By Arnon Puitrakul - 08 ตุลาคม 2021
ในขณะที่ทุกคนกำลังอินกับ Squid Game นั่งแคะน้ำตาล กับเล่น AEIOU หยุด กันอยู่ นี่ก็คือยัง Move on ไม่ได้กับอีกเรื่องจาก Netflix คือ Clickbait เป็น Series ที่ไม่ได้สนุกอะไรขนาดนั้น แต่มันหักมุมหนักมาก ๆ หักอีกนิดมาหักคอชั้นเลยก็ได้ แต่วันนี้เราไม่ได้จะมารีวิว Series เรื่องนี้ แต่พอเราดูจบแล้ว ก็ทำให้เราตระหนักในเรื่องของภัยคุกคามที่ใกล้ตัวเรามาก ๆ อย่างการทำ Identity Theft ทำให้เกิดเป็นบทความนี้ที่จะมาเล่าเรื่องของ Identity Theft ว่ามันน่ากลัวยังไง และ เคสตัวอย่างพีค ๆ ในอดีตมันมีอะไรบ้าง พร้อมกับการป้องกันตัวด้วยไปเลย
Identity Theft จริง ๆ ความหมายมันก็ตามชื่อเลยนะ คือ การขโมยตัวตนของเรา ตัวอย่างเช่น อาจจะมีคนได้รูปของเราไป และ เอาไปเปิดเฟส เพื่อหลอกเป็นตัวเรา และ สร้างความเสียหายทั้งทางชื่อเสียง และอื่น ๆ กับเราได้ หรือเอาให้หนักเลย ก็น่าจะเป็นการเอาชื่อ และข้อมูลส่วนตัวของเราไปลงทะเบียนนั่นนี่เต็มไปหมด พีค ๆ ก็อาจจะเอาชื่อเราไปค้ำประกันเวลากู้เงินก็มีจริง ๆ มาแล้วนะ
อย่างที่บอกว่า Identity Theft มันเป็นการที่มีคนเอาข้อมูลส่วนตัวของเราไปใช้งานต่อโดยที่เราไม่รู้ตัวด้วยซ้ำ ทำให้เกิดความเสียหายตามมา ซึ่งถ้าจะถามว่ามันเกิดขึ้นได้ยังไง ส่วนนึงก็เพราะผู้ไม่ประสงค์ดีเอาข้อมูลของเราไป แต่คำถามที่น่าสนใจกว่านั้นคือ เขาเอาข้อมูลไปได้ยังไงมากกว่า
พอพูดถึงเรื่องนี้ ก็ทำให้เรานึกถึง Ads ตัวนึงของ iPhone เลย ดูมันก็ตลกนะ จะบ้าเหรอมันเป็นไปได้ด้วยเหรอ แต่เอาจริง ๆ เลย มันเป็นแบบนั้นจริง ๆ แหละ แค่มันไม่ได้มาในรูปแบบของคนเดิน ๆ ตามตูดเราขนาดนั้น แต่เป็นลักษณะของข้อมูลมากกว่า
โดยทั่ว ๆ ไปแล้ว เวลาเราเข้าใช้งาน Internet เราก็จะทิ้งร่องรอยไว้ หรือที่เราเรียกว่า Digital Footprint มันมาได้หลายรูปแบบมาก ๆ เช่น IP Address ของเว็บที่เราเข้า, สินค้าที่เราดูใน Ecommerce Website หรือจะเป็น การ Comment หรือ Post ข้อความต่าง ๆ บน Social Media ทั้งหมดที่ว่ามาล้วนเป็น Digital Footprint ที่เราทิ้งไว้ใน Internet ทั้งนั้น
