News

อย่าเพิ่งสแกน!.. แน่ใจแล้วหรือว่า QR Code นั้นปลอดภัย?

Phishing

เขียนโดย Hank Schless 

ในช่วงการระบาดของไวรัส Covid-19 หลายๆ ธุรกิจเลือกที่จะลดการสัมผัสระหว่างผู้ขายและลูกค้า การใช้ QR Code จึงเป็นเรื่องปกติไปแล้ว ไม่ว่าจะเป็นธุรกิจร้านอาหารที่ใช้การแสกน QR Code เพื่อแสดงเมนูบนมือถือของลูกค้าหรือแม้แต่เพื่อจ่ายค่าอาหาร

หรือแม้แต่แอปที่เป็นที่รู้จักกันแพร่หลายอย่าง Snapchat และ WhatsApp ก็มีการใช้ QR Code เพื่อเพิ่มประสบการณ์การใช้งานเช่นกัน เช่นใช้การสแกน QR Code เพื่อเข้าสู่ระบบ แลกเปลี่ยนข้อมูลโปรไฟล์ หรือใช้เพื่อการโอนเงิน ในประเทศจีนใช้ QR Code กลายเป็นหนึ่งในฟังก์ชั่นหลักในการใช้งานแอป WeChat แล้วด้วยซ้ำ

แน่นอนว่าเทคโนโลยีนี้สะดวก แต่ก็มากับความเสี่ยงเช่นกัน ไม่นานมานี้ Hank ได้พูดคุยกับ Leslie Gaydos จาก NBC 10 Boston ในหัวข้อว่า ทำไม QR Code ถึงเป็นหนทางที่สะดวกสำหรับสแกมเมอร์ในการส่งลิงก์เพื่อทำการฟิชชิงคุณได้ อย่างแรกเลยคือ ไม่มีทางที่คุณจะรู้ก่อนสแกนได้เลยว่าเมื่อสแกนแล้วคุณจะเข้าสู่หน้าอะไร อย่างเช่นพนักงานของคุณโดนฟิชชิงโดยไม่รู้ตัวเพราะสแกน QR Code เพื่อจ่ายเงินในร้านอาหาร ซึ่งเหตุการนี้จะไม่ส่งผลแค่กับตัวพนักงานเท่านั้น แต่ยังส่งผลถึงความอันตรายของโครงสร้างองค์กรเลยด้วยซ้ำ

การ Phishing แบบ Low-tech แต่ได้ผลดีเยี่ยม

การรวบรวมรูปแบบการฟิชชิงนั้นง่ายขนาดไหน? Lookout ได้ทำการทดลองเมื่อไม่กี่เดือนก่อนในการประชุม RSA ประจำปี เราต้องการรู้ว่าผู้เชี่ยวชาญด้านความปลอดภัยทราบถึงการโจมตีทางอินเทอร์เน็ตบนมือถือได้อย่างไร ในขณะที่กำลังเข้าร่วมการประชุมด้านความปลอดภัยนี้อยู่ 

วิธีการของเรานั้นง่ายมาก เราจำลองการโจมตีแบบฟิชชิงปลอมโดยการประกาศเชิญชวนให้ผู้เข้าร่วมใช้รหัส QR ที่บูธของเราเพื่อลุ้นรับ iPhone ซึ่ง QR Code นี้จะลิงก์ไปยังหน้าที่ Lookout ได้ทำการจัดประเภท (โดยตั้งใจ) ว่าเป็นหน้าที่เป็นภัยคุกคาม ทั้งนี้เพื่อเป็นการสาธิต ซึ่งในเครื่องที่มีการติดตั้ง Lookout ไว้แล้วจะทำการบล๊อคหน้านี้โดยอัตโนมัติเพื่อปกป้องอุปกรณ์นั้นจากการโดนฟิชชิง

เป็นที่น่าตกใจ เพราะว่าผู้เข้าร่วมประชุมหลายๆ ท่านไม่ได้มีการติดตั้งซอฟต์แวร์ป้องกันการฟิชชิงไว้เลยและได้เข้าใช้งานหน้าที่เราจัดเตรียมไว้ โชคดีที่เว็บที่เราทำไว้นั้นไม่มีอันตรายใดๆ ซึ่งจะมีแต่ข้อความที่ให้ความรู้เกี่ยวกับการฟิชชิง แต่หากนี่เป็นการฟิชชิงของจริง ในตอนนี้พวกเขาได้ทำให้ตัวเองและข้อมูลองค์กรตกอยู่ในความเสี่ยงแล้ว

ทำไมการฟิชชิงโดย QR Code ถึงเป็นวิธีที่มีประสิทธิภาพ?

การทดลองง่ายๆ ของเราเมื่อครู่แสดงให้เห็นว่าผู้โจมตีสามารถสร้างเนื้อหาที่เป็นอันตรายลงใน QR Code ได้ง่ายขนาดไหน เราเห็นว่าฟิชชิง QR ได้รับความนิยมเพิ่มขึ้นอย่างมากเพราะเป็นวิธีที่ง่าย และไม่ต้องใช้ความพยายามมากเพื่อให้ประสบความสำเร็จ และในสังคมที่มีการใช้ QR Code อย่างแพร่หลายเพราะต้องการลดการสัมผัส ทำให้ผู้ไม่หวังดีแอบเปลี่ยน QR Code ให้ลิงก์เข้าสู่หน้าที่เป็นอันตรายได้ง่ายๆ โดยที่ไม่มีใครรู้เลย

