วิศวกรเมต้า หรือ เฟซบุ๊ก แสดงความเห็นเรื่อง สายชาร์จดูดเงิน ชี้เป็นไปได้ยาก แม้จะทำได้จริงแต่ต้นทุนไม่คุ้มให้มิจฉาชีพลงทุน
ประเด็นได้รับความสนใจชาวเน็ตในช่วงนี้ประเด็นหนึ่งคนหนีไม่พ้นเรื่องสายชาร์จดูดเงิน หลังจากที่เหยื่อรายหนึ่งเปิดเผยกับสำนักข่าวว่า ตนเองเพียงชาร์จโทรศัพท์มือถือ แต่กลับมีข้อความอัตโนมัติจากธนาคารส่งมาว่าเงินนับแสนบาทจากในบัญชีถูกโอนออกไปอย่างไม่มีปี่มีขลุ่ย
ในประเด็นนี้ผู้ใช้เฟซบุ๊กชื่อ Sittiphol Phanvilai ซอฟต์แวร์เอนจิเนียร์ของ Meta หรือเฟซบุ๊กได้ออกมาแสดงความเห็นเหมือนกัน โดยผู้โพสต์ระบุว่าส่วนตัวตนไม่ค่อยเชื่อเรื่องสายชาร์จ O.MG Cable โดยระบุว่า “มีวิธีที่คนพยายามโจมตีอุปกรณ์ต่าง ๆ ผ่าน USB มากมาย แต่สุดท้ายมันไม่มีเวทมนตร์อะไร ทุกการโจมตีจะต้องทำผ่านโปรโตคอลอะไรบางอย่างเสมอ ยกตัวอย่างเช่น การขโมยข้อมูลผ่านระบบ Debug ของมือถือ (โปรโตคอล Debugging) หรือการจำลองตัวเองเป็นคีย์บอร์ด
– ไม่มีว่าสาย USB เสียบไปแล้วอิเลคตรอนหนุ่มจะพุ่งเข้าไปฉุดสาวใน Flash ROM ออกมา ทุกอย่างมันทำผ่านมาตรฐานที่อุปกรณ์นั้น ๆ วางไว้ ถ้าอุปกรณ์นั้น ๆ ไม่อนุญาตให้ทำได้มันก็ทำไม่ได้
– อุปกรณ์โลกใหม่มันจำกัดรูปแบบการทำงานผ่าน USB ไว้อยู่แล้ว สิ่งที่เราต้องคิดต่อคือรูปแบบการต่อเชื่อมอุปกรณ์แบบนั้น ๆ มันสร้างความเสียหายอะไรได้บ้าง
– สมมติสายจำลองการเป็น Keyboard หรือ Mouse ซึ่งเป็นโปรโตคอลที่อุปกรณ์มือถือเปิดให้ทำได้ อันนี้มันก็จะทำได้เป็นแค่ Input ไม่สามารถดูดข้อมูลออกไปได้ เช่นเราพิมพ์อะไรบางอย่างอยู่ในมือถือ สายมันก็ไม่รู้หรอกว่าเราพิมพ์อะไร
– แต่ขยายความเสียหายไปได้ถ้า Keyboard ดันเขียน Script ให้กดเข้าแอป ฯ บางอย่างอัตโนมัติ ก็อปปี้รหัสอะไรบางอย่าง แล้วกดเข้าเว็บที่โจรตั้งไว้ อันนั้นก็สามารถมองเป็น Output ได้ โจรก็สามารถขโมยของไปได้ แต่ไม่ง่าย
– หรือถ้าก็อปปี้อะไรไว้ใน Clipboard สายก็อาจจะสามารถสั่งเข้าเว็บเพื่อขโมยสิ่งที่อยู่ใน Clipboard ไปได้ ซึ่งมันก็ไม่ได้ทำได้แบบตรงไปตรงมา ต้องหลอกล่อให้คนกดอะไรหลายอย่างจนไม่ Practical แต่เคสแบบนี้ก็เอาไปทำให้คนรู้สึกหวือหวาตามงาน Conference ได้
– สายที่จำลองตัวเองเป็นอุปกรณ์ต่อพ่วงอย่าง Keyboard/Mouse จึงมีการจำกัดการโจมตีอยู่ในระดับที่แทบจะสร้างความเสียหายอะไรไม่ได้เลย เพราะ OS ใหม่ ๆ มันถูกสร้างมาเพื่อป้องกันอะไรพวกนี้อยู่แล้ว อย่างมากก็ทำให้คนนึกว่าผีหลอกและโทรหาพี่แจ๊คไปเล่าให้ฟัง
