ระวัง! การโจมตีโดยใช้เทคนิคจิตวิทยา”วิศวกรรมสังคม”
เวลาที่พูดถึงเรื่องความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ (Computer Security) แล้ว ผู้ใช้งานคอมพิวเตอร์จำนวนไม่น้อย ที่มีพื้นฐานด้านคอมพิวเตอร์ไม่มาก มักถูกปลูกฝังความเชื่อเอาไว้ว่า หากมีการติดตั้งโปรแกรมป้องกันไวรัส (หรือที่เรียกว่า แอนตี้ไวรัส [Anti-virus]) แล้วจะปลอดภัยหายห่วงจากไวรัส แต่ในความเป็นจริงแล้ว “กุญแจล็อกดีปานใดก็ไร้ประโยชน์ หากเจ้าของบ้านเปิดประตูบ้านเชิญขโมยเข้าไป”
ในโลกแห่งความจริงอันโหดร้าย ก็เป็นอย่างที่รู้กันว่า ช่องทางในการโจมตีของเหล่าผู้ไม่หวังดี เพื่อให้เครื่องคอมพิวเตอร์ของเรา มีเจ้าโปรแกรมอันไม่พึงประสงค์ที่เรียกว่ามัลแวร์ (Malware) ไปติดตั้ง มันเยอะแยะตาแป๊ะไก่เสียเหลือเกิน ไม่ว่าจะเป็นการอาศัยสื่อพาหะต่าง ถ้าเก่าแก่หน่อยก็แผ่นดิสก์ (อย่าดูถูกนะ ในบางองค์กรผมยังเห็นมีใช้กันอยู่) ใหม่หน่อยก็อีเมล์ และพวกแฟลชไดร์ฟต่างๆ หรือแพร่กันผ่านทางระบบเครือข่ายท้องถิ่น (Local Area Network หรือเรียกว่า แลน [LAN] นั่นแหละ) หรือใหม่สุดๆ ที่เจอกันบ่อยสมัยนี้ก็คือ แค่เปิดเว็บก็โดนเจาะกันเรียบร้อย
ไม่รู้ว่าผู้เชี่ยวชาญ หรือคนอื่นใดเขาจัดหมวดหมู่การโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์ไว้เป็นกี่แบบ แต่สำหรับผม ผมขอจัดเป็น 2 แบบใหญ่ๆ ก็พอครับ คือ
- การโจมตีผ่านช่องโหว่ของโปรแกรม หรือ ระบบ (Vulnerability) … ถ้าอ่านข่าวจากเว็บเมืองนอก จะคุ้นกับศัพท์คำว่าExploit (คือโปรแกรม หรือชุดคำสั่งที่การอาศัยช่องโหว่ของระบบในการโจมตี) หรือ Zero-day (หมายถึงการโจมตีที่ช่องโหว่ของโปรแกรมหรือระบบ ที่ผู้พัฒนาและคนทั่วไปยังไม่รู้ว่ามี) … การโจมตีแบบนี้ เป็นทางเทคนิคครับ สามารถแตกย่อยออกไปได้อีกเยอะแยะ ไม่ว่าจะเป็น IP Spoofing, DoS (Denial of Service), DDoS (Distributed Denial of Service), Logic Bomb, Man-in-the-Middle ฯลฯ เยอะแยะไปหมด ซึ่งแฮกเกอร์อาจต้องมีความรู้ความชำนาญสูงเพื่อพัฒนาซอฟต์แวร์มาใช้เอง หรือบางคนอาจจะแค่มีเงิน หรือรู้แหล่ง แล้วไปดาวน์โหลดพวก Toolkit ต่างๆ มาใช้ก็ได้
- การโจมตีโดยใช้เทคนิคทางจิตวิทยาสังคม ที่เรียกว่าวิธีวิศวกรรมสังคม (Social Engineering) ซึ่งสำหรับหลายๆ คนอาจจะเป็นคำใหม่ที่เพิ่งเคยได้ยิน แต่จริงๆ แล้ววิธีการดังกล่าวมันมีมานานแล้ว และเป็นหัวข้อที่ผมอยากพูดถึงในบล็อกตอนนี้ครับ
วิศวกรรมสังคม (Social Engineering)
หากเปรียบระบบคอมพิวเตอร์เป็นเหมือนกับที่อยู่อาศัยแล้ว พวกซอฟต์แวร์และฮาร์ดแวร์ด้านความมั่นคงปลอดภัยต่างๆ ไม่ว่าจะเป็น แอนตี้ไวรัส, ไฟร์วอลล์ (Firewall), Intrusion Detection System (IDS) ฯลฯ ก็เหมือนกับแม่กุญแจล็อก หรือระบบป้องกันขโมยต่างๆ และแน่นอนว่าไม่ว่าระบบจะดีเลิศประเสริฐศรีขนาดไหนก็ตาม มันย่อมมีช่องโหว่ให้ผู้ไม่หวังดีเจาะทะลุทะลวงเข้ามาได้ไม่ทางใดก็ทางหนึ่งแน่ๆ แต่อาจต้องใช้ความรู้ความสามารถและความพยายามมากเอาการอยู่ บางครั้ง การพยายามเจาะเข้ามาต้องใช้เวลานานมากเกินจนไม่คุ้มที่จะทำ บางครั้งเจาะครั้งแรกเข้าไปได้แล้ว แต่พอจะเจาะครั้งที่สอง อ้าว มีการอัพเกรดระบบความมั่นคงปลอดภัยแล้ว วิธีเดิมใช้ไม่ได้แล้ว
ผู้ไม่ประสงค์ดีจึงออกอาการ คิดใหม่ทำใหม่ … หากไม่อยากเสียเวลาไปสะเดาะกุญแจเพื่อหาทางเข้าบ้านที่ล็อกเอาไว้ จะทำยังไงดี? ง่ายที่สุด ก็คือ หลอกให้เจ้าของบ้านเปิดประตูเชิญเข้าไปสิ เพราะถ้าเป็นแบบนี้ ไม่ว่าจะอัพเกรดกุญแจเป็นแบบไหนก็ตาม หากหลอกให้เจ้าของบ้านเปิดประตูให้เข้ามาได้
คำกล่าวด้านบนชัดเจนมาก … “ไม่มีแพตช์ (หมายถึง ซอฟต์แวร์ที่ถูกทำขึ้นมาเพื่อปิดช่องโหว่ของโปรแกรมหลัก หรือระบบ) ใดมาแก้ไขความโง่ของมนุษย์ได้”
เทคนิควิศวกรรมสังคมนั้นมีประสิทธิภาพมาก เพราะผุ้ใช้ไม่จำเป็นต้องมีความรู้ด้านคอมพิวเตอร์ในเชิงเทคนิคมากเลย ที่สำคัญคือ ระบบป้องกันใดๆ ก็ไร้ผล เพราะการโจมตีไม่ได้โจมตีที่ระบบ แต่เป็นการโจมตีที่ผู้ใช้ระบบต่างหาก เทคนิคนี้ถูกนำไปใช้เพื่อเป้าหมายหลายๆ อย่าง … ขอลองยกตัวอย่างที่ผมเคยเจอ หรือได้ยินได้เห็นมา ดังนี้
หลอกเอาบัญชีผู้ใช้งานและรหัสผ่าน
แฮกเกอร์จะพยายามหาวิธีในการหลอกให้เรากรอกข้อมูล ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) โดยที่ผมเคยเจอกับตัว ก็เช่น อาศัยโปรแกรม Windows Live Messenger ส่งที่อยู่เว็บ (URL) มาให้ โดยบอกว่านี่คือเว็บฝากรูปที่เพิ่งถ่ายไว้ พอเข้าไปดู มันก็จะบอกว่าต้องล็อกอินเข้าไปก่อนด้วยบัญชีของ Hotmail ถึงจะเข้าดูรูปได้
บางทีก็สร้างหน้าเว็บหลอกให้คนหลงคิดว่าเป็นเว็บจริง แล้วหลอกให้เขากรอกข้อมูล อย่างเช่นรูปด้านล่างนี่ จะเป็นการหลอกให้หลงเชื่อว่า Gmail กำลังจะย้ายข้อมูลไปไว้เซิร์ฟเวอร์อื่น ขอให้กรอกข้อมูล Username และ Password ของเราลงไป เพื่อทำการย้ายข้อมูลด้วย (สังเกตว่าปุ่มเป็น Move ไม่ใช่ Login เหมือนปกติ) … ใครหลงเชื่อ ก็เท่ากับยื่นชื่อผู้ใช้งานกับรหัสผ่านให้แฮกเกอร์ไปเลย
อีกแบบนึงที่หลอก ก็คือ หลอกว่าเป็นโปรแกรมสำหรับแฮก Gmail เพียงแต่ต้องใส่ชื่อผู้ใช้งานและรหัสผ่าน Gmail ของเรา พร้อมกับ Gmail Address ของคนที่เราต้องการจะแฮก จากนั้นคลิก Hack Them แล้วรหัสผ่านของคนที่เราต้องการจะแฮกจะโผล่มา
แต่จริงๆ แล้วเบื้องหลังของมัน กลับกลายเป็นว่า หากเราใส่ชื่อผู้ใช้งานและรหัสผ่านของ Gmail เราเข้าไปแล้ว มันจะส่งข้อมูลดังกล่าวไปให้กับแฮกเกอร์ที่หลอกเราแทนซะงั้น … วิธีนี้ก็ได้ผลไม่น้อย เพราะเราๆ ท่านๆ คนธรรมดาหลายคน ก็มีความประสงค์อยากแฮกเมล์คนอื่นอยู่เหมือนกัน (ผมเองก็มีคนถามว่า จะแฮกอีเมล์คนนั้นคนนี้ยังไงออกบ่อย)
พวกแก๊ง Call Center ที่หลอกเอาข้อมูลบัตรเครดิตหรือบัญชีธนาคาร หรือหลอกให้เราโอนเงินให้พวกมัน ก็อยู่ในหมวดหมู่นี้เช่นกันครับ
หลอกให้ติดตั้งโปรแกรม
คนเรากลัวในสิ่งที่เราไม่รู้ และคนที่ไม่ค่อยมีพื้นฐานคอมพิวเตอร์กลัวมากอย่างหนึ่งก็คือ ไวรัส และพวกมัลแวร์ต่างๆ เพราะพวกเขามักจะได้ข่าวความเสียหายแรงๆ อยู่เนืองๆ และภาพยนตร์กับการ์ตูนก็แสดงออกถึงความเสียหายแบบเวอร์พอใช้ได้ทีเดียว … ผมไม่ได้หมายความว่าเราไม่ต้องไปกลัวมันนะครับ แต่ผมอยากสื่อว่า ผู้ไม่หวังดีเนี่ย เขาอาศัยจากความกลัวนี้แหละให้เป็นประโยชน์
โดยหลักๆ แล้ว เทคนิควิศวกรรมสังคมในการหลอกให้คนติดตั้งโปรแกรม มักมาในรูปของซอฟต์แวร์ป้องกันไวรัสปลอมๆ (Fake Antivirus หรือ Fake AV) พวกนี้มักจะเป็นหน้าต่างป๊อบอัพขึ้นมาเวลาเปิดเว็บ (หรือบางทีมาจากพวกมัลแวร์ตัวอื่นที่อยู่ในเครื่องของเรา) โดยทำหน้าตาให้เหมือนกับโปรแกรมป้องกันไวรัสชื่อดังๆ แล้วทำเป็นเหมือนกับว่ากำลังสแกนเครื่องคอมพิวเตอร์ของเราอยู่ แล้วพบไวรัสจำนวน โอ้โฮเฮะ เยอะโฮกๆ
แน่นอนว่าพอเจอแบบนี้ หากเรามีโปรแกรมป้องกันไวรัสอยู่ เราก็จะพยายามรันดู แต่มันก็จะไม่พบอะไรเลย เราก็จะเริ่มแปลกใจว่า เฮ้ย ของเรามันห่วยขนาดนั้นเลยเหรอ ถึงไม่เจอเลย แต่ไอ้โปรแกรมที่โผล่มานี่มันเจอเพียบเลย … แล้วเจ้า Fake AV เนี่ยมันก็จะบอกว่า หากต้องการกำจัด ก็ต้องไปดาวน์โหลด (และอาจเสียเงินด้วย) ตัวเต็มมาจัดการซะ
ใครเผลอไปดาวน์โหลดมาละก็ เสร็จมันละครับ ได้มัลแวร์ตัวจริงเต็มๆ มาไว้ในเครื่อง แทนที่จะได้โปรแกรมป้องกัน
หลอกให้ลบ
เพราะว่าสมัยนี้ ความพยายามในการโจมตีระบบคอมพิวเตอร์นั้นมีเป้าหมายอยู่ที่เรื่องของเงินๆ ทองๆ คืออยากได้ข้อมูลของเราไปขาย หรืออยากจะเข้ามาฝากพวกมัลแวร์ไว้ในเครื่องคอมพิวเตอร์ของเรา เพื่อใช้ในการอย่างอื่นที่จะทำให้ได้เงินมา เช่น เอาไปใช้ส่งอีเมล์ขยะ เอาไปใช้ยิงถล่มเครื่องเซิร์ฟเวอร์ของบริษัทใหญ่ๆ เป็นต้น เลยทำให้เทคนิควิศวกรรมสังคมเพื่อ “หลอกให้ลบ” เป็นอะไรที่ไม่ค่อยได้เจอกันเท่าไหร่
เพราะการหลอกให้ลบ ให้ผลในลักษณะของความเสียหายของระบบมากกว่า
ย้อนกลับไปเมื่อ 9 ปีก่อน มันมีอีเมล์ฉบับนึงส่งว่อนมาหาผม บอกว่าตอนนี้มันมีไวรัสระบาด เป็นไวรัสตุ๊กตาหมี (Teddy Bear) โดยอาการคือ จะมีไฟล์ชื่อว่า jdbgmgr.exe อยู่ในไดร์ฟ C ของเรา ให้ลองไปค้นหาไฟล์ชื่อนี้ในไดรฺ์ฟ C สิ แล้วเราจะเห็นเจ้าไฟล์ไวรัสนี้ ข้อสังเกตคือ มันจะเป็นรูปตุ๊กตาหมี ถ้าเจอ อย่าไปเปิดมันนะ ให้ลบทิ้งซะ แล้วบอกเพื่อนๆ ของคุณด้วย เขาจะได้ไม่ต้องติดมัน
แม้ว่ามันอาจจะดูไม่น่าเชื่อ แต่ก็อาจจะมีบางคนลองหาไฟล์นี้ดู แล้วก็ต้องเชื่อ เพราะเขาจะเจอไฟล์ jdbgmgr.exe
จริงๆ และมันก็มีไอคอนหน้าตาเป็นรูปตุ๊กตาหมีแบบนี้ 
ด้วย!!!