QR ฟิชชิงยังเป็นวิธีที่มีประสิทธิภาพสำหรับการโจมตีทางอินเทอร์เน็ตเช่นกัน เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนขององค์กรของคุณ ตัวอย่างเช่นพนักงานของคุณสามารถสแกนรหัสที่นำไปสู่หน้าการเข้าสู่ระบบธนาคารปลอม เมื่อป้อนข้อมูลรับรองการเข้าสู่ระบบแล้ว ผู้โจมตีสามารถใช้ซอฟต์แวร์เพื่อเก็บข้อมูลและรหัสของคุณ เพื่อนำไปเข้าใช้งานเว็บไซต์อื่นๆ ได้และเมื่อมันพบเว็บไซต์ที่สามารถเข้าใช้งานได้ด้วยไอดีนี้ จะทำการเข้าสู่ระบบทันที ยิ่งในกรณีที่คุณใช้ไอดีเดียวกันในการเข้าสู่ระบบหลายๆ เว็บไซต์ รวมไปถึงเว็บไซต์องค์กรด้วย แน่นอนว่าโครงสร้างพื้นฐานองค์กรของคุณจะตกอยู่ในความเสี่ยง

สิ่งที่ควรระมัดระวัง

เพื่อปกป้องอุปกรณ์ของคุณจากการโจมตีเหล่านี้เราขอแนะนำให้คุณคิดถึงการฟิชชิง QR Code ในแบบเดียวกับที่คุณคิดเกี่ยวกับกลวิธีฟิชชิงอื่นๆ เช่นอีเมลสแกม และการปลอมแปลง URL ถ้าคุณจะสแกน QR Code ให้เช็คหน้าต่างแจ้งเตือนก่อนลิงก์เข้าสู้หน้าเว็บนั้นๆ ก่อน ถ้า URL นั้นดูไม่น่าเชื่อถือหรือมีความแตกต่างจาก URL ขององค์กรคุณ ให้ยกเลิกการลิงก์เข้าสู่หน้านั้นทันที

ผู้โจมตีจะวิธีการฟิชชิงใหม่ๆ มาเสมอเช่นการใช้ QR Code เพื่อหลอกให้ผู้ใช้งานกรอกข้อมูลส่วนตัว แม้ว่าการอบรมเพื่อป้องกันการฟิชชิงนั้นจะช่วยให้คุณหลีกเลียการฟิชชิงเหล่านี้ได้ แต่แน่นอนว่าการฟิชชิงที่ได้ออกแบบมาอย่างดี ยังสามารถหลอกได้แแม้แต่มืออาชีพทางด้านไอทีที่ได้รับการฝึกฝนมาอย่างดี

ปกป้องคุณทั้งที่บ้านและขณะเดินทาง

เมื่อเร็วๆ นี้เราได้ทำการทดสอบฟิชชิงอีกครั้ง ครั้งนี้ที่ Les Assises de la Sécurité ในโมนาโก เราส่งลิงก์ผ่าน SMS ไปยังผู้แสดงสินค้าและผู้เข้าร่วมที่เลือกใช้การสื่อสารทาง SMS ผลลัพธ์คือ กว่า 50% ของผู้เชี่ยวชาญด้านความปลอดภัยได้คลิกที่ลิงก์นี้ แสดงให้เห็นว่า การฟิชชิงนั้นสามารถทำได้ง่ายและได้ผลขนาดไหน แม้แต่กับมือถือของผู้เชี่ยวชาญที่มีประสบการด้านความปลอดภัย

ในที่สุดแล้ว จะใช้ QR Code หรือไม่ การฟิชชิงบนมือถือนั้นก็ยังคงประสบความสำเร็จอยู่ดี เพราะว่าอุปกรณ์มือถือเป็นอุปกรณ์ส่วนตัว ใครก็ตามที่เคยทำสมาร์ทโฟนหรือแท็บเล็ตหายจะรู้ว่าเราต้องพึ่งพาสมาร์ทโฟนหรือแท็บเล็ตมากแค่ไหนในชีวิตประจำวัน ไม่ว่าจะเป็นการส่งข้อความด่วนให้เพื่อน จ่ายค่าอาหารกลางวัน หรือนำทางไปยังที่ต่างๆ ในขณะที่เราต้องทำงานจากระยะไกลอย่างต่อเนื่อง อุปกรณ์มือถือก็กลายเป็นเครื่องมือที่เราใช้ในการทำงานที่บ้านและทุกที่ทุกเวลา

เป็นช่วงเวลาที่สำคัญที่สุดแล้ว ที่คุณต้องมีวิธีระบุว่าอะไรเป็นหน้าที่เชื่อถือได้และอะไรเป็นหน้าที่ต้องการแย่งชิงข้อมูลพนักงานของคุณ พูดง่ายๆ ก็คือ คุณต้องมีการรักษาความปลอดภัยที่สามารถจัดการกับฟิชชิงได้แม้ว่าพนักงานของคุณจะไม่ได้อยู่ในขอบเขตความปลอดภัยของสำนักงานก็ตาม

ต้องการศึกษาเพิ่มเติมว่า เหตุใดการฟิชชิงบนมือถือถึงเป็นภัยคุกคามต่อองค์กรของคุณ คลิกที่นี่

หากคุณสนใจโซลูชันที่สามารถป้องกันการฟิชชิงให้กับองค์กรของคุณได้ ติดต่อเราได้ที่ sales@acagroup.com

Leave a comment