การป้องกันตนเองจากมิจฉาชีพที่ส่ง SMS มาหลอก

ตัวอย่าง SMS Spoofing

 

ช่วงนี้ได้รับอีเมล์ และ SMS จากธนาคารที่ผมใช้บริการ Internet Banking อยู่หลายหนครับ เข้าใจว่าคงเป็นเพราะกรณีที่ รศ.ยุทธพร อิสรชัย คณะบดี คณะรัฐศาสตร์ มหาวิทยาลัยสุโขทัยธรรมธิราช ถูกมือดีล็อกอินเข้าบริการ Internet Banking ของธนาคาร แล้วลอบโอนเงินออกไปสามแสนกว่าบาท ซึ่งแม้ว่าตอนนี้จะยังไม่แน่ชัดว่า ไอ้มิจฉาชีพนั่นมันเป็นใคร และได้ Username กับ Password ไปได้ยังไง แต่ดูเหมือนว่าผู้เชี่ยวชาญจะพุ่งเป้าไปที่เครื่องมือหนึ่งในการใช้ร่วมกับเทคนิควิศวกรรมสังคม ที่เรียกว่า SMS Spoofing ครับ

อธิบายง่ายๆ SMS Spoofing ก็คือ การไปแก้ข้อมูลในส่วน Header ของ SMS ที่เอาไว้บอกว่าผู้ส่ง SMS มานั้นเบอร์โทรศัพท์เบอร์อะไร … โดยแก้เป็นเบอร์ Call Center ของธนาคารซะ เช่น ของไทยพาณิชย์ก็ 02-777-7777 นั่นเอง ซึ่งเมื่อเป็นแบบนี้แล้ว  SMS มันจะดูน่าเชื่อถือขึ้นมาทันใด ซึ่งมันเป็นเรื่องแปลกแต่จริง คือ คนเราใช้ข้อมูลเพียงน้อยนิด ในการช่วยตัดสินใจว่า ข่าวสารที่ได้รับมานั้นมันถูกต้องหรือไม่ อย่างในกรณีนี้ อาศัยว่าถ้าเบอร์ที่ส่ง SMS มาคือเบอร์ของธนาคาร ก็น่าจะเป็น SMS ของธนาคาร โดยไม่ทันได้ตระหนักว่า เบอร์โทรที่โชว์อยู่นี้ มันปลอมได้

ไม่ต้องใช้ความรู้ความสามารถด้านคอมพิวเตอร์หรือการเขียนโปรแกรมใดๆ เลย เพราะโปรแกรมส่ง SMS พวกนี้ แค่ค้นด้วย Google ก็มีบริการให้เลือกใช้ผ่านเว็บไซต์หลากหลายมาก ไม่นับที่เป็น App ที่มีให้ดาวน์โหลดทั้งบน Google Play Store หรือ Apple App Store อีกนะครับ …​ จะปลอมเป็นเบอร์อะไรก็ได้ทั้งนั้น … ไม่ต้องเอาไกล ดูรูปด้านบนก็ได้ ผมส่ง SMS กลับมาหาตัวเอง โดยใช้เบอร์เป็น 02-777-7777 สบายๆ

 

และมิจฉาชีพจะหลอกให้เราทำอะไร?

ปกติแล้วการจะเจาะระบบของธนาคารเข้าไปเพื่อขโมยเงิน มันไม่ได้ทำกันง่ายๆ พวกธนาคารเขามีระบบป้องกันการเจาะอย่างดี และมีทีมผู้เชี่ยวชาญระแวดระวังไว้ให้อีก ดังนั้นพวกมิจฉาชีพจึงพุ่งเป้ามาที่เป้าหมายที่อ่อนการป้องกันกว่า (หรืออาจเรียกว่าแทบไม่มีการป้องกันเลย)​ และเมื่อเจาะได้แล้ว ได้ผลสัมฤทธิ์ไม่แพ้กัน … สิ่งที่พวกมิจฉาชีพต้องทำ ไม่ใช่เจาะระบบคอมพิวเตอร์ของเรา แล้วมาดัก Username กับ Password ไป​ (ซึ่งจริงๆ ก็ทำแบบนี้ได้ แต่อาจต้องใช้ความรู้ความชำนาญอีกหน่อย)​ แต่เป็นการใช้การหลอกล่อด้วยเทคนิคต่างๆ ทาง วิศวกรรมสังคม ให้เรามอบ Username กับ Password ไปให้แต่โดยดี

 

ตัวอย่าง SMS Spoofing

 

ลองกลับมาดูที่รูป SMS ที่ผมส่งอีกครั้ง ลองคิดว่า ถ้าผมเปลี่ยนจาก www.kafaak.com เป็นเว็บไซต์อื่น ที่ทำออกมาหน้าตาเหมือนหน้าจอล็อกอินของธนาคารล่ะ?!? ถ้าเกิดหลงเชื่อแล้วคลิก แล้วกรอก Username กับ Password ลงไป ก็เท่ากับว่า เรายก  Username กับ Password ให้มิจฉาชีพไปเลยนะครับ

