Cybercrime

โปรแกรมเรียกค่าไถ่ และสรรพสิ่งอินเตอร์เน็ต

พวกเราต่างรู้กันดีว่า โปรแกรมเรียกค่าไถ่ หรือ Ransomware นั้นกลายเป็นปัญหาใหญ่ของทุกคน ไม่ว่าจะเป็นผู้ใช้ในบ้าน หรือธุรกิจเล็กใหญ่ ด้วยความสามารถในการเข้ารหัสไฟล์ หรือล็อคเครื่องคอมพิวเตอร์ของคุณ และเรียกร้องเงินก้อนโตเพื่อเป็นข้อแลกเปลี่ยนในการคืนสภาพคอมพิวเตอร์ของคุณกลับเป็นเช่นเดิม

ในปัจจุบันเป็นยุคของการเชื่อมต่ออินเตอร์เน็ต และ IoT หรืออุปกรณ์ใดๆก็ตามที่สามารถเชื่อมต่ออินเตอร์เน็ตได้ หมายความว่าคอมพิวเตอร์กำลังขยับขยายวงกว้างขึ้นเรื่อยๆ และอุปกรณ์เหล่านี้ก็สามารถตกเป็นเหยื่อของโปรแกรมเรียกค่าไถ่ได้อีกด้วย คำเตือนจาก สถาบันเทคโนโลยีโครงสร้างพื้นฐาน หรือ ICIT

รายงานของ ICIT ที่ชื่อว่า “Combatting the ransomware blitzkreig” ที่เขียนเกี่ยวกับสายพันธุ์ของโปรแกรมเรียกค่าไถ่ และขีดเส้นใต้เกี่ยวกับวิธีเตรียมตัวป้องกันโปรแกรมเรียกค่าไถ่ด้วยการป้องกันหลายชั้น

แต่ส่วนที่โดดเด่นผมสนใจมากที่สุดคือ ส่วนที่อธิบายความเป็นไปได้ของภัยคุกคามในอนาคต:

อุปกรณ์ IoT สามารถเป็นที่เจริญเติบโตของอาชญากรผู้ใช้โปรแกรมเรียกค่าไถ่ เพราะอุปกรณ์เหล่านี้เชื่อมต่อกันด้วยระบบที่ขาดความปลอดภัย และมัลแวร์ที่มีอยู่ก็มีขนาดใหญ่เกินไปสำหรับ IoT แต่โปรแกรมเรียกค่าไถ่ ส่วนใหญ่ประกอบด้วยชุดคำสั่งเล็กๆน้อยๆ และวิธีการเข้ารหัส ซึ่งมีขนาดเล็ก

ค่าปรับจำนวนเท่าไหร่ที่คุณจะใช้จ่ายเพื่อปลดล็อคโปรแกรมเรียกค่าไถ่? ในความจริงน่ากลัวกว่าคุณคิด อย่างอุปกรณ์ทางการแพทย์ หลายชนิดสามารถเชื่อมต่ออินเตอร์เน็ต หรือบลูทูธ ดังนั้นโปรแกรมเรียกค่าไถ่สามารถแปลงร่างเข้าแทรกซึมอุปกรณ์ IoT

อุปกรณ์ IoT ส่วนมากมักประสบปัญหาเพราะมีการป้องกันน้อยมาก เมื่อเทียบกับคอมพิวเตอร์ และไม่มีการอัพเดทโครงสร้างพื้นฐาน และมีข้อบกพร่องจำนวนมาก

อย่างเช่น กล้องวงจรปิด และ เร้าเตอร์ ที่คุณคงไม่คิดว่าจะสามารถถูกใช้เป็นเครื่องมือเพื่อเริ่มกระบวนการโจมตี DDoS ได้

ในปี 2010 แฮคเกอร์ทำให้รถยนต์กว่า 100 คันที่เมือง Austin รัฐ Texas ใช้การไม่ได้ด้วยการแฮคเข้าระบบบริการล็อคล้อ

ถ้าหากอาชญากรคิดว่าเงินหาง่ายด้วยวิธีแบบนี้ เป็นเรื่องแน่นอนที่อาชญากรจะค้นคว้าหาวิธีที่จะใช้โปรแกรมเรียกค่าไถ่กับอุปกรณ์ IoT ในอนาคต

ตัวอย่างที่พอเห็นภาพคือ การโจมตีที่มีจุดประสงค์เพื่อลดอายุการใช้งานของแบตเตอรี่ ของอุปกรณ์ IoT:

“ถึงแม้การเข้ารหัสสามารถทำให้อายุการใช้งานแบตเตอรี่ลดลง จากสิบปีจนกระทั่งเหลือเพียงไม่กี่เดือน เพราะอุปกรณ์ไม่มีความสามารถในปรับตัว และยิ่งมีการเข้ารหัสแน่นหนามากเท่าไหร่ สถานการณ์ก็จะเลวร้ายเท่านั้น”

แน่นอนถ้าหากมีคนที่ต้องการประยุกต์โปรแกรมเรียกค่าไถ่มาใช้กับอุปกรณ์ IoT คำถามคืออาชญากรจะส่งข้อควางเรียกร้องเงินจากเหยื่ออย่างไร ถ้าเครื่องนั้นเป็นเครื่องกำหนดจังหวะการเต้นของหัวใจ หรืออาชญากรจะหาวิธีเพื่อให้ได้มาซึ่งอีเมล์ของเหยื่อ

ดังนั้นสิ่งที่เกี่ยวข้องกับความปลอดภัยนั้นขึ้นอยู่กับการให้ความสำคัญกับความปลอดภัยของผู้ผลิตอุปกรณ์ที่สามารถเชื่อมต่อกับอินเตอร์เน็ตได้

%d bloggers like this: