ความรับผิดชอบอันยิ่งใหญ่ของผู้มี Verified badge บนแพลตฟอร์มโซเชียลมีเดีย

เพื่อป้องกันการแอบอ้างเป็นบุคคลผู้มีชื่อเสียง องค์กรและบริษัทต่างๆ บรรดาแพลตฟอร์มโซเชียลมีเดียเขาจะมีกระบวนการในการยืนยันตัวตน ว่าบัญชีโซเชียลมีเดียนั้นๆ เป็นตัวบุคคล องค์กร บริษัทหรือแบรนด์นั้นๆ จริงหรือไม่ เมื่อยืนยันตัวตนเรียบร้อย ก็จะได้สิ่งที่เรียกว่า Verified badge มา เพื่อให้ผู้ใช้งานทั่วไปได้มั่นใจว่า บัญชีโซเชียลมีเดียนั้นๆ เป็นตัวบุคคล องค์กร บริษัทหรือแบรนด์นั้นๆ จริงๆ แต่การได้ Verified badge มาแล้ว มันก็คือภาระความรับผิดชอบอันใหญ่ยิ่งเช่นกันนะครับ

มิจฉาชีพจะเล็งแฮกบัญชีโซเชียลมีเดียที่ได้ Verified badge

เพราะความที่บัญชีที่ได้รับ Verified badge จะมีความน่าเชื่อถือกว่าบัญชีทั่วไป เพราะถือว่าได้ผ่านกระบวนการยืนยันตัวตนของแพลตฟอร์มโซเชียลมีเดียนั้นๆ แล้ว ฉะนั้น ผู้คนก็จะเชื่อว่าบัญชีนั้นๆ เป็นตัวบุคคล องค์กร บริษัทหรือแบรนด์นั้นๆ จริงๆ แต่ข้อจำกัดของ Verified badge ก็คือ มันไม่ได้มีการระบุว่ามัน Verified ว่าเป็นบุคคล องค์กร บริษัทหรือแบรนด์ใด

หน้าโปรไฟล์บัญชีทวิตเตอร์ของ Coca-Cola และคำอธิบายเกี่ยวกับ Verified badge ที่บอกว่า บัญชีนี้ได้รับการยืนยัน เพราะเป็นบัญชีที่โดดเด่นในฐานะรัฐบาล สื่อ ความบันเทิง หรือในกลุ่มเนื้อหาอื่นๆ

หน้าเพจเฟซบุ๊กของ Coca-Cola ที่ได้รับ Verified badge ที่เขียนว่า ตรายืนยันนี้เพื่อบ่งบอกว่าเพจนี้เป็นเพจจริงๆ ของบุคคลสาธารณะ สื่อ บริษัท หรือแบรนด์

ดังนั้นจึงไม่ใช่เรื่องแปลกที่บัญชีพวกนี้จะตกเป็นเป้าหมายของเหล่ามิจฉาชีพ ที่กะจะเอาไปใช้เพื่อสร้างความน่าเชื่อถือให้กับตนเอง เพื่อจะเอาไปใช้หลอกคนอื่นต่อ และอย่าเพิ่งคิดว่าเรื่องนี้เป็นเรื่องไกลตัวนะครับ หลายๆ แบรนด์ องค์กร บริษัท และบุคคล ในประเทศไทยเรา มีกันอยู่ไม่น้อยครับ และล่าสุดที่เพิ่งโดนไปสดๆ ร้อนๆ ก่อนที่ผมจะเขียนบล็อกตอนนี้ ก็คือกรมสรรพากรครับ โดนแฮกไปเสร็จ เปลี่ยนชื่อเป็น Revenue | NFT ไปเลย ก็ไม่แน่ใจว่าจะแค่เอาไปใช้เพราะหมั่นไส้เรื่องเก็บภาษีคริปโตฯ หรืออยากจะเอาไปหลอกชาวบ้านต่อ หรือทั้งคู่ก็ไม่รู้ (สังเกตจากทวีตที่ถูกปักหมุด ที่ประกาศหาคนมาร่วมโปรเจ็กต์ NFT ด้วย) ซึ่งล่าสุดเหมือนกรมสรรพากรจะกู้บัญชีทวิตเตอร์คืนมาได้บ้างแล้ว

หน้าโปรไฟล์บัญชีทวิตเตอร์ของกรมสรรพากร ที่ถูกแฮกไปเปลี่ยนเป็นบัญชี NFT

ฉะนั้น หน้าที่ความรับผิดชอบที่ยิ่งใหญ่ของตัวบุคคล องค์กร บริษัทหรือแบรนด์ ที่ได้รับการยืนยันบัญชีจนได้เป็น Verified account มี Verified badge แล้วก็คือ ต้องรักษาเนื้อรักษาตัว อย่าให้โดนแฮกเอาบัญชีไปก่อคดีหลอกลวงครับ

โดนแฮกกันได้ยังไง?

