[ถามคนใน] ขึ้นชื่อว่า “ตำรวจ” หากใครถูกสอบปากคำหรือขอความร่วมมือ ก็ย่อมตอบไปตามจริงโดยไม่กัก ถามชื่อตอบชื่อ ถามที่อยู่ก็ตอบที่อยู่จริง ทว่าหากตำรวจรายนั้นกลับเป็น ‘มิจฉาชีพ’ แฝงตัวมา ข้อมูลที่ให้ไปนั้นคงไปอยู่ตลาดมืดแทน…
เมื่อต้นปีที่ผ่านมา Charter Communications บริษัทโทรคมนาคมยักษ์ใหญ่ของสหรัฐฯ เผยมีอีเมลที่อ้างว่าเป็นเจ้าหน้าที่ตำรวจฟลอริดาส่งมา โดยมาขอข้อมูลผู้ใช้ที่เป็น “เกมเมอร์” รายหนึ่งในนิวยอร์กไปสอบสวน ทางบริษัทก็หลงเชื่อ ภายในไม่กี่นาทีก็จัดการส่งทั้งชื่อ , ที่อยู่บ้าน , อีเมล , เบอร์โทรศัพท์เสร็จสรรพ และ IP Address ห่อส่งไปให้อย่างดี
สุดท้ายก็ทราบว่าอีเมลฉบับนั้น ไม่ได้มาจากเจ้าหน้าที่คนไหนเลย หากแต่เป็นสมาชิกของกลุ่มแฮกเกอร์ต่างหาก โดยใช้วิธี “Doxing-as-a-service” หรือบริการขุดข้อมูลส่วนตัว ที่เสนอการเข้าถึงข้อมูลส่วนบุคคลจากบริษัทเทคโนโลยีที่ใหญ่ที่สุดในประเทศ
ล่าสุดทางกลุ่มแฮกเกอร์ที่ก่อเหตุ ก็มีสมาชิกรายหนึ่งเผยมาจากกลุ่ม “Exempt” ที่เชี่ยวชาญในการปลอมแปลงเอกสารทางกฎหมาย และยอมรับกับทางสื่อ Wired ว่าใช้วิธี Doxing-as-a-service ใส่บริษัท Charter Communications จริง
กลุ่ม Exempt ยังเผยอีกว่าเคยใช้กลอุบายที่คล้ายกันนี้ ไปหลอกขอข้อมูลกับบริษัทยักษ์ใหญ่อย่าง Apple กับ Amazon มาแล้วด้วย โดยทั้งหมดก็ใช้เวลาไปแค่ 20 นาทีเท่านั้น แถมยังช่วยทำคำขอในลักษณะนี้มาแล้วถึง 500 ครั้ง และทำเงินได้มากกว่า 18,000 ดอลลาร์ฯ (ประมาณ 5.7 แสนบาท) ในเดือนสิงหาคมเพียงเดือนเดียวด้วย โดยส่วนหนึ่งก็ให้ข้อมูลเหยื่อไป “Dox” หรือการขุดข้อมูลมาประจาน
แล้วทำไมบริษัทดังกล่าวถึงเชื่ออีเมล์แอบอ้างนั้น สาเหตุก็เป็นเพราะ “Emergency Data Requests” หรือคำขอข้อมูลฉุกเฉิน (EDR) ที่เจ้าหน้าที่สามารถส่งเป็นคำสั่งเร่งด่วน โดยมีจุดประสงค์ขอข้ามขั้นตอนการตรวจสอบตามปกติได้เลย ข้ามหน้าทีมกฎหมายหรือทีมตรวจสอบความถูกต้องของบริษัท ที่คอยจัดการกับคำขอข้อมูลจากตำรวจและอัยการนั้นเอง…แต่สุดท้ายก็กลายเป็นช่องโหว่
อย่างกรณีของ Charter ทางกลุ่ม Exempt กล่าวเลยว่า ทีมได้จดทะเบียนโดเมนเลียนแบบชื่อ jaxsheriff .us ซึ่งเลียนแบบโดเมนจริงของแผนกคือ jaxsheriff.org เพื่อให้ดูสมจริงยิ่งขึ้น จากนั้นทำการปลอมแปลงเบอร์โทรศัพท์ของกรมตำรวจ และใช้หมายเลขตราตำรวจที่ถูกต้องพร้อมชื่อเจ้าหน้าที่จริง เพื่อผ่านขั้นตอนการตรวจสอบตามปกติ
สำหรับคำเตือนเกี่ยวกับ EDR ปลอมนั้น ก็มีมานานหลายปีแล้ว โดยในปี 2022 ก็มีเว็บไซต์ Krebs On Security เผยรายงานเกี่ยวกับแฮกเกอร์ที่เคยได้รับ “อำนาจในการออกหมายเรียก” มาแล้ว แต่ด้วยระบบการสื่อสารที่ล้าสมัย การสื่อสารที่ไม่สอดคล้องกัน หน่วยงานเจ้าหน้าที่ที่มีจำนวนมากในสหรัฐฯ (.gov, บางแห่ง .us, .org หรือแม้แต่ .com) และปิดท้ายด้วยสัญชาตญาณมนุษย์ที่มักจะยอมผ่อนปรนเพื่อ ‘ช่วยชีวิตคน’ ก็กลับกลายเป็นทำลายชีวิตคนทางอ้อมแทนครับ
ที่มา : Techspot
