ก่อนทิ้งขยะ คัดให้ดี เมื่อข้อมูลในขยะอาจย้อนกลับมาทำร้ายผู้ทิ้ง จนชีวิตล่มจมได้

ขยะที่เราทิ้งอย่างไม่เหลียวแลอาจเป็นสมบัติอันล้ำค่าของเหล่าอาชญากร ซึ่งอาจนำภัยทั้งทางอ้อมและทางตรงมาสู่ผู้ทิ้งได้

ในขยะเอกสารที่ทิ้งอาจมีทั้งข้อมูลการทำธุรกรรม เลขบัตรเครดิต ที่อยู่ เบอร์โทรศัพท์ หรือแม้แต่เลขบัตรประชาชน ไปจนถึงรหัสผ่าน และข้อมูลล็อกอิน

สืบตัวตนจากขยะ

ข้อมูลเหล่านี้ด้วยตัวเองมันเองอาจจะไม่ได้มีอะไรน่ากังวล แต่อาชญากรสามารถนำไปประกอบกันเพื่อกระทำผิดกฎหมายในรูปแบบต่าง ๆ โดยเฉพาะการขโมยตัวตน และฉ้อโกงทางการเงิน

จอห์น ฮอฟฟ์แมน (John Hoffman) เขียนในหนังสือ The Art & Science of Dumpster Diving ว่าขยะสามารถบ่งบอกทุกสิ่งทุกอย่างเกี่ยวกับคนหนึ่งคน ตั้งแต่การกิน ที่ทำงาน ร้านที่ชอบไป รายได้ ไปจนถึงงานอดิเรก และกิจวัตรประจำวัน

ลองนึกง่าย ๆ ใบเสร็จจากร้านสะดวกซื้ออาจมีทั้งชื่อและหมายเลขสมาชิกของผู้ซื้อ หรือเอกสารเรียกเก็บเงินค่าบัตรเครดิตที่มีทั้งประวัติการซื้อของ และข้อมูลส่วนหนึ่งของเลขบัตรเครดิตอยู่

ใบเสร็จเดียวกันนี้เองก็บ่งบอกถึงไลฟ์สไตล์ของเจ้าของผ่านรายละเอียดของสิ่งของที่ซื้อและเวลาที่ซื้อ

ในไทยยังพบการนำเอกสารที่ไม่ใช้แล้วไปห่อกล้วยแขก ขนมไข่นกกระทา และอีกมากมาย ซึ่งหลายครั้งก็พบว่าเป็นเอกสารที่มาจากหน่วยงานราชการ บางครั้งถึงขั้นพบว่าเป็นสำเนาบัตรประชาชนเลยก็มี

การคุ้ยขยะเป็นศาสตร์

ในหนังสือ Social Engineering ของ โรเบิร์ต เกห์ล (Robert Gehl) และ ชอน ลอว์สัน (Sean Lawson) เผยว่าอาชญากรและแฮกเกอร์รวบรวมข้อมูลจากถังขยะเพื่อนำไปปลอมตัวเป็นพนักงานเพื่อหลอกถามข้อมูลจากบริษัทที่พนักงานรายนี้ทำงานอยู่ได้

ตัวอย่างสำคัญคือกรณีของกลุ่มแฮกเกอร์ Masters of Deception ที่นำข้อมูลที่เก็บจากถังขยะไปหลอกพนักงานในบริษัทโทรคมนาคมแห่งหนึ่งในสหรัฐฯ ได้อย่างแนบเนียน

ศาสตร์ของการเก็บเกี่ยวข้อมูลจากถังขยะหรือที่เรียกในสหรัฐฯ ว่า Dumpster Diving ไปไกลถึงขั้นมีการตีพิมพ์เป็นคู่มือการคุ้ยขยะเพื่อเอาข้อมูล ซึ่งป้จจุบันก็หาดูในแพลตฟอร์มอย่าง YouTube ได้ไม่ยาก

