเวลาใช้งานอะไรก็ตามบนอินเตอร์เน็ต คือ

1. สังเกตุชื่อเว็บไซต์ในช่อง URL มันเป็นอย่างที่มันควรจะเป็นไหม (อันนี้ก็บอกยากนิดนึงสำหรับคนทั่วไป หวังพึ่ง SSL Certificate อย่างเดียวเลย มันต้องถูกต้อง Verify Identity ของเว็บได้ นึกไม่ออกกลับไปดูเรื่อง SSL ที่ผมเขียนได้  ให้ดูที่ภาพอย่างน้อยต้องมี Verify)

ภาพจากกระทู้ต้นทาง สังเกตุ URL ต้อง Verify ได้

2. ใช้ซอฟท์แวร์ที่ดีมีความปลอดภัย ในกรณีนี้ผมแนะนำใช้ Browser Firefox, Chrome ครับ มันจะมีหน้าเตือนที่ชัดเจนหากว่าเป็นเว็บที่น่าสงสัย

ภาพจากกระทู้ ตัวอย่าง Browser ดีๆจะมีแบบนี้บอก

3. ตั้งสติใช้เหตุผลไต่ตรองดีๆ ว่ามันสมเหตุสมผลไหม ว่าธนาคารจะติดต่อมาแบบนี้ โทรไปเช็คกับธนาคารก่อนก็ไม่เสียหายอะไร ไม่ต้องรีบ อย่าไปกังวัลกับคำข่มขู่ต่างๆในเนื้อหาอีเมล ธนาคารมีกฏระเบียบควบคุมแน่นหนามาก มีผู้คุมกฏโดยธนาคารแห่งประเทศไทยอยู่

หรือกรณีอื่นๆ เช่น อยู่ๆจะมีคนเอาเงินมาให้คุณง่ายๆ งั้นหรือ อย่าโลภก้มหน้าก้มตาทำงานหาเงินเองดีกว่าครับ

จริงๆเทคนิควิธีการนี้เก่ามากแล้ว แต่ก็ยังใช้ได้ ก็เหมือนกับการตกปลาแหล่ะครับ วิธีเดิมก็ยังมีปลามากินเหยื่อที่เราล่อไว้เสมอ เว้นแต่สบัดหลุดไป ถึงจะเข้าใจแหล่ะเข็ด แต่คงใช้ไม่ได้กับปลาทอง เขาว่าความจำมันสั้น  🙂

Weak Encryption Algorithm

หลังจากที่เขียน ใช้ SSL ให้ปลอดภัยยิ่งขึ้น เมื่อห้านาทีที่ผ่านมา สงสัยเรื่อง encryption เพราะมีภาพเรื่อง RSA Algorithm ถูกแฮกในหัว เลยไปมองดูผ่านๆ เฮ้อ ต้องกลับมาบอกว่า encryption หลายตัวก็มีจุดอ่อนของมันอย่างร้ายแรง

ในฝั่งผู้ใช้งานธรรมดาอย่างเราๆท่านๆ คงต้องระวังกันเอาเอง และรอผู้ผลิตผู้พัฒนาเขาปรับปรุงแก้ไข ตอนนี้มีไม่กี่เจ้าเองที่เอาเรื่องนี้ไปแก้ไข เช่น browser chrome, firefox ใครใช้อยู่ก็อับเดตซะนะครับ เขาแก้ไขมาแล้ว แต่ก็ยังเหลือในฝั่ง Web Application Sever ครับที่เขาอาจจะยังไม่ได้แก้ไข หรือกำลังทำอยู่แต่ยังไม่เรียบร้อย

ไม่ต้องกังวลกันมากนัก หากคุณแค่เล่นเว็บทั่วไป

 

