hacking-security

กลโกงกับเหล่า(มิตร)ฉาชีพจ้องที่จะขโมยสินทรัพย์ดิจิทัล

กลโกงในตอนนี้ก็มีการพัฒนารูปแบบขึ้นมาหลากหลายและด้วยความที่สินทรัพย์ดิจิตอลเป็นสิ่งที่เคลื่อนย้ายมูลค่าได้ง่ายทำให้เหล่า(มิตร)ฉาชีพจ้องที่จะขโมยสินทรัพย์ดิจิทัลมากขึ้นกว่าเมื่อก่อน

เหล่านี้คือตัวอย่าง ที่เป็น case เกิดขึ้นแล้วจริง ทำให้เราได้เรียนรู้ เพื่อให้เราไม่ตกเป็นเหยื่อตามเคสตัวอย่าง

แพลตฟอร์มลงทุนที่ให้ผลตอบแทนดี

มีการให้ผลตอบแทนดีมาก อาจจะถอนได้หรือไม่ได้ตั้งแต่ครั้งแรก แต่จะมีการเรียกให้เติมทุนเพื่อให้ได้กำไรเพิ่มอีก จนรู้สึกว่าไม่ไหว และคราวนี้เมื่อจะเอาเงินคืน ก็จะบอกว่า ต้องจ่ายค่าอะไรบางอย่าง ภาษีบ้างอะไรบ้างเพื่อให้ถอนเงินได้ ซึ่งจังหวะนี้ ก็คือมั่นใจได้เลย ว่าโดนแล้วเต็มๆ แต่ก็จะมีคนบางส่วนที่หลงเชื่อ เติมเงินเพิ่มเข้าไปอีก โดยหวังว่าจะได้เงินเก่าคืนมา แต่ท้ายที่สุด ทั้งเงินเก่าเงินใหม่ ก็สูญไปทั้งก้อน

เว็บปลอมที่ดูเหมือนเว็บจริง

วิธีการทำเว็บลอกเลียนแบบเว็บต้นฉบับให้เหมือนจริง 100% นั้นทำได้ไม่ยาก ปัจจุบันมีเทคนิคหลายอย่างที่เข้ามาช่วย แม้กระทั่งชื่อโดเมนของเว็บ ก็อาจจะดูเหมือนกับเว็บต้นฉบับ 100% เลยแต่แท้จริงแล้วมีอักขระบางตัวที่เรามองไม่เห็นหรือไม่ทันสังเกต ที่เปลี่ยนไปจากเว็บต้นฉบับจริงเพียงเล็กน้อย เราก็อาจจะโดนหลอกได้ ซึ่งข้อสังเกตก็คือ เว็บเหล่านี้มักจะให้เราทำอะไรที่แปลกไปกว่าที่ปรกติเราเคยทำ เช่น มีการให้เรากรอกข้อมูลอะไรบางอย่างเพิ่มเติม ซึ่งเราไม่เคยต้องกรอกในการใช้เว็บจริงๆตามปกติ เหล่านี้ล้วนต้องสงสัยว่าอาจจะเข้าเว็บปลอมอยู่

campaign แจกของฟรี บนเว็บปลอมที่ดูเหมือนจริง 

ถ้าเรารู้สึกว่ามีการให้ผลตอบแทนอะไรบางอย่างจากเว็บที่เรารู้จัก ขอให้เราสงสัยไว้ก่อนว่านั่นอาจจะเป็นเว็บปลอม เราต้องทำการตรวจสอบจนมั่นใจได้ว่านั่นเป็นเว็บที่จริง พอถึงแม้ว่าการแจกรางวัลเหล่านั้นหากเกิดขึ้นจากเว็บที่ถูกต้องจริงๆ หลังจากการตรวจสอบแล้วเราก็ไม่ต้องเสียอะไรทั้งสิ้น แต่กลับกันหากเป็นเว็บที่ตั้งใจสร้างขึ้นมาลอกเลียนแบบเหมือนเว็บจริง เราอาจจะสูญเสียทรัพย์สินของเราทั้งหมดก็เป็นได้ เพราะเว็บเหล่านี้เค้ามีวิธีการหลอกเอาข้อมูลอะไรบางอย่างเพื่อแลกกับผลตอบแทนที่ไม่มีอยู่จริง แต่จะทำให้เราเชื่อว่ามีอยู่จริง จนท้ายที่สุด เราก็เสียเงินไปได้

เว็บที่หลอกให้กรอก private key หรือ seed word เพื่ออะไรบางอย่าง 

มีเว็บเป็นจำนวนมากที่สร้างขึ้นมาเพื่อหลอกเอาข้อมูล Seed Word หรือ Private Key จากคนที่ไม่ค่อยรู้เรื่อง หรือไม่ทันได้สังเกต ซึ่งแม้ว่าเป็นวิธีที่หลอกขอข้อมูลกันแบบตรงไปตรงมา ที่ไม่น่าเชื่อว่าจะมีคนหลงเชื่อและให้ไปได้ แต่ก็พบว่ามีคนตกเป็นเหยื่อจำนวนมาก ดังนั้นเมื่อเรารู้อย่างนี้แล้วก็ต้องไม่หลงตกเป็นเหยื่อ ก่อนจะกรอกข้อมูลหรือให้ข้อมูลอะไรไปกับเว็บแห่งไหนหรือระบบอะไรสักอย่าง จำเป็นต้องตรวจสอบให้ชัดเจนแม่นยำและถูกต้องก่อน การเสียเวลาเพียง 1 นาทีเพิ่มขึ้นในการตรวจสอบ แต่ทำให้ทรัพย์สินทั้งหมดนั้นปลอดภัยก็ดูจะคุ้มค่ากว่าอยู่แล้วนะ

คนที่หวังดีจากแดนไกล  

หลายครั้งมิจฉาชีพมักมาในรูปแบบจากผู้หวังดี ไม่ว่าเราจะมีปัญหาอะไรบางอย่าง และมีผู้หวังดีเข้ามาทักทายหรือพูดคุย เราจะต้องไม่คิดว่าทุกคนมีความหวังดีกับเราจริงๆ เสมอไป เพราะมิจฉาชีพใช้ช่องว่างตรงนี้มุ่งจู่โจมกับคนที่ต้องการความช่วยเหลือ เพราะคนเหล่านี้มักจะไม่มีความรู้มากทำให้ถูกหลอกได้ง่าย โดยปรกติการขอความช่วยเหลือใดๆ นั้น ผู้ให้ความช่วยเหลือเขามักจะให้เราต้องทักไปหาเขาก่อนเท่านั้น แต่ก่อนจะทักไปก็ตรวจสอบให้มั่นใจว่าเขาเป็นผู้ให้บริการของเราที่แท้จริงด้วย ดังนั้นใครที่หวังดีมาทักเราก่อนให้คิดไว้ก่อนว่าน่าจะไม่ได้หวังดีจริงๆอย่างที่เราอยากได้

คนที่หลอกถาม private key หรือ seed word เรา  

นี่เป็นการหลอกลวงอีกรูปแบบหนึ่ง ก็คือคุยเหมือนสนิทกัน และเริ่มใช้กลอุบายบางอย่างทางจิตวิทยาทำให้เราหลงกลหรือหลงเชื่อ ไม่ว่าจะมาในรูปแบบ การบังคับขู่เข็ญ หรือการทำให้เรารู้สึกสงสาร หรือการทำให้เราเชื่อว่าเขาจะช่วยอะไรเราบางอย่างได้ หรือแม้กระทั่งทำให้เรากลายเป็นผู้ที่ต้องช่วยเหลือเขา และจะแบ่งผลประโยชน์อะไรบางอย่างกันในตอนท้าย แต่เราจะต้องเริ่มต้นจากการให้ Seed Word หรือ Private key เขาก่อน ทั้งหลายเหล่านี้มีหลากหลายรูปแบบ แต่มักจะเล่นกับความรู้สึกและจิตใจเป็นหลัก ไม่ว่าจะเป็นใครหรือสนิทกันมากแค่ไหนก็ตาม ก็จำเอาไว้เสมอว่าไม่ควรจะให้ Seed Word หรือ Private key เขาโดยเด็ดขาด

