ความเสียหายจากการถูกดักข้อมูลในไทยสูงแค่ไหน
การดักจับข้อมูลผ่านเว็บไซต์และการขโมยรหัสผ่านไม่ใช่ปัญหาทางเทคนิคที่ไกลตัวอีกต่อไป สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่าในช่วงปี 2565 ถึง 2567 คนไทยสูญเสียเงินจากการฉ้อโกงทางออนไลน์รวมกว่า 79,500 ล้านบาท หรือเฉลี่ยวันละราว 77 ล้านบาท ขณะที่รายงานของแคสเปอร์สกี้ประจำปี 2024 ตรวจพบและบล็อกภัยคุกคามบนเว็บที่เล็งเป้าผู้ใช้ในประเทศไทยมากกว่า 10 ล้านรายการ
จุดอ่อนที่ผู้โจมตีใช้บ่อยที่สุดคือรหัสผ่าน การวิเคราะห์ของ Cloudflare ในช่วงเดือนกันยายนถึงพฤศจิกายน 2024 พบว่าราว 41 เปอร์เซ็นต์ของการล็อกอินที่สำเร็จบนเว็บไซต์ในเครือข่ายเป็นการใช้รหัสผ่านที่เคยรั่วไหลมาก่อน ปัญหานี้เกิดจากพฤติกรรมการใช้รหัสผ่านซ้ำข้ามหลายบัญชี เมื่อรหัสหนึ่งหลุด ผู้โจมตีจะนำไปทดลองกับบริการอื่นโดยอัตโนมัติ คำแนะนำของ สวทช. ผ่านบทความชุดสร้างความตระหนักรู้ของผู้ใช้ จึงเริ่มต้นที่การจัดการรหัสผ่านเป็นด่านแรก
รหัสผ่านและการยืนยันตัวตน: ด่านแรกที่ สวทช. เน้น
ตั้งรหัสผ่านที่ยาวและซับซ้อน
สวทช. แนะนำให้สร้างรหัสผ่านที่ยาวและซับซ้อน โดยผสมตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษเข้าด้วยกัน หลักการสำคัญคือความยาวมีผลต่อความปลอดภัยมากกว่าความซับซ้อนเพียงอย่างเดียว เพราะเครื่องมือเดารหัสในปัจจุบันสามารถไล่ลองรหัสสั้นที่คาดเดาง่ายได้ในเวลาไม่ถึงวินาที
ไม่ใช้รหัสผ่านซ้ำข้ามบัญชี
การใช้รหัสผ่านชุดเดียวกันกับหลายบริการเป็นความเสี่ยงที่ขยายผลได้รวดเร็ว สวทช. ย้ำให้ตั้งรหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชี เพื่อไม่ให้การรั่วไหลจากบริการหนึ่งลุกลามไปยังอีเมล โซเชียลมีเดีย หรือบัญชีธนาคารทั้งหมดในคราวเดียว
เปิดการยืนยันตัวตนแบบสองชั้น (2FA)
การยืนยันตัวตนแบบสองชั้นเพิ่มขั้นตอนตรวจสอบนอกเหนือจากรหัสผ่าน เช่น รหัสครั้งเดียวผ่านแอปพลิเคชันหรือคีย์ความปลอดภัย แม้รหัสผ่านหลักจะหลุดออกไป ผู้โจมตีก็ยังเข้าถึงบัญชีไม่ได้หากไม่มีปัจจัยที่สอง มาตรการนี้ถือเป็นหนึ่งในวิธีที่คุ้มค่าที่สุดสำหรับผู้ใช้ทั่วไป
ใช้โปรแกรมจัดการรหัสผ่านเฉพาะทาง
เมื่อแต่ละบัญชีต้องใช้รหัสที่ยาวและไม่ซ้ำกัน การจดจำด้วยตนเองย่อมเป็นไปได้ยาก สวทช. แนะนำให้ใช้โปรแกรมจัดการรหัสผ่าน (password manager) ที่ช่วยสร้างและจัดเก็บรหัสที่ซับซ้อนอย่างปลอดภัย จุดที่ควรแยกให้ชัดคือ โปรแกรมจัดการรหัสผ่านเฉพาะทางมีการเข้ารหัสที่แข็งแรงกว่าการให้เว็บเบราว์เซอร์จดจำรหัสผ่านให้โดยอัตโนมัติ ซึ่งเป็นช่องทางที่เสี่ยงต่อการถูกดึงข้อมูลออกไปหากเครื่องถูกควบคุม
