แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม

Posted onAuthortanwongLeave a comment

เนื่องด้วยความเจริญก้าวหน้าของเทคโนโลยีการสื่อสาร ส่งผลให้มีผู้พัฒนาและผลิตโทรศัพท์เคลื่อนที่ หรือโทรศัพท์มือถือ ออกมาเป็นจำนวนมาก โดยแต่ละผู้พัฒนาก็มีแนวคิดคล้ายกันคือต้องการอำนวยความสะดวกให้ผู้ใช้งานมากที่สุด สังเกตได้จากสื่อโฆษณาทั่วไปที่มีการโฆษณาถึงความสามารถของโทรศัพท์มือถือในแต่ละฟังก์ชั่นการทำงาน เช่น สามารถเชื่อมต่อกับเครือข่ายไร้สายเพื่อความสะดวกในการเข้าถึงอินเทอร์เน็ตบนโทรศัพท์มือถือ สามารถรับชมวีดีโอบนโทรศัพท์มือถือเพื่อความบันเทิง เป็นต้น แต่จากความสามารถและข้อดีหลายประการของโทรศัพท์มือถือ ก็ยังถูกเจือปนหรือแอบแฝงไปด้วยภัยอันตรายหรือภัยคุกคามหลายประการ ซึ่งผู้ใช้งานอีกจำนวนมากที่อาจจะยังไม่เคยทราบถึงภัยคุกคามจากการใช้งานโทรศัพท์มือถือ ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีหรือขโมยข้อมูลต่างๆได้โดยง่าย เช่น การปลดล๊อคโทรศัพท์มือถือเพื่อนำไปติดตั้งซอฟต์แวร์ผิดกฎหมาย ส่งผลให้ระบบปฎิบัติการบนโทรศัพท์มือถือมีช่องโหว่ เป็นต้น และจากสภาพแวดล้อมในปัจจุบัน เป็นที่ยอมรับกันว่าโทรศัพท์มือถือได้กลายเป็นเครื่องมือที่จำเป็นสำหรับองค์กรหรือบริษัทส่วนใหญ่ที่ต้องการให้พนักงานใช้ในการติดต่อสื่อสารเพื่อภารกิจขององค์กร หรือใช้เพื่ออำนวยความสะดวกในการค้นหาข้อมูล ซึ่งโทรศัพท์มือถือขนาดย่อมและมีราคาไม่สูงมากที่วางขายตามท้องตลาด ก็ยังมีความสามารถเทียบเท่าและสามารถใช้งานเพื่อสนับสนุนภารกิจขององค์กรได้ เช่น การใช้งาน VoIP (Voice over IP) ขององค์กร การเข้าถึงเอกสารที่จัดเก็บอยู่บนเว็บไซต์ขององค์กร รวมถึงการรับส่งจดหมายอิเล็กทรอนิกส์ขององค์กร เป็นต้น ซึ่งในขณะที่อุปกรณ์เหล่านี้ก่อให้เกิดประโยชน์มากมาย แต่ในทางกลับกันก็ส่งผลให้เกิดความเสี่ยงในรูปแบบใหม่ที่องค์กรอาจจะไม่เคยคาดคิดมาก่อน ทำให้องค์กรอาจมีความจำเป็นต้องหาแนวทางปกป้องหรือรักษาความปลอดภัยของข้อมูลให้ได้มากที่สุด หรือในอีกมุมหนึ่ง องค์กรอาจจำเป็นต้องกำหนดนโยบายการใช้งานโทรศัพท์มือถือของพนักงานทั้งหมด เพื่อควบคุมหรือจำกัดการเข้าถึงข้อมูลขององค์กรเป็นหลัก ซึ่งในเอกสารฉบับนี้จะอธิบายถึงความสามารถของโทรศัพท์มือถือในปัจจุบัน ข้อแตกต่างระหว่างโทรศัพท์มือถือทั่วไปที่มีราคาต่ำ ไปจนถึงโทรศัพท์มือถือที่เรียกกันว่า Smart Phone ที่มีราคาและความสามารถสูงขึ้น รวมถึงได้มีการรวบรวมรายละเอียดเกี่ยวกับภัยคุกคามและความเสี่ยงของเทคโนโลยีที่เกี่ยวข้องกับการใช้อุปกรณ์เหล่านี้ มาตรการป้องกันและแนวทางปฎิบัติของผู้ใช้งานโทรศัพท์มือถือ เพื่อควบคุมมิให้เกิดความเสียหายต่อตัวผู้ใช้งานและองค์กร