ซึ่งข้อมูลพวกนี้แหละ ถือว่าเป็นขุมทรัพย์ชั้นดีที่เหล่าผู้ไม่ประสงค์ดีจะค่อย ๆ มารวบรวม และ นำไปใช้ในการโจมตีได้ หรืออีกกลุ่มที่น่ากลัวไม่แพ้กัน และหลาย ๆ คนก็มีความกังวลมาก ๆ คือเหล่า Data Broker ที่เอาข้อมูลไปแบบถูกกฏหมายเลยละ เราเป็นคนเปิดประตูเดินไปมอบให้มันเลยละ
Data Broker เป็นบริษัทที่รับซื้อข้อมูลต่าง ๆ จากพวกธุรกิจที่เราใช้บริการอยู่ เช่น สมมุติว่า เราใช้งาน Ecommerce Website ในการซื้อสินค้า A จากเว็บแห่งหนึ่ง เว็บนั้นแหละ ก็อาจจะทำการขายข้อมูลให้กับ Data Broker ไป และแน่นอนว่า Data Broker ก็ทำแบบนี้แหละ ซื้อข้อมูลจากหลาย ๆ เว็บ ซึ่งแน่นอนว่า เราเองก็ไม่ได้เข้า และทิ้ง Digital Footprint ไว้ที่เว็บ ๆ เดียวแน่ ๆ ก็ทำให้สุดท้ายแล้วพอ Data Broker ซื้อ Data ไปและเอามา Cross Check กันจริง ๆ ก็จะทำให้พวกนี้ถือ Information หรือแม้กระทั่ง Profile ของเราได้เลย ซึ่งแน่นอนว่า เขาซื้อ Data มาวิเคราะห์ขนาดนี้แล้ว เขาก็ต้องมี Revenue Stream แน่นอนว่า เขาก็ขายข้อมูลที่วิเคราะห์แล้วนี่แหละ ให้กับ บริษัทต่าง ๆ เพื่อเอาไปใช้งานในเชิงของธุรกิจต่อไป แต่ที่น่ากลัวกว่านั้นคือ เขาอาจจะมีการขายเข้าพวกตลาดมืดที่รอซื้อของข้อมูลของเราอยู่ก็ได้ เพื่อเอาไปใช้ในการโจมตีต่าง ๆ ก็มีเหมือนกัน
สรุปง่าย ๆ คือ Digital Footprint หรือข้อมูลที่นำไปใช้ในการทำ Identity Theft ส่วนใหญ่แล้วจะเป็นข้อมูลที่เราทิ้งไว้ในโลก Internet ซะเยอะ หรือไม่ก็มาจากพวก Data Broker ต่าง ๆ ที่เอามาขาย หรือแม้กระทั่งการที่ข้อมูลจากระบบใหญ่ ๆ ต่าง ๆ มีข้อมูลรั่วไหลออกมา เหมือนที่เราเห็นในข่าวเยอะ ๆ ช่วงนี้ละ ทำให้มันเลยเป็น Footprint ที่เราอาจจะไม่ได้ตั้งใจทิ้งไว้ แต่มันหล่นออกมาเองมันก็มี แต่เราก็ต้องป้องกันเท่าที่เราทำได้ละกัน
ถ้าพูดถึงตัวอย่างของการทำ Identity Theft อันนี้เลย Common มาก ๆ โดยเฉพาะ เด็กที่โตมาในช่วง 90s น่าจะเคยใช้แน่นอน นึกภาพว่าตอนนั้น เวลาเราจะสมัครเกมออนไลน์ตอนนั้นมันต้องใช้เลขบัตรประชาชน แต่แน่นอนว่า คนไทยเรา 1 คนก็จะมีเลขบัตรประชาชนเลขเดียวแหละ ถ้าเราอยากสมัครหลาย ๆ Account เราก็ต้องหาเลขบัตรประชาชนของสักคนมา (อันนี้แมร่งสวมรอยหว่ะ ฮ่า ๆ) ซึ่งจริง ๆ แล้วถ้าเราลองดูดี ๆ เลขบัตรประชาชนของคนไทยจริง ๆ มันสามารถเขียนกฏเพื่อยืนยันความถูกต้องได้ มันจะไม่ใช่เขียนอะไรก็ได้ลงไป (สั้น ๆ คือ พวกเกมออนไลน์ เขาไม่ได้เข้าถึงฐานข้อมูลทะเบียนราษฎร์ และเช็คหรอก แต่เขาใช้หลักการที่เรียกว่า Checksum โดยที่หลักสุดท้าย มันจะเป็น Checksum เอาไว้เช็คดังนั้นซึ่งมันคำนวณได้ ทำให้เราสามารถเช็คความถูกต้องของเลขบัตรประชาชนได้โดยที่ไม่ต้องไปขอเข้าถึงฐานข้อมูลนั่นเอง)
