เมื่อสัปดาห์ที่แล้ว เกิดกรณีที่ช่อง YouTube ในเครือ Linus Media Group ที่มียอดผู้ติดตามรวมกันกว่า 20 ล้านคน ถูกแฮกเพื่อนำไปเผยแพร่ลิงก์ของเว็บไซต์หลอกให้ลงทุนคริปโทเคอร์เรนซีโดยอ้างชื่อของ อีลอน มัสก์ (Elon Musk)
มิหนำซ้ำยังมีการลบคลิปที่มีอยู่ในช่องด้วย จนถูก YouTube แบนไปในที่สุด ก่อนจะกู้คืนกลับมาได้ในเวลาต่อมา
ประเด็นสำคัญคือการที่เจ้าของช่องใช้มาตรการรักษาความมั่นคงปลอดภัยที่รัดกุมด้วยการยืนยันตัวตนแบบ 2 ปัจจัย (Two-factor Authentication – 2FA) แล้ว แต่ทำไมยังเกิดเหตุการณ์เช่นนี้ได้
อะไรคือ 2FA
2FA คือรูปแบบการรักษาความมั่นคงปลอดภัยที่บังคับให้ต้องใช้ 2 ปัจจัยในการยืนยันตัวตนที่แตกต่างกันออกไป โดยปัจจัยนั้น ๆ อาจเป็นข้อความแจ้งเตือน แอปยืนยันตัวตน เบอร์โทรศัพท์ หรืออีเมล
จุดประสงค์ของ 2FA ก็เพื่อเพิ่มความรัดกุมในการรักษาความปลอดภัยข้อมูลหรือระบบโครงข่ายของผู้ใช้งาน โดยการเพิ่มความยุ่งยากให้กับอาชญากรที่ประสงค์จะเข้าทำการแฮก
รอยรั่วของ 2FA
อย่างไรก็ดี แม้ 2FA จะเป็นมาตรการที่จำเป็นในการรักษาความปลอดภัย แต่ก็ไม่ได้แปลว่าจะไม่มีจุดอ่อนเลย เช่นเดียวกับมาตรการอื่น ๆ
แฮกเกอร์สามารถขโมยข้อมูลล็อกอินของผู้ใช้ที่เปิดใช้งาน 2FA ได้โดยการแฮกปัจจัยที่ใช้ในการยืนยันตัวตน ไม่ว่าจะเป็นการแฮกเครือข่ายโทรศัพท์ แฮกอีเมล หรือส่งข้อความปลอมเข้าไปยังอุปกรณ์ของเหยื่อ
อย่างไรก็ดี กรณีที่เกิดขึ้นกับ Linus Media Group ง่ายดายกว่านั้นมาก
Token ข้อมูลล็อกอินถูกขโมย
ไลนัส เซบาสเตียน (Linus Sebastien) เจ้าของ Linus Media Group เผยว่าแฮกเกอร์สามารถเจาะเข้ามายังบัญชี YouTube ของทางช่องได้จากการที่พนักงานรายหนึ่งไปดาวน์โหลดไฟล์ที่ดูเหมือนกับไฟล์ PDF จากอีเมลที่อ้างว่ามาเสนอตัวเป็นสปอนเซอร์ให้กับช่อง
อย่างไรก็ดี ความผิดปกติอยู่ที่เมื่อเปิดไฟล์เข้าไปแล้วกลับไม่ได้มีเนื้อหาอะไร อีกทั้งยังทำงานเหมือนไฟล์ Executable (.exe) แทนที่จะเป็น PDF เหมือนที่มันอ้าง ผู้ที่เปิดไฟล์ก็ไม่ได้เอะใจอะไร จนกระทั่งเกิดเรื่องขึ้น
มัลแวร์ที่มากับไฟล์ตัวนี้ทำการล้วงข้อมูลผู้ใช้จากเบราว์เซอร์ทั้งหมดที่ติดตั้งอยู่ในอุปกรณ์ ซึ่งรวมถึง Session Token ที่เก็บข้อมูลล็อกอิน (ชื่อผู้ใช้และรหัสผ่าน) เว็บไซต์ต่าง ๆ ของเขาออกไปได้
ทำให้แฮกเกอร์รายนี้สามารถล็อกอินเข้าไปยังบัญชีของ Linus บนเว็บไซต์ต่าง ๆ โดยไม่จำเป็นต้องกรอกข้อมูลล็อกอิน หรือไม่ต้องแฮกปัจจัยที่ใช้ใน 2FA ด้วยซ้ำ
ไฟล์ตัวนี้ยังสามารถรอดจากการตรวจจับของซอฟต์แวร์ต้านไวรัส (AV) ก็เพราะมีขนาดใหญ่หลายร้อยเมกะไบต์ ซึ่งการจะสแกนไฟล์ที่ใหญ่โตขนาดนี้จำเป็นต้องใช้ทรัพยากรจำนวนมหาศาล ดังนั้น AV ส่วนใหญ่จึงมักจะข้ามการสแกนไป