ประเภทของโทรศัพท์มือถือ

  • Basic Phone เป็นโทรศัพท์มือถือทั่วไปที่มักจะมีเพียงฟังก์ชั่นพื้นฐานในการโทรศัพท์และการรับส่งข้อความสั้น (SMS) อาจมีวิวัฒนาการในการแสดงผลแบบจอภาพสีหรือขาวดำ ตัวอย่างเช่น Nokia 3310 เป็นต้น
  • Smart Phone เป็นโทรศัพท์มือถือที่มีความสามารถพิเศษคล้ายคอมพิวเตอร์ รองรับระบบปฎิบัติการต่างๆ ที่เพิ่มเติมความสามารถของ PDA (Personal Digital Assistant) ให้มีประสิทธิภาพเพิ่มขึ้น รองรับการทำงานมัลติมีเดียหลายรูปแบบ รองรับการติดต่อสื่อสารแบบไร้สาย เช่น Bluetooth, GPRS, EDGE, 3G และ WiFi เป็นต้น ในการติดต่อสื่อสาร โดยส่วนใหญ่มักจะใช้ควบคู่กับบริการเสริมจากโอเปอเรเตอร์ โดยในประเทศไทยมีโอเปอเรเตอร์หลักๆ อยู่ 3 รายด้วยกัน คือ AIS, DTAC และ Truemove ดังนั้น Smart Phone จึงไม่ได้เป็นแค่โทรศัพท์มือถือที่เพียงใช้ในการรับสายเข้า โทรออก ฟังเพลง หรือ ถ่ายวีดีโอ เท่านั้น แต่ยังสามารถรองรับการใช้งานระดับเครือข่ายที่มีการติดต่อสื่อสารทั่วโลก เช่น การติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ แบ่งปันข้อมูลออนไลน์ การโทรศัพท์ผ่าน VoIP เป็นต้น ยังไม่รวมถึงระบบปฏิบัติการบนมือถือของแต่ละค่ายที่มีอยู่ในตลาดอย่างมากมาย ไม่ว่าจะเป็น Apple iOS Google Android Microsoft Windows Phone Nokia Symbian และ Research in Motion (RIM) BlackBerry OS เป็นต้น ซึ่งระบบปฏิบัติการแต่ละค่ายต่างก็มีความสามารถในการติดตั้งโปรแกรมเพิ่มเติม และยังสามารถอัพเดทข้อมูลที่เป็นจดหมายอิเล็กทรอนิกส์ ตารางนัดหมาย ระหว่างมือถือกับเครื่องคอมพิวเตอร์ให้ตรงกันได้ ซึ่งจากข้อมูลความสามารถของโทรศัพท์ที่ได้กล่าวไป ทำให้เห็นว่าวิวัฒนาการของโทรศัพท์มือถือในปัจจุบันสามารถทำงานได้เปรียบเสมือนคอมพิวเตอร์ขนาดย่อมเคลื่อนที่เลยก็ว่าได้ โดยต่อไปจะเป็นการอธิบายถึงภัยคุกคามต่างๆ ที่เกี่ยวข้องกับการใช้งานโทรศัพท์มือถือในปัจจุบันและแนวทางในการป้องกัน เพื่อให้ผู้อ่านได้รับทราบและป้องกันภัยได้ด้วยตนเอง ซึ่งได้มีการรวบรวมข้อมูลต่างๆ ไว้ดังนี้

ภัยคุกคามบนโทรศัพท์มือถือ

  • ภัยคุกคามจากการใช้งานโปรแกรมบนโทรศัพท์มือถือ (Application-Based Threats)

โปรแกรมจำนวนมากที่ถูกดาวน์โหลดมาเพื่อติดตั้งบนอุปกรณ์มือถือ พบว่ายังไม่สามารถตรวจสอบลักษณะการทำงานในด้านความปปลอดภัยได้ ทำให้ผู้ใช้งานไม่สามารถล่วงรู้ได้เลยว่าโปรแกรมที่ติดตั้งไปเพื่อใช้ประโยชน์มากมายนั้น จะถูกแฝงมาด้วยปัญหาด้านความปลอดภัยหรือไม่ โดยภัยคุกคามที่มากับโปรแกรมที่ติดตั้งสามารถเป็นได้มากกว่าหนึ่งประเภทดังที่จะกล่าวดังต่อไปนี้

