รวมเรื่องต้องรู้ ‘เพกาซัส’ สปายแวร์สอดแนม พร้อมวิธีป้องกันมือถือ iOS-แอนดรอยด์

รวม 5 เรื่องต่องรู้ พร้อมวิธีป้องกัน สบายแวร์สอดแนมมือถือ เพกาซัส ทั้งระบบไอโอเอสและแอนดรอยด์ ทำตามนี้

เพกาซัส (Pegasus) กลายเป็นชื่อคุ้นหู หลังจากโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน หรือ ไอ-ลอว์ (iLaw) ออกรายงานระบุว่า ค้นพบการใช้ Pegasus ในประเทศไทย กับนักเคลื่อนไหวทางการเมืองที่เห็นต่างจากรัฐบาล จนทำให้เกิดความหวั่นเกรงในเรื่องของความปลอดภัยในการใช้มือถือ ว่าจะถูกละเมิดความเป็นส่วนตัวได้อย่างง่ายดาย

ทำความรู้จัก Pegasus มาจากไหน น่ากลัวอย่างไร

• เพกาซัสเป็นสปายแวร์ที่ผลิตโดยบริษัทสัญชาติอิสราเอล NSO Group มีความสามารถเจาะโทรศัพท์เป้าหมายได้โดยวิธีการ zero click โดยที่เจ้าของไม่รู้ตัว ผ่านช่องโหว่ของระบบปฏิบัติการโทรศัพท์
• หลังจากเจาะเข้าไปในโทรศัพท์เป้าหมายได้แล้ว โทรศัพท์เครื่องนั้นจะตกอยู่ภายใต้การควบคุมของผู้เจาะ ข้อมูลทุกอย่าง เช่น รูปภาพ วีดีโอ แชท อีเมล หรือแม้กระทั่งการเปิดกล้องหรือไมโครโฟน จะสามารถถูกสั่งการจากทางไกล และโอนถ่ายข้อมูลไปยังผู้ควบคุมเพกาซัสได้
• ผู้ผลิตจะขายให้กับลูกค้าที่เป็นหน่วยงานของรัฐบาลเท่านั้น โดยก่อนจะขายต้องได้รับอนุญาตจากรัฐบาลอิสราเอลด้วย
• มีการเปิดโปงว่า รัฐบาลหลายประเทศ นำเพกาซัสไปใช้กับผู้ที่เห็นต่างจากรัฐบาลหรือระบอบ ไม่ว่าจะเป็นนักปกป้องสิทธิมนุษยชน นักข่าว นักกิจกรรมทางการเมือง นักการเมืองฝ่ายตรงข้าม ซึ่งรวมถึงประธานาธิบดี กษัตริย์ และเจ้าหน้าที่ระดับสูงในองค์กรระหว่างประเทศ
• NSO Group เจอกับกระแสวิพากษ์วิจารณ์อย่างหนัก จากการละเมิดสิทธิมนุษยชน ที่เกิดขึ้นโดยเพกาซัส เช่น ถูกแอปเปิลและเมต้า ฟ้องร้องกรณีการเจาะระบบ รวมถึงการถูกรัฐบาลสหรัฐอเมริกาติดบัญชีดำ ไม่ให้ทำธุรกิจกับสหรัฐ

ทั้งนี้ แคสเปอร์สกี้ ผู้นำระดับโลกด้านโซลูชั่นและบริการความปลอดภัยทางไซเบอร์ ได้แนะนำวิธีการปกป้องโทรศัพท์มือถือ ให้ปลอดภัยจากการสอดแนมของสปายแวร์ตัวนี้ ดังต่อไปนี้

วิธีป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์ iOS

• รีบูตอุปกรณ์ทุกวัน

ห่วงโซ่การแพร่ระบาดของ Pegasus มักอาศัยการคลิก zero-click 0-days ดังนั้นการรีบูตเป็นประจำจะช่วยเคลียร์อุปกรณ์ให้สะอาด หากอุปกรณ์ถูกรีบูตทุกวัน ผู้โจมตีจะต้องแพร่มัลแวร์ซ้ำแล้วซ้ำอีก ซึ่งจะเพิ่มโอกาสในการถูกตรวจจับได้ ความผิดพลาดอาจเกิดขึ้น หรืออาจมีการบันทึกที่ทำให้ลักษณะการซ่อนตัวของมัลแวร์หายไป

• ปิดการใช้งาน iMessage
  

iMessage อยู่ใน iOS และเปิดใช้งานโดยใช้ค่าเริ่มต้น ทำให้เป็นเวกเตอร์การแสวงหาผลประโยชน์ที่น่าดึงดูดใจสำหรับผู้ก่อภัยคุกคาม การเปิดใช้งานโดยใช้ค่าเริ่มต้นนี้จึงเป็นกลไกอันดับต้น ๆ สำหรับ zero-click chains และช่องโหว่ของ iMessage นั้นเป็นที่ต้องการสูงมานานหลายปี โดยเฉพาะบริษัทนายหน้าหาช่องโหว่ที่มียอดซื้อสูงสุด

• ปิดการใช้งาน Facetime
  

คำแนะนำเดียวกับ iMessage

• อัปเดตอุปกรณ์โมบายอยู่เสมอ ติดตั้งแพตช์ iOS ล่าสุดทันทีที่แพตช์ออก
  

ผู้ก่อภัยคุกคามไม่สามารถซื้อ zero-click 0-day ได้ทุกคน อันที่จริงแล้ว iOS exploit kits จำนวนมากที่เราเห็นนั้นกำลังตั้งเป้าไปที่ช่องโหว่ที่แพตช์แล้ว อย่างไรก็ตาม ยังมีผู้ใช้หลายคนที่ใช้โทรศัพท์รุ่นเก่าและเลื่อนการอัปเดตออกไปด้วยเหตุผลต่าง ๆ

