แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม (ตอนที่ 2)
โดย [ เตมีย์ ช่วยชูวงศ์ ] หมวด [เรื่องทั่วไป]
4 กรกฏาคม 2556
ภัยคุกคามบนโทรศัพท์มือถือ
1. ภัยคุกคามจากการใช้งานโปรแกรมบนโทรศัพท์มือถือ (Application-Based Threats)
โปรแกรมจำนวนมากที่ถูกดาวน์โหลดมาเพื่อติดตั้งบนอุปกรณ์มือถือ พบว่ายังไม่สามารถตรวจสอบลักษณะการทำงานในด้านความปปลอดภัยได้ ทำให้ผู้ใช้งานไม่สามารถล่วงรู้ได้เลยว่าโปรแกรมที่ติดตั้งไปเพื่อใช้ประโยชน์มากมายนั้น จะถูกแฝงมาด้วยปัญหาด้านความปลอดภัยหรือไม่ โดยภัยคุกคามที่มากับโปรแกรมที่ติดตั้งสามารถเป็นได้มากกว่าหนึ่งประเภทดังที่จะกล่าวดังต่อไปนี้
มัลแวร์ (Malware) คือโปรแกรมที่ถูกออกแบบมาเพื่อแสดงพฤติกรรมที่เป็นอันตรายต่อข้อมูลในโทรศัพท์มือถือนั้นๆ ตัวอย่างเช่น สั่งให้โทรศัพท์มือถือเครื่องนั้นๆ ส่งข้อความที่ไม่พึงประสงค์ออกไปยังรายการผู้ติดต่อในโทรศัพท์ โดยที่ผู้ใช้งานหรือเจ้าของโทรศัพท์นั้นไม่รู้ตัว หรือขโมยข้อมูลบนโทรศัพท์มือถือนั้น ซึ่งในกรณีที่ผู้ใช้งานเก็บข้อมูลบัญชีผู้ใช้ของตนเองหรือของผู้เกี่ยวข้องไว้ในโทรศัพท์ก็อาจทำให้เกิดการเข้าโจรกรรมข้อมูลที่เกี่ยวข้องต่อไปได้
สปายแวร์ (Spyware) คือโปรแกรมที่ถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลต่างๆ ของผู้ใช้งาน โดยเป้าหมายส่วนใหญ่ของสปายแวร์มักมุ่งไปยัง ประวัติการใช้งานโทรศัพท์ ข้อความ ที่อยู่ รายชื่อผู้ติดต่อ อีเมล รวมถึงภาพถ่าย ซึ่งสปายแวร์โดยทั่วไปมักได้รับการออกแบบสำหรับการเฝ้าติดตามการใช้งานของบุคคลใดบุคคลหนึ่ง หรือการใช้งานที่เกี่ยวข้องกับองค์กร ทั้งนี้ขึ้นอยู่กับวิธีการที่จะใช้สปายแวร์ที่กำหนดเป้าหมาย ซึ่งไม่จำเป็นเสมอไปที่ผู้ลักลอบติดตั้งโปรแกรมประเภทนี้จะเป็นผู้มีจุดประสงค์ร้ายทั้งหมด เนื่องจากมีความเป็นไปได้ว่าโปรแกรมประเภทนี้ถูกติดตั้งโดยผู้ที่เป็นผู้ปกครองซึ่งมีความหวังดีต่อผู้ใช้งาน เช่น ผู้ปกครองติดตั้งโปรแกรมการตรวจสอบสถานที่การใช้งานบนโทรศัพท์มือถือของลูกที่อยู่ในการดูแล
การเข้าโจมตีผู้ใช้งานและโทรศัพท์มือถือด้วยมัลแวร์และสปายแวร์ ส่วนใหญ่ จะพบว่าใช้เทคนิคในการหลอกลวงผู้ใช้งานให้การดาวน์โหลดโปรแกรมมาติดตั้งโดยไม่รู้ตัว เช่น ให้คลิกที่ลิงก์ซึ่งดูเหมือนไม่น่าจะมีความผิดปกติอะไร แต่จริงๆแล้วนั่นคือการสั่งให้ดาวน์โหลดและติดตั้งมัลแวร์ลงในโทรศัพท์มือถือดังกล่าว และเมื่อมัลแวร์หรือสปายแวร์ติดตั้งโปรแกรมเสร็จแล้วก็จะสู่กระบวนการโจมตีในลักษณะต่างๆ ต่อไป นอกจากนี้ยังมีการหลอกลวงในลักษณะที่พบเห็นได้บ่อยครั้งคือการ Repackaging