    • มัลแวร์ (Malware) คือโปรแกรมที่ถูกออกแบบมาเพื่อแสดงพฤติกรรมที่เป็นอันตรายต่อข้อมูลในโทรศัพท์มือถือนั้นๆ ตัวอย่างเช่น สั่งให้โทรศัพท์มือถือเครื่องนั้นๆ ส่งข้อความที่ไม่พึงประสงค์ออกไปยังรายการผู้ติดต่อในโทรศัพท์ โดยที่ผู้ใช้งานหรือเจ้าของโทรศัพท์นั้นไม่รู้ตัว หรือขโมยข้อมูลบนโทรศัพท์มือถือนั้น ซึ่งในกรณีที่ผู้ใช้งานเก็บข้อมูลบัญชีผู้ใช้ของตนเองหรือของผู้เกี่ยวข้องไว้ในโทรศัพท์ก็อาจทำให้เกิดการเข้าโจรกรรมข้อมูลที่เกี่ยวข้องต่อไปได้
    • สปายแวร์ (Spyware) คือโปรแกรมที่ถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลต่างๆ ของผู้ใช้งาน โดยเป้าหมายส่วนใหญ่ของสปายแวร์มักมุ่งไปยัง ประวัติการใช้งานโทรศัพท์ ข้อความ ที่อยู่ รายชื่อผู้ติดต่อ อีเมล รวมถึงภาพถ่าย ซึ่งสปายแวร์โดยทั่วไปมักได้รับการออกแบบสำหรับการเฝ้าติดตามการใช้งานของบุคคลใดบุคคลหนึ่ง หรือการใช้งานที่เกี่ยวข้องกับองค์กร ทั้งนี้ขึ้นอยู่กับวิธีการที่จะใช้สปายแวร์ที่กำหนดเป้าหมาย ซึ่งไม่จำเป็นเสมอไปที่ผู้ลักลอบติดตั้งโปรแกรมประเภทนี้จะเป็นผู้มีจุดประสงค์ร้ายทั้งหมด เนื่องจากมีความเป็นไปได้ว่าโปรแกรมประเภทนี้ถูกติดตั้งโดยผู้ที่เป็นผู้ปกครองซึ่งมีความหวังดีต่อผู้ใช้งาน เช่น ผู้ปกครองติดตั้งโปรแกรมการตรวจสอบสถานที่การใช้งานบนโทรศัพท์มือถือของลูกที่อยู่ในการดูแล
      การเข้าโจมตีผู้ใช้งานและโทรศัพท์มือถือด้วยมัลแวร์และสปายแวร์ ส่วนใหญ่ จะพบว่าใช้เทคนิคในการหลอกลวงผู้ใช้งานให้การดาวน์โหลดโปรแกรมมาติดตั้งโดยไม่รู้ตัว เช่น ให้คลิกที่ลิงก์ซึ่งดูเหมือนไม่น่าจะมีความผิดปกติอะไร แต่จริงๆแล้วนั่นคือการสั่งให้ดาวน์โหลดและติดตั้งมัลแวร์ลงในโทรศัพท์มือถือดังกล่าว และเมื่อมัลแวร์หรือสปายแวร์ติดตั้งโปรแกรมเสร็จแล้วก็จะสู่กระบวนการโจมตีในลักษณะต่างๆ ต่อไป นอกจากนี้ยังมีการหลอกลวงในลักษณะที่พบเห็นได้บ่อยครั้งคือการ Repackaging ซึ่งเป็นเทคนิคที่พบบ่อยมากในนักเขียนมัลแวร์ที่พยายามจะใช้ชื่อโปรแกรมที่มีการทำงานถูกต้องตามกฎหมาย แต่ได้มีการปรับเปลี่ยนการทำงานของโปรแกรม รวมถึงแทรกโค้ดที่เป็นอันตรายไว้ในเวอร์ชันที่เตรียมจะเผยแพร่ จากนั้นจึงทำการเผยแพร่ไปยังแหล่งให้ดาวน์โหลดโปรแกรมต่างๆ ทั่วไป รวมถึงบนเว็บไซต์ที่ให้ดาวน์โหลดโปรแกรมบนโทรศัพท์มือถือ เพื่อหลอกให้ผู้ใช้งานเข้าใจผิดและติดตั้งโปรแกรมดังกล่าวบนโทรศัพท์มือถือ ซึ่งเทคนิคการ Repackaging ได้ผลลัพธ์ในการโจมตีค่อนข้างสูงเนื่องจากการอ้างอิงชื่อโปรแกรมที่เคยพัฒนามาแล้ว โดยจะพบได้จากในช่วงต้นปี 2011 นักเขียนมัลแวร์บนระบบปฎิบัติการ Android ใช้เทคนิคในการ Repackaging ซึ่งสามารถอ้างอิงข้อมูลได้ตามรูปด้านล่าง

repackage.jpg

  • ช่องโหว่ในโปรแกรมที่ใช้งาน คือ พฤติกรรมการทำงานของโปรแกรมที่มีความผิดพลาด โดยถูกค้นพบและสามารถนำมาใช้ประโยชน์เพื่อวัตถุประสงค์ที่เป็นอันตราย ซึ่งการค้นพบช่องโหว่ดังกล่าวมักจะส่งผลให้ผู้ค้นพบสามารถโจมตีโดยการเข้าถึงข้อมูลที่สำคัญหรือการดำเนินการที่ไม่พึงประสงค์ ซึ่งช่องโหว่ดังกล่าวมักถูกแจ้งไปยังผู้พัฒนา เพื่ออัพเดทโปรแกรมแก้ไข โดยหลังจากมีการแก้ไขช่องโหว่แล้ว ผู้พัฒนาจะแจ้งการอัพเดทโปรแกรมกลับมายังผู้ใช้งานอีกครั้งหนึ่ง
  • ภัยคุกคามที่เกิดจากการใช้งานเว็บไซต์บนโทรศัพท์มือถือ (Web-based Threats)

เนื่องจากโทรศัพท์มือถือส่วนใหญ่สามารถใช้งานการเชื่อมต่ออินเทอร์เน็ตได้จากเครือข่ายไร้สายทั่วไป ซึ่งทำให้เกิดความสะดวกสำหรับผู้ใช้งานในการเข้าถึงเว็บไซต์หรือบริการอื่นๆ ซึ่งโดยทั่วไปบริการส่วนใหญ่สามารถใช้งานผ่านหน้าเว็บไซต์ได้เป็นหลักและเป็นบริการที่ผู้ใช้งานมีความต้องการใช้งาน เช่น การอ่านอีเมล การใช้งานธุรกรรมออนไลน์ การเข้าระบบที่เป็นสื่อสังคมออนไลน์ เป็นต้น โดยภัยคุกคามที่เกิดขึ้นกับเว็บไซต์มักไม่มีข้อจำกัดทางด้านระบบปฎิบัติการที่ใช้อยู่ ณ ขณะนั้น เช่น การโจมตีแบบฟิชชิ่ง ซึ่งจะกล่าวในรายละเอียดต่อไป โดยภัยคุกคามดังที่กล่าวนี้แต่ก่อนอาจพบว่ามีแต่ที่เจอในการใช้งานบนเครื่องคอมพิวเตอร์ทั่วไป ในปัจจุบันได้ขยายวงกว้างมายังโทรศัพท์มือถือด้วย เนื่องจากลักษณะการใช้งานที่ค่อนข้างจะใกล้เคียงกันมากในทุกวันนี้ โดยสามารถระบุภัยคุกคามต่างๆ ได้ดังนี้