 

คนที่หลอกให้เราโอนไปเพื่อให้ได้ทรัพย์สินที่มากกว่าเป็นการตอบแทน  

รูปแบบนี้มีการใช้ความโลภเข้ามาดึงดูดทำให้เราตกเป็นเหยื่ออีกทีหนึ่ง เริ่มต้นจาก อาจจะมีคนขอความช่วยเหลือให้เราช่วยเขาอะไรบางอย่าง โดยที่ทรัพย์สินเขามีมูลค่ามหาศาล ขอเพียงแค่เราโอนช่วยเหลือเขาบางส่วน และเขาจะนำเงินนั้นออกมาเพื่อแบ่งกับเราในภายหลัง เพื่อเป็นการตอบแทน เหล่านี้ล้วนไม่มีอยู่จริง และยังไม่เคยเห็นเคสที่เป็นเคสจริงเกิดขึ้นมาก่อน ถ้ามีลักษณะนี้เกิดขึ้นมั่นใจได้เลยว่าหลอกลวงแทบจะ 100% ไม่ว่าจะเป็นคน หรือ platform ก็ตาม

ใช้อุปกรณ์ต่างๆ แบบไม่ระวัง

เราอาจจะละเลยความปลอดภัยในการใช้อุปกรณ์เทคโนโลยีขั้นพื้นฐานกันไปมาก ยกตัวอย่าง การตั้งรหัสผ่านเข้าระบบต่างๆ ที่เน้นเอาจำง่ายหรือเกี่ยวข้องกับสิ่งใกล้ตัวเอาไว้ก่อนเป็นหลัก หรือมองว่าการมีมาตรการรักษาความปลอดภัยทำให้เกิดความยุ่งยาก และพยายามจะทำอย่างไรก็ตามเพื่อจะเลี่ยงมาตรการเหล่านั้น รวมไปจนถึงการใช้งานอุปกรณ์ต่างๆ โดยที่ไม่คำนึงหรือไม่ทราบถึงผลเสียที่จะตามมา เช่น มีการโหลดโปรแกรมต่างๆ โดยไม่ตรวจสอบผู้พัฒนาให้ดีเพียงพอ หรือว่าใช้โปรแกรมที่ผ่านการดัดแปลงมาทำให้เราไม่ต้องเสียเงินซื้อโปรแกรมจริง อะไรเหล่านี้เป็นต้น ทั้งหมดนี้จะนำไปสู่โปรแกรมที่อาจจะแฝงมาด้วยการโจมตีบางอย่างไม่ว่าจะเป็นการดักจับการพิมพ์แป้นข้อมูล ซึ่งนั่นจะหมายรวมถึง Username และ Password การเข้าใช้งานระบบต่างๆ หรือแย่ที่สุดก็คือ การที่อุปกรณ์ที่เราใช้งานถูกควบคุมจากผู้อื่นผ่านทางอินเตอร์เน็ต ก็จะทำให้เราสูญเสียทรัพย์สินทั้งหมดไปได้ภายในคราวเดียว

หลอกให้ติดตั้งโปรแกรมอะไรบางอย่าง  

การหลอกติดตั้งแบบนี้มักเกิดขึ้นจากการที่เราได้รับแจ้งให้ดาวน์โหลดอะไรบางอย่าง หรือหลอกลวงเราบางเรื่อง ทำให้เรารู้สึกว่าต้องโหลดบางสิ่งมาบนอุปกรณ์ที่เรากำลังใช้งาน ซึ่งโปรแกรมหรือซอฟต์แวร์เหล่านั้นมักจะถูกสร้างขึ้นมาเพื่อควบคุมอุปกรณ์ที่เรากำลังใช้งานผ่านทางอินเตอร์เน็ต โดยที่เราไม่มีทางรู้ตัวหรือปฏิเสธได้หลังจากที่เราได้ติดตั้งโปรแกรมและอนุญาตให้โปรแกรมได้ทำงานไปแล้ว นี่คือสาเหตุอันดับต้นๆ ที่ทำให้หลายคนสูญเสียทรัพย์สินส่วนตัวมูลค่ามหาศาล ไม่ว่าจะเป็นระบบธนาคารที่มีอยู่ในปัจจุบันหรือว่าสินทรัพย์ในรูปแบบดิจิตอลก็ตาม