กลับกัน ถ้าเราอยากได้เลขบัตรประชาชนปลอม ๆ ที่สามารถเอามาสมัครเกมได้ มันก็เอากฏพวกนั้นมาย้อนกลับ แล้วเอามา Generate เป็นตัวเลขให้เราเอาไปกรอกเพื่อสมัครนั่นเอง ซึ่งเอาจริง ๆ บางเลขที่สุ่มออกมา มันก็ไม่มีเจ้าตัวอยู่จริง ๆ แต่ปัญหาคือ เลขที่มีคนใช้อยู่จริง ๆ นั่นแหละปัญหาเลย ทำให้มันเป็นการเอาข้อมูลส่วนตัวอย่างเลขประจำตัวประชาชนมาใช้โดยที่ไม่ได้รับอนุญาติ เลยทำให้กลายเป็น Identity Theft แบบนึงไป ไหน ๆ พูดถึงบัตรประชาชนแล้ว ก็พูดถึงอีกเหตุการณ์ในไทยหน่อยละกัน การที่มีเหล่ามิฉาชีพ หลอกเอาบัตรประชาชนของคนไปทำธุรกรรมนั่นนี่ก็ถือว่าเป็นการทำ Identity Theft แบบหนึ่งเหมือนกันนะ
หรืออีกเรื่องนึง ถ้าเราเคยผ่าน Course วิชาพวก Security หรืออบรมพวก Security Awareness กันมาก่อน น่าจะเคยได้ยิน Case Study ของ Bari Nessel มาไม่มากก็น้อย เล่าสั้น ๆ เรื่องนี้เกิดขึ้นในช่วงปี 1997 เมื่อพนักงานชื่อ Linda Foley เข้ามาสมัครงานในบริษัทกับ Bari Nessel แน่นอนว่า เวลาเราไปสมัครงาน และเข้าทำงาน เราก็ต้องให้ข้อมูลส่วนตัวอย่างพวก Social Security Number และ ข้อมูลส่วนตัวอื่น ๆ ของเราอย่างไม่มีเงื่อนไข แม้กระทั่ง Copy ของพวกใบขับขี่ เพราะงานที่ Foley ทำงานในตำแหน่งที่ต้องขับรถ ซึ่งแน่นอนว่าเรื่องมันจะไม่เกิดเลยเมื่อข้อมูลถูกเก็บไว้อย่างเป็นความลับ แต่เรื่องมันเกิดน่ะสิ เมื่อ Nessel เอาข้อมูลส่วนตัวที่ Foley ให้ไว้เมื่อเข้ามาทำงานไป สมัครบัตรเครดิต และเปิดเบอร์โทรศัพท์เฉย พร้อมกับเอาบัตรเครดิตที่สมัครมาไปซื้อของกระจาย แต่แน่นอนว่า บริษัทบัตรเครดิตก็ไม่ได้มาเก็บเงินที่ Nessel ไง แต่มาเก็บเงินกับ Foley ก็คือแตกจ๊ะ เละเทะไปหมด
สิ่งที่น่ากลัวมาก ๆ ของเรื่องนี้คือ พวกข้อมูลส่วนตัวที่ได้ไปจนเอามาสร้างเรื่องราวได้ขนาดนี้ ไม่ได้ถูกเก็บจากข้างถนน หรือเราเปิดโชว์หราเอาไว้ แต่เป็นข้อมูลที่เราให้กับบริษัทที่เราทำงานอยู่ และถ้าเราย้อนกลับไปตอนที่จะส่งข้อมูลส่วนตัวให้กับบริษัท เรามีทางเลือกในการให้ หรือไม่ให้ข้อมูลด้วยเหรอ เพราะเอาจริง ๆ คือ บริษัท เขาก็ไม่ได้ไว้ใจเราขนาดนั้นเช่นกัน ทำให้มันเป็น Case Study ของการทำ Identity Theft ที่น่าสนใจมาก ๆ
