"ร่ม"

ร่มไม่ได้ถูกสร้างมา เพื่อให้ฝนหยุดตก
แต่มันถูกสร้างขึ้นมา...
เพื่อให้เราเดินต่อไปได้ท่ามกลางสายฝน
"กำลังใจก็ไม่ต่างจากร่ม"

ผู้ใช้มือถือต้องระวัง! ถูกจารกรรมเงินในบัญชีได้ จากการรับ SMS !

ตัวอย่างแอพปลอม ที่มากับ sms ซึ่งข้างในมีโทรจันแฝงอยู่ ขโมย username และ password

จากกรณีที่มีการแจ้งเตือนจากธนาคารว่า ขณะนี้มีการจารกรรมในรูปแบบการส่ง sms โดยใช้หมายเลข call center ของธนาคารเป็นผู้ส่ง หลอกให้คลิ๊กลิงค์ดาวน์โหลดติดตั้งโปรแกรมธุรกรรมทางการเงิน ซึ่งเป็นการหลอกลวง และธนาคารไม่มีนโยบายให้ติดตั้งผ่านทางลิงค์บน smsดังกล่าว คำเตือนนี้น่าจะถูกส่งออกมา เพราะได้เกิดกรณีที่มีผู้ถูกขโมยเงินในบัญชี ที่ภายหลังตรวจพบว่า ในเครื่องของผู้เสียหาย มีโปรแกรมประเภทโทรจัน ทำหน้าที่แอบส่งข้อมูลความลับ รหัสต่างๆไปให้คนร้ายติดตั้งอยู่ในเครื่องโดยที่เจ้าของบัญชีไม่รู้ตัว บางรายสูญเงินหลายแสนบาท 
สำหรับกรณีทีเพิ่งเกิดขึ้นในไทยเร็วๆนี้ อาจารย์ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศ และประธานบริษัท  ACIS Professional Center ได้อธิบายว่า คนร้ายใช้วิธีส่ง sms เข้าเครื่องของเหยื่อ โดยแสดงเบอร์ผู้ส่ง เป็นเบอร์ call center ของธนาคาร ซึ่งแท้ที่จริงแล้ว ปัจจุบัน มีโปรแกรมที่สามารถทำให้ส่ง sms โดยระบุเบอร์ผู้ส่งเป็นเบอร์อะไรก็ได้! ซึ่งหาง่ายๆโดยเฉพาะบนระบบปฏิบัติการ Android ที่มีแอพเปลี่ยนเบอร์ผู้ส่งได้ด้วย

คนร้ายก็ใช้วิธีส่ง sms ปลอมเป็นเบอร์ธนาคาร พร้อมกับแนบ link ให้ click… เมื่อคลิ๊กแล้ว จะทำการติดตั้งโปรแกรมประเภท โทรจันในมือถือของเหยื่อ   ซึ่งตรงนี้มีจุดสังเกตสำคัญว่าไม่ใช่ URL ของนาคาร โดเมนต้องอ่านจากข้างหลัง ซึ่งตัวอย่างนี้คือ k-cyberbank.info  ซี่งไม่เกี่ยวกับธนาคารและไม่ใช่ที่อยู่ของเว็บธนาคารเลย และไม่มีเครื่องหมายแม่กุญแจด้วย ซึ่งจะไม่ปลอดภัยหากคุณได้ Login

เมื่อเทียบกับ โดเมนจริงของเว็บธนาคาร จะเป็นลักษณะแบบนี้และมีรูปกุญแจด้วย …..

หากเผลอหลงคลิ๊กลิงค์ไป  เมื่อติดตั้งเสร็จ โปรแกรมจะเปิดหน้าต่างให้ใส่ username password สำหรับ internet banking ของเหยื่อ ซึ่งในขั้นตอนนี้  username, password ที่เหยื่อกรอกไปตามจริง สามารถถูกส่งไปให้คนร้ายได้

ซึ่งวิธีการนี้ก็คือการ phishing  ทั่วไป และทางธนาคารจะปฏิเสธการรับผิดชอบเพราะเท่ากับเราบอก username password ให้คนร้ายไปเอง

แต่ไม่ได้จบแค่นั้น!   เพราะโดยปกติแม้คนร้ายจะได้ username, password เราไป แต่เมื่อทำการสั่งโอนเงิน ธนาคารก็จะส่งรหัสอีกตัวที่เรียกว่า  OTP หรือ one time password มาทาง sms ให้เรากรอกยืนยันอีกที ซึ่งเราอาจเคยคิดว่าทำให้ปลอดภัย เพราะมีแต่เราเจ้าของเบอร์ถึงจะได้รับ password นี้

แต่โปรแกรมโทรจันที่ติดตั้งไปแล้วนั้น จะรอดักจับ sms ที่ส่งมา ซึ่งก็รวมถึง OTP หรือ one time password ที่ธนาคารส่งมาทาง sms  แล้วก็ทำการส่ง  sms นี้ต่อไปให้กับคนร้ายทันทีด้วย โดยที่เจ้าของเครื่อง จะไม่เห็นว่ามี sms เข้ามาที่เครื่องของตนเพราะถูกส่งต่อให้คนร้ายไปแล้ว  จึงทำให้เจ้าของบัญชีไม่ทราบว่า มีการโอนเงินเกิดขึ้น  คนร้ายจึงสั่งโอนเงินได้ง่ายดาย เพราะได้ไปทั้ง login, password  และ OTP ของเหยื่อครบถ้วน

จากการสืบค้น ทราบว่า หนึ่งในกรณีที่เกิดขึ้นมาแล้ว  sms ที่ส่งเข้ามาในเครื่องของผู้เสียหาย ถูกส่งต่อไปที่รัสเซีย และมีการ สั่งให้โอนเงินจากบัญชีของเหยื่อ เข้าบัญชีบุคคลหนึ่งในไทย และเงินจำนวนนี้ ก็ถูกโอนต่อไปยังต่างประเทศทันที!