ด้วย!!!
เรื่องของเรื่อง คือ ไอ้คนคิดโปรแกรมนี้ มันไม่รู้จะอารมณ์สุนทรีย์ไปถึงไหน แทนที่จะใช้ไอคอนเข้าใจยากๆ เหมือนโปรแกรมคอมพิวเตอร์อื่นๆ ทั่วไป ดันไปเอาตุ๊กตาหมีน่ารักๆ แบบนี้มาทำเป็นไอคอน แล้วผู้ใช้งานทั่วไปก็ไม่รู้ พอมาเห็นเข้าก็คิดได้อย่างเดียวว่า คอมพิวเตอร์ปกติมันไม่มีไอคอนน่ารักๆ แบบนี้ แต่ไฟล์นี้มันดันเป็นตุ๊กตาหมี และมีคนส่งอีเมล์มาเตือน พอทำตามก็เจอเป๊ะๆ เลย ก็จัดการเลยสิครับ ลบทิ้งเลย
โชคดีที่ไฟล์ jdbgmgr.exe นั้นแม้จะเป็นไฟล์ของ Windows จริงๆ (ในสมัยนั้น) แต่มันก็ไม่ใช่ไฟล์ระบบสำคัญที่คนทั่วๆ ไปใช้กัน เพราะมันคือ Java Debug Manager ครับ ใครที่ไม่ได้ไปใช้ส่วนนี้ก็จะไม่เจอผลกระทบอะไร แต่นักพัฒนาที่ใช้โปรแกรม Microsoft Visual J++ v.1.1 จะมีปัญหาครับ เพราะส่วนของ Debug โปรแกรมจะเสียหาย
บทส่งท้าย
จุดที่น่ากลัวอีกอย่างของวิศวกรรมสังคมก็คือ นอกเหนือจากการที่มันทำให้ผู้ไม่หวังดีได้สิ่งที่พวกเขาอยากได้โดยผ่านทะลุทะลวงทุกการป้องกันแล้ว ก็คือ เทคนิคบางอย่าง มันใช้ซ้ำแล้วซ้ำอีก แต่ก็ยังมีคนหลงกลเชื่อได้ตลอด … ที่ผมกล่าวถึงไปข้างต้นนั้น ยังไม่จบนะครับ เทคนิคและเป้าหมายของวิศวกรรมสังคมยังมีอีกเยอะแยะมากครับ และยังจะมีเพิ่มขึ้นมาอีกเยอะในอนาคตอีกด้วย
AVG Technologies ผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสชื่อดัง นาม AVG Antivirus ได้เผยตัวเลขสถิติที่น่าสนของเดือนกุมภาพันธ์ที่ผ่านมา พบว่าผู้ใช้งานมีโอกาสเจอกับการโจมตีด้วยเทคนิควิศวกรรมสังคมนั้น มีมากกว่าการโจมตีที่อาศัยช่องโหว่ของซอฟต์แวร์ถึง 4 เท่า [ที่มา: Virus Bulletin 2010] โดย
- การโจมตีด้วยวิศวกรรมสังคม พบ 1,985,377 ครั้ง
- การโจมตีด้วยช่องโหว่ของซอฟต์แวร์ พบ 415,697 ครั้ง
ทางป้องกันของผู้ใช้งานก็คือ การหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ ผ่านทางรายการข่าวไอทีต่างๆ เว็บไซต์ข่าวไอทีต่างๆ และพยายามทำตัวให้หนักแน่น และพินิจพิจารณาให้ถี่ถ้วนก่อนที่จะเชื่อข่าวใดๆ จากแหล่งข่าวที่เราไม่คุ้นเคย หรือแม้แต่เพื่อนเราเอง ควรรับข่าว แล้วตรวจสอบข้อมูลนั้นกับแหล่งข่าวไอทีที่น่าเชื่อถืออื่นๆ เสมอทุกครั้งครับ