บอกข้อมูลส่วนตัวกับคนอื่น  

กระบวนการนี้ถือว่าเป็นขั้นตอนพื้นฐานที่มีชื่อเรียกว่า Social engineering พูดง่ายๆ ก็คือการใช้กระบวนการทางสังคมหรือการปฏิสัมพันธ์ของคน ในการได้มาซึ่งข้อมูลส่วนตัวที่ควรจะต้องถูกเก็บเป็นความลับ ไม่ว่าจะเป็น ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ ธนาคารที่ใช้งาน ฯลฯ ข้อมูลต่างๆควรจะเป็นข้อมูลความลับที่มีแต่เจ้าตัวเท่านั้นที่รู้ เพราะข้อมูลเหล่านี้สามารถใช้ยืนยันตัวบุคคลในการทำปฏิสัมพันธ์กับผู้ให้บริการต่างๆ ได้ ว่าเราเป็นเจ้าของตัวจริง ทั้งๆ ที่ข้อมูลนี้ถามมาจากเป้าหมายหรือเหยื่อของเราอีกที ดังนั้นการใช้งานอินเทอร์เน็ตขั้นพื้นฐานเราก็ไม่ควรจะบอกข้อมูลส่วนตัวของเราออกไปในอินเตอร์เน็ต หรือบอกให้น้อยที่สุดเท่าที่จะเป็นไปได้

บอกรหัสผ่าน หรือ OTP ให้กับคนอื่น  

หลายระบบมีการยืนยันความเป็นเจ้าของหรือยืนยันในการทำธุรกรรม โดยการส่งรหัสที่สามารถใช้งานได้เพียงครั้งเดียวมาทาง SMS หรืออีเมล สิ่งนี้เราเรียกว่า OTP กระบวนการนี้จะเป็นกระบวนการที่ยืนยันว่าเจ้าของเป็นผู้ดำเนินการธุรกรรมนั้นตัวจริง ซึ่งถ้าอยู่ดีๆ มี OTP ส่งมาถึงเราโดยที่เราไม่ได้เป็นคนทำอะไรการอะไรเลย ให้สงสัยไว้ได้ทันทีว่าเรากำลังโดนคุกคามความเป็นส่วนตัวของเราอย่างแน่นอนแล้ว และเรื่องมันจะแย่กว่านั้นถ้ามีคนมาถาม OTP กับเราและเราก็บอกเขาไปนั่นหมายความว่าธุรกรรมนั้นจะสำเร็จโดยที่มีเราเป็นผู้ให้ความร่วมมือซึ่งธุรกรรมเหล่านั้นส่วนใหญ่จะเป็นธุรกรรมที่ขโมยทรัพย์สินหรือเงินออกไปจากตัวเรานั่นเอง

มองข้ามเรื่องความปลอดภัยพื้นฐาน  

การใช้งานเทคโนโลยีเราไม่ต้องศึกษาให้เข้าใจว่าเทคโนโลยีเหล่านั้นทำงานอย่างไรเพราะมันอาจจะเป็นเรื่องยากเกินกว่าความเข้าใจของคนทั่วไปแต่เราต้องเข้าใจว่าเราจะใช้งานมันอย่างไรเพื่อให้ตัวเรามีความปลอดภัยมากที่สุด ซึ่งเรื่องนี้ไม่ใช่เรื่องที่เข้าใจได้ยากและไม่เป็นเรื่องยากในการหาข้อมูลอย่างถูกต้องตามอินเตอร์เน็ต หลักการโดยพื้นฐานก็คือไม่ดาวน์โหลดโปรแกรมสุ่มสี่สุ่มห้าจากเว็บที่เราไม่รู้จักหรือจากแหล่งที่ดูอันตรายหรือน่าสงสัย ไม่กระทำการใดๆ ที่เป็นการก้าวข้ามความปลอดภัย เช่น ตั้งรหัสผ่านให้ง่าย หรือทำให้เราเข้าถึงระบบอะไรให้ได้ง่ายที่สุด เพราะโดยธรรมชาติความสะดวกสบายมักอยู่ฝั่งตรงข้ามกับความปลอดภัยเสมอ เรายอมลำบากขึ้นอีกนิดเพื่อให้มีความปลอดภัยเพิ่มขึ้น สิ่งที่เราจะได้มาก็คือความอุ่นใจและสบายใจ แต่ก็แลกกับความไม่ค่อยสะดวกสบายเล็กน้อยในการใช้งาน แต่ขอให้เอาเรื่องความปลอดภัยเป็นที่ตั้งจะดีที่สุด

