กรุงเทพฯ--16 ต.ค.--คอร์ แอนด์ พีค
ปัจจุบันเรื่องราวของภัยออนไลน์ในชีวิตจริงนั้นเกิดขึ้นได้ง่ายกว่าที่หลายคนคาดคิดไว้ โดยเฉพาะเมื่อระบบคอมพิวเตอร์ที่เป็นเป้าหมายของการโจมตีนั้นไม่ได้มีการเตรียมพร้อมรับมืออาชกรคอมพิวเตอร์อย่างเต็มที่
สำหรับรูปแบบของการโจมตีจะเริ่มจากการที่อาชญากรหรือกลุ่มอาชญากรส่งอีเมล์เชิญชวนให้ผู้รับเข้าไปเยี่ยมชมเว็บไซต์ โดยที่อาจมีผู้รับบางคนเลือกที่จะเข้าไปเยี่ยมชมเว็บไซต์ดังกล่าว เมื่อเข้าไปแล้ว ผู้เข้าเยี่ยมเว็บไซต์รายนั้นจะไม่รู้ตัวเลยว่าคอมพิวเตอร์ของตนได้ติดโปรแกรมช่วย ดาวน์โหลด (downloader) มาแล้ว หลังจากที่โปรแกรมช่วยดาวน์โหลดได้รับการติดตั้งลงในคอมพิวเตอร์ของเหยื่อ อาชญากรก็จะมีช่องทางที่จะรับรู้การจราจรภายในเครือข่ายที่คอมพิวเตอร์ที่ติดเชื้อนั้นเชื่อมต่อด้วยได้
นายแจมซ์ ยาเนซ่า นักวิเคราะห์อาวุโสด้านภัยคุกคาม บริษัท เทรนด์ ไมโคร กล่าวเปิดเผยว่า “จริงๆ แล้ว พวกอาชญากรไม่ได้ต้องการควบคุมทั้งเครือข่าย แต่พวกเขาต้องการเพียงเส้นทางที่จะใช้รวบรวมหรือปรับเปลี่ยนข้อมูลโดยใช้คอมพิวเตอร์ที่ติดเชื้อแค่เครื่องเดียวก็สามารดำเนินการได้แล้วพวกเขาจะมองหาไฟล์แผ่นคำนวณ (Spreadsheet) เมื่อพบตัวเลขที่ต้องการ ก็จะดำเนินการเพิ่มเลขศูนย์ลงไป โดยเฉพาะในกรณีที่เป็นธนาคาร พวกเขาสามารถเข้าไปและเพิ่มศูนย์ไม่กี่ตัวลงในยอดเงินที่พบและจัดการโอนเงินจำนวนนั้นมายังบัญชีของตัวเองได้ วิธีการดังกล่าวอาจดูไม่เหมือนกับการทำงานขององค์กรอาชญกร แต่จะเหมือนกับพนักงานทุจริตรายใดรายหนึ่งในองค์กรเท่านั้น”
“เรื่องในทำนองนี้เกิดขึ้นจริงแล้ว เหตุการณ์เริ่มต้นจากอีเมลที่มีการเชื่อมโยงไปยังเว็บไซต์แห่งหนึ่งที่แฝงโค้ดร้ายบางอย่างอยู่ โดยมีพนักงานรายหนึ่งของบริษัทแห่งหนึ่งในมาเลเซียได้เข้าไปเยี่ยมชมเว็บไซต์ดังกล่าว และคลิกลิงค์ ซึ่งทำให้โปรแกรมช่วยดาวน์โหลดถูกปล่อยไว้ในคอมพิวเตอร์ของพนักงานรายนั้นโดยไม่รู้ตัว”
ถ้าโปรแกรมป้องกันไวรัสที่ทันสมัยได้รับการติดตั้งในคอมพิวเตอร์ของพนักงานรายนั้น จะมีการตรวจจับโปรแกรมช่วยดาวน์โหลดนั้นได้ แต่ไม่ใช่ในกรณีนี้ เนื่องจากบริษัทดังกล่าวเลือกใช้เฉพาะผลิตภัณฑ์อย่างใดอย่างหนึ่ง ที่ไม่ได้เป็นชุดผลิตภัณฑ์หรืออุปกรณ์รักษาความปลอดภัยเครือข่าย ไม่มีการป้องกันที่ระดับเกตเวย์ ระดับการป้องกันก็ไม่ได้มีหลายชั้น และบริษัทของพนักงานรายดังกล่าวได้ตกอยู่ภายใต้การควบคุมของผู้ที่เป็นเจ้าของเว็บไซต์วายร้ายแล้วในตอนนี้