แต่เหตุที่มันใหญ่ขนาดนี้ก็เพราะว่ามีการใส่เนื้อที่ว่างเข้าไปในเนื้อหาของไฟล์ โดยหากลบพื้นที่ว่างเหล่านี้แล้วไฟล์จะมีขนาดเหลือเพียงไม่ถึง 300 กิโลไบต์เท่านั้น
ต้องดูแหล่งที่มาของไฟล์ให้ดี ๆ
เริ่มแรกที่ต้องระวังคือการเปิดอีเมลที่ไม่มั่นใจถึงแหล่งที่มา ต้องดูให้ถี่ถ้วนว่าผู้ส่งอีเมลมีความน่าเชื่อถือมากพอหรือไม่ โดยดูจากชื่อผู้ส่ง และชื่อโดเมนของอีเมลที่มาในลักษณะของชื่อองค์กร (เช่น @fb.com) หรือชื่อผู้ให้บริการอีเมล (@gmail.com) ว่าสอดคล้องกับองค์กรที่ผู้ส่งอ้างว่าอยู่หรือไม่ รวมถึงยังต้องคอยสังเกตความผิดปกติในส่วนอื่น โดยเฉพาะการสะกดคำ และเนื้อหา
ต่อมาที่ต้องระวังคือการดาวน์โหลดและการแตกไฟล์ ZIP ที่มากับอีเมล ซึ่งมีความเสี่ยงที่จะมีมัลแวร์แฝงอยู่ในนั้น หากมาจากผู้ส่งที่ไม่น่าไว้ใจ
แต่หากดาวน์โหลดไฟล์เหล่านี้มาแล้ว ก็ต้องเริ่มเอะใจเมื่อไฟล์ไม่ได้ทำงานหรือมีเนื้อหาตามที่ผู้ส่งอ้างว่ามันเป็น เช่น ไฟล์ Word ไม่ควรจะรันสคริปต์ หรือเปิด cmd ขึ้นมา เป็นต้น
นามสกุลไฟล์ชี้เป็นชี้ตายได้
อีกทั้งยังต้องดูนามสกุลของไฟล์ (extension) ให้ถี่ถ้วน ส่วนใหญ่มัลแวร์มักจะมากับไฟล์ในรูปแบบ executable ที่มีนามสกุล .exe
แต่มีหลายกรณีที่ไฟล์ .exe มักจะพยายามแต่งองค์ทรงเครื่องให้ดูเหมือนว่าเป็นไฟล์ประเภทอื่น อย่างในกรณีที่เกิดขึ้นเป็นการปลอมตัวเป็นไฟล์ PDF
โดยผู้ใช้งานสามารถเข้าคลิกเข้าไปดูนามสกุลของไฟล์ได้โดยการเข้าไปดูในข้อมูลของไฟล์นั้น ๆ สำหรับ Mac จะอยู่ File > Get Info จากนั้นเข้าไปดูใน Name & Extension สำหรับผู้ใช้ Windows 11 ดูได้โดยการคลิกขวาที่ไฟล์ จากนั้นเลือก Properties > General ดูที่ Type of file
แต่ผู้ใช้งานก็สามารถเปิดตัวเลือกการตั้งค่าให้มีการแสดงนามสกุลของไฟล์อยู่ตลอด
ในกรณี Mac ให้คลิกที่ Finder จากนั้นเลือก Finder > Settings คลิกที่ Advanced และกดที่ตัวเลือก Show all filename extensions ขณะที่ผู้ใช้ Windows 11 ให้ไปที่ File Explorer > View > Show จากนั้นเลือก File name extensions
นอกจากนามสกุลไฟล์แล้ว จะต้องดูด้วยว่าไฟล์ที่ดาวน์โหลดมานี้มีเนื้อหากับขนาดสอดคล้องกันหรือไม่ คิดดูง่าย ๆ ว่าหากผู้ส่งอีเมลอ้างว่าไฟล์ที่แนบมาด้วยเป็นเอกสารสัญญา หรือใบเสนอราคา คงเป็นไปได้น้อยมากที่จะมีขนาดถึง 100 เมกะไบต์แน่นอน
แม้ว่า 2FA ยังมีช่องโหว่อยู่มาก แต่การเปิดใช้ 2FA ก็ช่วยเพิ่มความปลอดภัยให้กับบัญชีและข้อมูลของผู้ใช้ได้มากพอสมควร ซึ่งก็ต้องมาพร้อมกับการระแวดระวังภัยในรูปแบบอื่น ๆ ด้วย
ที่มา techtarget, Microsoft Security, สพธอ., Linus Tech Tips
พิสูจน์อักษร : สุชยา เกษจำรัส