2fa ก็ยังไม่ปลอดภัย 100% เมื่อแฮคเกอร์หาวิธีล้วงเอา OTP จากผู้ใช้งานได้
2fa ก็ยังไม่ปลอดภัย 100% เมื่อแฮคเกอร์หาวิธีล้วงเอา OTP จากผู้ใช้งานได้
หนึ่งในวิธีการรักษาความปลอดภัยทางออนไลน์ ที่นิยมใช้กันอยู่ในทุกวันนี้ ก็คือ 2 Factor Authentication หรือ 2fa พูดง่ายๆ คือเป็นการให้ผู้ใช้ยืนยันตัวตรด้วยรหัสผ่านเพิ่มเติมอีกหนึ่งชุด หรือ OTP โดยรหัสผ่านอีกหนึ่งชุดก็มักจะเป็นสิ่งที่เจ้าตัวรู้ เช่น รหัสผ่านแบบชั่วคราว หรือสิ่งที่เจ้าตัวมี เช่น ลายนิ้วมือ หรือม่านตา
การยืนยันตนสองขั้นตอนแบบนี้ ช่วยยกระดับความปลอดภัยได้ ถึงอย่างนั้น มีรายงานจากองค์กรด้านสิทธิมนุษยชน Amnesty International ที่ใช้ 2fa เป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัย ว่าแฮคเกอร์การ Phishing เพื่อล้วงข้อมูลของนักเคลื่อนไหวและนักข่าวในพื้นที่ตะวันออกกลางและแอฟริกาตอนเหนือ(ที่ใช้อีเมลของ yahoo และ google) ให้หลุดออกมา
Amnesty ทราบเรื่อง Phishing นี้จากการตรวจสอบอีเมลที่ที่ผู้ใช้แจ้งเตือนว่าไม่ปลอดภัย ระหว่างปี 2017 และ 2018 เพื่อดูแพทเทิร์นการจารกรรมข้อมูล ทางองค์กรพบว่าแฮคเกอร์ใช้วิธีส่งอีเมล ทำทีว่ามาจาก Google หรือ Yahoo แล้วแจ้งกับพนักงานของ Amnesty ว่า แอคเคานท์ของพวกเขามีปัญหา และให้ log in ใหม่เพื่อยืนยัน โดยที่หน้าตาของเมนูลวงโลกของมิจฉาชีพที่ให้กรอก user name และ password รวมถึง OTP นั้นเหมือนกับเหมือนกับหน้าตาของเว็บไซต์ของแท้เป๊ะๆ
สิ่งที่ต่างกับการ log in เข้าอีเมลของ google และ yahoo ในทั่วๆไปคือ คือมันขอรหัส OTP ด้วย โดยรหัส 6 หลักจะถูกส่งมาทาง SMS และถ้าผู้ใช้งานหลงกรอกข้อมูลไปล่ะก็ แฮคเกอร์จะเอาข้อมูลทั้ง user name, password และ OTP ไปกรอกยังเครื่องตัวเอง เพื่อสวมรอย log in เป็นคนๆ นั้น และยึดแอคเคานท์นั้นเป็นของตัวเอง
นอกจากบัญชีของ Google และ Yahoo แล้ว แฮคเกอร์ยังใช้วิธีเดียวกันในการเจาะเข้าอีเมลของนักเคลื่อนไหว ที่ใช้บริการอีเมลแบบเข้ารหัสของ Protonmail และ Tutanota อีกด้วย โดยแฮคเกอร์จะส่งลิงค์ของเว็บไซต์ที่ต้อง log in ด้วย domain ที่มีอยู่จริง แต่ใช้หน้า log in แบบปลอมๆ เพื่อล้วงข้อมูลของผู้ใช้
Amnesty เชื่อว่าผู้ที่อยู่เบื้องหลังการจารกรรมข้อมูลนี้คือกลุ่มประเทศรอบๆ อ่าวเปอร์เซีย ที่ต้องการล้วงข้อมูลของกลุ่มผู้ประท้วงในประเทศของพวกเขา
เหตุการณ์นี้ทำให้รู้ว่าการใช้ 2 Factor Authentication ไม่ใช่การรักษาความปลอดภัยแบบครอบจักรวาล ผู้ใช้ต้องตรวจสอบลิงค์ไปยังหน้า log in ต่างๆ ทุกครั้ง และกรอกข้อมูลสำคัญ โดยเฉพาะรหัสผ่านต่อเมื่อมั่นใจว่าหน้า log in นั้นปลอดภัยจริงๆ
แน่นอนว่า การที่ผู้ใช้จะสังเกตได้ความผิดปกติเหล่านั้นได้ ต้องมาจากการจัดอบรม security awareness training ภายในองค์กรอย่างสม่ำเสมอ เพื่ออัปเดตความรู้อย่างต่อเนื่อง อย่างเช่นที่ Amnesty International ทำ
Phishing เป็นภัยคุกคามที่โฟกัสไปที่ตัวบุคคล และความรู้เท่าทันกลโกงเท่านั้นที่จะช่วยแก้ปัญหานี้ได้
__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : [email protected]