ก็ต้องบอกกันตรงๆ ว่า แอดมินหลายคนยังคงไม่ตระหนักถึงความสำคัญของการตั้งรหัสผ่านแบบที่จะแฮกด้วยวิธี Brute force หรือเดาได้ยาก (คนละเรื่องกับรหัสผ่านที่จำยากนะครับ หลายคนมีเทคนิคส่วนตัวที่ทำให้รหัสผ่านเดายาก แฮกด้วยวิธี Brute force ยาก แต่ยังคงจำได้ง่ายสำหรับตัวเขาเอง) และไม่สนใจที่จะทำ 2-step authentication เอาไว้ด้วย กลุ่มนี้ก็จะโดนแฮกได้ไม่ยากมาก

แต่วิธีที่มิจฉาชีพใช้แล้วได้ผลดีที่สุด ก็คือ Social engineering หรือ วิศวกรรมสังคม ครับ เพราะไม่ว่าระบบจะป้องกันเข้มแข็งแค่ไหน จุดอ่อนก็ยังคงเป็นที่ตัวบุคคลเสมอครับ วิธีที่นิยมกัน และเพิ่งโดนใช้กันไปหมาดๆ เมื่อเดือนธันวาคม 2564 ที่ผ่านมา อ้างอิงตามข้อมูลจากบทความ As Twitter removes blue badges for many, phishing targets verified accounts (bleepingcomputer.com) ก็คือการทำ Phishing โดยมิจฉาชีพจะไปหาอีเมลของบัญชี Twitter นั้นๆ มา (ซึ่งมักจะหาไม่ยาก เพราะหลายๆ คนก็แปะไว้ในโปรไฟล์อยู่แล้ว) จากนั้นก็ทำการส่งอีเมลไปเตือนว่าให้อัปเดตข้อมูล เพื่อที่จะไม่ได้หลุดจากสถานะการเป็น Verified account

ตัวอย่างอีเมล Phishing ที่ส่งมาเพื่อหลอกเอาข้อมูลการล็อกอินจากผู้ใช้งาน — ตัวอย่างอีเมล Phishing ที่มาหลอกเอาข้อมูลบัญชี Twitter เครดิตภาพจาก Bleeping Computer

เจอแบบนี้ หลายคนไม่ทันดูให้ดีว่าใครเป็นคนส่งมา ก็จะรีบคลิก Update here ไป แล้วก็จะโดนพาไปยังเว็บไซต์ที่เป็น Phishing site ซึ่ง ณ จุดนี้ หากเผลอกรอกข้อมูลลงไปเนี่ย ก็จะโดนแฮกเลยครับ การมี 2-step authentication ก็ไม่ได้ช่วยอะไรในเรื่องนี้ เพราะ Phishing site สามารถออกแบบให้หลอกเอาได้กระทั่ง 2-step authentication เลยครับ

ทีนี้ แทนที่เราจะได้อัปเดตข้อมูลเพื่อป้องกันสถานะ Verified account หลุดไป กลับกลายเป็นเรานี่แหละ ส่งข้อมูลล็อกอินบัญชี Twitter ของเราไปให้มิจฉาชีพใช้แฮก เสียบัญชีที่เป็น Verified account ไปจริงๆ แทน

อีแบบนี้ ป้องกันตัวเองยังไงดี?

