สำหรับบทความนี้เป็น บทความทบทวน (Review) ความรู้เรื่อง Security ที่ได้ไปอบรมมา พอดีได้มีโอกาสอบรมกับสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) เป็นการอบรมภายในองค์กร ด้านความปลอดภัย เพื่อป้องกันไวรัสที่ชื่อ Ransom-ware ส่วนผู้บรรยาย เป็นผู้เชี่ยวชาญ ชื่อคุณกิติศักดิ์ ตามภาพด้านบนครับ ผมคิดว่ามีประโยชน์ก็เลยนำมาแบ่งปันให้เพื่อนๆที่สนใจได้อ่านกันครับ
ส่วนตัวแล้วนั้น ชอบเรื่อง Security Network มากแต่ไม่มีโอกาสที่ได้รับประสบการณ์ด้วยตนเองสักเท่าไร ไม่ได้จับมาโดยตรง แต่ได้มีโอกาสมานั่งฟังกับผู้ทีมีประสบการณ์โดยตรงแล้วก็เป็นโอกาสที่ดีที่จะได้ความรู้อีกทางหนึ่ง แต่เพื่อไม่เป็นการเสียโอกาส ผมชอบแชร์ความรู้ผ่านตัวหนังสืออยู่แล้ว ก็แชร์ๆกันครับ
เพื่อความปลอดภัย จึงต้องป้องกันข้อมูลบางอย่างเลย Hi-light ภาพด้านบนไว้บางส่วน หลังจากนี้มาอ่านการบรรยายของคุณ กิติศักดิ์ เกี่ยวกับวิธีป้องกัน Ransom-ware กันดีกว่า ปล. ผู้เขียนได้ทำการอัดเสียงมานั่งเขียนอีกรอบ เพื่อไม่เป็นการเสียเวลา จากการอบรม 2.30 ชั่วโมง โดยการสรุปคร่าวๆ ไม่ได้เหมือนกับที่คุณกิติศักดิ์พูดแบบถอดเทปออกมาใช้การสรุปเรื่องที่พูดและเติมเนื้อหาเพิ่มเข้าไปนิดหน่อยเพื่อให้เข้าใจได้ง่ายขึั้น มาเริ่มกันเลยยยครับ!!
ก่อนที่จะเข้าเรื่องวิธีการรับมือกับ Ramsomware นั้น ก่อนอื่นมาลองรู้จักคนบรรยายก่อนก็แล้วกัน
หลังจากที่ได้ดูประวัติจากภาพแล้วก็ มาลองอ่านที่เขาบรรยายกันครับ ซึ่งผมได้สรุปไว้ดังต่อไปนี้ครับ
ก่อนที่จะเข้าไปถึงเรื่อง Ransomware จะต้องมาปูพื้นกันก่อน
เพราะคนมาอบรม มาจากหลากหลายแขนงวิชา
----------------------------------------------------------
ถ้าพูดถึง แผนก IT แล้วละก็นับว่าเป็น แผนกเดียวที่ไม่ได้เป็นส่วนในการหารายได้เข้ามายังองค์กรเลย แต่ในทางตรงกันข้ามก็เป็นแผนกที่ขาดไม่ได้จริงมั้ยครับ เพราะว่ามันมีบางสิ่งบางอย่างที่เข้ามาทดแทน ทรัพยากรฟุ่มเฟือย อย่างเช่น กระดาษ แฟ้มข้อมูล ความรวดเร็วในการบริหารจัดการ เป็นต้น
หลักจิตวิทยา คนทั่วไปต้องการความปลอดภัย ดังนั้น เรามักจะต้องป้องกันอะไรบ้างให้เกิดความปลอดภัยในชีวิต??
สิ่งที่จะต้องป้องกัน อย่างเช่น
1. เงิน
2. บ้าน
3. ความรู้
4. ชีวิต , ร่างกาย
แต่ถ้าเป็นความปลอดภัยในองค์กรล่ะ มีอะไรบ้าง??
สิ่งที่จะต้องป้องกัน อย่างเช่น
1. ข้อมูลพนักงาน
2. ข้อมูลบริษัท เช่น เบอร์โทร
3. ข้อมูลผลิตภัณฑ์
4. หรืออะไรก็ตามที่อาจจะทำให้องค์กรหรือบริษัทเสื่อมเสียชื่อเสียง เป็นต้น
หรือ แม้กระทั่ง สุขภาพของพนักงาน ก็ถือว่าเป็นทรัพย์สินของบริษัทเหมือนกัน ยกตัวอย่างเช่น ถ้าหาก มีพนักงานคนหนึ่งดูแลผลิตภัณฑ์ตัวหนึ่งอยู่แล้วเกิดไม่สบายขึ้นมาแล้วมีคนรู้อยู่คนเดียว ก็ทำให้เกิดความล่าช้าของงานเกิดขึ้นก็ถือว่าเป็นสิ่งที่จะต้องดูแล
จึงทำให้เกิดคำถามขึ้นมาว่า " แล้วป้องกันแค่ไหนถึงจะพอกันล่ะ"
จากภาพด้านบน เมื่อเปรียบเทียบกันแล้ว จะเห็นว่าชุดเกราะทางด้านซ้ายมือ เป็นชุดเกราะทรงไทย ซึ่งจะปกปิดเฉพาะส่วน ลำตัวและหัว อาจจะเป็นเพราะความคล่องตัวในการรบ แต่ส่วนชุดเกราะทางด้านขวา เป็นชุดเกราะทางยุโรป จะปกปิดทั้งตัว สังเกตเห็นว่าจะเป็นโลหะทั้งตัวซึ่งเมื่อเปรียบเทียบระหว่างสองชุดเกราะแล้วนั้น จำนวนโลหะ ก็ขึ้นอยู่กับมูลค่าหรือราคาของโลหะนั้นๆด้วย เมื่อป้องกันจะป้องกันได้ดีกว่าก็ขึ้นอยู่กับจำนวนโลหะ แต่ทั้งนี้ เราไม่ได้มองกันว่า ชุดเกราะไหนดีกว่าอย่างไรแต่ให้มองว่า
" ชีวิตของนักรบมีค่ามากแค่ไหน"
เมื่อมามองมุมในการให้บริการการป้องกันรักษาความปลอดภัย
ไม่สามารถบอกได้ว่าป้องกันแค่ไหนถึงจะพออย่างที่ถามกันเอาไว้ในตอนต้น
มันขึ้นอยู่กับหลายๆปัจจัย เช่น
1. งบประมาณ
2. ทรัพย์สินที่จะต้องป้องกัน
3. ความเสี่ยงที่จะเกิดขึ้นมีอะไรบ้าง
4. การประเมินความเสี่ยง
เมื่อเปรียบเทียบกับอดีต สถานการณ์การใช้อินเตอร์เน็ตมันเปลี่ยนแปลงไป
ซึ่งในอดีต การเข้าถึงอินเตอร์เน็ตค่อนข้าง ช้ามาก อุปกรณ์ในการสนับสนุนน้อย
แต่ในสมัยนี้ ทุกๆอย่างแทบจะเรียกได้ว่า มีพร้อมทุกอย่าง เร็ว สนับสนุน มีอุปกรณ์ที่หลากหลาย
แต่ด้วยความสะดวกสบายที่เพิ่มขึ้นก็ทำให้ ความไม่ปลอดภัยก็เพิ่ม
ขึ้นตามเป็นเงาตามตัวเช่นกัน
เช่น สมัยนี้เมื่อพูดถึง Social Network ไม่มีใครไม่พูดถึง Facebook ในหลายๆปีที่ผ่านมา การใช้ facebook ทำให้เราสามารถเจอเพื่อนเก่าที่ไม่ได้เจอกันนาน สามารถที่จะเจอและติดต่อกันได้
ด้วยความสะดวกตรงนี้จึงทำให้เกิดช่องทางของ Hacker ที่มักจะเอาข้อดีที่เกิดขึ้นนี้เป็นช่องทางสร้างความเป็นอันตรายต่อเหยื่อได้ ดังเช่นข่าวที่มาไม่เว้นแต่ละวัน
เพราะฉะนั้นในการ ป้องกันเบื้องต้น ก็จะมีอยู่ 4 ส่วน หลักๆ คือ
1. เรียนรู้ อบรมให้เกิดความเข้าใจ เรียนรู้ให้ทันปัจจุบัน (รู้เขา รู้เรา)
