O.MG Cable รู้ไว้ก็ดี แต่อย่างกังวลมาก
สรุปเรื่องเกี่ยวกับ สายมหัศจรรย์ไว้หน่อยดีกว่า
O.MG Cable คืออะไร
จริงๆ แล้ว มันเป็น Product เพื่อศึกษาเรื่อง Security นะ จัดทำโดย มือ Security ชื่อว่า MG กับ ทีม Hak5 ซึ่งคำว่า MG ก็มาจาก ชื่อ อีตาคนนี้ นั่นเอง
โดยที่มาของตัวนี้ มันมีแรงบันดาลใจมาจาก อุปกรณ์ ของ NSA ที่มัน Leaked ออกมา โดยอันนี้ทำไว้เพื่อการศึกษา เลยเอา Wifi ใส่และมี หน้าเว็บ เพื่อความสะดวกในการใช้งาน
มองภาพเหมือนกับ ว่าเราเอา computer มาคั่นระหว่างสาย แล้วให้ คนที่เชื่อมกับระบบ สามารถส่งข้อมูลได้ก็ได้ครับ
แต่ทีนี้ ข้อมูลที่ส่งมันส่งอะไรได้บ้าง
คำตอบคือ ด้วยระบบรักษาความปลอดภัยของ OS เอง ที่มีมาตรการป้องกันความปลอดภัยที่ดีในปัจจุบัน มันทำได้อย่างมากสุดที่จะไม่เปิดความผิดปกติ คือ เป็น I/O Device เช่น คีย์บอร์ด หรือ Mouse เท่านั้นเอง
แต่ถ้าหลายคนเห็นรูปการใช้งาน + ส่ง payload เข้าไปแล้ว จะรู้สึกว่า มันใช่เหรอ ที่เป็นแค่คีย์บอร์ด ก็ยังคงบอกอย่างนั้นครับ เพียงแต่ คนทั่วไป เวลาใช้ Smart phone ไม่ได้ใช้ Keyboard ในงานประเภทเรียก application เท่านั้นเอง พวกนี้ ถ้าต่อ keyboard ปกติ แล้วรู้ท่ากด (ดูใน tutorial หรือ manual ของ OS) มันก็สามารถทำได้ไม่ยาก
อย่างไรก็ตาม เนื่องจาก มันเป็นคีย์บอร์ดและเมาส์ ดังนั้น สิ่งที่เกิดขึ้นในหน้าจอ เราจะเห็นเหตุการณ์ที่เกิดขึ้นทุกอย่างครับ
และ ถ้าหน้าจอล็อค ก็ต้อง พิมพ์ password ให้ถูกด้วย
ดังนั้น จะเห็นว่า แม้จะเสียบอะไรไปแล้ว มันก็ทำได้ไม่ต่างจาก Keyboard มีสิทธิในการเข้าถึงข้อมูล เทียบเท่าเราเวลากด หน้าจอนั่นแหละ ไม่ได้มีสิทธิพิเศษอะไรมากมาย
ถ้าอุปกรณ์ตัวนี้ถูกเอามาใช้ จะเอามาใช้ในท่าไหน
จากที่กล่าวมาว่า อุปกรณ์ตัวนี้ จำลองการเป็น Keyboard หรือ Mouse ดังนั้น ตัวมันเองก็ไม่สามารถที่จะทำอะไรได้มากกว่า การพิมพ์ หรือ เลือกตำแหน่งคลิ๊ก ซึ่ง ก็ไม่ค่อยมีพิษมีภัยอะไร จะแอบเก็บไฟล์มาลงในเครื่องก็ทำไม่ได้
ดังนั้น สิ่งที่มันสามารถทำได้จะต้องมี ปัจจัยการเชื่อมต่ออินเทอร์เน็ตมาเกี่ยวข้องด้วย เช่น
- ทำ automation script เพื่อ ไป download malware แล้ว install ลงเครื่องโดยอัตโนมัติ
- รวบรวมข้อมูล ที่อยู่ใน พวก Note , Line แล้ว โยนไปที่ Server ปลายทาง
อย่างไรก็ตาม กระบวนการทั้งหมดที่เขียนมา จะต้องเสียบสายอยู่ ต้องต่ออินเทอร์เน็ต และต้องต้องไม่ Lock หน้าจอ ซึ่ง ก็จะมีความเสี่ยงที่เข้าของเครื่องจะเห็นหน้าจออยู่แล้ว
นอกจากนี้ เนื่องจาก ระบบเอง มีการเปิด WIFI เพื่อให้คนมาติดต่อ และจำเป็นต้องติดต่อ ไม่งั้นมันไม่ทำงาน ดังนั้น ต้องมีคนสั่งการอยู่ในบริเวณที่ WIFI นั้นถึง
ข้อจำกัดในการใช้งาน
เชื่อว่าหลายคนถ้าไม่ได้อยู่ในวงการ จะคิดภาพน่ากลัวประมาณนี้ ขึ้นมาทันทีคือ ผู้ร้าย อยู่ที่ไหนก็ได้ไหนโลก แล้ว รอจังหวะ เราเสียบสาย เขาก็จะรู้ว่าเราเสียบสายแล้ว เขาก็จะ ทำการ remote อย่างลับๆ แบบ CIA โดยที่เราไม่รู้ จากที่ไหนก็ไม่รู้ในโลกใบนี้ ซึ่งไม่ใช่อย่างนั้นนะครับ
แต่อย่างที่บอกครับ คือ มันใช้แค่การเปิด SSID และ ทำตัวเป็น Keyboard หรือ Mouse แทนเท่านั้น มันไม่ได้มีหน้าจอด้วย ดังนั้น จริงๆ แล้ว คนที่ทำจะต้องอยู่ใกล้มาก
นอกจากนี้ การกระทำทั้งหมด เจ้าของอุปกรณ์จะเห็นทุกอย่าง ตรงกันข้าม ผู้ที่ทำมองไม่เห็นหน้าจอ ไม่รู้ว่า หน้าจอ Lock หรือ ไม่ Lock ถ้าหน้าจอ Lock เขาก็ทำอะไรไม่ได้ นอกจากมั่ว password เข้าไปเรื่อยๆ ขณะที่ถ้าไม่ Lock ก็คือ เจ้าของเครื่องก็ มองจออยู่ ก็จะเห็นความผิดปกติ ที่เครื่องได้ทันที
ที่สำคัญอีกอย่าง ในสถานที่อย่างร้านกาแฟ ปกติ เราก็ไม่ค่อยได้แชร์สายใช้งานกันอยู่แล้ว
ดังนั้นด้วยความเสี่ยงที่ เจ้าตัวต้องอยู่แถวๆนั้น เจ้าของเครื่องก็สังเกตได้ง่าย จึงทำให้ มีความเสี่ยงที่สูงมากที่จะโดนจับได้
ทำไมเป็นอย่างนั้น ก็อย่างที่บอกไว้ตั้งแต่แรก ว่า
มันทำไว้เพื่อการศึกษา
จะได้เห็นกระบวนการทำงานของมันง่ายๆ By Design ตั้งแต่แรกอยู่แล้ว
Hacker vs มิจฉาชีพ
สิ่งสุดท้ายจะพูดถึงความแตกต่างระหว่างคนที่เป็น Hacker กับ มิจฉาชีพ เพิมเติมสักหน่อย
อย่างแรกสุดคือ ทั้ง 2 สายนี้ ยังไงสิ่งที่ต้องดูคือความคุ้มทุนแน่นอน แต่มันจะมีความแตกต่างกันในรายละเอียดและ Background อยู่
Hacker มี Background ความรู้ที่ดี มี Tool มีต้นทุนในระดับหนึ่ง
อะไรที่ออกแรงแล้วไม่คุ้มค่า เขาไม่ทำหรอก ดังนั้น Target เขามันจะไม่ค่อยมาเล่นกับคนธรรมดาทั่วไปสักเท่าไหร่ อย่างต่ำๆ ก็ต้องเป็นองค์กรเป็นต้นไป
เช่น รายงานปัญหา ที่โครงการ Bug Bounty ก็จะได้เงินในระดับหนึ่ง แต่ถ้าอยากได้เยอะ ก็ต้องไปที่กระดานซื้อขาย Exploit
