by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ในทุกวันนี้ภัยอินเทอร์เน็ตใกล้ตัวเรานั้นมีอยู่หลายประเภทด้วยกัน เช่น ภัยจากไวรัสคอมพิวเตอร์, ภัยจากแฮกเกอร์ หรือ ภัยจากพวกสแปมเมล์ (SPAM Mail) หรือ สแปม Instant Messaging System เช่น SPAM MSN ที่เราเรียกว่า “SPIM” ในบ้านเรายังไม่ค่อยมีใครมีปัญหาเรื่อง SPIM แต่สำหรับ SPAM คาดว่าทุกคนคงเคยเจอและรู้สึกรำคาญอยู่พอสมควร
เหล่าแฮกเกอร์และสแปมเมอร์ยุคใหม่ได้นำเทคนิคในการ SPAM Mail มาใช้ร่วมกับเทคนิคการหลอกผู้ใช้คอมพิวเตอร์ ที่เรียกว่า “Social Engineering” เป็นวิธีการเจาะระบบแบบใหม่อย่างที่เราคาดไม่ถึง เทคนิคใหม่นี้เรียกว่า “PHISHING” ช่วงปลายปี 2003 ถึง ต้นปี 2004 เป็นต้นมา อัตราการเกิด “PHISHING” นั้นเพิ่มมากขึ้นเรื่อยๆ ดูรูปที่ 1

(รูปที่1) From http://www.antiphishing.org

วิธี “PHISHING” หมายถึง การที่แฮกเกอร์หรือสแปมเมอร์ใช้วิธีส่ง E-mail ปลอมตัวเป็นสถาบันทางการเงิน เช่น ธนาคารที่เชื่อถือได้ มาหลอกลูกค้าของธนาคารให้ Click Link ที่ชี้เข้าไปยัง Web Site ของธนาคาร ซึ่งเป็น Web Site ปลอมที่ทำหลอกไว้แต่มีลักษณะเหมือน Web Site จริงมากจนดูแทบไม่ออก แฮกเกอร์ยังใช้เทคนิคทำให้ URL Link ดูเหมือน URL ของธนาคารจริงๆ โดยอาศัยช่องโหว่ของ MS Internet Explorer หากเราไม่ได้ลง Patch อย่างสม่ำเสมอก็มีโอกาสเป็นเหยื่อของ “Phisher” หรือ ผู้ไม่หวังดี ที่ต้องการ Username และ Password ของเราเมื่อเราหลงกล login เข้าไปในหน้า Web Site ปลอม “Phisher” ก็จะขโมย Username และ Password เราไปใช้ได้ทันทีเรียกว่าเป็นการขโมย “Identity” ของเรานั่นเอง

ขณะนี้มีองค์กรที่ต่อต้าน “Phisher” อย่างเป็นทางการที่ Web Sitehttp://www.antiphishing.org ซึ่งมีรายละเอียดสถิติการทำ “Phishing” และเนื้อหาที่เกี่ยวข้องกับเรื่อง “Phishing” ตลอดจนคำแนะนำในการป้องกันตัวเองจากการโดน “Phishing” กล่าวคือเราควรจะใช้กลยุทธ์ “Stop, Look and Call” ในการป้องกันตัวเราจากการตกเป็นเหยื่อของการ “PHISHING”
เมื่อเราได้รับ E-mail จาก ธนาคารหรือสถาบันการเงินที่บอกให้เรา Click เข้าไปยัง Link ที่อยู่ใน E-mail และบอกว่าเป็นเรื่องด่วน เช่น Account ของเรากำลังจะหมดอายุ หรือต้องการให้เราเข้าไปแก้ไขข้อมูลตามที่ธนาคารระบุใน E-mail ก็ให้เราใจเย็นๆ หยุด… (Stop) และ พิจารณา (Look) ว่า E-mail นั้นสมเหตุสมผลหรือไม่ เช่น ถ้ามาให้เรากรอกข้อมูล Username และ Password ซ้ำอีกก็ไม่น่าจะเป็น E-mail ที่มาจากธนาคาร เพราะธนาคารต้องมีข้อมูลของเราอยู่แล้ว เป็นต้น หรือ เราควรจะติดต่อ (Call) กลับไปยังหน่วยงานที่ติดต่อเรามาว่ามีนโยบายในการ E-mail หาลูกค้าแบบนี้หรือไม่ เพื่อให้เราแน่ใจว่าเราไม่ถูกหลอก ขณะนี้ มีสมาชิกของ Web Site ที่มีชื่อเสียง หรือสถาบันการเงินตกเป็นเหยื่อของการ “PHISHING” มากมาย ได้แก่ ลูกค้าของ CITIBANK, AOL, eBay, Bank of America และ Pay Pal เป็นต้น

นอกจากวิธีการระวังด้วยตัวเองแล้ว เวลาอ่าน E-mail แล้ว เราควรไป Download IE Patch ที่ Web Site www.microsoft.com/security (เวลาพิมพ์ ให้พิมพ์เข้าไปตรงๆ ที่ช่อง URL อย่า Click จาก Link ที่มากับ E-mail) เพื่อป้องกันไม่ให้ IE ที่เราใช้อยู่มีช่องโหว่ที่พวก “PHISHER” สามารถเข้ามาสวมรอยได้

เราจะเห็นว่าภัยอินเทอร์เน็ตนั้น เปลี่ยนรูปแบบใหม่ๆ มาหาเราอยู่เสมอ ดังนั้น เราควรติดตามข่าวสารความเคลื่อนไหวของพวกแฮกเกอร์ และสแปมเมอร์อยู่เป็นระยะ จะได้ไม่ตกเป็นเหยื่อแฮกเกอร์ ง่ายๆ นะครับ

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนเมษายน 2547
Update Information : 20 เมษายน 2547