แฮ็กเกอร์รุ่นใหม่ป่วนเมลดัง แค่2วินาทีข้อมูลเรียบ

แฉโปรแกรมเจาะพาสเวิร์ด 2 วิฯ ป่วนเมลดัง "ยาฮู-ออตเมล-จีเมล" พร้อมแพร่สอนผ่านเวบไซต์ นักวิชาการคอมพิวเตอร์ จุฬาฯ เผยบริษัทเอกชนถูกล้วงข้อมูลลับ ถูกลบอีเมลสำคัญ ด้าน "ดีเอสไอ" ยอมรับปราบยาก แนะตั้งพาสเวิร์ดยาวๆ และเปลี่ยนบ่อยๆ

ผู้สื่อข่าวได้รับแจ้งว่า ขณะนี้ กลุ่มโจรคอมพิวเตอร์ หรือ แบล็คแฮ็กเกอร์ (Black Hacker) ได้นำวิธีการเจาะรหัสผ่าน หรือพาสเวิร์ด (password) ของเวบไซต์ฟรีอีเมลชื่อดัง มาเปิดเผยในอินเทอร์เน็ต ก่อให้เกิดความสูญเสียในการประกอบธุรกรรมคอมพิวเตอร์ เมื่อตรวจสอบไปเวบไซต์แบล็คแฮ็กเกอร์หลายแห่งของไทยพบว่า มีการแนะนำรายละเอียดวิธีเจาะพาสเวิร์ด และแนะนำโปรแกรมซอฟต์แวร์ผิดกฎหมายจริง พร้อมอ้างว่าสามารถเจาะพาสเวิร์ดง่ายๆ ได้ภายใน 2 วินาที

ข้อมูลจากเวบไซต์แห่งหนึ่งอ้างถึงระยะเวลาที่แบล็กแฮ็กเกอร์ใช้เจาะพาสเวิร์ดว่า หากเป็นพาสเวิร์ดที่นำคำมาจากพจนานุกรมหรือดิกชันนารี โดยใช้เพียง 3 ตัวอักษรเล็กอย่างเดียว เช่น คำว่า "cat" สามารถเจาะได้ภายใน 2 วินาทีเท่านั้น หากมีความยาว 4 ตัวอักษร เจาะได้ใน 1 นาที ความยาว 5 ตัวอักษรใช้เวลา 20 นาที แต่ถ้ามีตัวอักษรผสมกับตัวเลข 5 ตัวจะใช้เวลาไม่เกิน 2.5 ชั่วโมง จนถึง 9 วัน แต่ถ้ามี 6 ตัวอักษรขึ้นไปจะใช้เวลาประมาณ 2 ปี

ทั้งนี้ ในเวบไซต์ "WEB HACKING xxxx" เปิดเผยวิธีเจาะพาสเวิร์ดของ "ยาฮูเมล" และ "ฮอตเมล" ว่ามีหลายวิธี เช่น การใช้ "โปรแกรมยิงพาสเวิร์ด" หรือ การปลอมตัวเป็นเจ้าของอีเมล พร้อมยืนยันว่าแม้บริษัทฟรีอีเมลเหล่านี้ จะมีระบบรักษาความปลอดภัยอย่างดี แต่ก็เคยโดนเจาะจนพบช่องโหว่มาแล้ว โดยแฮ็กเกอร์นิยมปลอมตัวเป็นเจ้าของที่ลืมพาสเวิร์ดตัวเอง แล้วติดต่อไปยังผู้ดูแลเวบไซต์ฟรีอีเมล จากนั้นก็ตอบคำถามง่ายๆ เช่น ประเทศ ที่อยู่ รหัสไปรษณีย์ วัน เดือน ปีเกิด ฯลฯ โดยหาข้อมูลเหล่านี้จากใบสมัครสมาชิก หรือจดหมายที่เสียบค้างไว้หน้าบ้านเหยื่อ

นายธงชัย โรจน์กังสดาล อาจารย์ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ผู้เชี่ยวชาญเรื่องความปลอดภัยในระบบคอมพิวเตอร์ให้ข้อมูลว่า ผู้ใช้อินเทอร์เน็ตส่วนใหญ่ยังตั้งพาสเวิร์ดแบบไม่ปลอดภัย โดยนิยมตั้งตัวอักษรเกี่ยวข้องกับชื่อจริง นามสกุล หรือชื่อเล่นของตัวเองเป็นหลัก ทำให้ผู้ประสงค์ร้ายคาดเดาได้ง่าย ที่ผ่านมาเคยได้ยินว่า ผู้บริหารบริษัทเอกชนบางแห่งตั้งพาสเวิร์ดไม่ถูกวิธี จนถูกเจาะพาสเวิร์ดเข้าไปเปิดคอมพิวเตอร์ เพื่อดูอีเมลหรือดูข้อมูลลับเฉพาะของบริษัท หรือเข้ามาแอบอ่านอีเมลสำคัญแล้วลบทิ้ง