    • ฟิชชิ่ง (Phishing) คือการหลอกลวงชนิดหนึ่งโดยใช้หน้าเว็บไซต์หรือส่วนติดต่อผู้ใช้อื่น ๆ ที่ออกแบบให้มีลักษณะคล้ายคลึงกับของจริง เพื่อหลอกให้ผู้ใช้กรอกข้อมูลเข้าสู่ระบบของผู้หลอกลวง เช่น ผู้หลอกลวงพัฒนาหน้าเว็บไซต์ล็อกอินของ Facebook และส่งลิงก์หลอกลวงโดยแจ้งข้อมูลอันเป็นเท็จให้ผู้ใช้งานเข้าอัพเดทข้อมูลส่วนบุคคลโดยเป็นลิงก์ของหน้าล็อกอินที่ทำขึ้นมาดังที่กล่าวไว้ตอนต้น เมื่อผู้ใช้งานพยายามล็อกอินเข้าไปยังระบบ จะทำให้ผู้หลอกลวงดังกล่าวสามารถดักจับข้อมูลอันน่าเชื่อได้ว่าเป็นข้อมูลล็อกอินของผู้ใช้งานคนนั้นๆ ทำให้ข้อมูลหรือบัญชีการใช้งานนั้นๆ มีความเสี่ยงที่จะโดนขโมยข้อมูลออกไป ซึ่งลิงก์ที่เป็นการฟิชชิ่งเหล่านี้ส่วนใหญ่มักจะแนบไปกับอีเมล หรือเป็นลิงก์ซึ่งมีเนื้อหาเชิญชวนต่างๆ โดยความรุนแรงของการถูกขโมยข้อมูลดังกล่าวอาจไม่ส่งผลกระทบในทันทีถ้าหากมีการเข้ายับยั้งได้ทัน เช่น เมื่อทราบว่าได้มีการส่งข้อมูลเข้าหน้าเว็บไซต์ฟิชชิ่งไปแล้ว จึงรีบเข้าเปลี่ยนรหัสผ่านในหน้าเว็บไซต์ของระบบจริงทันที ก็จะทำให้ความเสียหายไม่เกิดขึ้นในวงกว้าง แต่หากผู้ใช้งานปล่อยให้ผู้หลอกลวงสามารถเข้าถึงบัญชีการใช้งานต่างๆ ซึ่งในกรณีที่เป็นระบบที่มีความเสียหายรุนแรง เช่น ระบบธุรกรรมออนไลน์ (e-Transaction) นั่นเท่ากับผู้หลอกลวงจะสามารถใช้เงินในบัญชีผู้ใช้งานนั้นได้ทันที
    • ช่องโหว่ของโปรแกรมประเภทเบราว์เซอร์ คือ ช่องโหว่ที่ถูกพบในโปรแกรมเบราว์เซอร์หรือโปรแกรมปลั๊กอินที่สามารถติดตั้งเพิ่มเติมได้ในเบราว์เซอร์ เช่น Flash player หรือ PDF Reader เพื่อวัตถุประสงค์อันตราย โดยลักษณะและวิธีการโจมตีอาจเป็นเพียงแค่การให้ผู้ใช้งานเข้าชมหน้าเว็บไซต์เท่านั้น จากนั้นจะทำให้ผู้ใช้งานติดมัลแวร์หรือโปรแกรมอันตรายต่างๆ ที่ผู้โจมตีใช้สำหรับช่องโหว่ดังกล่าว
  • ภัยคุกคามจากการใช้งานเครือข่าย (Network Threats)

โทรศัพท์มือถือในปัจจุบันมักจะสนับสนุนการใช้งานเครือข่ายไร้สาย ซึ่งมีผู้ให้บริการเป็นจำนวนมาก ทั้งที่น่าเชื่อถือและไม่สามารถตรวจสอบได้ โดยมีภัยคุกคามที่สามารถส่งผลกระทบต่อการใช้งานบนโทรศัพท์มือถือต่างๆ ได้ดังนี้

    • การเปลี่ยนสถานะจากผู้ใช้งานเป็นผู้โจมตี ผ่านข้อบกพร่องของระบบปฎิบัติการบนโทรศัพท์เคลื่อนที่ ส่งผลให้โทรศัพท์เคลื่อนที่สามารถส่งต่อหรือแพร่กระจายมัลแวร์ได้โดยอัตโนมัติ ผ่านการทำงานบนเครือข่าย เช่น เครือข่ายไร้สาย (WiFi) หรือ บลูทูธ (Bluetooth)
    • การถูกดักจับข้อมูลบนเครือข่ายไร้สาย (WiFi sniffing) คือลักษณะการขโมยข้อมูลบนเครือข่ายไร้สาย ซึ่งโดยทั่วไปเป็นข้อมูลที่รับส่งกันโดยไม่ได้มีการเข้ารหัสความปลอดภัยที่เหมาะสม ทำให้มีโอกาสถูกลักลอบขโมยข้อมูลได้โดยง่าย เพียงแค่ใช้เทคนิคและวิธีในการดักจับข้อมูลจากโปรแกรมประเภท Sniffer ซึ่งหาข้อมูลได้ตามเว็บไซต์ทั่วไป โดยในที่นี้ขอยกตัวอย่างวิธีการใช้งานโปรแกรมชื่อ Firesheep ซึ่งเป็นปลั๊กอินบนเบราว์เซอร์ Firefox ที่ใช้ในการดักจับข้อมูลในเครือข่ายเดียวกัน ซึ่งส่วนใหญ่เป้าหมายมักใช้งานเครือข่ายไร้สายสาธารณะ และไม่ได้เชื่อมต่อบริการเว็บไซต์ที่มีการเข้ารหัส HTTPS โดยลักษณะการทำงานของโปรแกรมจะมีการดักจับข้อมูลแล้วกรองข้อมูลเพื่อค้นหา Cookie ซึ่งคือข้อมูลที่ใช้ระบุตัวตนกับเว็บไซต์ที่เข้าใช้บริการ โดยข้อมูล Cookie ที่กล่าวถึงจะถูกเก็บไว้ในเบราว์เซอร์ของผู้ใช้งานหลังจากที่มีการล็อกอินเว็บไซต์ จากนั้นโปรแกรมจะแสดงรายการที่ดักจับได้ทั้งหมด ซึ่งผู้ใช้งานโปรแกรมสามารถคลิกที่รายการดังกล่าวเพื่อสวมรอยเข้าเป็นผู้ใช้งานนั้น  ๆ ดังแสดงในรูปด้านล่าง