• อย่าคลิกลิงก์ที่ได้รับในข้อความ

เป็นคำแนะนำง่าย ๆ แต่ได้ผลดีเสมอ ไม่ใช่ว่าลูกค้า Pegasus ทุกคนจะสามารถซื้อ zero-click 0-day ได้ในราคาหลายล้าน ดังนั้นจึงจะต้องอาศัยหาประโยชน์จากการคลิกครั้งเดียว ซึ่งจะมาในรูปแบบข้อความ บางครั้งทาง SMS แอปส่งข้อความ หรืออีเมล

หากคุณได้รับข้อความที่น่าสนใจพร้อมลิงก์ แนะนำให้เปิดบนคอมพิวเตอร์เดสก์ท็อปแทนอุปกรณ์โมบาย ควรใช้เบราว์เซอร์ TOR หรือจะดีกว่านั้นหากใช้ OS อื่นที่ปลอดภัย เช่น Tails

• ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์อื่น

เช่น Firefox Focus แทนการใช้ Safari หรือ Chrome แม้ว่าที่จริงแล้วเบราว์เซอร์ทั้งหมดบน iOS จะใช้เอ็นจิ้นเดียวกัน แต่ Webkit การหาช่องโหว่บางอย่างก็ทำงานได้ไม่ดีในเบราว์เซอร์สำรองบางตัว

• ใช้ VPN ปิดบังการรับส่งข้อมูลเสมอ

ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูเว็บไซต์ HTTP หรือโดยการจี้ DNS การใช้ VPN เพื่อปิดบังการรับส่งข้อมูลทำให้ผู้ให้บริการ GSM กำหนดเป้าหมายคุณโดยตรงทางอินเทอร์เน็ตได้ยาก

นอกจากนี้ยังทำให้กระบวนการกำหนดเป้าหมายซับซ้อนขึ้นหากผู้โจมตีสามารถควบคุมสตรีมข้อมูลของคุณได้ เช่น ขณะโรมมิ่ง ทั้งนี้ VPN บางตัวไม่เหมือนกันและไม่ใช่ VPN ทุกตัวที่ใช้งานได้ดี

• ติดตั้งแอปพลิเคชันความปลอดภัยที่ตรวจสอบและเตือนว่าอุปกรณ์ถูกเจลเบรคแล้วหรือไม่
  

ผู้โจมตีจะปรับใช้งานกลไกและเจลเบรกอุปกรณ์ของคุณ หลังจากที่ถูกเคลียร์ออกจากระบบซ้ำแล้วซ้ำเล่า

• ทำการสำรองข้อมูล iTunes หนึ่งครั้งต่อเดือน ซึ่งช่วยให้สามารถวินิจฉัยและค้นหาการติดมัลแวร์ได้ในภายหลัง
• กด sysdiags บ่อย ๆ และบันทึกลงในการสำรองข้อมูลภายนอก
  

สิ่งที่ค้นพบทางนิติเวชสามารถช่วยระบุได้ในภายหลังว่าคุณตกเป็นเป้าหมายหรือไม่ การทริกเกอร์ sysdiag นั้นขึ้นอยู่กับรุ่นของโทรศัพท์ ตัวอย่างเช่น ใน iPhone บางรุ่น ทำได้โดยการกด Volume Up + Volume Down + Power พร้อมกัน คุณอาจต้องทำสองสามครั้งจนกว่าโทรศัพท์จะดัง

วิธีป้องกันสปายแวร์ขั้นสูงบนอุปกรณ์แอนดรอยด์

• รีบูตทุกวัน
  

ความทนทานของมัลแวร์บนอุปกรณ์ Android เวอร์ชันล่าสุดนั้นเป็นเรื่องยากสำหรับ APT จำนวนมาก

• อัปเดตโทรศัพท์อยู่เสมอ ติดตั้งแพตช์ล่าสุด
• อย่าคลิกลิงก์ที่ได้รับในข้อความ
• ท่องอินเทอร์เน็ตด้วยเบราว์เซอร์สำรอง เช่น Firefox Focus แทน Chrome เริ่มต้น
• ใช้ VPN เพื่อปิดบังการรับส่งข้อมูลของคุณเสมอ
  

ช่องโหว่บางอย่างถูกส่งผ่านการโจมตี MitM ของผู้ให้บริการ GSM เมื่อเรียกดูไซต์ HTTP หรือโดยการจี้ DNS · ติดตั้งโซลูชันความปลอดภัยที่สแกนหามัลแวร์ และตรวจสอบและเตือนว่าอุปกรณ์ถูกรูทหรือไม่

การป้องกันในระดับที่ซับซ้อนยิ่งขึ้นทั้งสำหรับอุปกรณ์ iOS และ Android คือแนะนำให้ตรวจสอบทราฟฟิกเครือข่ายเสมอโดยใช้ live IoC การตั้งค่าที่ดีอาจรวมถึง Wireguard VPN แบบเปิดตลอดเวลา ไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของคุณ โดยใช้ pihole เพื่อกรองสิ่งไม่ดีและบันทึกการรับส่งข้อมูลทั้งหมดสำหรับการตรวจสอบเพิ่มเติม

อ่านข่าวเพิ่มเติม

• 'Pegasus' สปายแวร์สอดแนม แคสเปอร์สกี้ บอกวิธีปกป้องสมาร์ทโฟน ตามนี้
• เรื่องจริงของ 'QR Code' ดูดเงิน พร้อมวิธีป้องกัน
• คำแนะนำจากตำรวจ วิธีใช้บัตรเครดิต/เดบิต ชำระเงินออนไลน์ ป้องกันเงินหายเกลี้ยงบัญชี