ทั้งนี้ อาจารย์ภาควิชาวิศวกรรมคอมพิวเตอร์ ได้แนะนำวิธีการตั้งพาสเวิร์ดให้ปลอดภัยว่ามี 4 วิธีการด้วยกัน คือ 1.ต้องมีความยาวเกิน 6-9 ตัวอักษรขึ้นไป เนื่องจากหากมีตัวอักษรน้อยกว่านี้ จะถูกโปรแกรมขโมยพาสเวิร์ดค้นหาได้ง่าย แต่หากตั้งยาวเกินไปจะเกิดปัญหาผู้ใช้จำพาสเวิร์ดตัวเองไม่ได้ 2.ไม่เป็นชื่อเฉพาะที่คนคาดเดาได้ง่าย เช่น ชื่อ-นามสกุล ชื่อองค์กร ชื่อสัตว์เลี้ยง ชื่อลูก ฯลฯ

3.ต้องไม่เป็นคำศัพท์ที่ได้มาจากดิกชันนารีหรือพจนานุกรม เช่น cat, house, office เนื่องจากคำเหล่านี้จะมีซอฟต์แวร์แกะพาสเวิร์ดจากพจนานุกรมโดยเฉพาะ 4.พาสเวิร์ดที่ดีจะประกอบด้วยตัวอักษร ทั้งตัวเล็กและตัวพิมพ์ใหญ่ ตัวเลข รวมถึงตัวสัญลักษณ์ เช่น y1/234.+ หรือ xyc.2006 อย่างไรก็ตามพาสเวิร์ดที่ดีที่สุด คือ พาสเวิร์ดที่ใช้ครั้งเดียวทิ้ง (one-time password) มักใช้ในหน่วยราชการที่ต้องการรักษาความลับขั้นสูง ทุกครั้งที่มีการใช้พาสเวิร์ด ระบบจะทำลายรหัสเดิมทิ้งแล้วตั้งรหัสใหม่แบบอัตโนมัติ

อาจารย์วิศวกรรมคอมพิวเตอร์ กล่าวด้วยว่า กลุ่มแบล็คแฮ็กเกอร์จะเรียนรู้วิธีการเจาะข้อมูลจากเวบไซต์ใต้ดินและหนังสือ ซึ่งเวบไซต์สอนเจาะข้อมูลจะมีหลากหลายรูปแบบ เป็นที่รู้กันในกลุ่มผู้สนใจเรื่องนี้ ทั้งนี้ กลุ่มแบล็คแฮ็กเกอร์ในประเทศไทย มีทั้งที่เป็นนิสิตนักศึกษาและบุคคลทั่วไป หากเป็นนิสิตนักศึกษาส่วนใหญ่จะร้อนวิชา อยากลองความรู้ที่แอบศึกษามา เมื่อทดลองเจาะทำลายหรือขโมยข้อมูลคอมพิวเตอร์ผู้อื่นสัก 2-3 ครั้งก็จะเลิก แต่ถ้าสถาบันการศึกษาจับได้ ก็จะถูกลงโทษตัดคะแนนหรือพักการเรียน สำหรับผู้ที่นิยมเจาะข้อมูลคอมพิวเตอร์เป็นอาชีพนั้น หากสำรวจนิสัยพฤติกรรมด้านลึกแล้ว ส่วนมากจะมีพฤติกรรมผิดปกติทางจิต ชอบเก็บตัวอยู่ในโลกออนไลน์

ด้าน พ.ต.อ.ญาณพล ยั่งยืน ผู้บัญชาการสำนักคดีเทคโนโลยีและสารสนเทศ กรมสอบสวนคดีพิเศษ (ดีเอสไอ) กระทรวงยุติธรรม ยอมรับว่า ที่ผ่านมาได้รับแจ้งปัญหาผู้ใช้อีเมลถูกแบล็คแฮ็กเกอร์แอบเจาะพาสเวิร์ดเป็นจำนวนมาก โดยเฉพาะในเวบไซต์ให้บริการฟรีอีเมล 3 แห่งคือ ยาฮูเมล, ฮอตเมล และจีเมล แต่ยังไม่มีคดีที่สร้างความเสียหายครั้งใหญ่ ส่วนมากเป็นการเจาะรหัสผ่าน เพื่อก่อกวนการดำเนินการธุรกิจเท่านั้น เช่น บริษัทเอกชนที่มีโปรแกรมติดต่อลูกค้าผ่านอินเทอร์เน็ต เมื่อแบล็คแฮ็กเกอร์เจาะรหัสผ่านได้ ก็จะเข้าไปแก้ข้อมูลทำผิดๆ ถูกๆ หรืออาจแกล้งตอบปัญหาลูกค้าแทนบริษัท