2. ความร่วมมือในองค์กร การศึกษาพร้อมความรู้ในการร่วมมือกัน
3. ให้เทคนิคบางอย่างให้เป็น
4. จะต้องรู้ว่าหากเกิดปัญหา แล้วจะต้องติดต่อใคร ในส่วนของผู้ดูแล
ทั้ง 4 ข้อนี้ สิ่งที่สำคัญที่สุดคือข้อแรก
เพราะ ความรู้ของแต่ละคนไม่เท่ากัน
หลักสำคัญในการทำให้เกิดความปลอดภัย ได้แก่ C I A ที่มีคนพูดถึงกันมากที่สุดสรุปง่ายๆก็คือ
อะไรก็ตามที่ทำให้เกิด 3 ตัวอักษรย่อนี้ คือ ความปลอดภัย
อะไรก็ตามที่ทำลาย 3 ตัวอักษรย่อนี้ คือ ความเสี่ยง
หากใครยังไม่ทราบว่า C I A คืออะไร จะอธิบายให้อ่านกันครับ
C (confidentiality) ความลับของข้อมูล คือข้อมูลที่ห้ามเปิดเผยให้ผู้ไม่มีสิทธิ์รู้
หากรู้ก็ไม่เรียกว่า ความลับ เช่น Password
I (integrity) ความสมบูรณ์ของข้อมูล คือ ข้อมูลจะต้องไม่ถูกเปลี่ยนแปลง คงอยู่ในรูปที่สมบูรณ์ที่สุด หรือข้อมูลที่เปลี่ยนแปลงล่าสุดโดยเจ้าของข้อมูลที่แท้จริง เช่น สมมติว่ามีข้อมูลเอกสารอยู่ใน Thumdrive แล้วดันลืมว่าทิ้งไว้ที่โต๊ะทำงาน แล้วพอดีว่าถูกเพื่อนร่วมงานเกลี่ยดขี้หน้าเข้า จึงได้เข้ามาเปลี่ยนข้อมูลในเอกสารนั้น โดยเราไม่รู้ตัว
A (available) ความพร้อมใช้งาน คือ ข้อมูลจะต้องสามารถเรียกใช้ได้ตลอดเวลา เช่น สมมติว่า Ebay ปิดระบบการทำงาน เป็นเวลา 5 นาที ลองคิดเล่นๆดูว่า Ebay จะขาดรายได้เท่าไร คำตอบคือ 1500 ล้านยูเอสดอลลาร์ หรือถูกโจมตีด้วย DDos ทำให้หยุดการให้บริการ เป็นต้น
ดังนั้น สิ่งที่ทำให้เกิดความเสี่ยงจึงเป็นเป้าหมายของ Hacker ที่จะโจมตีมี
1. System
2. Network
3. DDOS
4. Application
5. Data
ยกตัวอย่าง ความเสี่ยงที่เกิดขึ้น เช่น ระบบเอกสารทางราชการแห่งหนึ่ง ทำเอกสารเผยแพร่ให้ประชาชน เห็นผู้บรรยายบอกเป็นเหตุการณ์จริงแต่ได้แก้ไขไปแล้ว โดยทำเอกสารวิธีใช้ระบบแต่ดันใส่ ข้อมูล User และ Password ให้พร้อมอยู่ในเอกสาร ทำให้สามารถเข้าไปได้โดยไม่ต้อง Hack อะไร เพราะเป็นการบอกตรงๆอยู่แล้ว ถือเป็นความเสี่ยงอย่างมาก
แต่ก็ยังปิดอยู่ดีหากเข้าไปในระบบโดยไม่ได้รับอนุญาต ตามมาตรา 5 พรบ.คอมพิวเตอร์
ถ้าหากติดตามข่าว เมื่อ 2-3 ปีที่ผ่านมามักจะได้ยินข่าวของพวก Call Center กันใช่หรือไม่
เทคนิคของพวก Call Center ที่ชอบหลอกให้เหยื่อ โอนเงินให้ก็ใช้เทคนิคคล้ายๆกับ Ransomware เช่นกัน หรืออาจจะเรียกได้ว่า Call Center เป็นต้นแบบซะมากกว่า
เทคนิคที่ว่านั้น มีอยู่ 2 รูปแบบ คือ
1. ขู่ให้กลัว
2. หลอกให้ดีใจ
เช่น มาหลอกให้กลัวว่ามีคดีติดตัวอยู่ให้รีบดำเนินคดี โดยหลอกให้บอกข้อมูลส่วนตัว และ ให้จ่ายเงินเพื่อลดหย่อนโทษ คนที่กลัวจริงๆแล้วเชื่อก็ตกเป็นเหยื่อ
หรือ หลอกให้ดีใจ ก็อย่างเช่น ตัวปลอมของเจ้าของน้ำดื่มคาเฟอีนยี่ห้อหนึ่ง หลอกให้โอนเงินทรูมันนี้ โดยหลอกว่าคุณได้รับรางวัลจากการส่งชิงโชคฝาเครื่องดื่มเป็นต้น
สมัยนี้ก็ยังมีคนใช้และหากินแบบนี้อยู่ ไม่ว่าจะ Call Center หรือ facebook โดยจะซุ่มโจมตีโดยไม่เลือกเป้าหมาย จะเป็นใครก็ได้ขอแค่ติดกับเท่านั้น
ในยุคปัจจุบัน Hacker เลือกที่จะโจมตีเป้าหมายแบบเจาะจงมากขึ้น โดยใช้เครื่องมือในการโจมตี คือ Email
ซึ่งจะใช้เนื้อหาข้อมูลที่คิดว่า เป้าหมาย จะหลงกล ติดกับกด Virus ไปติดตั้งบนเครื่องคอมพิวเตอร์ของเหยื่อ เรียกเทคนิควิธีนี้ว่า Phishing ไม่ใช่ Virus แต่เป็นเทคนิค
ภาพนี้ได้เกริ่นไว้คร่าวๆก่อน ก่อนที่จะไปดูเรื่อง phishing
แต่จะมาดูกันว่า Hacker ใช้เทคนิคอะไรในการโจมตี Email กันบ้าง
1. Hacker จะใช้วิธีการเดา Password หรือ เทคนิคที่เรียกว่า Brute Force เดาพาสเวิร์ดไปเรื่อยๆ และ เก็บไว้ใน Password dictionary
2. Hacker ใช้เทคนิค Social Engineering เป็นการหลอกโดยการใช้จิตวิทยา ข่มขู่หลอกให้กลัว หลอกให้ดีใจเหมือนกับ Call Center ที่เล่าให้ฟังในตอนต้น
3. Hacker ใช้การโจมตีด้วย Malware พยายามหลอกโดยจิตวิทยา เหมือนกับ Social Engineering เหมือนกัน แต่ก็ไม่เหมือนซะทีเดียว เป็นการหลอกให้ กดลิ้งหรือไฟล์เอกสารที่แนบมากับ Email เพื่อให้ ไวรัสในเอกสารทำงาน
Malware หรือที่รู้จักกันดีก็คือ Malicious + Software เป็นการนิยามคำขึ้นใหม่ของ Virus หลากหลายรูปแบบ ทั้งหมดประมาณ 37 ชนิด
เช่น Worm Trojan จนมาถึงยุค Ransom นั้นเอง
http://www.komando.com/wp-content/uploads/2014/05/ransom.jpg
Ransomware
นิยามของไวรัสตัวนี้ เป็นซอร์ฟแวร์ที่ทำการข่มขู่ เพื่อต้องการอะไรบางอย่างจากเหยื่อ
วิธีการของมันจะมีอยู่ 2 รูปแบบ
1. Lock File
2. Lock Access OS
ซึ่งมันจะใช้ Algorithm ในการเข้ารหัส คือ RSA4096 โดยปกติการเข้ารหัสไฟล์ธรรมดา ใช้แค่ 256 bit ก็ถอดรหัสกันไม่ได้แล้ว
ซึ่งการเข้ารหัสตัวนี้ ถ้าจะถอดได้ก็ประมาณ 200 กว่าล้านปี ในการใช้เทคนิคต่างๆในการถอดรหัส
แล้วจะแก้กันอย่างไรล่ะ
https://i.kinja-img.com/gawker-media/image/upload/ibjn7rbcjlweni14hugp.png
Bitcoin คืออะไร??
สำหรับคนที่ยังไม่รู้จัก Bitcoin
Bitcoin เป็นสกุลชนิดใหม่ที่ตั้งขึ้นมาเป็นค่าเงินดิจิตอล เราจะต้องเอาเงินไทยบาทของเราแปลงเป็น สกุล bitcoin โดยการสมัครเป็น Account ของ Bitcoin หากซื้อสกุลเงินมากขึ้นเท่าไร ค่าเงินจะยิ่งสูงขึ้น ด้วยคนทั่วโลกสามารถใช้ได้ แต่ถ้าสกุลเงินนี้ถูกขาย ค่าเงินก็ลดลง คล้ายกับหุ้นนั่นแหละ
วิธีจ่ายเงินด้วย Bitcoin ให้กับ Hacker
1. สมัคร Account Bitcoin ก่อน
2. Hacker จะส่ง ID bitcoin ของ Hacker มาให้เหยื่อ
3. แปลง ไทยบาทเป็น Bitcoin
4. ส่งค่าเงินเข้า ID
5. Hacker ได้รับเงินก็จะส่ง Password กลับมา
ไม่มีใครสามารถที่จะตรวจสอบได้ว่า Bitcoin นี้เป็นของใคร
แต่ FBI ใช้เทคนิคนี้ ตรวจจับเจอว่า Bitcoin ID ที่ถูกโอนเข้าไป ถูกแลกเงินเมื่อไรเมื่อถูกแลกก็จะไปดักจับ คนแลกทันที
แต่คนโกงมักจะต้องนำตำรวจเสมอหนึ่งก้าว Hacker ใช้เทคนิคใหม่โดยการ ใช้ Bitcoin Mixer โดยการส่ง bitcoin ไปแลกกับคนอื่นก่อนที่จะแลกเงินกลับมา ขั้นตอนคือ จะแตก Bitcoin 10 Bitcoin เป็น 10,000 ส่วน แล้วแลกแต่ละส่วนไปยัง คน 10,000 คนทีมี bitcoin เมือแลกเสร็จแล้ว ก็จะไปแลกเงินออกมา วิธีนี้จึงไม่สามารถตรวจสอบได้ว่า Bitcoin ID นี้เป็นของใคร
แนะนำว่าให้ป้องกัน ก่อนที่ Hacker เหล่านี้จะทำธุรกิจเหล่านี้ได้ไปตลอด หรือไม่ต้องจ่ายเงินให้กับมัน
วิธีป้องกัน
1. Backup ข้อมูลอยู่เสมอ
2. ตรวจสอบ Email ก่อน
3. เปิด Stamp Filter
4. ติดตั้ง Antivirus
5. Ransomware checker
6. อัพเดท Patch
7. Disable macro office
ใช้เทคนิควิธีเหล่านี้ ก็อาจจะช่วยให้ป้องกัน Ransomware ได้ในระดับหนึ่งเท่านั้น
ถ้าหากใครอ่านแล้วชอบบทความนี้และเห็นว่ามีประโยชน์แล้วล่ะก็ ขอให้ช่วยกด Share บทความนี้ ให้เพื่อนๆได้อ่านและเข้ามากดไลค์เพจ ติดตามบทความกันได้ แล้วผู้เขียนจะเอาบทความดีๆแบบนี้มาแชร์ให้อย่างเสมอๆ ครับผม
ในยุคปัจจุบัน Hacker เลือกที่จะโจมตีเป้าหมายแบบเจาะจงมากขึ้น โดยใช้เครื่องมือในการโจมตี คือ Email
ซึ่งจะใช้เนื้อหาข้อมูลที่คิดว่า เป้าหมาย จะหลงกล ติดกับกด Virus ไปติดตั้งบนเครื่องคอมพิวเตอร์ของเหยื่อ เรียกเทคนิควิธีนี้ว่า Phishing ไม่ใช่ Virus แต่เป็นเทคนิค
ภาพนี้ได้เกริ่นไว้คร่าวๆก่อน ก่อนที่จะไปดูเรื่อง phishing