จะเห็นได้เลยว่า เรื่องของการเกิด Identity Theft มันเกิดขึ้นได้ตลอดเวลา เกิดขึ้นได้กับทุกคนจริง ๆ ทีนี้ถามว่าแล้ว เราจะป้องกันไม่ให้มันเกิดได้อย่างไร ถ้าถามเรา เรามองว่า มันยากมาก ๆ ที่จะป้องกันไม่ให้มันเกิดเลย 100% แต่ ๆ เราทำได้ดีที่สุดในฝั่งของเรา เราต้องแยกออกเป็น 2 ส่วนด้วยกันคือ ส่วนของบุคคล หรือ องค์กร ที่เราเคยให้ข้อมูลไปก่อนแล้ว ส่วนนี้คือ เราก็ไม่สามารถทำอะไรได้ละ เพราะเราให้ข้อมูลเขาไปแล้วน่ะสิ
แต่สิ่งที่เราทำได้คือ ฝั่งของเราเองนี่ละ ที่เราเป็นคนถือข้อมูลเราเองตอนนี้ สิ่งที่เราทำได้จริง ๆ เราแยกออกเป็น 2 ส่วนใหญ่ ๆ คือ การให้ข้อมูล และ การ Monitor
ส่วนของการให้ข้อมูลต่าง ๆ คือ เมื่อเราจะให้ข้อมูลไม่ว่าจะส่วนตัว หรือไม่ส่วนตัวก็ตาม เราก็ควรจะระวัง และ หมั่นหาความรู้ เพื่อให้เรารู้เท่าทันกับภัยต่าง ๆ อยู่เสมอ ไม่ว่าจะอ่านจากข่าว หรือ อ่านจากเว็บที่ให้ความรู้ทาง Cyber Security ต่าง ๆ ได้เยอะมากมายเลยละ มันก็จะทำให้ข้อมูล และ Digital Footprint ที่ Sensitive จริง ๆ ของเราลดโอกาสการหลุดลงไปได้เยอะมาก ๆ รวมไปถึงการให้ข้อมูลกับบุคคล หรือ องค์กรต่าง ๆ เช่นการสมัครสมาชิกนั่นนี่ของร้านที่เราไปซื้อของ แนะนำให้อ่าน ข้อตกลง ให้ละเอียดก่อนที่เราจะเซ็นลงไป เพราะถ้าเราเซ็นลงไป ก็คือจบแล้วนะ เรากลับไปบอกว่า คุณทำแบบนี้ ไม่ได้แล้วนะ เพราะเรายอมให้เขาทำตั้งแต่เราเซ็นแล้ว
อีกส่วนเป็นส่วนของการ Monitoring หรือก็คือ การเฝ้าระวังนั่นเอง โดยเฉพาะพวกข้อมูลทางการเงินต่าง ๆ ของเรา เช่น อาจจะลองเช็คพวก Transaction ในการใช้งานระบบบัญชี และ บัตรเครดิตต่าง ๆ ของเราว่ามันมีรายการที่น่าสงสัย เราไม่ได้ใช้แล้วมันขึ้นมามั้ยอะไรพวกนั้นซึ่ง Application ของธนาคาร และ บัตรเครดิต ก็มีรายการย้อนหลังให้เราเข้าไปดูเมื่อไหร่ก็ได้ ถ้าเจอก็แนะนำให้รีบติดต่อธนาคารทันที เพื่อระงับการใช้บัตรต่อไป หรือแม้กระทั่ง มีบริการที่ออกมาช่วยป้องกันเราให้ด้วยนะ เช่นของ McAfee ที่มีบริการที่มันจะ Monitor ใน Dark Web ว่าถ้ามันมีการปล่อยข้อมูลออกมา และมีข้อมูลของเราอยู่ด้วยมันจะแจ้งเตือนเราให้ด้วย อันนี้ก็ถ้าเป็นสายเปย์ และต้องการเพิ่มเติมความแข็งแกร่ง ก็สามารถไปหาซื้อบริการเหล่านี้มาใช้งานกันได้ มันก็จะคิดค่าใช้จ่ายอาจจะเป็นรายเดือน หรือปีก็ขึ้นกับเจ้าไป