firesheep-cookie.gif

 

firesheep_captured.png

  • ภัยคุกคามจากการดูแลรักษาโทรศัพท์ (Physical Threats)

เนื่องจากโทรศัพท์มือถือเป็นอุปกรณ์ซึ่งออกแบบให้พกพาและติตตัวไปมาได้สะดวก จึงมีรูปแบบที่ค่อนข้างเล็ก ซึ่งจากสภาพการณ์ปัจจุบันโทรศัพท์เป็นของมีค่าสำหรับมิจฉาชีพ รวมไปถึงมีค่าสำหรับกลุ่มคนบางกลุ่มที่ต้องการได้มาซึ่งข้อมูลส่วนบุคคล จึงได้แยกภัยคุกคามที่เกิดจากการดูแลรักษาโทรศัพท์มือถือไว้เพื่อพิจารณาความสำคัญอยู่ 2 ประเภทดังนี้

    • การสูญหายหรือการถูกขโมยโทรศัพท์มือถือ เนื่องด้วยปัจจุบันโทรศัพท์มือถือมีราคาสูงขึ้น อาจเพราะสาเหตุของเทคโนโลยีที่อยู่ในอุปกรณ์โทรศัพท์มือถือ หรือเพราะค่านิยมทางสังคมที่ทำให้ต้องใช้โทรศัพท์มือถือราคาแพง แต่ไม่ว่าจะกรณีไหนก็ตามการใช้งานโทรศัพท์มือถือในปัจจุบันนับเป็นเป้าหมายของกลุ่มมิจฉาชีพทั่วไป เนื่องจากเป็นอุปกรณ์พกพาขนาดเล็ก มีโอกาสถูกขโมยได้ง่าย และมีตลาดที่มีความต้องการหรือรองรับการซื้อขายได้มากมายโดยที่ไม่มีการตรวจสอบแหล่งที่มา ทำให้มีความเสี่ยงสูงที่ผู้ใช้งานจะมีโอกาสถูกกลุ่มมิจฉาชีพขโมยโทรศัพท์มือถือ หรือด้วยขนาดของอุปกรณ์มือถือที่เล็กอยู่แล้วอาจทำให้มีโอกาสที่จะลืมหรือทำตกหล่นได้ง่าย
    • การถูกขโมยข้อมูลส่วนบุคคล สามารถเกิดขึ้นได้ตลอดเวลาและทุกสถานการณ์ทั้งโดยตั้งใจแต่แรกหรือเป็นเพราะโอกาสที่เปิดกว้างจนทำให้ผู้อื่นสบโอกาสที่จะขโมยข้อมูลส่วนบุคคล มักเกิดขึ้นจากความไม่ใส่ใจและความไม่ตระหนักถึงความปลอดภัยของข้อมูลภายในโทรศัพท์มือถือ ทำให้ผู้ไม่หวังดีขโมยข้อมูลส่วนบุคคลไปได้โดยง่าย เช่น การแอบดูข้อมูลการล๊อกอินเข้าสู่ระบบจากโทรศัพท์มือถือ หรือการนำโทรศัพท์มือถือไปซ่อมที่ร้านโดยไม่ได้ทำการเคลียร์ข้อมูลการใช้งานก่อน โดยข้อมูลส่วนบุคคลที่หมายถึงอาจไม่ใช่เพียงข้อมูลส่วนตัวเพียงเท่านั้นแต่จะพบว่าเป็นข้อมูลขององค์กรด้วย อาจเป็นเอกสารขององค์กร ข้อมูลรายชื่อผู้ติดต่องาน รวมไปถึงข้อมูลที่อยู่ในระบบต่างๆ เช่น ข้อมูลบัญชีธนาคาร ข้อมูลอีเมลขององค์กร ซึ่งข้อมูลทั้งหมดที่กล่าวมานั้น หากถูกขโมยข้อมูลขึ้นมาจริงแล้ว คงไม่สามารถประเมินมูลค่าความเสียหายได้เป็นอย่างแน่นอน