แต่จะมาดูกันว่า Hacker ใช้เทคนิคอะไรในการโจมตี Email กันบ้าง
1. Hacker จะใช้วิธีการเดา Password หรือ เทคนิคที่เรียกว่า Brute Force เดาพาสเวิร์ดไปเรื่อยๆ และ เก็บไว้ใน Password dictionary
2. Hacker ใช้เทคนิค Social Engineering เป็นการหลอกโดยการใช้จิตวิทยา ข่มขู่หลอกให้กลัว หลอกให้ดีใจเหมือนกับ Call Center ที่เล่าให้ฟังในตอนต้น
3. Hacker ใช้การโจมตีด้วย Malware พยายามหลอกโดยจิตวิทยา เหมือนกับ Social Engineering เหมือนกัน แต่ก็ไม่เหมือนซะทีเดียว เป็นการหลอกให้ กดลิ้งหรือไฟล์เอกสารที่แนบมากับ Email เพื่อให้ ไวรัสในเอกสารทำงาน
Malware หรือที่รู้จักกันดีก็คือ Malicious + Software เป็นการนิยามคำขึ้นใหม่ของ Virus หลากหลายรูปแบบ ทั้งหมดประมาณ 37 ชนิด
เช่น Worm Trojan จนมาถึงยุค Ransom นั้นเอง
Ransom = การข่มขู่
ตามยุคสมัยของ Virus นั้น ก็จะมี
ยุคแรก - ทำการก่อกวน ก็จะเป็น พวก Virus หรือ worm ที่นิยามกันในสมัยนั้น
ยุคถัดมา - ทำการขโมยข้อมูล เช่น password ข้อมูลเอกสาร ข้อมูลส่วนตัว
ยุดปัจจุบัน - ยุคแห่งการข่มขู่
Ransomware
นิยามของไวรัสตัวนี้ เป็นซอร์ฟแวร์ที่ทำการข่มขู่ เพื่อต้องการอะไรบางอย่างจากเหยื่อ
วิธีการของมันจะมีอยู่ 2 รูปแบบ
1. Lock File
2. Lock Access OS
ซึ่งมันจะใช้ Algorithm ในการเข้ารหัส คือ RSA4096 โดยปกติการเข้ารหัสไฟล์ธรรมดา ใช้แค่ 256 bit ก็ถอดรหัสกันไม่ได้แล้ว
ซึ่งการเข้ารหัสตัวนี้ ถ้าจะถอดได้ก็ประมาณ 200 กว่าล้านปี ในการใช้เทคนิคต่างๆในการถอดรหัส
แล้วจะแก้กันอย่างไรล่ะ
"อยากได้เงินใช่มั้ย จ่ายเงินมาสิ"
จึงเกิดคำถามอย่างมากมายว่า จ่ายแล้วจะได้รหัสคืนมามั้ย
อ้างอิงจากเพื่อนต่างชาติของ ผู้บรรยาย เขาบอกว่า ยังไม่เคยมีเคสไหนที่ไม่เคยได้คืน
ได้คืนหมด
การทำแบบนี้ก็เหมือนเป็นการทำธุรกิจ ดังนั้นหาก มีคนยอมจ่ายเงินเพราะข้อมูลมันสำคัญมากแล้วไม่ยอมให้รหัสแล้วละก็ ใครจะยอมจ่ายกันต่อล่ะ
Hacker ไม่ฆ่าหรือทำลายธุรกิจของตัวเอง
แต่
ต้องพยายามป้องกันและอย่าจ่ายเงินให้กับคนกลุ่มนี้
เพื่อให้ธุรกิจนี้ตายไปเอง
Ransomware มีหลาย Version ขึ้นอยู่กับว่า จะไปติด Version ไหน ถ้าโชคดีหน่อยก็อาจจะไปติด Version ที่มี Key ถอดรหัสแล้ว
แล้วติด Virus ชนิดนี้ได้ยังไงกันล่ะ??