“ในเบื้องต้นโปรแกรมช่วยดาวน์โหลดจะมีตัวสร้างอักขระแบบสุ่ม” นายแจมซ์ กล่าว และว่า “ทุกครั้งที่มีการเข้าไปยังเว็บไซต์แห่งนั้น พารามิเตอร์ใหม่จะถูกสร้างขึ้นและนำไปใช้ยังส่วนท้ายของลิงค์ เมื่อพารามิเตอร์เปลี่ยนแปลง ชนิดของการดาวน์โหลดก็จะเปลี่ยนแปลงตามไปด้วย” บนเว็บไซต์ดังกล่าวจะมีโปรแกรมหนึ่งที่ทำหน้าที่คอยป้อนพารามิเตอร์สำหรับกำหนดชนิดของไฟล์ที่จะให้เหยื่อดาวน์โหลดไปโดยไม่รู้ตัว
“เราพบว่าโปรมแกรมช่วยดาวน์โหลด แบ็คดอร์ (backdoor) สปายแวร์ มีการเปลี่ยนแปลงอยู่ตลอดเวลา” นายแจมซ์ กล่าว “มันเป็นมัลแวร์ที่ไม่เปิดเผยตัวจึงยากที่จะกำจัดทิ้งได้ เพราะทุกครั้งที่มีการดาวน์โหลด ก็จะมีการเปลี่ยนแปลงชนิดของไฟล์ จึงมีความเป็นไปได้สูงที่มัลแวร์ร้ายจะไม่ถูกตรวจจับ เนื่องจากเป็นตัวใหม่ และมักจะมีการเข้ารหัสไว้เสมอ”
อย่างไรก็ตาม ภัยคุกคามดังกล่าวสามารถป้องกันได้ด้วยการสแกนชิ้นย่อย (packet) ของข้อมูลแต่ละชิ้นที่ถูกส่งผ่านเข้ามาทางพอร์ต 80 (Port 80) ซึ่งเป็นพอร์ต (http) บราวเซอร์ของคุณ โดยไฟร์วอลล์จะไม่หยุดการโจมตีในลักษณะนี้ เนื่องจากไฟร์วอลล์ถูกตั้งค่าให้บราวเซอร์สามารถเข้าถึงเว็บไซต์ต่างๆ ได้
“มันยากสำหรับระบบอีคอมเมิร์ซที่จะปิดกั้นการเข้าถึงเว็บได้ เนื่องจากทุกคนต้องการจะท่องเว็บอยู่แล้ว” นายยาเนซ่ากล่าว แม้ว่าเหยื่อในมาเลเซียจะเชื่อว่าการโจมตีครั้งนี้เป็นการโจมตีแบบมีเป้าหมาย แต่จริงๆ แล้วไม่ใช่ เพราะมีองค์กรในประเทศอื่นๆ ที่ระบบไม่ได้มีการป้องกันอย่างเต็มที่ก็เจอกับการโจมตีในลักษณะนี้เช่นกัน
การโจมตีแบบมีเป้าหมายนี้ไม่ได้ขึ้นอยู่กับขนาดของเหยื่อจำนวนมาก อย่างเช่น ไวรัส Blaster ก็เป็นหนึ่งในรูปแบบการโจมตีแบบมีเป้าหมายที่พุ่งเป้าไปที่ศูนย์โปรแกรมปรับปรุงของ Microsoft.com แต่ไม่ได้หวังผลทางการเงินแต่อย่างใด
เมื่อการโจมตีเริ่มกำหนดเป้าหมายขึ้นมา ขอบเขตของการโจมตีอาจมีขนาดใหญ่หรือเล็กก็ได้ ขึ้นอยู่กับจำนวนของเหยื่อที่ติดกับ การตั้งเป้าหมายคุกคามไปที่ลูกค้า Citibank, Amazon หรือ PayPal จะทำให้อาชญากรออนไลน์ได้เหยื่อที่มีศักยภาพและเป็นกลุ่มที่ใหญ่กว่าธนาคารท้องถิ่นที่อาจมีเหยื่อติดกับเพียงไม่กี่ร้อยรายเท่านั้น
อัตราความสำเร็จของการโจมตีจะเพิ่มตามสัดส่วนของขนาดบริษัทหรืออุตสาหกรรมที่กำลังตกเป็นเป้าหมาย ยิ่งมีจำนวนคนที่เป็นเป้าหมายมากเท่าไร โอกาสที่จะมีการเปิดอีเมลลวงหรือคลิกลิงค์ก็จะมีมากขึ้นตามลำดับ