แนวทางการปฎิบัติสำหรับผู้ใช้งานโทรศัพท์มือถือและข้อมูลให้มีความมั่นคงปลอดภัย

  • ดูแลรักษาโทรศัพท์มือถืออย่างใกล้ชิด ผู้ใช้งานควรพึงระลึกไว้เสมอว่าความเสียหายที่เกิดขึ้นเมื่อมีการสูญหายหรือโดยขโมยโทรศัพท์มือถือไป จะส่งผลกระทบทั้งในแง่ของทรัพย์สินและข้อมูลที่อยู่ในโทรศัพท์มือถือ ยิ่งมีการเก็บข้อมูลสำคัญในโทรศัพท์มือถือมากเท่าไหร่ยิ่งมีโอกาสก่อให้เกิดปัญหาตามมามากขึ้นเท่ากัน ยังไม่รวมถึงการเก็บข้อมูลที่เกี่ยวข้องกับองค์กร เช่น อีเมล ซึ่งจะส่งผลกระทบกับองค์กรโดยตรง เพราะฉะนั้นผู้ใช้งานควรมีความรอบคอบและระวังรักษาโทรศัพท์มือถืออย่างใกล้ชิด
  • ตั้งค่าการล็อกโทรศัพท์มือถือเมื่อไม่ใช้งาน แม้การล็อกการใช้งานโทรศัพท์มือถือ จะไม่ได้เป็นการป้องกันการเข้าถึงข้อมูลที่ได้ผลร้อยเปอร์เซ็นต์ แต่ก็สามารถเป็นแนวทางเบื้องต้นในการชะลอหรือป้องกันการเข้าถึงข้อมูลสำคัญบนโทรศัพท์มือถือจากผู้ไม่หวังดี ซึ่งอาจจะเกิดจากการถูกขโมยโทรศัพท์มือถือ และยังเป็นแนวทางที่ผู้ใช้งานสามารถทำได้โดยง่าย ซึ่งกระบวนการดังกล่าวสามารถทำได้โดยการตั้งค่า Pin หรือรหัสผ่านบนโทรศัพท์มือถือนั้นๆ (วิธีการสามารถตรวจสอบจากเว็บไซต์ผู้ผลิตโทรศัพท์มือถือนั้นๆ หรือสอบถามที่ศูนย์บริการโทรศัพท์มือถือที่ซื้อมา)
  • สำรองข้อมูลจากโทรศัพท์มือถือไว้ในแหล่งอื่นที่ปลอดภัย การสำรองข้อมูลถือเป็นเรื่องที่สำคัญที่ต้องมีการปฎิบัติอยู่เสมอ เนื่องจากเมื่อเกิดเหตุฉุกเฉินเช่น โทรศัพท์หาย หรือโทรศัพท์ชำรุดหรือใช้งานไม่ได้ ปัญหาอย่างแรกที่จะตามมานอกจากการทำให้โทรศัพท์กลับมาใช้งานได้หรือหาโทรศัพท์ให้พบ คือการเข้าถึงข้อมูลบนโทรศัพท์มือถือเช่น ข้อมูลผู้ติดต่อ (Contact book) ซึ่งข้อดีของการสำรองข้อมูลคือ นอกจากจะมีข้อมูลที่สามารถใช้ได้เมื่อเกิดกรณีฉุกเฉินแล้ว ยังทำให้รู้ขอบเขตของข้อมูลที่สูญหายไปด้วย เช่น อาจจะเก็บข้อมูลเลขที่บัญชีธนาคารและรหัสผ่านของ e-Transaction เอาไว้ ทำให้สามารถแจ้งระงับการเข้าใช้งานได้ก่อนจะเกิดความเสียหาย ซึ่งกระบวนการสำรองข้อมูลของโทรศัพท์มือถือแต่ละยี่ห้อหรือแต่ละรุ่นอาจมีความแตกต่างกันไป วิธีการต่างๆ สามารถตรวจสอบจากเว็บไซต์ผู้ผลิตโทรศัพท์มือถือนั้นๆ หรือสอบถามที่ศูนย์บริการโทรศัพท์มือถือที่ซื้อมา
  • พิจารณาเก็บเฉพาะข้อมูลที่จำเป็นในโทรศัพท์มือถือ การเก็บข้อมูลบนโทรศัพท์มือถือ ควรพิจารณาถึงความสำคัญและความเหมาะสมของข้อมูลที่จะจัดเก็บ ไม่ควรเก็บข้อมูลที่มีความสำคัญมากๆ เช่น ข้อมูลบัตรเครดิต หรือข้อมูลรหัสผ่านสำหรับล็อกอินเข้าใช้งานระบบ เนื่องจากหากโทรศัพท์เกิดสูญหาย หรือโดนผู้ประสงค์ร้ายลักลอบขโมยไปได้ อาจทำให้เกิดความเสียหายที่รุนแรงมากกว่าเดิม แต่ก็ไม่ใช่ข้อมูลเหล่านี้จะไม่สามารถเก็บบนโทรศัพท์มือถือได้ เนื่องจากปัจจุบันผู้พัฒนาโปรแกรมบนระบบปฎิบัติการบนโทรศัพท์มือถือต่างๆ ได้พัฒนาโปรแกรมสำหรับจัดเก็บข้อมูลส่วนตัวออกมามากมายและมีการรักษาความปลอดภัยของข้อมูล ยกตัวอย่างเช่น ผู้พัฒนาโปรแกรมบนระบบปฎิบัติการ Symbian ได้พัฒนาโปรแกรมชื่อ Wallet โดยมีวัตถุประสงค์เพื่อให้ผู้ใช้งานเก็บข้อมูลส่วนตัวต่างๆ ลงในโทรศัพท์มือถือและมีการรักษาความปลอดภัยของข้อมูล โดยให้มีการล็อกอินก่อนผู้ใช้งานจะเข้าถึงข้อมูล