– การโจมตีด้วยท่าต่าง ๆ มีเยอะมาก สิบปีที่แล้วนั่งข้าง ๆ ก็ขโมยข้อมูลชาวบ้านผ่าน Bluetooth ได้แล้ว แต่ผู้ผลิตมือถือไม่ได้ล้าหลัง เค้าอัปเกรดเพื่อปิดช่องต่าง ๆ ทุกวันนี้ไม่ได้ง่ายแบบนั้นแล้ว
– สายจะสร้างความเสียหายได้มากขึ้นถ้ามันถูกใช้เป็นสาย Data จริง ๆ เช่น ใช้เสียบ Keyboard เข้ากับคอมพ์ สายก็สามารถดักข้อมูลที่ส่งไปมาแล้วเก็บไว้ใน Keylogger ได้ แต่เคสพวกนี้จะสร้างความเสียหายกับมือถือแทบไม่ได้เลยเพราะไม่มี Use Case ที่ทำได้ยกเว้นกรณี Juice Jacking ที่เคยเล่าไปให้ฟังหลายปีก่อน
– Juice Jacking ยังคงเป็นท่าขโมยข้อมูลที่ทำกันอยู่แม้ในปัจจุบัน มันคือการหลอกให้คนเปิดโหมด Debug หรือโหมดอะไรก็ได้ที่สามารถดูดข้อมูลจากมือถือออกมาได้ หรือแม้แต่แอบติดตั้งแอป ฯ เข้าไปในเครื่องแบบเงียบ ๆ ซึ่ง OS มันก็ทำมาป้องกันหลายปีมาก ๆ แล้ว ถ้าจะโดนก็คือผู้ใช้กดยินยอมให้ถ่ายโอนข้อมูลด้วยมือตัวเอง
– ยังไม่เห็นว่าสาย USB จะทำให้เงินหมดบัญชีได้ จะบอกว่าจำลองเป็น Keyboard แล้วกดเงินออกไปก็ไม่ใช่ มันต้องกด PIN ไม่ใช่หรอ พยายามนึกไปอีกหลายท่าก็ยังนึกไม่ออกอยู่ดี แม้แต่ Juice Jacking เองก็ทำได้แค่ขโมยข้อมูลโน่นนี่ไป แต่การจะโอนเงินได้มันต้องทำอะไรอีกหลายอย่างซึ่งโจรมันเอาไปได้ไม่หมดอยู่แล้ว
– ส่วนใหญ่การขโมยเงินจากบัญชีจะทำด้วย Social Engineering คือหลอกให้เหยื่อลงมือทำบางอย่างด้วยตัวเอง เช่น โอนเงินหรือไม่ก็ติดตั้งมัลแวร์
– วิธีขโมยเงินหมดบัญชีมีอยู่เยอะมาก แต่จนถึงตอนนี้ก็ยังไม่เห็นว่าสาย USB จะเป็นหนึ่งในนั้น
– พื้นฐานการแฮค ต้นทุนการแฮคจะต้องต่ำกว่าสิ่งที่ได้กลับมา และการเอาสายแพง ๆ ไปหลอกคนด้วยอัตราความสำเร็จที่ต่ำและคาดเดาไม่ได้ไม่ใช่วิธีที่คุ้มทุน
– ไม่เคยใช้ O.MG Cable แต่เคยสร้างเอง
พร้อมยังขยายเพิ่มจากที่จ่าพิชิตหรือเจ้าของเพจ Drama Addict ที่เข้ามาแสดงความเห็นและเอาลิงก์มาแปะไว้ โดยโจรสามารถใช้วิธีบังคับลงแอป ฯ มัลแวร์ผ่าน O.MG Cable โดยอัตนมัติ ซึ่งถามว่าทำได้มั้ย อันนี้ตอบว่า “ทำได้จริง”
อย่างไรก็ตามจริง ๆ แล้วสิ่งที่โจรต้องการคือการหลอกให้คนลงมัลแวร์ซึ่งมีอยู่หลากหลายวิธี โฆษณาในเว็บโป๊ก็ใช่ ส่ง SMS หลอกให้ลงแอป ฯ ก็ใช่ ซึ่งต้นทุนการทำนั้นต่ำมากในระดับสตางค์เท่านั้นเอง
วิธีการติดตั้งมัลแวร์ผ่านสาย O.MG Cable ถึงจะทำได้แต่ถือเป็นวิธีที่ไม่คุ้มทุนเท่าไหร่ในการทำ สุดท้ายโจรจะเลือกวิธีต้นทุนต่ำอยู่ดี แต่อย่างไรก็ตามก็เป็นเรื่องควรตระหนักไว้ครับว่าไม่ควรใช้สายมั่ว เพราะดีไม่ดีก็โดน Juice Jacking ได้เหมือนกัน
เตือนภัย ‘สายชาร์จมือถือ’ ดัดแปลง เสี่ยงโดนดูดเงินเกลี้ยงบัญชี