ยกตัวอย่างคู่มือฉบับหนึ่งที่ตีพิมพ์ในปี 1984 ที่สอนตั้งแต่การสังเกตกระบวนการเก็บขยะ การรักษาความปลอดภัย วิธีการเดินทาง สิ่งที่ควรเลี่ยง และวิธีการเก็บขยะที่ได้ผลลัพธ์ดีที่สุด

ขยะสู่การโจมตีไซเบอร์

แม้อาจฟังดูตลก แต่การคุ้ยขยะถือเป็นหนึ่งในกลวิธีของการก่ออาชญากรรมไซเบอร์ที่แฮกเกอร์นิยมใช้ในการหาข้อมูลเกี่ยวกับเหยื่อจริง ๆ

ข้อมูลจากกระทรวงยุติธรรมสหรัฐอเมริกาเผยว่า ช่องทางที่มีโอกาสนำไปสู่การขโมยตัวตนที่สุดคือการทิ้งจดหมายที่มีบัตรเครดิตที่ได้รับการอนุมัติล่วงหน้า (Pre-Approved Credit Card) โดยที่ไม่ทำลายก่อน

นอกจากการขโมยตัวตนบนโลกออนไลน์แล้ว ข้อมูลที่ได้จากขยะยังนำไปใช้เป็นเครื่องมือในการโจมตีทางไซเบอร์ต่อไปได้ด้วย

จิม สทิกลีย์ (Jim Stickley) ผู้เชี่ยวชาญด้านไซเบอร์ที่รับจ้างการหาจุดบกพร่องของธุรกิจต่าง ๆ นำข้อมูลการเรียกเก็บเงินจากผู้ให้บริการอินเทอร์เน็ตที่เจอในถังขยะไปลองแฮกบรรดาผู้จัดการธนาคารแห่งหนึ่ง

สทิกลีย์ใช้ข้อมูลที่รวบรวมมาได้สวมรอยเป็นผู้ให้บริการอินเทอร์เน็ตและหลอกให้เป้าหมายติดตั้งซอฟต์แวร์ตัวใหม่ ซึ่งจริง ๆ แล้วเป็นมัลแวร์

ผลปรากฎว่าผู้จัดการทุกคนตกเป็นเหยื่อของมัลแวร์ชนิดนี้หมด โดยไม่มีใครสงสัยแม้แต่น้อย สทิกลีย์ใช้มัลแวร์เป็นช่องทางล้วงข้อมูลทั้งหมดที่มีในอุปกรณ์ของเป้าหมาย มีทั้งข้อมูลล็อกอินระบบใช้งานภายในบริษัท และล็อกอินของ VPN สำหรับเชื่อมต่อโดยตรงไปที่ระบบภายใน

คิดให้ดีก่อนทิ้ง

ไม่เพียงแต่การทิ้งขยะในที่อยู่อาศัยเท่านั้นที่อาจสร้างปัญหา แต่การทิ้งขยะในที่สาธารณะอย่างไม่ระวังอาจเป็นการมอบข้อมูลส่วนตัวใส่พานให้โจรโดยไม่รู้ตัว

วิธีการป้องกัน ‘การขโมยขยะ’ ที่ง่ายที่สุดคือการแยกขยะเอกสารที่มีข้อตัวส่วนตัวออกจากขยะทั่วไปก่อนนำไปทิ้ง ไม่ให้เหลือร่องรอยข้อมูลที่จะมาระบุตัวตนได้

เมื่อเราเข้าใจขยะที่เราทิ้ง ตระหนักว่ากระดาษแผ่นเล็ก ๆ สามารถทำชีวิตเราพังได้ และเข้าใจการทิ้งอย่างรอบคอบ ก็จะยิ่งทำให้ชีวิตเราปลอดภัยหายห่วง

ที่มา MIT Press, Norton, Shredit, ข่าวสด, Today, Home Security Heroes, Williams Asset Management