วันนี้ผมไปเจอบทความหนึ่ง เป็นข่าวเกี่ยวกับ คุณ Frank Abagnale Jr. เลยอยากจะมาสรุปให้ฟังครับ
Frank Abagnale Jr. คุณ Abagnale คนนี้ก็คนเดียวกับนักต้มตุ๋นขั้นเทพ จนเรื่องของเขาถูกนำไปสร้างเป็นภาพยนตร์ชื่อ “Catch Me If You Can” ที่นำแสดงโดย Leonardo Dicaprio และ Tom Hanks นั่นแหละครับ
ในบทความพูดถึงบริษัท Trusona ซึ่งเป็นผู้ให้บริการด้าน Cybersecurity ระดับโลก ว่าได้ว่าจ้าง Mr. Frank Abagnale Jr. ให้มาเป็นที่ปรึกษา
โดยคุณ Ori Eison ซึ่งเป็น CEO และผู้ก่อตั้ง Trusona ได้ให้เหตุผลในการชักชวน คุณ Abagnale มาเป็นที่ปรึกษาของบริษัทไว้ว่า
“แม้ว่าผมจะสร้างอะไรมาหลายอย่าง (สำหรับต่อต้านอาชญากรรมทางไซเบอร์) แต่ผมก็ไม่ใช่อาชญากรอยู่ดี ดังนั้นผมจึงไม่สามารถคิดแบบพวกอาชญากรได้เหมือนอย่างที่คุณ Abagnale ทำได้ ถึงแม้ว่าผมจะไม่มีวันรู้วิธีการเอาชนะสิ่งที่ผมสร้างขึ้นมา แต่คุณ Abagnale น่าจะมองเห็น”
คุณ Abagnale กล่าวเสริมว่า “แม้ว่าอาชญากรรมในปัจจุบันจะย้ายจากโลกจริง ไปสู่ Cyberspace มากขึ้นก็ตาม แต่ ‘โจรก็ยังเป็นโจรอยู่วันยังค่ำ’ “
“ดังนั้น ถ้าคุณคิดให้เหมือนอาชญากรได้ มันก็ไม่สำคัญหรอกว่าพวกเขาจะทำอะไร เพราะคุณจะสามารถเข้าถึงแรงจูงใจและวิธีการของพวกเขาได้เสมอ”
หลังจากพ้นโทษจากคุกแล้ว ตลอดระยะเวลา 40 กว่าปีที่ผ่านมา คุณ Abagnale ก็ได้ทำงานให้กับ FBI มาตลอด
ราว ๆ ครึ่งทางแรกของการทำงานคุณ Abagnale จะพบกับงานที่เกี่ยวกับการปลอมแปลงเอกสาร และการยักยอก ซึ่งก็คือเป็นอาชญากรรมทั่ว ๆ ไป
แต่ในช่วง 20 ปีให้หลังมานี้ แทบจะทุกงานเป็นงานที่เกี่ยวข้องกับโลก Cyber ได้แก่ เรื่องของการละเมิดข้อมูล (Data breach) แทบทั้งสิ้น
“สิ่งหนึ่งที่ผมได้เรียนรู้ คือทุกเหตุการณ์ละเมิดข้อมูลที่เกิดขึ้นนั้น เป็นเพราะมีใครบางคนในบริษัท ดันไปทำบางสิ่งที่ไม่สมควรทำ หรือไม่ได้ทำในสิ่งที่สมควรทำ” คุณ Abagnale กล่าว
“Hacker ไม่ได้เป็นสาเหตุของการละเมิดข้อมูลหรอก คนในองค์กรเองต่างหากที่เป็น พวก Hacker ก็แค่หาช่องโหว่ ซึ่งมีอยู่ทุกที่”
คุณ Abagnale ได้ยกตัวอย่างกรณีการรั่วไหลของข้อมูลที่เกิดกับ Equifax ซึ่งเป็นบริษัทที่ให้บริการด้านข้อมูลเครดิตในสหรัฐอเมริกาเมื่อสองปีก่อน โดย Equifax ถูกเจาะระบบและเกิดการรั่วไหลของข้อมูลลูกค้าชาวอเมริกันกว่า 148 ล้านราย ซึ่งรวมข้อมูลของใบขับขี่กว่า 12 ล้านใบ
ซึ่งภายหลังจากการสืบสวน ก็พบว่าสาเหตุหลักนั้นมาจากการที่ระบบของ Equifax ไม่ได้ทำการติดตั้งตัวแก้ไข (Patch) ของช่องโหว่ในระบบที่ชื่อว่า Apache Struts ทั้ง ๆ ที่ Patch ดังกล่าวมีพร้อมให้ Download มาเพื่อทำการติดตั้งแล้วนานกว่าสองเดือนก่อนที่จะเกิดเหตุ