ซึ่งเป็นเทคนิคที่พบบ่อยมากในนักเขียนมัลแวร์ที่พยายามจะใช้ชื่อโปรแกรมที่มีการทำงานถูกต้องตามกฎหมาย แต่ได้มีการปรับเปลี่ยนการทำงานของโปรแกรม รวมถึงแทรกโค้ดที่เป็นอันตรายไว้ในเวอร์ชันที่เตรียมจะเผยแพร่ จากนั้นจึงทำการเผยแพร่ไปยังแหล่งให้ดาวน์โหลดโปรแกรมต่างๆ ทั่วไป รวมถึงบนเว็บไซต์ที่ให้ดาวน์โหลดโปรแกรมบนโทรศัพท์มือถือ เพื่อหลอกให้ผู้ใช้งานเข้าใจผิดและติดตั้งโปรแกรมดังกล่าวบนโทรศัพท์มือถือ ซึ่งเทคนิคการ Repackaging ได้ผลลัพธ์ในการโจมตีค่อนข้างสูงเนื่องจากการอ้างอิงชื่อโปรแกรมที่เคยพัฒนามาแล้ว โดยจะพบได้จากในช่วงต้นปี 2011 นักเขียนมัลแวร์บนระบบปฎิบัติการ Android ใช้เทคนิคในการ Repackaging ซึ่งสามารถอ้างอิงข้อมูลได้ตามรูปด้านล่าง
ช่องโหว่ในโปรแกรมที่ใช้งาน (Spyware) คือ พฤติกรรมการทำงานของโปรแกรมที่มีความผิดพลาด โดยถูกค้นพบและสามารถนำมาใช้ประโยชน์เพื่อวัตถุประสงค์ที่เป็นอันตราย ซึ่งการค้นพบช่องโหว่ดังกล่าวมักจะส่งผลให้ผู้ค้นพบสามารถโจมตีโดยการเข้าถึงข้อมูลที่สำคัญหรือการดำเนินการที่ไม่พึงประสงค์ ซึ่งช่องโหว่ดังกล่าวมักถูกแจ้งไปยังผู้พัฒนา เพื่ออัพเดทโปรแกรมแก้ไข โดยหลังจากมีการแก้ไขช่องโหว่แล้ว ผู้พัฒนาจะแจ้งการอัพเดทโปรแกรมกลับมายังผู้ใช้งานอีกครั้งหนึ่ง
2. ภัยคุกคามที่เกิดจากการใช้งานเว็บไซต์บนโทรศัพท์มือถือ (Web-based Threats)
เนื่องจากโทรศัพท์มือถือส่วนใหญ่สามารถใช้งานการเชื่อมต่ออินเทอร์เน็ตได้จากเครือข่ายไร้สายทั่วไป ซึ่งทำให้เกิดความสะดวกสำหรับผู้ใช้งานในการเข้าถึงเว็บไซต์หรือบริการอื่นๆ ซึ่งโดยทั่วไปบริการส่วนใหญ่สามารถใช้งานผ่านหน้าเว็บไซต์ได้เป็นหลักและเป็นบริการที่ผู้ใช้งานมีความต้องการใช้งาน เช่น การอ่านอีเมล การใช้งานธุรกรรมออนไลน์ การเข้าระบบที่เป็นสื่อสังคมออนไลน์ เป็นต้น โดยภัยคุกคามที่เกิดขึ้นกับเว็บไซต์มักไม่มีข้อจำกัดทางด้านระบบปฎิบัติการที่ใช้อยู่ ณ ขณะนั้น เช่น การโจมตีแบบฟิชชิ่ง ซึ่งจะกล่าวในรายละเอียดต่อไป โดยภัยคุกคามดังที่กล่าวนี้แต่ก่อนอาจพบว่ามีแต่ที่เจอในการใช้งานบนเครื่องคอมพิวเตอร์ทั่วไป ในปัจจุบันได้ขยายวงกว้างมายังโทรศัพท์มือถือด้วย เนื่องจากลักษณะการใช้งานที่ค่อนข้างจะใกล้เคียงกันมากในทุกวันนี้ โดยสามารถระบุภัยคุกคามต่างๆ ได้ดังนี้
ฟิชชิ่ง (Phishing) คือการหลอกลวงชนิดหนึ่งโดยใช้หน้าเว็บไซต์หรือส่วนติดต่อผู้ใช้อื่น ๆ ที่ออกแบบให้มีลักษณะคล้ายคลึงกับของจริง เพื่อหลอกให้ผู้ใช้กรอกข้อมูลเข้าสู่ระบบของผู้หลอกลวง เช่น ผู้หลอกลวงพัฒนาหน้าเว็บไซต์ล็อกอินของ Facebook และส่งลิงก์หลอกลวงโดยแจ้งข้อมูลอันเป็นเท็จให้ผู้ใช้งานเข้าอัพเดทข้อมูลส่วนบุคคลโดยเป็นลิงก์ของหน้าล็อกอินที่ทำขึ้นมาดังที่กล่าวไว้ตอนต้น