  • ปิดโหมดการเชื่อมต่อบลูทูธหรือหลีกเลี่ยงการเชื่อมต่อบลูทูธจากแหล่งที่มาที่ไม่รู้จัก ปัจจุบันผู้ใช้งานมักมีการใช้งานการเชื่อมต่อบลูทูธบนโทรศัพท์มือถือในหลายด้าน เช่น ใช้สำหรับการรับส่งไฟล์ระหว่างโทรศัพท์มือถือกับเครื่องคอมพิวเตอร์ หรือใช้สำหรับเป็นโมเด็มเพื่อให้บริการอินเทอร์เน็ตกับเครื่องคอมพิวเตอร์ที่เชื่อมต่อบลูทูธอยู่ ซึ่งหากเป็นการใช้งานตามปกติกับอุปกรณ์หรือบุคคลต่างๆ ที่รู้จักและรับทราบถึงจุดประสงค์ในการเข้าใช้งานการเชื่อมต่อนั้นๆ ก็อาจไม่ก่อให้เกิดผลเสีย แต่ผลเสียจะเกิดต่อเมื่อไม่ทราบว่าผู้ที่ต้องการเชื่อมต่อบลูทูธกับโทรศัพท์มือถือของเรานั้นเป็นใครและมีจุดประสงค์ในการใช้อย่างไร เนื่องจากผู้ไม่หวังดีส่วนใหญ่มักจะอาศัยความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานในการลักลอบใช้งานหรือดึงข้อมูลสำคัญบนโทรศัพท์มือถือ เช่น รูปภาพ หรือ SMS ไปได้ ซึ่งข้อดีของการใช้งานเครือข่ายบลูทูธคือจะต้องได้รับการยินยอมให้มีการเชื่อมต่อก่อน มิเช่นนั้นจะไม่สามารถเชื่อมต่อได้ ซึ่งหากผู้ใช้งานมีความรู้เท่าทันผู้ไม่หวังดีแล้วนั้น ก็จะทำให้การใช้งานโทรศัพท์มือถือมีความปลอดภัยมากขึ้นเท่านั้น โดยหากไม่มีการใช้งานบลูทูธก็สมควรปิดโหมดการเชื่อมต่อบลูทูธไว้ เพราะในบางครั้งอาจพบว่าผู้ใช้งานไม่ได้ตั้งใจกดยอมรับการเชื่อมต่อแต่พลาดไปโดนตอนโทรศัพท์มือถืออยู่ในกระเป๋า (การปิดโหมดเชื่อมต่อบลูทูธของโทรศัพท์มือถือ ปกติสามารถเข้าตรวจสอบได้จากเมนู”การเชื่อมต่อ” ซึ่งแต่ละยี่ห้อหรือแต่ละรุ่นอาจมีความแตกต่างกันไป โดยสามารถตรวจสอบจากเว็บไซต์ผู้ผลิตโทรศัพท์มือถือนั้นๆ หรือสอบถามที่ศูนย์บริการโทรศัพท์มือถือที่ซื้อมา)
  • แจ้งผู้ให้บริการต่างๆ ที่เกี่ยวข้องเมื่อโทรศัพท์สูญหาย เมื่อพบว่าโทรศัพท์สูญหาย ไม่ว่าจะด้วยกรณีโดนขโมยหรือทำตกหล่นที่ไหนก็ตาม สิ่งแรกที่ผู้ใช้งานโทรศัพท์มือถือควรทำคือการแจ้งไปยังผู้ให้บริการรายต่างๆ เพื่อปิดบริการ เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้น โดยมีขอบเขตการแจ้งปิดบริการตามรายการข้อมูลที่มีอยู่ในโทรศัพท์มือถือนั้นๆ เช่น แจ้งผู้ให้บริการสัญญาณโทรศัพท์มือถือที่ใช้งานระงับสัญญาณโทรศัพท์มือถือของตนเองชั่วคราวเพื่อป้องกันการใช้งาน หรือหากมีการเก็บข้อมูลรหัสผ่านของระบบต่างๆ ก็ควรแจ้งปิดการใช้งานด้วย เช่น แจ้งปิดการใช้งานระบบ e-Transaction ชั่วคราว แจ้งผู้ดูแลระบบอีเมลขององค์กรเพื่อเปลี่ยนรหัสผ่าน เป็นต้น
  • เลือกติดตั้งโปรแกรมในโทรศัพท์มือถือเท่าที่จำเป็นและจากแหล่งที่มาที่น่าเชื่อถือ แม้ระบบปฎิบัติการบนโทรศัพท์มือถือทั่วไปจะอนุญาตให้สามารถติดตั้งโปรแกรมเสริมเพื่ออำนวยความสะดวกในการใช้งานมากขึ้น แต่ก็มีความเสี่ยงที่ผู้ใช้งานจะเจอกับโปรแกรมที่มีความสามารถในการขโมยข้อมูลหรือโปรแกรมไม่พึงประสงค์ต่างๆ ตามที่ได้กล่าวไว้ในหัวข้อภัยคุกคาม เพราะฉะนั้นทางป้องกันที่ดีที่สุดคือดาวน์โหลดเฉพาะโปรแกรมที่จำเป็นจริงๆ และพิจารณาดาวน์โหลดจากเว็บไซต์ของผู้พัฒนาเท่านั้น หรือดาวน์โหลดจากแหล่งดาวน์โหลดที่ได้รับการควบคุมและรับรองความปลอดภัยจากผู้พัฒนาระบบปฎิบัติการเช่น Android Market สำหรับระบบปฎิบัติการ Android หรือ App Store สำหรับระบบปฎิบัติการ iOS