Hacker มักจะใช้เทคนิคต่างๆ พยายามทำให้เหยื่อติดกับอย่างไร
เทคนิค Watering Hole Attack เทคนิคนี้ Hacker จะเข้าไป Hack Website ที่มีคนให้ความสนใจเป็นอย่างมากแล้วฝั่ง Ransmware เข้าไปใน Link เพื่อที่จะทำให้เหยื่อติด แบบเป็นกลุ่ม
เทคนิคนี้เปรียบได้กับ วัวที่มากินน้ำใน บ่อน้ำแล้วใส่ยาพิษลงไป กลุ่มวัวที่กินน้ำก็ตายหมู่
เทคนิค Spear Phishing จากที่ได้เกริ่นไปในตอนต้นว่า Phishing เป็นการหลอกเหยื่อด้วยการส่ง Email แต่เป็นการโจมตีแบบไม่เลือกหน้า แต่ส่วน Spear Phishing จะเป็นการส่ง Email โจมตีที่ฝั่ง Ransomware แบบเจาะจงบุคคล โดยใช้เทคนิคจิตวิทยา หลอกให้เชื่อจนหลงกล
ในการทำ Spear Phishing ไม่ใช่แค่การส่ง Email เท่านั้น จะมีทั้งแบบ ทำเว็บไซต์ปลอม อีกด้วย อย่างเช่นการปลอมเว็บไซต์ของ ธนาคาร
ตัวอย่าง
http://www.thepbodint.ac.th/news/uploads/SNAG-0055.png
วิธีป้องกัน
ในฝั่งของ USER ก็ให้ หมั่น
1.Update AntiVirus
2.Update Patch Windows
3.ScanVirus สม่ำเสมอ
ในฝั่งของ Admin ก็ให้
1.ปิดช่องโหว่ของระบบเซิร์ฟเวอร์เสมอ
2.Update Patch Application Server
3.Update Patch Server
4.ตรวจสอบ Traffic Network
5.ดูพฤติกรรมการทำงานของระบบของ Log File
คราวนี้มาดูการป้องกัน Spear Phishing แบบ Email กันบ้าง
เริ่มจากการสังเกตจะต้องมาดู การดู Email ให้เป็นว่าเป็น Email หลอกหรือเปล่า
1. ดูว่าใครส่ง (Address ที่คล้ายของจริง)
2. ดู Email Header
3. เนื้อหาที่ดูว่าเราเหมือนจะเกิดปัญหา เช่น Password หรือ User มีปัญหา และพยายามอธิบายการแก้ปัญหา โดยแนะนำให้กด Link เป็นต้น
Hacker ใช้เทคนิคที่ว่ามานี้ เมื่อเหยื่อติดกับแล้วจะเกิดอะไรขึ้นคราวนี้มาดูกันว่า Ransomware ทำอะไรต่อหลังจากทำให้ติดไวรัสตัวนี้แล้ว
เมื่อเหยื่อติดกับ Ransomware จะ Gennerate key file ขึ้นมาด้วย RSA4096 จากนั้นจะเก็บไฟล์ Password ไว้ในเครื่องของเหยื่อหรือ เอามาเก็บไว้ที่ Server ของ Hacker นั้นเองถ้าต่อ Internet
ทำไมจ่ายเงินแล้วตำรวจตามจับ Hacker ไม่ได้??