ผมมีของมาฝาก http://www.insecure.cl/Beast-SSL.rar  เอกสารของสองนักวิจัย พร้อม source code ตัวอย่างที่เป็น demo เพื่อใช้ในการโจมตี SSL ได้ครับ พลาดไม่ได้ครับ ช่องโหว่ นี้ release กันสดใหม่ ประกาศเป็นทางการแล้ว เรื่องใหญ่มากๆ

ใช้ SSL ให้ปลอดภัยยิ่งขึ้น

:::::::ช่วงนี้น้ำท่วมหนัก ท่วมสูง 2-3 เมตร นาข้าว สวน ไร่ เกลี้ยงเลย อาจจะหายไปสักพักใหญ่ ขอตัวไปแก้ปัญหาเรื่องน้ำท่วมก่อน :::::::

 

หลังจากหายไปทดลองแก้ไข ให้การใช้งานเว็บให้ปลอดภัยขึ้น ภายหลังจากที่มีนักวิจัยมา Demo ให้ดูถึงความไม่ปลอดภัยของ SSL ผมจึงหาทางแก้ไขด้วยตัวเองชั่วคราว ซึ่งจริงๆแล้วมันก็มีอยู่แล้วและใช้ได้ เพียงแต่ไม่รู้และไม่ได้สนใจมัน เข้าเรื่องกันเลย คุณใช้ Browser ค่ายไหนอยู่ครับ เข้าไปเปลี่ยนค่าซะนะครับ ผมยกตัวอย่างวิธีเข้าไปแก้ไขเป็น IE นะครับ

 

1. เปิด IE ขึ้นมาก็เข้าไปที่เมนู Tools >> Internet Options

2. เลือก Advance Tab เลื่อนลงไปด้านล่างสุด

3. สังเกตุแถวๆ SSL, TLS นะครับ เลือก TLS 1.0 ออกไปครับ

4. ดูกันอีกนิดนึง เลือก SSL 2.0, SSL 3.0, TLS 1.1, TLS 2.0 ให้มี (ส่วนตัวผมเลือกให้มีเฉพาะ SSL 3.0 ด้วยซ้ำ)

5.กด OK ก็เรียบร้อยแล้วครับ

 

 

ผมทดลองเข้าเว็บ Mail.yahoo.com เหมือนเดิมที่เคยเข้า ผลลัพธ์ก็ตามรูปที่เห็น ลองเทียบดูกับของเดิมได้ครับ เห็นไหมว่ามันใช้ SSL 3.0 ส่วน TLS 1.0 ที่มีปัญหาเราเลือกออกไปแล้ว ไม่ใช้งานมัน ผมยังลองใช้งานไปได้ไม่ถึงอาทิตย์ ยังไม่เจอว่าใช้งานเว็บไหนแล้วมีปัญหาก็ใช้กันไปครับ เพื่อความปลอดภัยที่มากขึ้น

(จริงๆแล้วมันมีวิธีที่ปลอดภัยกว่านี้ แต่มันอาจจะลำบากสำหรับผู้ใช้งานทั่วไป เนื่องจากจริงๆแล้วก็มีเทคนิคในการโจมตีเรียกว่า SSL Strip มานานแล้ว)

หลังจากแก้ไข TLS Version

หากใครไม่ได้ใช้ IE ก็สามารถเข้าไปแก้ไขได้เช่นกัน ส่วนตัวผมใช้ Browser อื่นครับ ที่ไม่ใช่ IE  ผมมีเว็บให้ทดลองตรวจสอบการเข้ารหัสของ Browser เครื่องของคุณด้วย TEST เห็นเป็นสีเขียวก็โอเคแล้ว ซึ่งมันก็คงเป็นสีเขียวหมดแหล่ะครับ แต่การเข้ารหัสอาจจะแตกต่างกัน เว้นแต่คุณจะใช้ซอฟท์แวร์ที่เก่ามากๆ

 

แถม จริงๆแล้วมีงานวิจัยที่เปิดเผยถึงความไม่ปลอดภัยของ Protocol นี้มานานแล้วเช่น http://eprint.iacr.org/2006/136.pdf