เนื่องจากในช่วงนี้มีข่าวการโดนขโมยข้อมูลจากบัตรเครดิต จากการที่ผู้คนค้นหาไฟล์ PDF จาก Search Engines ต่างๆ แล้วโดนขโมยข้อมูลบัตรเครดิตไป จึงจัดทำโพสต์นี้มาเพื่อบอกต่อและเฝ้าระวังภัยที่อาจจะเกิดขึ้นในชีวิตประจำวันได้
ก่อนอื่นผมอยากจะอธิบายแบบสั้นๆเกี่ยวกับ CAPTCHA ก่อนครับ
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) คือระบบการทดสอบที่ใช้แยกแยะระหว่างผู้ใช้ที่เป็นมนุษย์และโปรแกรมคอมพิวเตอร์ (หรือ “บอท”) โดยปกติจะใช้เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือป้องกันการกระทำที่ไม่พึงประสงค์ในเว็บไซต์ต่างๆ เช่น การกรอกข้อมูลในฟอร์มอัตโนมัติ หรือการทำให้ระบบอ่อนแอ
ซึ่งมี CAPTCHA ที่ใช้บ่อย ได้แก่:
- การอ่านข้อความที่ผิดเพี้ยน: ข้อความที่ปรากฏในภาพอาจจะมีลักษณะเบลอหรือบิดเบือน เพื่อให้มนุษย์สามารถอ่านได้ แต่บอทจะทำได้ยาก
- การเลือกภาพ: ผู้ใช้ต้องเลือกภาพที่ตรงกับคำอธิบาย เช่น “เลือกภาพที่มีสัญลักษณ์ของไฟจราจร”
- การกรอกตัวอักษรที่แสดงในภาพ: ระบบจะให้กรอกตัวอักษรหรือคำที่แสดงในภาพหรือจากเสียงที่ระบบสร้างขึ้น
หลังจากที่ได้อธิบาย CAPTCHA ไปอย่างคร่าวๆแล้ว เราจะกลับมาที่ข่าวกันต่อนะครับ โดยวิธีการหลอกของ Hacker ที่ใช้วิธีนี้เราจะบอกเป็นขั้นตอนเพื่อให้เห็นภาพกันครับ
- 1.ขั้นตอนแรกจะทำไฟล์ PDF ที่มี keyword สำคัญที่คาดว่าผู้คนให้ความสนใจและค้นหาใน Search Engines ต่างๆ
- 2.แล้วนำภาพของ CAPTCHA ที่ไม่ใช่ของจริงมาแปะไว้ใน PDF ให้ทำเหมือนกับมี CAPTCHA ตรวจสอบก่อนจริงๆ
- 3.และเมื่อมีเหยื่อมากดเข้าไฟล์ PDF นี้ก็จะเจอกับ CAPTCHA ปลอมและกดเข้าไปซึ่งภาพ CAPTCHA นี้จะมี link ที่พาไปเว็บที่ Hacker ต้องการ
- 4.หลังจากที่กดเข้าไปในหน้าเว็บนั้นแล้วจะเป็นหน้าเว็บที่มี keyword ตรงกับที่เหยื่อต้องการและมีปุ่มให้ download
- 5.เมื่อกดปุ่ม download แล้ว จะขึ้นหน้าให้ใส่ข้อมูลส่วนตัวและข้อมูลบัตรเครดิตอยู่เพื่อทำเหมือนว่าต้องใส่ข้อมูลลงไปแลกเปลี่ยนกับข้อมูลที่เหยื่อต้องการ
- 6.เมื่อเหยื่อใส่ข้อมูลไปเสร็จเรียบร้อยและตกลงมันจะขึ้น error HTTP 500 ให้เหมือนกับว่าทำไม่สำเร็จ แต่ข้อมูลที่เหยื่อส่งไปนั้น Hacker ก็ได้มันไปเรียบร้อย
จากที่ได้อธิบายขั้นตอนของ Hacker ที่ได้ใช้วิธีการนี้ในการหลอกเหยื่อเพื่อได้ข้อมูลนั้นคือวิธีการที่เรียกว่า Phishing โดยใช้ Fake CAPTCHA หรือ CAPTCHA ปลอม มาหลอกให้เหยื่อคิดว่ามีการตรวจสอบและปลอดภัยในการเข้ามาใช้และล้วงข้อมูลของเหยื่อมาได้ในที่สุด
ซึ่งการป้องกันเบื้องต้นคือการไม่เข้าไปเว็บไซต์ที่ไม่น่าไว้ใจหรือเมื่อจำเป็นต้องค้นหาสิ่งนั้นจริงๆก็อย่าให้ข้อมูลส่วนตัวหรือบัตรเครดิตเมื่อมีการขอในเว็บไซต์ที่ไม่น่าไว้ใจเหล่านี้ไว้ก่อนนั่นเอง
เรียบเรียงโดย ธัณย์นภัทร ธนะชัยถาวรพานิช
อ่านบทความเพิ่มเติม ได้ที่ https://www.itbtthai.com/storage-backup/