ก็เพราะว่า Hacker ให้จ่ายเงินเป็น Bitcoin
Bitcoin คืออะไร??
สำหรับคนที่ยังไม่รู้จัก Bitcoin
Bitcoin เป็นสกุลชนิดใหม่ที่ตั้งขึ้นมาเป็นค่าเงินดิจิตอล เราจะต้องเอาเงินไทยบาทของเราแปลงเป็น สกุล bitcoin โดยการสมัครเป็น Account ของ Bitcoin หากซื้อสกุลเงินมากขึ้นเท่าไร ค่าเงินจะยิ่งสูงขึ้น ด้วยคนทั่วโลกสามารถใช้ได้ แต่ถ้าสกุลเงินนี้ถูกขาย ค่าเงินก็ลดลง คล้ายกับหุ้นนั่นแหละ
วิธีจ่ายเงินด้วย Bitcoin ให้กับ Hacker
1. สมัคร Account Bitcoin ก่อน
2. Hacker จะส่ง ID bitcoin ของ Hacker มาให้เหยื่อ
3. แปลง ไทยบาทเป็น Bitcoin
4. ส่งค่าเงินเข้า ID
5. Hacker ได้รับเงินก็จะส่ง Password กลับมา
ไม่มีใครสามารถที่จะตรวจสอบได้ว่า Bitcoin นี้เป็นของใคร
แต่ FBI ใช้เทคนิคนี้ ตรวจจับเจอว่า Bitcoin ID ที่ถูกโอนเข้าไป ถูกแลกเงินเมื่อไรเมื่อถูกแลกก็จะไปดักจับ คนแลกทันที
แต่คนโกงมักจะต้องนำตำรวจเสมอหนึ่งก้าว Hacker ใช้เทคนิคใหม่โดยการ ใช้ Bitcoin Mixer โดยการส่ง bitcoin ไปแลกกับคนอื่นก่อนที่จะแลกเงินกลับมา ขั้นตอนคือ จะแตก Bitcoin 10 Bitcoin เป็น 10,000 ส่วน แล้วแลกแต่ละส่วนไปยัง คน 10,000 คนทีมี bitcoin เมือแลกเสร็จแล้ว ก็จะไปแลกเงินออกมา วิธีนี้จึงไม่สามารถตรวจสอบได้ว่า Bitcoin ID นี้เป็นของใคร
แนะนำว่าให้ป้องกัน ก่อนที่ Hacker เหล่านี้จะทำธุรกิจเหล่านี้ได้ไปตลอด หรือไม่ต้องจ่ายเงินให้กับมัน
วิธีป้องกัน
1. Backup ข้อมูลอยู่เสมอ
2. ตรวจสอบ Email ก่อน
3. เปิด Stamp Filter
4. ติดตั้ง Antivirus
5. Ransomware checker
6. อัพเดท Patch
7. Disable macro office
ใช้เทคนิควิธีเหล่านี้ ก็อาจจะช่วยให้ป้องกัน Ransomware ได้ในระดับหนึ่งเท่านั้น
ถ้าหากใครอ่านแล้วชอบบทความนี้และเห็นว่ามีประโยชน์แล้วล่ะก็ ขอให้ช่วยกด Share บทความนี้ ให้เพื่อนๆได้อ่านและเข้ามากดไลค์เพจ ติดตามบทความกันได้ แล้วผู้เขียนจะเอาบทความดีๆแบบนี้มาแชร์ให้อย่างเสมอๆ ครับผม