สมมติว่า Hacker ค้นพบ Zero Day แทนที่เขาจะเอาไปใช้เพื่อเจาะบัญชีใครก็ไม่รู้
(บัญชีเงินฝากไม่เกิน 50,000 บาท รวมทั้งหมด 102.15 ล้านบัญชี คิดเป็นประมาณ 90% ของบัญชีเงินฝากทั้งหมด สถิติเมื่อ สิ้นเดือน พฤษภาคม 2565)
โอกาสที่ใช้แล้ว จะไม่ได้อะไรเลย มันสูงกว่า เอา Zeroday ไปขาย ซึ่งประกันราคาในระดับสูงพอสมควร
เขาก็เลือก ไปขายต่อ หรือ รายงานบริษัทที่เป็นเจ้าของ software ดีกว่า
ขณะที่มิจฉาชีพ ก็ต้องทำให้คุ้มเช่นเดียวกัน แต่อีกปัจจัยนึงคือ เขาต้องไม่โดนจับ นอกจากนี้ เขาไม่ได้ศึกษาเทคนิคอะไรมากมายนัก มักจะใช้ วิธีการที่ Mature ไปแล้ว และรับประกันการใช้งานจากเหตุเก่าๆ ว่า โดนจับยาก ยิ่งถ้าโอกาสได้เงินสูงจะพิจารณาเป็นพิเศษ
สิ่งสำคัญของมิจฉาชีพคือ ต้องลดความเสี่ยงไม่ให้จับได้
คือ กำขี้ กำตดได้ แต่ห้ามโดนจับ
นั่นเป็นสาเหตุว่า ทำไมแนวทาง Call Center กับ Social Engineering มันถึงเป็นทางที่ปัจจุบันเขาใช้กันบ่อยๆ
คือ ถึงคุณจับได้ว่าปลอม คุณด่าเขาได้ แต่ก็ไปตามตัวเขาได้ยาก เขาก็แค่พลาดเหยื่อ ก็ไปหาเหยื่อใหม่
สุดท้าย อยากบอกว่า ปัจจัยที่สำคัญที่สุด ในการดึงเงินใน Account คนธรรมดา ก็มาจาก password เข้า App อยู่ดี
มิจฉาชีพจะพยายามทุกวิถีทางที่ ทำให้ได้ account และ password จากคุณมา
ไม่ว่าจะเป็น หน้าเว็บปลอม, chat มาขอให้ login line
ทั้งหมดทั้งสิ้น เพื่อ ที่จะได้ password เข้า bank
ซึ่งโดยพื้นฐานด้าน IT Security การใช้ Password เข้าระบบธนาคาร มันคือการแสดงให้เห็นว่าเราคือบุคคลผู้มิสิทธิในบัญชีนั้นๆ เขาไม่สามารถแยกได้ว่า คนหลังคอมพิวเตอร์ เป็นคุณเอง หรือ มิจฉาชีพที่หลอกเอา Password จะคุณไป
ทุกอย่างจะจบไม่สามารถทำอะไรต่อได้ ถ้าคุณให้ password มิจฉาชีพ ไม่ว่าจะเจตนาหรือไม่เจตนา
ตรงนี้เป็นจุดที่ ต้องย้ำว่า Password หรือ SMS หรือ Pin อย่าส่งต่อให้ใคร และเวลาจะใช้งาน ให้ดูสถานที่ใช้งานด้วย ว่า ใช้ใน Application ที่ถูกต้องเสมอ
ถ้ามีการใช้ Web ในการทำธุรกรรม อย่าเชื่อ Link ที่ส่งมา ให้เข้าหน้าธนาคารตามวิธีการปกติเท่านั้น
นอกจากนี้ ถ้าไม่จำเป็น อย่า Mem รหัสผ่าน ไว้ในโทรศัพท์
มีสติและระมัดระวังการใช้งาน พารานอยด์เล็กๆ จะเป็นทางรอดสำหรับ ผู้คนในยุค Digital นี้ครับ