ก่อนหน้านี้มีข่าวหนึ่งที่น่าสนใจครับ เรื่องของเรื่องก็คือมีเพจดัง รวมไปถึงสำนักข่าวหลายสำนัก ออกมาเตือนภัยเกี่ยวกับ “สาย USB” หรือ “สายชาร์จแบตฯ” ชื่อว่า O.MG ที่มีความล้ำมาก ๆ
คือแค่เสียบต่อเข้ากับมือถือ ก็สามารถทำให้โดนล้วงข้อมูลออกไปได้ แถมอาจจะโดนขโมยเงินออกจากบัญชีจนหมดตัวได้เลย
จากข่าวนี้ก็ทำให้หลายคนตกใจครับ เพราะวิธีในการขโมยของมูลของเหล่ามิจฉาชีพในยุคนี้ เป็นอะไรที่ง่ายมาก ๆ ถึงขั้นต้องมาระแวงถึงเรื่องสายชาร์จแบตฯ กันแล้ว
อย่างไรก็ตามล่าสุด ผู้ใช้เฟซบุ๊กชื่อว่า Sittiphol Phanvilai ที่เป็นซอฟต์แวร์เอนจิเนียร์ ของ Meta หรือ เฟซบุ๊ก นี่แหละ ก็ได้ออกมาโพสต์ให้ข้อมูลอีกมุมหนึ่งของเจ้าสายชาร์จแบตฯ O.MG ว่ามันอาจไม่ได้ดูดข้อมูลไปง่าย ๆ อย่างที่เข้าใจกันครับ
จริง ๆ รายละเอียดมีเยอะและยาวมาก แต่ทีมงานแคทดั๊มบ์จะขอสรุปมาให้เพื่อน ๆ ได้อ่านทำความเข้าใจกันแบบง่าย ๆ ครับ…
– ไม่มีสายชาร์จที่ไหนที่จะเสียบแล้วเข้าไปล้วงข้อมูลออกไปได้เลยเพียงแค่ “เสียบทิ้งไว้” เนื่องจากปัจจุบันระบบ OS หรือระบบปฏิบัติการมีมาตรฐานความปลอดภัยสูง
– หรือถ้าทำได้ก็จะทำได้โดยการเขียนสคริปต์ ให้กดเข้าแอปฯ บางอย่างอัตโนมัติ หรือก๊อปปี้รหัสอะไรบางอย่าง แล้วกดเข้าเว็บที่โจรตั้งไว้ แต่ก็มองว่าเป็นเรื่องที่ทำได้ยากอยู่ดีที่จะเอาข้อมูลออกไปได้
– การที่โจรจะเอาข้อมูลไปได้ จะต้องผ่านการ “ยินยอม” จากเจ้าของเครื่องเท่านั้น กล่าวคือจะต้องมีการหลอกล่อให้กดอะไรหลายอย่างหลายขั้นตอน ที่มีความ “ไม่ปกติ” จนทำให้สามารถจับสังเกตได้
– การโจมตีอุปกรณ์อิเล็กทรอนิกส์เพื่อล้วงข้อมูล มีหลากหลายแบบ และมีมาเป็นสิบ ๆ ปีแล้ว แต่ผู้พัฒนามือถือก็พัฒนาระบบเพื่อป้องกันช่องทางต่าง ๆ เอาไว้แล้ว เรื่องนี้จึงเป็นไปได้ยาก
– วิธีการที่เป็นไปได้มากที่สุดคือ Juice Jacking คือ การชาร์จมือถือตามที่สาธารณะต่าง ๆ (ที่เป็นช่อง USB) หลักการคือคอมฯ ต่อกับมือถือ แล้วสามารถดูดข้อมูลออกมาได้หมดเลย แต่ปัจจุบันมีการป้องกันเอาไว้แล้ว โดยการที่จะต้องกดยินยอมก่อน (แต่คนเราบางทีมันก็อาจจะพลาดได้แหละ)
– มองไม่เห็นโอกาสที่สาย USB จะทำให้เงินหมดบัญชีได้ เพราะการโอนเงินก็ต้องดำเนินการหลายขั้นตอนมาก
– ส่วนใหญ่การที่โจรขโมยเงินออกจากบัญชี จะใช้วิธีการ Social Engineering คือ หลอกให้เหยื่อลงมือกระทำบางอย่างด้วยตัวเอง เช่น โอนเงิน หรือไม่ก็ติดตั้งมัลแวร์เข้าไป และกดยอมรับ
– มีวิธีในการขโมยเงินหมดบัญชีอยู่หลายวิธี แต่จนถึงตอนนี้ USB ไม่เห็นว่าเป็นหนึ่งในนั้น
– ปกติการแฮกข้อมูล ต้นทุนจะต้องต่ำกว่าสิ่งที่ได้กลับมา และการเอาสายแพง ๆ ไปหลอกคนด้วยอัตราความสำเร็จต่ำ และคาดเดาไม่ได้ มันไม่คุ้ม จึงเป็นไปไม่ได้ที่จะมีคนทำ
– อย่างไรก็ตามมีการเอามาให้ข้อมูลว่าเสียบสายเข้ากับมือถือ แล้วบังคับลงมัลแวร์ได้จริง แล้วมัลแวร์นั้นก็จะอนุญาตให้โจรเข้ามาลง APK ในเครื่องได้ ซึ่งมันทำให้โจรสามารถบังคับหรือสังเกตการณ์การใช้มือถือจากระยะไกลได้ (Remote Access) พอเข้าไปใช้แอปฯ ธนาคารปุ๊บ ก็เสร็จปั๊บเลย
ดูคลิปสาธิตได้ที่นี่
– แต่ก็มีการแย้งว่ามันทำได้ แต่ยากมาก เพราะสุดท้ายแล้วมันก็จะวกเข้าไปที่เรื่องต้นทุนอยู่ดี
– เพราะฉะนั้นสิ่งที่ต้องควรระวังจริง ๆ คือ “มัลแวร์” ที่โจรจะหลอกล่อให้เราติดตั้งในเครื่องมากกว่า เพราะมันมีอยู่หลายวิธี เช่น โฆษณาในเว็บโป๊, sms หลอกให้ลงแอปฯ เป็นต้น
– แต่ถึงอย่างนั้นการใช้สายชาร์จแบตฯ มั่วซั่วก็เป็นเรื่องที่ไม่ควรทำอยู่ดี เพราะดีไม่ดีอาจจะโดน Juice Jacking ได้เหมือนกัน
อ่านแบบเต็ม ๆ ได้ที่นี่ : https://www.facebook.com/photo/?fbid=10229218829791481&set=a.1388725514340
เรียบเรียงโดย #เหมียวหง่าว