เมื่อผู้ใช้งานพยายามล็อกอินเข้าไปยังระบบ จะทำให้ผู้หลอกลวงดังกล่าวสามารถดักจับข้อมูลอันน่าเชื่อได้ว่าเป็นข้อมูลล็อกอินของผู้ใช้งานคนนั้นๆ ทำให้ข้อมูลหรือบัญชีการใช้งานนั้นๆ มีความเสี่ยงที่จะโดนขโมยข้อมูลออกไป ซึ่งลิงก์ที่เป็นการฟิชชิ่งเหล่านี้ส่วนใหญ่มักจะแนบไปกับอีเมล หรือเป็นลิงก์ซึ่งมีเนื้อหาเชิญชวนต่างๆ โดยความรุนแรงของการถูกขโมยข้อมูลดังกล่าวอาจไม่ส่งผลกระทบในทันทีถ้าหากมีการเข้ายับยั้งได้ทัน เช่น เมื่อทราบว่าได้มีการส่งข้อมูลเข้าหน้าเว็บไซต์ฟิชชิ่งไปแล้ว จึงรีบเข้าเปลี่ยนรหัสผ่านในหน้าเว็บไซต์ของระบบจริงทันที ก็จะทำให้ความเสียหายไม่เกิดขึ้นในวงกว้าง แต่หากผู้ใช้งานปล่อยให้ผู้หลอกลวงสามารถเข้าถึงบัญชีการใช้งานต่างๆ ซึ่งในกรณีที่เป็นระบบที่มีความเสียหายรุนแรง เช่น ระบบธุรกรรมออนไลน์ (e-Transaction) นั่นเท่ากับผู้หลอกลวงจะสามารถใช้เงินในบัญชีผู้ใช้งานนั้นได้ทันที
ช่องโหว่ของโปรแกรมประเภทเบราว์เซอร์ คือ ช่องโหว่ที่ถูกพบในโปรแกรมเบราว์เซอร์หรือโปรแกรมปลั๊กอินที่สามารถติดตั้งเพิ่มเติมได้ในเบราว์เซอร์ เช่น Flash player หรือ PDF Reader เพื่อวัตถุประสงค์อันตราย โดยลักษณะและวิธีการโจมตีอาจเป็นเพียงแค่การให้ผู้ใช้งานเข้าชมหน้าเว็บไซต์เท่านั้น จากนั้นจะทำให้ผู้ใช้งานติดมัลแวร์หรือโปรแกรมอันตรายต่างๆ ที่ผู้โจมตีใช้สำหรับช่องโหว่ดังกล่าว
3. ภัยคุกคามจากการใช้งานเครือข่าย (Network Threats)
โทรศัพท์มือถือในปัจจุบันมักจะสนับสนุนการใช้งานเครือข่ายไร้สาย ซึ่งมีผู้ให้บริการเป็นจำนวนมาก ทั้งที่น่าเชื่อถือและไม่สามารถตรวจสอบได้ โดยมีภัยคุกคามที่สามารถส่งผลกระทบต่อการใช้งานบนโทรศัพท์มือถือต่างๆ ได้ดังนี้
การเปลี่ยนสถานะจากผู้ใช้งานเป็นผู้โจมตี ผ่านข้อบกพร่องของระบบปฎิบัติการบนโทรศัพท์เคลื่อนที่ ส่งผลให้โทรศัพท์เคลื่อนที่สามารถส่งต่อหรือแพร่กระจายมัลแวร์ได้โดยอัตโนมัติ ผ่านการทำงานบนเครือข่าย เช่น เครือข่ายไร้สาย (WiFi) หรือ บลูทูธ (Bluetooth)
การถูกดักจับข้อมูลบนเครือข่ายไร้สาย (WiFi sniffing) คือลักษณะการขโมยข้อมูลบนเครือข่ายไร้สาย ซึ่งโดยทั่วไปเป็นข้อมูลที่รับส่งกันโดยไม่ได้มีการเข้ารหัสความปลอดภัยที่เหมาะสม ทำให้มีโอกาสถูกลักลอบขโมยข้อมูลได้โดยง่าย เพียงแค่ใช้เทคนิคและวิธีในการดักจับข้อมูลจากโปรแกรมประเภท Sniffer ซึ่งหาข้อมูลได้ตามเว็บไซต์ทั่วไป โดยในที่นี้ขอยกตัวอย่างวิธีการใช้งานโปรแกรมชื่อ Firesheep ซึ่งเป็นปลั๊กอินบนเบราว์เซอร์ Firefox ที่ใช้ในการดักจับข้อมูลในเครือข่ายเดียวกัน ซึ่งส่วนใหญ่เป้าหมายมักใช้งานเครือข่ายไร้สายสาธารณะ และไม่ได้เชื่อมต่อบริการเว็บไซต์ที่มีการเข้ารหัส