ป้องกันการดักจับข้อมูลระหว่างใช้งาน
ระวังฟิชชิงและตรวจสอบที่อยู่เว็บไซต์
สวทช. แนะนำให้ตรวจสอบ URL ของเว็บไซต์ก่อนกรอกข้อมูล และหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยจากอีเมลหรือข้อความ การหลอกให้กรอกรหัสผ่านบนหน้าเว็บปลอมเป็นวิธีที่ผู้โจมตีใช้เก็บข้อมูลได้โดยตรง โดยไม่ต้องเจาะระบบใด ๆ เลย
เลี่ยง Wi-Fi สาธารณะที่ไม่ปลอดภัย
การเชื่อมต่อผ่าน Wi-Fi สาธารณะที่ไม่มีการป้องกันเปิดโอกาสให้ข้อมูลถูกดักระหว่างทาง สวทช. แนะนำให้หลีกเลี่ยงการทำธุรกรรมสำคัญบนเครือข่ายเหล่านี้ และพิจารณาใช้ VPN เมื่อจำเป็นต้องเชื่อมต่อจากภายนอก เพื่อเข้ารหัสการรับส่งข้อมูล
อัปเดตซอฟต์แวร์และใช้โปรแกรมป้องกันมัลแวร์
การติดตั้งอัปเดตความปลอดภัยล่าสุดของระบบปฏิบัติการและโปรแกรมต่าง ๆ ช่วยปิดช่องโหว่ที่ผู้โจมตีอาจใช้เข้าถึงเครื่อง ควบคู่กับการติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสและมัลแวร์อย่างสม่ำเสมอ สวทช. ยังแนะนำให้เลือกใช้เบราว์เซอร์ที่เน้นความเป็นส่วนตัวหรือเปิดโหมดส่วนตัวเมื่อเหมาะสม
โจทย์เพิ่มเติมสำหรับ SME
ธุรกิจขนาดเล็กและขนาดกลางจำนวนมากในไทยใช้ระบบบริหารจัดการเนื้อหา (CMS) อย่าง WordPress ในการทำเว็บไซต์ ซึ่งเป็นเป้าหมายที่ผู้โจมตีให้ความสนใจ ข้อมูลของ Cloudflare ระบุว่าความพยายามล็อกอินด้วยรหัสที่รั่วไหลบนเว็บไซต์ WordPress ประสบความสำเร็จถึง 76 เปอร์เซ็นต์ และส่วนใหญ่ขับเคลื่อนด้วยบอตอัตโนมัติ การตั้งรหัสผ่านผู้ดูแลระบบให้แข็งแรงและเปิด 2FA สำหรับบัญชีหลังบ้านจึงเป็นมาตรการพื้นฐานที่ SME ไม่ควรมองข้าม
นอกจากนี้ สวทช. ยังแนะนำให้ตรวจสอบกิจกรรมการเข้าสู่ระบบของบัญชีอย่างสม่ำเสมอ เพื่อสังเกตการเข้าถึงที่ผิดปกติได้แต่เนิ่น ๆ และระมัดระวังการเปิดเผยข้อมูลส่วนตัวที่ละเอียดอ่อนทางออนไลน์โดยไม่จำเป็น สำหรับองค์กรที่มีพนักงานหลายคน การกำหนดแนวปฏิบัติร่วม เช่น การไม่บันทึกรหัสผ่านไว้บนเบราว์เซอร์ของเครื่องที่ใช้ร่วมกัน จะช่วยลดความเสี่ยงที่การรั่วไหลจุดเดียวจะกระทบทั้งระบบ
คำแนะนำทั้งหมดของ สวทช. ไม่มีข้อใดต้องใช้งบประมาณสูงหรือความรู้เชิงเทคนิคขั้นสูง สิ่งที่ต้องลงทุนคือความสม่ำเสมอในการปฏิบัติ ตั้งแต่การตั้งรหัสผ่านที่ดี การเปิดการยืนยันสองชั้น ไปจนถึงการตรวจสอบสิ่งที่กำลังจะคลิกก่อนทุกครั้ง ความระมัดระวังในระดับบุคคลยังคงเป็นปราการด่านแรกที่ได้ผลที่สุดในการป้องกันการถูกดักจับข้อมูล
