ธุรกรรมออนไลน์…ภัยร้ายแฝงเงามืด


เมื่อหลายเดือนก่อนได้เกิดคดีที่เกี่ยวข้องกับการทำธุรกรรมทางอินเตอร์เน็ต โดยผู้เสียหายได้ใช้บริการ Internet Banking และตกเป็นเหยื่อโดยไม่รู้ตัว ซึ่งเมื่อตรวจสอบพบว่ามีผู้ดักข้อมูลโดยใช้โปรแกรม Key Logger ซึ่งคอยเก็บข้อมูลจากแป้นคีย์บอร์ดขณะใช้งาน และส่งผ่านระบบอินเตอร์เน็ตให้กับแฮกเกอร์ ซึ่งนำข้อมูลที่ได้สวมรอยเป็นผู้ใช้งาน เข้าทำธุรกรรมทางการเงิน สร้างความเสียหายมูลค่าไม่น้อย เหตุการณ์นี้สามารถป้องกันได้ หากผู้ใช้งานและผู้ให้บริการระบบธุรกรรมออนไลน์ตระหนักและรู้เท่าทันภัยคุกคาม ตลอดจนเสริมสร้างเทคโนโลยีให้ปลอดภัยมากยิ่งขึ้น
ในปัจจุบันแฮกเกอร์ไม่ได้มีเป้าหมายเจาะระบบเครือข่ายธนาคารหรือผู้ให้บริการธุรกรรมออนไลน์ เพื่อเข้าถึงชั้นความลับของลูกค้าเพียงอย่างเดียว แต่เปลี่ยนเป้าหมายเป็นผู้ใช้งาน (User) อินเตอร์เน็ต ซึ่งเข้าถึงได้ง่ายกว่าแทน โดยอาศัยความรู้เท่าไม่ถึงการณ์ เนื่องจากมีการใช้งานอินเตอร์เน็ตอย่างทั่วถึงมากยิ่งขึ้น บางครั้งผู้ใช้งานอาจพยายามดาวน์โหลดโปรแกรมหรือข้อมูลบางอย่างที่แฮกเกอร์ได้เผยแพร่ไว้ตามเว็บสาธารณะยอดนิยม โดยโปรแกรมดังกล่าวมักมีชื่อที่ดึงดูดให้ดาวน์โหลด เช่น clip ฉาว, โปรแกรมเร่งความเร็ว, โปรแกรม crack serial number, โปรแกรมเกมส์ เป็นต้น เมื่อผู้ใช้งานหลงดาวน์โหลดโปรแกรมดังกล่าวมาติดตั้งในเครื่อง อาจมีมัลแวร์แฝงมากับไฟล์ ทำให้ผู้ใช้ตกเป็นเหยื่อมิจฉาชีพที่จ้องดักข้อมูลได้
ในแง่ผู้ใช้งานทั่วไป : ต้องป้องกันภัยคุกคามที่เกิดขึ้นโดยตระหนักรู้ และควบคุมพฤติกรรมตนเองในการใช้งานอินเตอร์เน็ต บนเครื่องคอมพิวเตอร์ส่วนตัว, ไม่ดาวน์โหลดโปรแกรมที่ไม่มั่นใจในความปลอดภัย, หมั่นดูแลเครื่องคอมพิวเตอร์ให้มีการอัพเดททั้งซอฟต์แวร์ป้องกัน และ Patch, ตั้งรหัสผ่านที่ยากต่อการคาดเดา หากต้องทำธุรกรรมทางอินเตอร์เน็ต เช่น ซื้อสินค้า หรือทำธุรกรรมทางการเงิน ให้ทำบนเครื่องตนเองที่คิดว่าปลอดภัยแล้ว เลือกช่องทางการใช้งานให้ถูกต้อง เช่น เมื่อมีการ Login ผ่านเว็บไซต์ให้ดูว่าเป็นการผ่าน HTTPS หรือไม่ หากไม่ใช่ก็ไม่ควรใช้ โดยเฉพาะหากอยู่ในวง LAN ไม่ว่าจะเป็นร้านอินเตอร์เน็ตคาเฟ่ หรือบริษัท เพราะอาจมีการดัก User / Password ผ่านระบบเครือข่ายได้ และควรเลือกใช้บริการธุรกรรมอินเตอร์เน็ตจากผู้ให้บริการที่น่าเชื่อถือเท่านั้น
ในแง่ผู้ให้บริการ : แม้ผู้ให้บริการจะออกแบบระบบเครือข่ายเป็นอย่างดีจนยากที่แฮกเกอร์จะเจาะระบบเข้ามาได้ แต่แฮกเกอร์สามารถเจาะผ่านทางผู้ใช้บริการได้ และเป็นวิธีที่นิยมใช้ในปัจจุบัน ด้วยเหตุนี้นอกจากต้องอำนวยความสะดวกแก่ลูกค้าแล้ว ผู้ให้บริการยังต้องให้ความสำคัญกับเทคโนโลยีในการระบุตัวตนผู้ใช้งาน, ดูแลความปลอดภัยของข้อมูลและวิธีการใช้งานเมื่อลูกค้าต้องทำธุรกรรมผ่านระบบอินเตอร์เน็ต ตลอดจนให้ความรู้แก่ลูกค้าให้รู้เท่าทันภัยคุกคามในปัจจุบัน