อยู่ดีๆ ก็มีความผิด  

นี่ก็เป็นอีกหนึ่งกลยุทธ์ที่เหล่ามิจฉาชีพชอบใช้ อยู่ดีๆ วันหนึ่งเราก็ได้รับโทรศัพท์แล้วแจ้งว่าเรามีความผิด ไม่ว่าจะเป็นเรื่องจริงหรือไม่ก็ตาม และเราจะต้องได้รับการตรวจสอบโดยการโอนทรัพย์สินไปตามที่แจ้งมา สิ่งเหล่านี้ไม่มีในชีวิตจริง ขอให้รู้เอาไว้ว่า ในชีวิตจริง การตรวจและยึด จะถูกตรวจยึดโดยเจ้าหน้าที่ ที่มีหมายศาล และมาตรวจยึดถึงที่บ้าน พร้อมกับทำรายการทรัพย์สินที่ได้ทำการตรวจยึดเอาไว้แล้วเท่านั้น จะไม่มีให้เราโอนไป หรือเพียงแค่แชทคุยหรือโทรศัพท์บอกเพียงเท่านั้น ไม่มีรูปแบบนี้โดยเด็ดขาด แต่อีกนัยหนึ่งถ้าเราไม่ได้ทำความผิดอะไรจริงๆ แนะนำให้เราอย่าไปกลัว หรือว่าเราก็ไปคุยกันที่สถานีตำรวจจะดีกว่า เพราะหลายเคสเพียงแค่ได้รับโทรศัพท์หรือแชทมาบอกก็ตื่นตระหนกตกใจจนโอนทรัพย์สินที่มีค่าของเราไปทั้งหมดในคราวเดียว และนั่นก็คือความสูญเสียทั้งหมดที่เกิดขึ้นในความผิดพลาดเพียงแค่ครั้งเดียว แต่หลายๆ เคสก็มีการโอนหลายๆ ครั้งเท่าที่ผมเห็นมีการโอนกันประมาณ 10 ครั้งความเสียหายรวมๆ เกือบร้อยล้านบาท ในเคสเดียว ซึ่งเรื่องเหล่านี้ก็ควรจะต้องเอะใจตั้งแต่ได้รับโทรศัพท์ครั้งแรกแล้วว่าทำไมการตรวจยึดทรัพย์สินในปัจจุบันเราจึงต้องเป็นผู้โอนไปเอง เพราะในเมื่ออำนาจศาลสามารถสั่งให้ทำการยึดทรัพย์สินได้อยู่แล้ว

ทั้งหมดนี้ ก็เป็นสิ่งที่เกิดขึ้นแล้วจริงทั้งนั้น มีเคสตัวอย่างเป็นจำนวนมาก หากเราไม่อยากตกเป็นเหยื่อ เราก็ต้องเรียนรู้จากคนอื่นที่เป็นเหยื่ออีกที ดังนั้น สามารถอ่านทำความเข้าใจ และถ้าเจอในชีวิตจริง ว่าคุ้นๆ เหมือนที่อ่านเจอมาก่อนแล้ว ก็เชื่อได้เลยว่า กำลังโดนของจริงแล้ว ก็ขอให้รู้เท่าทัน และอย่าตกเป็นเหยื่อกันนะครับ

อมรเดช คีรีพัฒนานนท์

กรรมการสมาคมสินทรัพย์ดิจิทัลไทย
Co-Founder
บริษัท ออมแพลทฟอร์ม จำกัด