มาดูประวัติศาสตร์การแฮกกัน

ประวัติศาตร์เหตุการณ์แฮกแบบสรุป ภาพจาก netchunks

ผมไปหาอ่านดูมา เห็นแล้วคิดถึงเรื่องราวในอดีต เคสที่ 5 ผมจำได้ว่าเคยเขียน blog เรื่องนี้ในช่วงเวลานั้นพอดีเลย จำภาพหน้าตาของ Gary ได้เลย เลยเอามาฝากให้ดูกัน ก็เป็นข้อมูลแบบ infograph นะครับดูง่ายดี โดยสรุปมีเรื่องราวอีกมากมายที่ไม่ได้มีได้เห็นในภาพนี้

กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..

 

กรณีศึกษาระวังการทำธุรกรรมทางการเงินออนไลน์

กรณีศึกษาการหลอกลวง ให้ทำธุรกรรมการเงิน มีจุดประสงค์ร้ายต่อชีวิตและทรัพย์สินโดยตรง

http://www.pantip.com/cafe/blueplanet/topic/E11105496/E11105496.html

จากลิงกิ์ด้านบนนี้ มีกันรายวันก็นำมาเตือนกันเป็นรอบๆไป คนที่ไม่ทราบก็ยังมีอีกมาก บางคนกว่าจะรู้ก็สายไปแล้ว ซึ่งผู้บังคับใช้กฏหมายก็หวังพึ่งพาไม่ได้ ต้องพึ่งตัวเองให้มากๆนะครับ

ภาพจากกระทู้ดังกล่าว สังเกตุ URL เจ้าของกระทู้เข้าใจและเขียนแนะนำได้ดีมาก

เทคนิควิธีการก็ไม่ต่างไปจากเดิมนัก ผู้ที่ไม่รู้ ไม่ได้ฉุกคิดก่อน มักจะตกเป็นเหยื่อวิธีการที่เรียกว่า phishing ลักษณะคือใช้เหยื่อล่อเหมือนตกปลา ผมเห็นคนพลาดเป็นเหยื่อออกข่าวทีวีรายวันจนมันน่าจะทำให้รู้จักเข้าใจมีความตื่นตัวกันได้แล้ว ผมรู้สึกว่ามันเยอะมากจนไม่ใช่เป็นการตกปลาตามคลองน้ำทั่วไปแล้ว มันกำลังจะกลายเป็น whaling ระดับตกปลาวาฬแล้วล่ะครับ  แต่ว่า…. ก็ไม่ได้มีทุกคนที่รู้และเข้าใจ เรื่องของเทคโนโลยีบางทีก็ไม่ได้รู้กันง่ายๆสำหรับทุกคน

จากกระทู้ดังกล่าว เรื่องที่ผมหยิบมาสรุปให้เป็นข้อสังเกตุเวลาใช้งานอะไรก็ตามบนอินเตอร์เน็ต คือ

1. สังเกตุชื่อเว็บไซต์ในช่อง URL มันเป็นอย่างที่มันควรจะเป็นไหม (อันนี้ก็บอกยากนิดนึงสำหรับคนทั่วไป หวังพึ่ง SSL Certificate อย่างเดียวเลย มันต้องถูกต้อง Verify Identity ของเว็บได้ นึกไม่ออกกลับไปดูเรื่อง SSL ที่ผมเขียนได้  ให้ดูที่ภาพอย่างน้อยต้องมี Verify)

ภาพจากกระทู้ต้นทาง สังเกตุ URL ต้อง Verify ได้

2. ใช้ซอฟท์แวร์ที่ดีมีความปลอดภัย ในกรณีนี้ผมแนะนำใช้ Browser Firefox, Chrome ครับ มันจะมีหน้าเตือนที่ชัดเจนหากว่าเป็นเว็บที่น่าสงสัย

ภาพจากกระทู้ ตัวอย่าง Browser ดีๆจะมีแบบนี้บอก

3. ตั้งสติใช้เหตุผลไต่ตรองดีๆ ว่ามันสมเหตุสมผลไหม ว่าธนาคารจะติดต่อมาแบบนี้ โทรไปเช็คกับธนาคารก่อนก็ไม่เสียหายอะไร ไม่ต้องรีบ อย่าไปกังวัลกับคำข่มขู่ต่างๆในเนื้อหาอีเมล ธนาคารมีกฏระเบียบควบคุมแน่นหนามาก มีผู้คุมกฏโดยธนาคารแห่งประเทศไทยอยู่

หรือกรณีอื่นๆ เช่น อยู่ๆจะมีคนเอาเงินมาให้คุณง่ายๆ งั้นหรือ อย่าโลภก้มหน้าก้มตาทำงานหาเงินเองดีกว่าครับ

จริงๆเทคนิควิธีการนี้เก่ามากแล้ว แต่ก็ยังใช้ได้ ก็เหมือนกับการตกปลาแหล่ะครับ วิธีเดิมก็ยังมีปลามากินเหยื่อที่เราล่อไว้เสมอ เว้นแต่สบัดหลุดไป ถึงจะเข้าใจแหล่ะเข็ด แต่คงใช้ไม่ได้กับปลาทอง เขาว่าความจำมันสั้น  🙂