Identity Theft หรือการขโมยตัวตน เป็นการโจมตีประเภทหนึ่งที่มีการขโมย หรือได้มาซึ่งข้อมูลส่วนตัวของเรา และเอาไปทำเรื่องที่เราไม่ได้อนุญาติ เช่นเอาไปสมัครบัตรเครดิต การเปิดเบอร์โทรศัพท์ โดยต้องยอมรับว่าในปัจจุบัน ชีวิตของเราอยู่บน Internet เยอะมาก ๆ Digital Footprint เต็มไปหมด ทำให้การเกิด Identity Theft ช่วงหลัง ๆ เกิดได้ง่ายขึ้นกว่าเมื่อก่อนมาก ทำให้เราก็ต้องระมัดระวังในการให้ข้อมูลต่าง ๆ ลงไปกับบุคคล หรือเว็บไซต์ต่าง ๆ นอกจากนั้น เพื่อเป็นการป้องกันมากขึ้น เราก็หมั่นตรวจสอบ Transaction การใช้งานของส่วนต่าง ๆ เช่น การใช้งานธนาคาร และบัตรเครดิตอย่างสม่ำเสมอ เพื่อให้มั่นใจมากขึ้นว่าข้อมูลส่วนตัวของเรายังคงปลอดภัย ไม่มีใครเอาไปทำอะไรเสีย ๆ หาย ๆ จนความเสียหายนั้นแหละวนกลับมาหาตัวเรา
หลังจากเมื่อหลายอาทิตย์ก่อน Apple ออก Mac รัว ๆ ตั้งแต่ Mac Mini, iMac และ Macbook Pro ที่ใช้ M4 กันไปแล้ว มีหลายคนถามเราเข้ามาว่า เราควรจะเลือก M4 ตัวไหนดีถึงจะเหมาะกับเรา...
จากตอนก่อน เราเล่าเรื่องการ Host Website จากบ้านของเราอย่างปลอดภัยด้วย Cloudflare Tunnel ไปแล้ว แต่ Product ด้าน Zero-Trust ของนางยังไม่หมด วันนี้เราจะมาเล่าอีกหนึ่งขาที่จะช่วยปกป้อง Infrastructure และ Application ต่าง ๆ ของเราด้วย Cloudflare Access กัน...
ทุกคนเคยได้ยินคำว่า Mainframe Computer กันมั้ย เคยสงสัยกันมั้ยว่า มันต่างจากเครื่องคอมพิวเตอร์ที่เราใช้งานกันทั่ว ๆ ไปอย่างไรละ และ Mainframe ยังจำเป็นอยู่มั้ย มันได้ตายจากโลกนี้ไปหรือยัง วันนี้เรามาหาคำตอบไปด้วยกันเลย...
เคยมั้ยเวลา Deploy โปรแกรมสักตัว เราจะต้องมานั่ง Provision Infrastructure ไหนจะ VM และ Settings อื่น ๆ อีกมากมาย มันจะดีกว่ามั้ยถ้าเรามีเครื่องมือบางอย่างที่จะ Automate งานที่น่าเบื่อเหล่านี้ออกไป และลดความผิดพลาดที่อาจจะเกิดขึ้น วันนี้เราจะพาทุกคนมาทำความรู้จักกับ Infrastructure as Code กัน...