อดีต Software Engineer ของ Meta เผย แฮ็กผ่านสายชาร์จ เป็นไปได้ยาก ระวังเรื่องโหลดมัลแวร์จะดีกว่า อย่ากดอะไรสุ่มสี่สุ่มห้า แต่การใช้สายชาร์จมั่วก็ไม่ควรทำ
CatDumb
เผยแพร่ 17 ม.ค. 2566 เวลา 07.25 น. • CatDumb - แคทดั๊มบ์ | เล่าเรื่องน่าสนใจ ในแบบที่แมวก็เข้าใจง่ายๆก่อนหน้านี้มีข่าวหนึ่งที่น่าสนใจครับ เรื่องของเรื่องก็คือมีเพจดัง รวมไปถึงสำนักข่าวหลายสำนัก ออกมาเตือนภัยเกี่ยวกับ "สาย USB" หรือ "สายชาร์จแบตฯ" ชื่อว่า O.MG ที่มีความล้ำมาก ๆ
คือแค่เสียบต่อเข้ากับมือถือ ก็สามารถทำให้โดนล้วงข้อมูลออกไปได้ แถมอาจจะโดนขโมยเงินออกจากบัญชีจนหมดตัวได้เลย
จากข่าวนี้ก็ทำให้หลายคนตกใจครับ เพราะวิธีในการขโมยของมูลของเหล่ามิจฉาชีพในยุคนี้ เป็นอะไรที่ง่ายมาก ๆ ถึงขั้นต้องมาระแวงถึงเรื่องสายชาร์จแบตฯ กันแล้ว
อย่างไรก็ตามล่าสุด ผู้ใช้เฟซบุ๊กชื่อว่า Sittiphol Phanvilai ที่เป็นซอฟต์แวร์เอนจิเนียร์ ของ Meta หรือ เฟซบุ๊ก นี่แหละ ก็ได้ออกมาโพสต์ให้ข้อมูลอีกมุมหนึ่งของเจ้าสายชาร์จแบตฯ O.MG ว่ามันอาจไม่ได้ดูดข้อมูลไปง่าย ๆ อย่างที่เข้าใจกันครับ
จริง ๆ รายละเอียดมีเยอะและยาวมาก แต่ทีมงานแคทดั๊มบ์จะขอสรุปมาให้เพื่อน ๆ ได้อ่านทำความเข้าใจกันแบบง่าย ๆ ครับ…
- ไม่มีสายชาร์จที่ไหนที่จะเสียบแล้วเข้าไปล้วงข้อมูลออกไปได้เลยเพียงแค่ "เสียบทิ้งไว้" เนื่องจากปัจจุบันระบบ OS หรือระบบปฏิบัติการมีมาตรฐานความปลอดภัยสูง
- หรือถ้าทำได้ก็จะทำได้โดยการเขียนสคริปต์ ให้กดเข้าแอปฯ บางอย่างอัตโนมัติ หรือก๊อปปี้รหัสอะไรบางอย่าง แล้วกดเข้าเว็บที่โจรตั้งไว้ แต่ก็มองว่าเป็นเรื่องที่ทำได้ยากอยู่ดีที่จะเอาข้อมูลออกไปได้
- การที่โจรจะเอาข้อมูลไปได้ จะต้องผ่านการ "ยินยอม" จากเจ้าของเครื่องเท่านั้น กล่าวคือจะต้องมีการหลอกล่อให้กดอะไรหลายอย่างหลายขั้นตอน ที่มีความ "ไม่ปกติ" จนทำให้สามารถจับสังเกตได้
- การโจมตีอุปกรณ์อิเล็กทรอนิกส์เพื่อล้วงข้อมูล มีหลากหลายแบบ และมีมาเป็นสิบ ๆ ปีแล้ว แต่ผู้พัฒนามือถือก็พัฒนาระบบเพื่อป้องกันช่องทางต่าง ๆ เอาไว้แล้ว เรื่องนี้จึงเป็นไปได้ยาก
- วิธีการที่เป็นไปได้มากที่สุดคือ Juice Jacking คือ การชาร์จมือถือตามที่สาธารณะต่าง ๆ (ที่เป็นช่อง USB) หลักการคือคอมฯ ต่อกับมือถือ แล้วสามารถดูดข้อมูลออกมาได้หมดเลย แต่ปัจจุบันมีการป้องกันเอาไว้แล้ว โดยการที่จะต้องกดยินยอมก่อน (แต่คนเราบางทีมันก็อาจจะพลาดได้แหละ)
- มองไม่เห็นโอกาสที่สาย USB จะทำให้เงินหมดบัญชีได้ เพราะการโอนเงินก็ต้องดำเนินการหลายขั้นตอนมาก
- ส่วนใหญ่การที่โจรขโมยเงินออกจากบัญชี จะใช้วิธีการ Social Engineering คือ หลอกให้เหยื่อลงมือกระทำบางอย่างด้วยตัวเอง เช่น โอนเงิน หรือไม่ก็ติดตั้งมัลแวร์เข้าไป และกดยอมรับ
- มีวิธีในการขโมยเงินหมดบัญชีอยู่หลายวิธี แต่จนถึงตอนนี้ USB ไม่เห็นว่าเป็นหนึ่งในนั้น
- ปกติการแฮกข้อมูล ต้นทุนจะต้องต่ำกว่าสิ่งที่ได้กลับมา และการเอาสายแพง ๆ ไปหลอกคนด้วยอัตราความสำเร็จต่ำ และคาดเดาไม่ได้ มันไม่คุ้ม จึงเป็นไปไม่ได้ที่จะมีคนทำ
- อย่างไรก็ตามมีการเอามาให้ข้อมูลว่าเสียบสายเข้ากับมือถือ แล้วบังคับลงมัลแวร์ได้จริง แล้วมัลแวร์นั้นก็จะอนุญาตให้โจรเข้ามาลง APK ในเครื่องได้ ซึ่งมันทำให้โจรสามารถบังคับหรือสังเกตการณ์การใช้มือถือจากระยะไกลได้ (Remote Access) พอเข้าไปใช้แอปฯ ธนาคารปุ๊บ ก็เสร็จปั๊บเลย
ดูคลิปสาธิตได้ที่นี่
https://www.youtube.com/watch?v=aBZEvnvPAtk
- แต่ก็มีการแย้งว่ามันทำได้ แต่ยากมาก เพราะสุดท้ายแล้วมันก็จะวกเข้าไปที่เรื่องต้นทุนอยู่ดี
- เพราะฉะนั้นสิ่งที่ต้องควรระวังจริง ๆ คือ "มัลแวร์" ที่โจรจะหลอกล่อให้เราติดตั้งในเครื่องมากกว่า เพราะมันมีอยู่หลายวิธี เช่น โฆษณาในเว็บโป๊, sms หลอกให้ลงแอปฯ เป็นต้น
- แต่ถึงอย่างนั้นการใช้สายชาร์จแบตฯ มั่วซั่วก็เป็นเรื่องที่ไม่ควรทำอยู่ดี เพราะดีไม่ดีอาจจะโดน Juice Jacking ได้เหมือนกัน
อ่านแบบเต็ม ๆ ได้ที่นี่ : https://www.facebook.com/photo/?fbid=10229218829791481&set=a.1388725514340
เรียบเรียงโดย #เหมียวหง่าว