โทรจันลักษณะนี้ ก็ยังสามารถแฝงตัวมากับแอพอื่นๆได้อีกด้วย แม้แต่โหลดแอพจาก play store, apple app store ซึ่งแม้จะเป็นแหล่งดาวน์โหลดที่ไว้ใจได้  ก็ยังมีโอกาสเจอแอพแฝงโทรจัน ที่มาคอยแอบส่งข้อมูลบนมือถือของเหยื่อไปให้คนร้ายได้เช่นกัน

วิธีป้องกันตนเองเบื้องต้น ทำได้ดังนี้

• 1.ควรทำความเข้าใจวิธีการดูโดเมนเนม พิจารณาก่อนจะคลิ๊กลิงค์ใดๆ ไม่ว่าจะถูกส่งมาทางใด แม้ดูเหมือนส่งมาจากธนาคารหรือผู้ที่เรารู้จักก็ตาม
• 2.ไม่ควรโหลดแอพต่างๆจากที่ที่ไม่ใช่ apple app store หรือ google play store เพราะมีความเสี่ยงสูงที่จะไปโหลดโปรแกรมอันตรายมาด้วย โดยเฉพาะอย่างยิ่ง ผู้ที่ใช้ระบบปฎิบัติการแอนดรอยด์ ที่ระบบอนุญาตให้ติดตั้งแอพได้แม้จะไม่ได้โหลดจาก play store ไม่ควรตั้งค่าให้อนุญาตให้โหลดโปรแกรมจาก unknown sourcesได้
• 3.หลีกเลี่ยงการ jailbreak หรือการ root เครื่อง เพราะเป็นการเปิดทางให้โปรแกรมอันตรายเข้ามาฝังตัวในเครื่องง่ายขึ้น

จากกรณีการส่ง OTP ทาง  SMS สามารถถูกดักขโมยระหว่างทางได้  เราจึงศึกษาข้อมูลเพิ่มเติม ก็พบว่า  การทำ internet banking ในหลายประเทศ ไม่ใช้วิธีส่ง One time password ทาง sms แล้ว โดยให้ลูกค้าใช้อุปกรณ์ที่เรียกว่า  hard token ในการดูรหัสสำหรับทำ internet banking แทน ซึ่ง Token จะกำหนดรหัสใหม่ทุกครั้งที่กดดูโดยที่ไม่มีการส่งข้อมูลหากันกับ server ธนาคารทำให้ไม่สามารถดักจับรหัสระหว่างทางได้ และเมื่อนำไปกรอกบนเวบ ทาง server ของ ธนาคารจะคำนวณดูว่าเป็นรหัสที่ถูกต้องหรือไม่  ซึ่งเป็นระบบที่ปลอดภัยกว่า SMS มาก  แต่การเปลี่ยนไปใช้ระบบ Token จะเพิ่มต้นทุนให้กับธนาคารอย่างแน่นอน แต่เมื่อในขณะนี้มีธนาคารขนาดใหญ่มากกว่า 1  แห่งตกเป็นเป้าหมายแล้ว  และผลที่เกิดขึ้นสามารถทำให้เงินเก็บทั้งชีวิตของผู้เคราะห์ร้ายหายไปชั่วข้ามคืน กระทบถึงชีวิตสมาชิกในครอบครัว

ถึงเวลาหรือยังที่ทุกฝ่ายจะร่วมกันหามาตรการป้องกันในยุคที่การใช้เทคโนโลยีแพร่หลาย  ความสะดวกสบายที่มาพร้อมความเสี่ยงและอันตรายที่เพิ่มขึ้น

****  ชมรายการย้อนหลัง (สกู๊ปพิเศษ โจรกรรมเงินผ่าน SMS ทำได้อย่างไร และต้องระวัง ป้องกันอย่างไร )คลิกทีนี่  ****

ที่มา 

ไอที24ชั่วโมง เปิดโลกไอที พลิกสู่ชีวิตที่ดีกว่า

กำลังใจ

"กำลังใจ" ไม่ว่าจะมาในรูปแบบของ คำพูด ,ตัวหนังสือ ,แววตา
รอยยิ้ม ,หรือการสัมผัส ...
ล้วน "มีความหมาย" และ "ยิ่งใหญ่"เสมอ..

คนที่มองไปข้างหลัง... ย่อมเจ็บปวดกว่าคนที่มองไปข้างหน้า

ปัญหา...ทำให้คุณ “เข้มแข็ง”

ปัญหา...ทำให้คุณ “เข้มแข็ง”
เวลา...ทำให้คุณ “เชี่ยวชาญ”
สถานการณ์...ทำให้คุณ “รู้จักแก้ไข”
การตัดสินใจ...ทำให้คุณ “รู้ถูกรู้ผิด”
ความคิด...ทำให้คุณ “เกิดปัญญา”..!

Cargo (Short Story)

“หัวใจเป็นของเธอ ความทุกข์และความสุข ก็เป็นของเธอ แล้วเธอจะใช้ชีวิตบนคำพูดของคนอื่นทำไม” (ประภาส ชลศรานนท์)

“หัวใจเป็นของเธอ ความทุกข์และความสุข 
ก็เป็นของเธอ แล้วเธอจะใช้ชีวิตบนคำพูดของคนอื่นทำไม” 
(ประภาส ชลศรานนท์)