ในที่นี้ผมขอเน้นเรื่องการใช้เทคโนโลยีการพิสูจน์ตัวตนของลูกค้าที่ทำธุรกรรมผ่านอินเตอร์เน็ต ซึ่งที่ใช้กันอยู่มีสามรูปแบบคือ
* สิ่งที่คุณมี (Something you have) เช่น กุญแจไขประตู, บัตรอิเล็กทรอนิกส์ หรือระบบ Token เป็นต้น
* สิ่งที่คุณรู้ (Something you know) คือ รหัสผ่านหรือชุดตัวเลขเฉพาะ
* สิ่งที่คุณเป็น (Something you are) เป็นการพิสูจน์ตัวตนแบบชีวมาตร เช่น ลายนิ้วมือ ระบบรู้จำเสียง ระบบสแกนม่านตา เป็นต้น
สำหรับการทำธุรกรรมทางอินเตอร์เน็ตนั้น การพิสูจน์ตัวตนแบบปัจจัยเดียว (single-factor) อาจไม่รัดกุม และไม่เพียงพอต่อการให้บริการธุรกรรมอิเล็กทรอนิกส์ ซึ่งมีแนวโน้มขยายตัวขึ้น ควบคู่กับความเสี่ยงที่สูงขึ้นเป็นเงาตามตัว จึงควรใช้การพิสูจน์ตัวตนแบบสองปัจจัย (two-factor) ตัวอย่างที่เห็นเด่นชัดคือ เครื่องเอทีเอ็มที่ใช้บัตรพลาสติก (สิ่งที่คุณมี) ควบคู่กับหมายเลขเฉพาะสี่หลัก (สิ่งที่คุณรู้) เปรียบเทียบกับการพิสูจน์ตัวตนทางระบบเครือข่ายคือ การใช้ระบบ Token ร่วมกับรหัสผ่านนั่นเอง วิธีนี้จะช่วยยกระดับความปลอดภัยให้สูงขึ้นอีกขั้น และผู้ใช้บริการรายนั้นไม่อาจปฏิเสธความรับผิดชอบในการทำธุรกรรมของตนได้ ซึ่งระบบที่มีประสิทธิภาพจะช่วยให้โครงสร้างด้านความปลอดภัยแข็งแกร่งขึ้น ลดปัญหาการฉ้อฉลลงได้อีกทางหนึ่ง
นอกจากระบบพิสูจน์ตัวตนแล้ว ผู้ให้บริการควรมีนโยบายด้านความมั่นคงปลอดภัยข้อมูล ตลอดจนวิธีการปฏิบัติและการควบคุมที่เหมาะสม และควรประเมินความสามารถของเทคนิคการพิสูจน์ตัวตนที่ใช้อยู่ว่าสามารถรับมือกับภัยคุกคามและความเสี่ยงใหม่ ๆ ที่เกิดขึ้นได้หรือไม่ การประเมินความเสี่ยงอย่างสม่ำเสมอ จะช่วยลดความเสี่ยงภายในระบบได้ สำหรับผู้ให้บริการธุรกรรมอินเตอร์เน็ตผ่าน Web Application ที่ยังไม่ได้จัดทำระบบแบบ two factor ก็ควรมีการเก็บค่าการ Login หน้าเว็บเพื่อที่สืบได้ว่าใครเข้ามาใช้บริการบ้าง (คำว่า ใคร ประกอบด้วย IP ที่เรียกใช้บริการ ชื่อ ISP ชุดคำสั่งในการใช้บริการ ได้แก่ ชนิดบราวเซอร์ ระบบปฏิบัติการ รวมถึง Session ID ของค่า Cookie ที่เครื่องแม่ข่ายให้บริการสร้างขึ้น เป็นต้น) ทั้งหมดนี้เพื่อสร้างความปลอดภัยให้กับลูกค้า เช่นเดียวกับกล้องวงจรปิดที่ติดตามตู้ ATM จะทำให้ผู้บริการเก็บบันทึก Log ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย
มีเรื่องราวทางเทคนิคอีกมากมายที่เจาะลึกถึงการป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ ซึ่งหากมีโอกาสจะได้นำเรียนเสนอในคราวต่อไป อย่างไรก็ดี ผู้ให้บริการด้านพาณิชย์อิเล็กทรอนิกส์ เช่น สถาบันการเงิน, ผู้ประกอบธุรกิจ E-Commerce ควรนำเทคโนโลยีการพิสูจน์ตัวตนแบบ Two-Factor Authentication มาใช้เป็นอย่างน้อย ตลอดจนให้ความรู้แก่ลูกค้าในการทำธุรกรรมผ่านระบบอินเตอร์เน็ต เพื่อไม่ให้ตกเป็นเหยื่อพวกมิจฉาชีพที่นับวันจะมีวิธีการที่ซับซ้อนแยบยลขึ้นทุกที

บทความหนังสือพิมพ์สยามธุรกิจ
โดย นนทวรรธนะ สาระมาน บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
11 / 51