คุณ Abagnale เสริมอีกว่า จุดอ่อนที่สุดของการรักษาความปลอดภัยทางไซเบอร์ก็คือมนุษย์นั่นแหละ และนั่นทำให้เทคนิคจารกรรมที่มีมาช้านาน ที่ทุกวันนี้เรียกกันในชื่อว่า Social engineering นั้นยังคงใช้ได้ผลเสมอ
โดยวิธีแก้ปัญหาจากภัยคุกคามในรูปแบบ Social engineering นั้นทำได้วิธีเดียวคือการสร้างความตระหนัก และการให้ความรู้กับคนในองค์กร
(หมายเหตุ: การโจมตีแบบ social engineering คือการหลอกใช้จุดอ่อนของมนุษย์เพื่อขโมยข้อมูลหรือหลอกล่อให้เหยื่อกระทำบางสิ่งบางอย่างตามที่ผู้ประสงค์ร้ายมุ่งหวัง ตัวอย่างการโจมตีด้วยวิธีนี้ เช่น การส่งอีเมลหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ปลอมเพื่อขโมยรหัสผ่าน หรือการโทรศัพท์มาหลอกว่าเหยื่อได้รับรางวัลแต่ต้องโอนเงินค่าดำเนินการให้ก่อน เป็นต้น)
คุณ Abagnale ปิดท้ายไว้ด้วยมุมมองที่น่าสนใจสองประเด็น
ข้อแรก เขาบอกว่า ทุกวันนี้โลก Cyber ทำให้อาชญากรรมธรรมดา ๆ กลายเป็นเรื่องระดับโลก เช่น สมัยก่อนงานของแกส่วนใหญ่อยู่แต่ในสหรัฐอเมริกา แต่ปัจจุบันนี้เคส Phishing emails ที่เจอบางเคส พบว่ามีเงินที่หลอกลวงมาจากเหยื่อหมุนเวียนออกไปสู่ 155 ประเทศทั่วโลก
อีกประเด็นหนึ่งคือ คุณ Abagnale บอกว่า อาชญากรสมัยนี้ โลภ และโหดร้ายมากขึ้นกว่าแต่ก่อน
“อาชญากรหรือนักต้มตุ๋นสมัยก่อน ดูจะมีความเห็นอกเห็นใจเหยื่อมากกว่านี้ คือสำหรับผมนะ …. ถ้าผมได้เงินจากเหยื่อพอแล้ว ผมก็จะบอกกับตัวเองว่า เอาล่ะพอแล้ว ฉันไม่อยากทำให้หมอนี่หมดตัวจนต้องออกไปอยู่ข้างถนน”
แต่สำหรับอาชญากร Cyber ในปัจจุบันคุณ Abagnale บอกว่า “พวกนี้เล่นงานเหยื่อจนไม่เหลืออะไรเลย ขโมยแม้กระทั่งเงินจากเหยื่อที่ไปจำนองบ้านมา หรือเป็นเงินสะสมก้อนสุดท้ายสำหรับชีวิตหลังเกษียณ หรือเงินที่ทหารผ่านศึกได้ตอบแทนมาหลังจากออกไปรับใช้ชาติ”
และข่าวร้ายคือ สำหรับอาชญากรรมที่เราเห็นกันบ่อยในยุคปัจจุบันแบบนี้ เหยื่อมักจะไม่ได้เงินคืนกลับมาเลย
ดังนั้นแล้วคุณ Abagnale จึงฝากมาบอกว่า การป้องกันก่อนเกิดเหตุ ย่อมเป็นวิธีการที่ดีกว่าการมาแก้ไขปัญหาหลังจากมันเกิดแล้วครับ
ขนาดยอดนักตุ๋นระดับโลกยังต้องมาวิ่งไล่ตามเทคโนโลยี แสดงว่าคำพูดที่ว่า “Catch me if you can.” ก็คงเป็นคำพูดของยุค Digital ที่กำลังหันมาพูดกับพวกเราแทนแล้วหล่ะครับ
อ้างอิง
1. บทความของ Nick Ismail
https://www.information-age.com/criminal-frank-abagnale-jr-123483861/
2. เกี่ยวกับบริษัท Trusona
https://www.trusona.com/about-trusona
3. บทความหนึ่งเกี่ยวกับ Equifax
https://www.swordshield.com/blog/patch-management-important-cybersecurity/
4. เรื่องของ Social engineering โดย ThaiCERT
https://www.thaicert.or.th/newsbite/2019-05-10-01.html
ขอบคุณมากครับ
Website: www.antifraud.in.th
Blockdit: www.blockdit.com/antifraud.in.th
Email: author[at]antifraud.in.th