ข่าวดีคือ เดี๋ยวนี้จะทำธุรกรรมใดๆ ออนไลน์ ต้องมี OTP (One Time Password) ก่อน ถึงจะทำได้ แต่นั่นคือที่มาของเทคนิคถัดไป ที่มิจฉาชีพอาจต้องใช้ความรู้บ้าง หรือไม่ก็ มีเงินลงทุนนิดหน่อย ไปซื้อ Trojan มาจากตลาดใต้ดิน เพื่อเอามาหลอกให้ผู้ใช้งานมือถือคลิก (ผ่านทาง SMS Spoofing นี้อีกเช่นเคย โดยให้นึกว่า เปลี่ยนจาก www.kafaak.com ไปเป็นเว็บไซต์ที่มี Trojan ให้ดาวน์โหลด) ซึ่ง Trojan นี้จะทำการดักเอา SMS ที่ธนาคารส่ง OTP มา ไปส่งให้มิจฉาชีพแทน

 

ขั้นตอนการดัก OTP ของมิจฉาชีพ

ขั้นตอนการดัก OTP ของมิจฉาชีพ

 

แล้วเราจะป้องกันตัวเองอย่างไรดี?!?

จริงๆ การป้องกันง่ายมากครับ (แต่อาจทำใจยาก)​ ก็แค่ทำใจให้หนักแน่นเท่านั้นเอง พวกมิจฉาชีพจะพยายามหลอกเราด้วยการทำให้เรื่องดูเป็นเรื่องใหญ่ ต้องการการดำเนินการโดยเร่งด่วน แต่ผมอยากให้ใจเย็นครับ พึงระลึกไว้เสมอว่าเรื่องใหญ่ๆ พวกนี้ ธนาคารเขาไม่ส่งเป็นอีเมล์หรือ SMS มาบอกหรอกครับ ดังนั้นหากเราได้รับข้อมูลดังกล่าว อย่าตอบกลับ ถ้าเป็น SMS ก็อย่ากดโทรกลับ (พวกมือถือจะสามารถกดโทรกลับไปยังเบอร์ที่ส่ง SMS มาได้ แต่นั่นอาจจะเป็นการโชว์เบอร์นึง แต่เวลาโทรกลับกลายเป็นอีกเบอร์​) โดยเฉพาะเบอร์ติดต่อกลับที่ปรากฏบน SMS นั่นแหละ … ถ้าเป็น Email ก็อย่า Reply ครับ

แนะนำว่า เจอแบบนี้ ให้ไปติดต่อที่ธนาคารโดยตรง และถ้าจะให้ดี อย่าโทร อย่าอีเมล์ แต่ให้ไปที่สาขาของธนาคารที่อยู่ใกล้บ้านท่านเลย เจอพนักงานตัวเป็นๆ สอบถามกันเลย … มิจฉาชีพจะพยายามหลอกว่า เจ้าหน้าที่สาขาจะไม่รู้เรื่อง เพราะนี่เป็นเรื่องของสำนักงานใหญ่ ก็ช่างหัวมัน … ไปเจอพนักงานตัวจริง ตัวเป็นๆ ที่สาขาแล้ว ให้เขาติดต่อเช็คข้อมูลกับทางสำนักงานใหญ่ได้ครับ

และหากเป็นไปได้ พวก Android Smartphone ทั้งหลาย หาโปรแกรม Antivirus มาติดตั้งเอาไว้ด้วย ของดีๆ ฟรีๆ มีบน Google Play เยอะแยะ แนะนำ Lookout Mobile Security และ AVG Antivirus ชอบตัวไหน ก็ติดตั้งเลย (ติดตั้งตัวเดียวพอนะ)

iPhone แอบโชคดี เพราะ Apple ช่วยกลั่นกรอง App ไว้ได้ค่อนข้างดี แต่อย่าไป Jailbreak ล่ะ เพราะนั่นเท่ากับเปิดช่องให้มิจฉาชีพทะลุทะลวงระบบได้ง่ายขึ้น และยิ่งบางคนชอบไปดาวน์โหลด App เถื่อนเป็นไฟล์ IPA มาติดตั้งเอง … หารู้ไม่ว่า ไฟล์พวกนี้อาจจะมี Malware แถมมาด้วย … Android Smartphone ก็เหมือนกันนะครับ อย่าดาวน์โหลด App เป็นไฟล์ .apk มาติดตั้งเอง หากแหล่งดาวน์โหลดมันไม่น่าไว้วางใจ เพราะอาจได้ Malware แถมมาด้วยเช่นกัน และการ Root เครื่อง Android เดี๋ยวนี้ถ้าไม่ใช่พวกที่ชอบหา ROM มาลงเอง การ Root เครื่อง Android ก็แทบจะไม่มีประโยชน์ใดๆ แล้วนะครับ อย่าทำเลย

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: