ทุกวันนี้ได้ยินข่าวภัยคุกคามทางอินเตอร์เน็ตบ่อยมาก
แทบจะเกินขึ้นในทุกๆวัน อย่างข่าวเจอคนใจดีเอาบัญชี Line หรือ Facebook ไปใช้แทนเรา
แล้วไปขอยืมเงินเพื่อน คนรู้จักเรา,
บัญชี Starbuck โดนเอาไปซื้อบัตรของขวัญให้ใครก็ไม่รู้ ภัยพวกนี้บางที่เราก็อดยอมรับไม่ได้ว่า
มันสามารถเกิดขึ้นได้ทุกที่ทุกวันจริง ๆ คำถามคือว่า
“เราจะป้องกันภัยเหล่านี้กันยังไง ?”
อยากให้ลองนึกว่ามือถือหรือคอมพิวเตอร์ของเราเป็นบ้านหลังนึง
แล้วให้ภัยคุกคามต่างๆเปรียบเหมือนเป็นโจรที่จ้องจะมาขโมยของในบ้าน แล้วเราจะป้องกันโจรพวกนี้ได้อย่างไร?
ดังนั้น ต้องเริ่มต้นจากตัวผู้ใช้งานอินเทอร์เน็ตก่อน
ที่จะต้องไม่เปิดประตู หน้าต่าง หรือช่องทางให้กับโจรเข้ามาขโมยของออกไป
และต้องรู้ว่าโจรจะเข้ามามทางไหนได้บ้าง เช่นเดียวกันกับการรักษาความปลอดภัยของระบบสารสนเทศ
ซึ่งปัจจุบันการบุกรุกและโจมตีมีระดับความลึกซึ้งและแยบยลไม่ได้ตรงไปตรงมาเหมือนในอดีต
และไม่ได้มีเพียงช่องทางเดียวเท่านั้น
ความยากในการแก้ไขปัญหาและติดตามผู้กระทำความผิดจึงบังเกิด
เบื้องต้นสามารถแบ่งสิ่งที่ต้องป้องกันออกเป็น 2
ส่วนคือ การป้องกันข้อมูลส่วนตัว และการป้องกันคอมพิวเตอร์
การป้องกันข้อมูลส่วนตัว
1.การตั้งรหัสผ่านที่คาดเดาได้ยาก
โดยทั่วไปเพื่อความปลอดภัยมีการเสนอให้ตั้งรหัสผ่านอย่างน้อย
8 ตัวอักษร และหลีกเลี่ยงการตั้งรหัสผ่านด้วย
หมายเลขโทรศัพท์ ชื่อเล่น ชื่อสัตว์เลี้ยง หรือคำที่ตนเองชอบพูดถึงบ่อย
สำนักงานข่าวซีเอ็นเอ็นได้เสนอข่าวโดยอ้างอิงจากผู้เชี่ยวชาญจากสถาบันวิจัยเทคโนโลยีแห่งรัฐจอร์เจียในสหรัฐอเมริกา
เสนอวิธีการตั้งรหัสผ่านที่เดายาก ควรตั้งให้ยาวอย่างน้อง 12
ตัวอักษร และควรต้องใช้อักขระหรือสัญลักษณ์พิเศษ ร่วมด้วย
และอีกกรณีตัวอย่างที่น่าสนใจคือวิธีการของ อีเบย์
ที่แนะนำให้ตั้งรหัสผ่านจากประโยคในเนื้อเพลงที่สอดแทรกอักขระพิเศษ ที่สำคัญ
ภายหลังที่ได้รหัสผ่านที่คาดเดาได้ยากแล้ว ก็ควรเปลี่ยนรหัสผ่านเป็นระยะๆ ด้วย
รวมถึงระมัดระวังการใส่รหัสผ่านบนเครื่องคอมพิวเตอร์สาธารณะหรือเครื่องคอมพิวเตอร์ของบุคคลอื่น
และควรตั้งรหัสผ่านสำหรับการใช้งานกับบัญชีธนาคารออนไลน์ ไม่ซ้ำกับบัญชีเว็บอีเมล
เว็บเกม หรือแม้กระทั้งเว็บเครือข่ายสังคม
2.ภัยร้ายจาก
phishing "พิชชิ่ง" (phishing)
เป็นการหลอกลวงในรูปแบบการปลอมแปลง
จดหมายอิเล็กทรอนิกส์
หรือข้อความที่สร้างขึ้นหลอกให้ผู้งานสำคัญผิดเปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนตัวต่างๆ
เช่น บัญชีใช้งานและรหัสผ่าน (User name / Password), ข้อมูลหมายเลขบัตรเครดิต
หรือหมายเลขบัตรประจำตัวอื่นๆ วิธี phishing มักจะเริ่มต้นด้วยการส่งอีเมล
หรือข้อความที่อ้างว่ามาจากองค์กรต่างๆ ที่ผู้ใช้งานอาจเคยติดต่อ
เช่นเว็บไซต์ธนาคาร เว็บไซต์ที่เคยซื้อขายสินค้าบริการ เพื่อขอให้ท่าน
ยืนยันข้อมูลส่วนตัวให้เป็นปัจจุบัน โดยอ้างให้สำคัญผิดว่า
หากไม่ดำเนินการอาจก่อให้เกิดความเสียหายต่างๆตามมาได้
เพื่อให้ข้อความที่สร้างหลอกนั้นมีความสมจริงมากขึ้น คนร้ายมักใส่ hyperlink
ให้ดูเหมือน URL ขององค์กรนั้นๆ
แท้ที่จริงแล้วเป็นเว็บไซต์ปลอม (Spoofed Website) และเมื่อผู้ใช้งานถูกทำให้สำคัญผิดเข้ามาใช้งานแล้ว
วิธีป้องกัน ไม่ควรใช้ links ในอีเมลเพื่อเข้าใช้งานยังเว็บไซต์
และหากผู้ใช้งานสังสัยควรจะติดต่อทางโทรศัพท์ไปยังองค์กรนั้นๆ
โดยตรงและควรใช้งานผ่านการพิมพ์ URL ขององค์กรนั้นใหม่ทุกครั้งที่ใช้งาน
3.วิธีป้องกันการถูกขโมยข้อมูลส่วนบุคคล
·
ตรวจสอบรายการใช้งานอยู่เสมอ
ในการใช้งานเว็บไซต์ต่างๆ ที่ต้องกรอกชื่อบัญชีและรหัสผ่านก่อนใช้งานทุกครั้งนั้น
เว็บไซต์เหล่านั้น มักมีข้อมูลประวัติการใช้งานของเรา
จึงควรตรวจสอบประวัติข้อมูลการใช้งาน
เพื่อสังเกตความผิดปกติว่าเป็นการใช้จากเราเพียงคนเดียวหรือไม่
·
หลีกเลี่ยงการใช้ข้อมูลส่วนตัวมากเกินจำเป็นในเว็บไซต์ซื้อขาย
ในการทำธุรกรรมทางเว็บไซต์ ควรหลีกเลี่ยงการให้ข้อมูลส่วนตัวเกินจำเป็น
เนื่องจากหากให้ข้อมูลส่วนตัวของเรามากก็จะมีความเสี่ยงมากขึ้น
เช่นผู้ที่ได้รับข้อมูลส่วนตัวจากเราจะสามารถรักษาความลับได้อย่างปลอดภัยหรือไม่
·
ระมัดระวังอีเมลที่สอบถามข้อมูลส่วนบุคคล
หากได้รับอีเมลจากบุคคลที่ไม่รู้จัก สอบถามเกี่ยวกับข้อมูลส่วนบุคคล
ไม่ควรตอบข้อมูลส่วนบุคคลกลับทางอีเมล
และหากอีเมลดังกล่าวมาจากธนาคารหรือองค์กรที่เราเคยใช้บริการ
ก็ควรติดต่อสอบถามทางโทรศัพท์เพื่อให้มั่นใจว่าไม่ถูกหลอกสอบถามข้อมูลส่วนบุคคลทางอีเมล
·
มีรหัสผ่านที่คาดเดาได้ยาก
ควรตั้งรหัสผ่านที่คาดเดายาก โดยใช้อักขระพิเศษร่วมด้วยและมีความยาวไม่น้อยกว่า 8
ตัวอักษร และควรเปลี่ยนรหัสผ่านเป็นระยะๆอย่างต่อเนื่อง
เพื่อลดโอกาสในการที่คนร้ายพยายามแกะรหัสผ่านของเรา
·
ควรระมัดระวัง Wifi Hot spots ปลอม
เป็นภัยที่มีหลักการคล้ายกับ Phishing ปัจจุบันมีผู้ใช้งานอุปกรณ์มือถือ (Moblie
device) มากขึ้น คนร้ายจึงทำการปล่อยสัญญาณ Wifi
ฟรีในที่สาธารณะ
ผู้ใช้งานทั่วไปอาจสำคัญผิดลองเข้ามาใช้งานหวังต้องการใช้สัญญาณ Wifi ฟรี
ซึ่งคนร้ายจะเตรียมเว็บไซต์ปลอมสำหรับการใช้บริการอินเทอร์เน็ตฟรี เมื่อผู้หลงผิดทำการต่อเชื่อมสัญญาณเข้ามาจะปรากฎหน้าต่างแจ้งถึงเงื่อนไขเพียงกรอกข้อมูลอีเมลตั้งรหัสผ่าน
ก็จะสามารถใช้บริการอินเทอร์เน็ตฟรี
ซึ่งโดยทั่วไปคนเรามั่งใช้รหัสผ่านซ้ำๆกันอยู่แล้ว
ทำให้คนร้ายจะทำเอาข้อมูลที่ได้ไปทดลองสุ่มใช้กับเว็บไซต์ต่างๆ ซึ่งอาจจะทำเสียหายมาสู่ผู้สำคัญผิดได้
·
ทำลายเอกสารที่มีข้อมูลส่วนบุคคล
ควรระมัดระวังเอกสารหรือจดหมายส่วนตัวที่มีระบุข้อมูลส่วนบุคคล
เช่นหมายเลขบัตรเครดิต, บัญชีผู้ใช้งาน
หรือแม้แต่การแจ้งรหัสผ่านทางจดหมาย ควรเก็บรักษาในที่ปลอดภัยจากบุคคลภายนอก
และหากไม่มีความจำเป็นต้องเก็บไว้เป็นหลักฐานหรือช่วยเตือนความจำเป็น
ควรทำลายในลักษณะไม่สามารถนำกลับมาอ่านใหม่ได้
เช่นการย่อยทำลายเอกสารให้เป็นชิ้นเล็กๆ เป็นต้น
โดยเฉพาะอย่างยิ่งเอกสารทางการเงินควรทำลายเอกสารก่อนทิ้งเสมอ
รวมถึงควรลบข้อมูลและประวัติในการใช้ browser ภายหลังการใช้งานเสมอ
เพื่อล้างข้อมูลส่วนบุคคลหรือข้อมูลติดต่อกับธนาคารทางอินเทอร์เน็ตไปด้วยในคราวเดียวกัน
·
ใช้ Social networking ด้วยความระมัดระวัง
ปัจจุบันมีการใช้เว็บเครือข่ายสังคมออนไลน์อย่างกว้างขวาง
ผู้ใช้งานควรกำหนดระดับความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคลของตนที่อยู่บนเว็บเครือข่ายสังคมดังกล่าว
พร้อมทั้งไม่ค่อยเปิดเผยให้กับผู้ใด
·
3.วิธีป้องกันการถูกขโมยข้อมูลส่วนบุคคล
·
ศึกษาข้อมูลความน่าเชื่อถือในสินค้าและผู้ขาย
อาจใช้วิธีการส่งจดหมายอิเล็กทรอนิกส์หรือโทรศัพท์ไปสอบถามรายละเอียดสินค้าหรือบริการ
เพื่อสังเกตความรวดเร็วในการตอบกลับและการมีตัวตนเองของธุรกิจนั้นๆ
และสังเกตเพิ่มเต็มว่ามี trust mark บ้างหรือไม่ เช่น BBBOnline,
Truste หรือ Verified เป็นต้น
·
การจ่ายชำระเงินผ่านระบบควรสังเกตว่าระบบดังกล่าวมีความมั่นคงปลอดภัยหรือเข้ารหัสเสมอหรือไม่
เช่นอาจสังเกตจาก https หรือ SSL หรือเครื่องหมายแม่กุญแจที่ปรากฎ
3 หากสามารถเลือกชำระเงินแบบบัตรเดบิต(Debit
Card) หรือ บัตรเครดิต (Credit Card) ก็ควรเลือกชำระใช้บัตรเครดิตเสมอ
เนื่องจากหากมีปัญหาในตัวสินค้าที่สั่งซื้อ
เจ้าของบัตรอาจจะสามารถปฏิเสธการชำระเงินได้
ในขณะที่กรณีบัตรเดบิตมีความเสี่ยงกว่าเนื่องจากจะถูกหักเงินจากบัญชีเงินฝากธนาคารทันทีที่ชำระผ่านบัตรเดบิต
รวมทั้งควรตรวจอสอบใบแจ้งหนี้ทุกรอบบัญชี เพื่อตรวจสอบรายการที่อาจผิดปกติ
·
ศึกษาว่าเว็บไซต์ที่กำลังจะซื้อสินค้าหรือบริการดังกล่าวมี
กฎระเบียบเกี่ยวกับการรับประกันความพึงพอใจในสินค้าหรือไม่
มีนโยบายการรับคืนและคืนเงินทันทีเมื่อลูกค้าแจ้งความไม่พอใจในสินค้าหรือไม่
·
ใช้ความระมัดระวังอย่างสูงหากพบการเสนอขายสินค้าบนเว็บไซต์ที่ราคาขายต่ำเกินความเป็นจริงอย่างมากรวมถึงสิ้นค้าหรือบริการที่อวดอ้างสรรพคุณเกินจริง
การป้องกันคอมพิวเตอร์
1.ประเภทภัยร้ายที่มักพบบ่อย
·
malware เป็นคำเรียกย่อจาก "malicious"
และ "software" ซึ่งเป็น software ที่ได้รับการออกแบบมาเพื่อแอบเข้าไปทำลายระบบคอมพิวเตอร์
โดยผู้สร้าง malware นั้นเป็นผู้ที่มีความรู้
และออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย
โปรแกรมเหล่านี้ก็เช่น mass-mailing worm, KaZaa ซึ่งเป็น
File sharing Network Worm ชนิดหนึ่ง, exploit malware รวมไปถึง
zombie network และอื่นๆ
·
virus เดิมถูกพัฒนาขึ้นเพื่อทำการทดลองพิสูจน์ว่าโปรแกรมสามารถแพร่กระจายตัวเองออกไปในวงกว้างได้
ในเริ่มต้นเพียงสร้างความรำคาญในการใช้งานคอมพิวเตอร์
แต่ปัจจุบันผู้ประสงค์ร้ายได้พัฒนาให้สามารถทำลายความเสียหายให้กับไฟล์กับข้อมูลได้
โดยการแพร่กระจายไปติดไฟล์อื่นๆในคอมพิวเตอร์โปรแกรมจะทำการแนบตัวเองเข้าไป
ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยไฟล์พาหะ
·
trojan เป็นเทคนิคที่ต้องอาศัยคนอื่นให้สำคัญผิดให้ดาวโหลดเอาไปใส่เครื่องเองหรือด้วยวิธีอื่นๆ
สิ่งที่ trojan จะทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติด
trojan จากระยะไกล ซึ่งผู้บุกรุกจะทำอะไรก็ได้
และโทรจันยังมีอีกหลายชนิด เช่น Remote Access Trojan (RAT), Data
Sending/Password Sending Trojan, Keylogger Trojan, Destructive Trojan, Denial
of Service (DoS) Attack Trojan, Proxy Trojan, FTP Trojan เป็นต้น
·
spyware เป็นโปรแกรมที่ไม่สามารถแพร่กระจายไปไฟล์อื่นๆ
หรือส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้
ต้องอาศัยเทคนิคการหลอกให้ผู้ใช้งานดาวโหลดเอาไปใส่เครื่องเองหรืออาศัยช่องโหว่ของ
web browser ในการติดตั้งตัวเองลงในเครื่องเป้าหมาย สิ่งที่
spyware ทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้
2.การป้องกันภัย
·
ติดตั้งโปรแกรมป้องกันไวรัส
และเปิดให้โปรแกรมทำงานเสมอ
·
ตื่นตัวติดตามข่าวสารเกี่ยวกับไววัส
และควรติดตั้งโปรแกรมปรับปรุงระบบ (Patch) และมีการอัพเดทเป็นประจำ อัพเดทคอมพิวเตอร์ของท่านด้วยซอฟต์แวร์ป้องกันไวรัสรุ่นล่าสุด
·
หากได้รับไฟล์ที่แนบมาพร้อมจดหมายอิเล็กทรอนิกส์
โดยระมัดระวังในการเปิดใช้งานไฟล์ที่แนบมานั้น
และหลีกเลี่ยงการเปิดไฟล์ดังกล่าวหากเป็นจดหมายที่ไม่ได้มาจากบุคคลที่รู้จัก
·
ควรติดตั้งและเปิดใช้บริการระบบ firewall
เสมอ เพื่อป้องกันอันตรายที่มาจากอินเทอร์เน็ตหรือเน็ตเวิร์คภายนอก
·
ควรปรับระดับการรักษาความปลอดภัยของ browser
ให้ในระดับกลางถึงสูงเสมอ
·
โปรดหลีกเลี่ยงและระมัดระวังการใช้โปรแกรมในลักษณะ
Peer-to-Peer หากให้ Microsoft windows
ความมั่นคงปลอดภัย
ถือว่าความมั่นคงปลอดภัยเป็นสิ่งสำคัญที่ละเลยไม่ได้ และเพื่อผู้ให้มีการใช้งานระบบอินเทอร์เน็ตได้อย่างมั่นคงปลอดภัย
ไม่ตกเป็นเหยื่อสำคัญผิดจากผู้ไม่หวังดี ผู้ใช้งานอินเทอร์เน็ตจึงต้องตระหนัก
และให้ความสำคัญในการป้องกันข้อมูลส่วนตัวของเรา เพื่อลดความเสี่ยงในการใช้งานคอมพิวเตอร์
ที่มา www.etda.or.th
0 ความคิดเห็น