ถ้าโดน Phishing ละก็ รหัสผ่านจะตั้งมาดีแค่ไหน จะมี 2-step authentication ดียังไง ก็โดนแฮกได้อยู่ดีครับ การป้องกันที่ดีที่สุดคือฝึกฝนตนเองไม่ให้โดน Phishing ได้ง่ายๆ ครับ ซึ่งผมจะขอแนะนำดังนี้

*️⃣ เช็กให้ดีๆ ก่อน ว่าคนที่ส่งอีเมลมา มันเป็น Twitter จริงๆ แน่เหรอ เพราะพวกบริการอีเมลต่างๆ หรือแม้แต่โปรแกรม Email client มันก็สามารถบอกได้อยู่แล้วว่าคนส่งอะ เป็นอีเมลแอดเดรสอะไร เช่น ในกรณีตัวอย่างอีเมล Phishing ด้านบน จะเห็นว่าคนส่งมาคือ letters@pousse.in ซึ่งไม่ใช่ Twitter เลยแท้ๆ

*️⃣ อย่าไปคลิกลิงก์ใดๆ หรือ Attachment ใดๆ จากอีเมลที่น่าสงสัย เพราะหนึ่งในวิธีการแฮกที่มิจฉาชีพชอบใช้ก็คือ การหลอกให้คลิกเปิด Attachment หรือเปิดหน้าเว็บ ซึ่งจะมีการฝังโค้ดหรือโปรแกรม ที่ใช้โจมตีเครื่องคอมพิวเตอร์โดยอาศัยช่องโหว่ต่างๆ และควรจะอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นเวอร์ชันใหม่ล่าสุดเสมอ เพราะจะช่วยอุดช่องโหว่ไม่ให้มิจฉาชีพโจมตีได้ง่ายๆ

*️⃣ ถ้าเผลอคลิกแล้ว แล้วไปที่เว็บไซต์เช็กให้ดีๆ ว่าเว็บไซต์อะ เป็นเว็บไซต์ของแพลตฟอร์มโซเชียลมีเดียจริงๆ ไหม อย่างเช่น กรณีตัวอย่างที่เว็บไซต์ Bleep Computer เอามาให้ดู เว็บไซต์ที่เราไปถึง ดูแค่ URL ก็รู้แล้วว่าไม่ใช่ Twitter อะ ถ้าเจออะไรแบบนี้ ก็อย่าไปกรอกข้อมูล

ความรับผิดชอบอันยิ่งใหญ่ของผู้มี Verified badge บนแพลตฟอร์มโซเชียลมีเดีย 6 — เว็บไซต์ที่หลอกข้อมูลล็อกอิน Twitter ภาพจาก Bleep Computer

*️⃣ ถ้าแอดมินโซเชียลมีเดีย ไม่ได้มีพื้นฐานด้านไอที หรือเทคโนโลยี อย่าไปบุ่มบ่ามทำอะไร ตกใจได้ แต่อย่าลงมือทำอะไร จนกว่าจะได้ปรึกษากับแผนกไอทีของบริษัท องค์กร หรือเพื่อนผู้เชี่ยวชาญด้านเทคโนโลยีที่เรามี (ในกรณีของบัญชีบุคคล เช่น Influencer หรือ ดารา) ถ้าไม่มีเพื่อนที่เก่งไอที รีบหาได้แล้ว

จริงๆ การป้องกัน Phishing มันไม่ยากครับ แต่มันต้องอาศัยสติพอสมควร แต่พวกมิจฉาชีพมันก็จะไปเรียนรู้วิธีต่างๆ ในการสร้างความรู้สึกร้อนรนให้เราต้องเร่งรีบดำเนินการ (เช่น ไม่รีบบัญชีของคุณจะหลุดจากการเป็น Verified account นะ หรือ ไม่รีบบัญชีของคุณจะโดนปิดนะ อะไรแบบนี้) แต่อยากให้เราท่องไว้นะครับ บริษัทยักษ์ใหญ่แบบนี้ เขาจะทำอะไร เขาไม่ทำปุบปับหรอกครับ เขาต้องให้เวลาเราพักใหญ่ๆ แหละ เหมือนอย่างเมื่อตอนปลายปี 2564 ที่ Facebook มีการเตือนให้ผู้ใช้งานต้องไปใช้ Facebook Protect โดยหากไม่ตั้งค่าใน 15 วัน ก็จะไม่สามารถล็อกอินได้ … เห็นแมะ เขาให้เวลาตั้ง 15 วันแน่ะ

ภาพปกประกอบบล็อก Click on 👍🏼👍🏼, consider ☕ Thank you! 🤗 from Pixabay