  • เชื่อมต่อไปยังระบบงานต่างๆ ผ่าน VPN หรือช่องทางการเชื่อมต่อเครือข่ายที่มีการเข้ารหัสลับ จากที่ได้กล่าวไว้ข้างต้นถึงการใช้งานโทรศัพท์มือถือที่เกี่ยวข้องกับองค์กร ซึ่งนอกจากที่จะให้ผู้ใช้งานทำตามแนวทางการใช้งานโทรศัพท์มือถือแล้วนั้น องค์กรเองควรต้องมีส่วนช่วยกำหนดขอบเขตการใช้งาน เพื่อให้เกิดการรักษาความปลอดภัยในการใช้งานโทรศัพท์อย่างเหมาะสม หมายถึงองค์กรควรจะขยายการจัดการรักษาความปลอดภัยและการควบคุมให้ในส่วนที่โทรศัพท์มือถือทั่วไปไม่สามารถจัดการให้ได้ เช่น พัฒนาระบบการทำงานที่สามารถเข้าถึงได้จากโทรศัพท์มือถือ ผ่านช่องการเข้ารหัสแบบ HTTPS หรือจัดหาช่องทางการใช้งาน VPN เพื่อเชื่อมต่อเข้าระบบงานภายในองค์กร โดยจากที่ได้กล่าวมานี้ สามารถแนะนำเป็นแนวทางการปฎิบัติขององค์กรในการควบคุมการใช้งานโทรศัพท์ภายในองค์กรได้
  • พิจารณาลิงก์ที่อยู่บนเว็บไซต์ก่อนการคลิกทุกครั้ง ภัยคุกคามที่เกิดขึ้นจากการใช้งานเว็บไซต์สามารถเกิดขึ้นได้ง่ายและส่งผลกระทบต่อผู้ใช้งานได้มากที่สุด เนื่องมาจากโดยส่วนใหญ่เป็นการโจมตีโดยใช้เทคนิคทางจิตวิทยา โดยไม่จำเป็นต้องใช้ความรู้ทางเทคนิคมากนัก ซึ่งผู้ใช้งานโดยส่วนใหญ่ที่ตกเป็นเหยื่อมักจะไม่รู้เท่าทันวิธีการของผู้โจมตี ผู้โจมตีจะใช้เทคนิคต่างๆ หลอกล่อให้ผู้ใช้งานคลิกไปยังลิงก์เพื่อส่งต่อไปยังเว็บไซต์ที่มีอันตราย เพราะฉะนั้นทางที่ดีที่สุดคือใช้วิจารณญาณก่อนการคลิกที่ลิงก์ใดๆ
  • อัพเดทระบบปฎิบัติการหรือโปรแกรมบนโทรศัพท์มือถือที่ใช้อยู่ให้เป็นเวอร์ชั่นใหม่อย่างสม่ำเสมอ โดยปกติหากมีการดาวโหลดโปรแกรมจากผู้พัฒนาต่างๆ และโปรแกรมนั้นๆ มีการปรับปรุงเกิดขึ้น จะมีการแจ้งอัพเดทโปรแกรมผ่านทางช่องทางต่างๆ เช่น อีเมล หรือ ผ่านระบบแจ้งเตือนของตัวระบบปฏิบัติการเอง เนื่องจากส่วนใหญ่การปรับปรุงเวอร์ชันใหม่ของโปรแกรมต่างๆ จะทำเพื่อปรับปรุงช่องโหว่หรือความผิดพลาดที่เกิดขึ้นในโปรแกรมเวอร์ชั่นก่อนหน้า ดังนั้นเมื่อผู้พัฒนามีการปรับปรุงเวอร์ชันของโปรแกรม ผู้ใช้ก็ควรทำการอัพเดทโปรแกรมนั้นๆ ให้เป็นเวอร์ชันล่าสุดโดยทันที
  • ใช้โทรศัพท์มือถือทำธุรกรรมออนไลน์อย่างระมัดระวัง ทุกวันนี้การใช้โทรศัพท์มือถือในการทำธุรกรรมออนไลน์กับหน่วยงานทางการเงินที่ให้บริการผ่านเว็บไซต์ สร้างความสะดวกสบายให้กับผู้ใช้งานในการทำธุรกรรมเพิ่มขึ้น แต่การใช้งานโทรศัพท์มือถือโดยเลือกใช้ผู้ให้บริการอินเทอร์เน็ตไร้สายสาธารณะที่มีความน่าเชื่อถือถือเป็นเรื่องสำคัญ เพราะหากผู้ใช้มองข้ามและเลือกใช้เครือข่ายสาธารณะที่ไม่น่าเชื่อถือ อาจถูกโจรกรรมข้อมูลผ่านเครือข่ายได้ นอกจากนี้ ผู้ใช้งานโทรศัพท์มือถือในการทำธุรกรรมออนไลน์ ควรเลือกอยู่ในบริเวณที่ผู้ไม่ประสงค์ดีไม่สามารถแอบมองและขโมยข้อมูลส่วนตัวที่สำคัญ (Eavesdropping) ได้

ที่มา : https://www.thaicert.or.th/papers/general/2011/pa2011ge010.html

ใส่ความเห็น