"การปราบปรามพวกเจาะรหัสอีเมลทำได้ยากมาก เพราะคนส่วนใหญ่จะใช้อีเมลของ ยาฮู, ฮอตเมล และจีเมล ผู้ดูแลเซิร์ฟเวอร์กลุ่มนี้ จะไม่ปล่อยข้อมูลลูกค้าคนใดๆ ออกมาทั้งสิ้น การติดตามผู้ต้องสงสัยเลยมีข้อมูลไม่เพียงพอ ดังนั้น วิธีที่ดีที่สุดคือการป้องกันตัวเอง โดยตั้งพาสเวิร์ดให้ยากๆ และยาวๆ หรือเมื่อไปเช็คอีเมลที่อินเทอร์เน็ตคาเฟ่ หรือเครื่องคอมพิวเตอร์คนอื่น เมื่อกลับมาใช้เครื่องตัวเองให้เปลี่ยนพาสเวิร์ดทุกครั้ง เพราะอาจโดนโปรแกรมเจาะพาสเวิร์ดตามมาได้ และหัดเปลี่ยนพาสเวิร์ดบ่อยๆ" พ.ต.อ.ญาณพล แนะนำ

จากการสำรวจข้อมูลในเวบไซต์ เกี่ยวกับการรักษาความปลอดภัยในคอมพิวเตอร์หลายแห่งพบว่า ส่วนใหญ่จะมีการแนะนำวิธีตั้งพาสเวิร์ดให้ถูกต้อง เช่น ห้ามใช้เบอร์โทรศัพท์หรือตัวเลขวันเกิดเป็นพาสเวิร์ด รวมถึงการแนะนำไม่ให้ใช้ตัวเลขบัตรประชาชนหรือบัตรประกันสังคม สำหรับผู้ดูแลเก็บข้อมูลสำคัญก็ควรเปลี่ยนพาสเวิร์ดทุก 3 เดือน

น.ส.อาภา นักธุรกิจด้านเฟอร์นิเจอร์ กล่าวว่า มีอีเมลทั้งของยาฮู ฮอตเมล จีเมล และอีเมลของบริษัท หากมีการเจาะพาสเวิร์ดได้จริง ก็จะได้รับความเสียหายจากข้อมูลส่วนตัวที่เก็บไว้ อาจมีการนำข้อมูลเหล่านั้นไปแอบอ้างเป็นตัวเรา หรือเวลาสั่งซื้อของทางอินเทอร์เน็ตก็จะถูกลวงเอาเงินจากบัตรเครดิตไปได้ เช่น เพื่อนที่เคยโดนเจาะบัตรเครดิตแล้วเบิกเงินไป 2 หมื่นกว่าบาท ดังนั้น จึงใช้วิธีตั้งพาสเวิร์ดให้มีชื่อยาวๆ เพื่อป้องกันตัวเองในด่านแรก

นอกจากกลุ่มแบล็คแฮ็กเกอร์จะนิยมเจาะพาสเวิร์ดแล้ว ยังมีการพยายามปล่อยไวรัสเข้าไปยังอีเมลของเครือข่ายคอมพิวเตอร์หน่วยงานรัฐบาลอีกด้วย โดยข้อมูลสถิติจากสำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ระบุว่า อีเมลที่ถูกส่งเข้า-ออกระบบเครือข่ายคอมพิวเตอร์ภาครัฐ ระหว่างวันที่ 1-27 ธันวาคม 2548 ประมาณ 4 ล้านฉบับนั้น เป็นอีเมลที่ติดไวรัสจำนวนมากถึงร้อยละ 60 หรือ 2.5 ล้านฉบับ ขณะที่ข้อมูลวันที่ 1-31 มีนาคม 2549 จากอีเมล 2.8 ล้านฉบับ ติดไวรัส 2.3 แสนฉบับ

แหล่งข้อมูล : หนังสือพิมพ์คมชัดลึก