ส่วนประกอบของการโจมตีแบบมีเป้าหมายไม่ได้จำกัดด้วยเทคนิคเดียว การโจมตีแบบมีเป้าหมายสามารถรวบรวมรหัสผ่านได้ด้วยการดำเนินการเพียงครั้งเดียว สามารถย้ายตัวเลขยอดเงินจำนวนมากไปยังบัญชีธนาคารอื่น หรือดำเนินการอย่างช้าๆ ในจำนวนเงินไม่มากนัก อย่างที่หนอนร้าย SoBig ได้เปิดประตูหลัง (Backdoor) ทิ้งไว้และจัดการทำลายตัวเองในเวลาไม่กี่วันหลังจากนั้น ซึ่งเป็นตัวอย่างของมัลแวร์ที่มีการจำกัดเวลาหรือการดำเนินการของตนเพื่อให้รอดจากการตรวจจับได้
ผู้โจมตีต้องกำหนดเป้าหมายของการโจมตีก่อนเปิดฉากจู่โจม การเข้าควบคุมเป้าหมาย การส่งผ่านข้อมูลหรือการปรับเปลี่ยนข้อมูล และการยึดฐานที่มั่นหรือทำลายตัวเอง ไม่ว่าการโจมตีจะใช้เวลานานแค่ไหน ผลลัพธ์ที่ต้องการจะอยู่ในรูปของรายได้ปกติหรือเงินก้อน แต่หลังจากที่บรรลุผลตามเป้าหมายแล้ว ยุทธศาสตร์การหลบฉากของผู้โจมตีจะถูกลบและหายไปได้โดยไม่ทิ้งร่องรอยไว้
เมื่อต้องการป้องกันตัวเองจากการโจมตีแบบมีเป้าหมายนี้ โปรดตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันความปลอดภัยในระบบของคุณนั้นทันสมัยอยู่เสมอ ถ้าคุณเป็นผู้ดูแลเครือข่าย ให้แน่ใจว่ามีโซลูชันที่เหมาะสมที่สามารถป้องกันมัลแวร์ได้ที่ระดับเกตเวย์อินเทอร์เน็ต และอย่าเชื่อมั่นในเทคโนโลยีรักษาความปลอดภัยของระบบที่คุณมีมากนัก ลบอีเมลจากคนแปลกหน้าและอย่าคลิกลิงค์แปลกๆ ที่ส่งมาจากคนที่คุณไม่รู้จัก
บริษัท เทรนด์ ไมโคร อิงค์
บริษัท เทรนด์ ไมโคร อินคอร์ปอเรท เป็นผู้บุกเบิกด้านการจัดการเนื้อหาและภัยคุกคาม ซึ่งก่อตั้งในปี 1988 บริษัท เทรนด์ ไมโคร ได้จัดเตรียมซอฟต์แวร์ ฮาร์ดแวร์ และบริการด้านความปลอดภัยที่ได้รับรางวัลให้กับองค์กรในทุกขนาดและส่วนบุคคล โดยบริษัทมีสำนักงานใหญ่ตั้งอยู่ ณ กรุงโตเกียว ประเทศญี่ปุ่น และมีหน่วยธุรกิจกว่า 30 ประเทศ โซลูชันของบริษัท เทรนด์ ไมโคร จำหน่ายไปยังองค์กรธุรกิจ ตัวแทนจำหน่ายแบบมูลค่าเพิ่ม และผู้ให้บริการทั่วโลก สำหรับข้อมูลเพิ่มเติมและชุดทดลองใช้งานผลิตภัณฑ์และบริการจากบริษัท เทรนด์ ไมโคร เยี่ยมชมได้ที่ เว็บไซต์ www.trendmicro.com
สอบถามรายละเอียดเพิ่มเติมติดต่อ:
คุณศรีสุพัฒ เสียงเย็น และคุณบุษกร สนธิกร ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 02-439-4600 ต่อ 8202, 8300
อีเมล์ busakorns@corepeak.com , srisuput@corepeak.com