HTTPS โดยลักษณะการทำงานของโปรแกรมจะมีการดักจับข้อมูลแล้วกรองข้อมูลเพื่อค้นหา Cookie ซึ่งคือข้อมูลที่ใช้ระบุตัวตนกับเว็บไซต์ที่เข้าใช้บริการ โดยข้อมูล Cookie ที่กล่าวถึงจะถูกเก็บไว้ในเบราว์เซอร์ของผู้ใช้งานหลังจากที่มีการล็อกอินเว็บไซต์ จากนั้นโปรแกรมจะแสดงรายการที่ดักจับได้ทั้งหมด ซึ่งผู้ใช้งานโปรแกรมสามารถคลิกที่รายการดังกล่าวเพื่อสวมรอยเข้าเป็นผู้ใช้งานนั้นๆ ดังแสดงในรูปด้านล่าง
4. ภัยคุกคามจากการดูแลรักษาโทรศัพท์ (Physical Threats) (Network Threats)
เนื่องจากโทรศัพท์มือถือเป็นอุปกรณ์ซึ่งออกแบบให้พกพาและติตตัวไปมาได้สะดวก จึงมีรูปแบบที่ค่อนข้างเล็ก ซึ่งจากสภาพการณ์ปัจจุบันโทรศัพท์เป็นของมีค่าสำหรับมิจฉาชีพ รวมไปถึงมีค่าสำหรับกลุ่มคนบางกลุ่มที่ต้องการได้มาซึ่งข้อมูลส่วนบุคคล จึงได้แยกภัยคุกคามที่เกิดจากการดูแลรักษาโทรศัพท์มือถือไว้เพื่อพิจารณาความสำคัญอยู่ 2 ประเภทดังนี้
การสูญหายหรือการถูกขโมยโทรศัพท์มือถือ เนื่องด้วยปัจจุบันโทรศัพท์มือถือมีราคาสูงขึ้น อาจเพราะสาเหตุของเทคโนโลยีที่อยู่ในอุปกรณ์โทรศัพท์มือถือ หรือเพราะค่านิยมทางสังคมที่ทำให้ต้องใช้โทรศัพท์มือถือราคาแพง แต่ไม่ว่าจะกรณีไหนก็ตามการใช้งานโทรศัพท์มือถือในปัจจุบันนับเป็นเป้าหมายของกลุ่มมิจฉาชีพทั่วไป เนื่องจากเป็นอุปกรณ์พกพาขนาดเล็ก มีโอกาสถูกขโมยได้ง่าย และมีตลาดที่มีความต้องการหรือรองรับการซื้อขายได้มากมายโดยที่ไม่มีการตรวจสอบแหล่งที่มา ทำให้มีความเสี่ยงสูงที่ผู้ใช้งานจะมีโอกาสถูกกลุ่มมิจฉาชีพขโมยโทรศัพท์มือถือ หรือด้วยขนาดของอุปกรณ์มือถือที่เล็กอยู่แล้วอาจทำให้มีโอกาสที่จะลืมหรือทำตกหล่นได้ง่าย
การถูกขโมยข้อมูลส่วนบุคคล สามารถเกิดขึ้นได้ตลอดเวลาและทุกสถานการณ์ทั้งโดยตั้งใจแต่แรกหรือเป็นเพราะโอกาสที่เปิดกว้างจนทำให้ผู้อื่นสบโอกาสที่จะขโมยข้อมูลส่วนบุคคล มักเกิดขึ้นจากความไม่ใส่ใจและความไม่ตระหนักถึงความปลอดภัยของข้อมูลภายในโทรศัพท์มือถือ ทำให้ผู้ไม่หวังดีขโมยข้อมูลส่วนบุคคลไปได้โดยง่าย เช่น การแอบดูข้อมูลการล๊อกอินเข้าสู่ระบบจากโทรศัพท์มือถือ หรือการนำโทรศัพท์มือถือไปซ่อมที่ร้านโดยไม่ได้ทำการเคลียร์ข้อมูลการใช้งานก่อน โดยข้อมูลส่วนบุคคลที่หมายถึงอาจไม่ใช่เพียงข้อมูลส่วนตัวเพียงเท่านั้นแต่จะพบว่าเป็นข้อมูลขององค์กรด้วย อาจเป็นเอกสารขององค์กร ข้อมูลรายชื่อผู้ติดต่องาน รวมไปถึงข้อมูลที่อยู่ในระบบต่างๆ เช่น ข้อมูลบัญชีธนาคาร ข้อมูลอีเมลขององค์กร ซึ่งข้อมูลทั้งหมดที่กล่าวมานั้น หากถูกขโมยข้อมูลขึ้นมาจริงแล้ว คงไม่สามารถประเมินมูลค่าความเสียหายได้เป็นอย่างแน่นอน (โปรดติดตามตอนต่อไป)
