มีรายงานข่าวในช่วงนี้เกี่ยวกับเหตุการณ์การละเมิดข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ ทำให้เกิดการรายงานข่าวในสื่อต่าง ๆ ที่เต็มไปด้วยคำเตือน และความตื่นตระหนก อย่างไรก็ตาม จากการตรวจสอบข้อมูล ดูเหมือนว่าเหตุการร์นี้จะเป็นการรวบรวมข้อมูลส่วนบุคคลที่รั่วไหลออกมาก่อนหน้านี้ ซึ่งถูกขโมยโดย infostealers malware, เหตุการณ์ data breaches และผ่านการโจมตีแบบ credential stuffing
เหตุการณ์นี้ไม่ใช่เหตุการณ์การโจมตีครั้งใหม่ หรือการละเมิดข้อมูลใด ๆ ทั้งสิ้น และเว็บไซต์ที่เกี่ยวข้อง ไม่ได้ถูกโจมตีในช่วงเวลาล่าสุดเพื่อขโมยข้อมูลเหล่านี้
ในทางกลับกัน ข้อมูลส่วนบุคคลที่ถูกขโมยเหล่านี้ มีแนวโน้มที่จะหมุนเวียนอยู่ในระบบมาระยะหนึ่งแล้ว หรืออาจจะหลายปีด้วยซ้ำ จากนั้นจึงถูกรวบรวมโดยบริษัทรักษาความปลอดภัยทางไซเบอร์, นักวิจัย หรือผู้โจมตี และนำมารวมกันใหม่เป็นฐานข้อมูลที่นำมาเปิดเผยบนอินเทอร์เน็ต
Cybernews ซึ่งเป็นผู้ค้นพบชุดข้อมูลที่ถูกเปิดเผยระบุว่า ชุดข้อมูลดังกล่าวถูกจัดเก็บในรูปแบบที่มักพบในมัลแวร์ Infostealer
Infostealer คือมัลแวร์ที่มีเป้าหมายเพื่อขโมยข้อมูล credentials, cryptocurrency wallets และข้อมูลอื่น ๆ จากอุปกรณ์ที่ติดมัลแวร์ ตลอดหลายปีที่ผ่านมา Infostealer กลายเป็นปัญหาใหญ่ที่นำไปสู่เหตุการณ์ข้อมูลรั่วไหลทั่วโลก
มัลแวร์ประเภทนี้ส่งผลกระทบต่อทั้งระบบ Windows และ Mac โดยเมื่อถูกเรียกใช้งาน มันจะพยายามรวบรวมข้อมูล credentials ทั้งหมดที่สามารถพบได้บนอุปกรณ์ และบันทึกข้อมูลเหล่านั้นไว้ในไฟล์ที่ตั้งชื่อว่า "log"
Infostealer Log โดยทั่วไปจะเป็นไฟล์ archive ที่ภายในประกอบด้วย text files จำนวนมาก และข้อมูลอื่น ๆ ที่ถูกขโมย text files เหล่านี้ จะมีรายการของข้อมูล credentials ที่ถูกขโมยมาจากเว็บเบราว์เซอร์, ไฟล์ และแอปพลิเคชันอื่น ๆ
ข้อมูล credentials ที่ถูกขโมย มักจะถูกบันทึกไว้บรรทัดละหนึ่งรายการในรูปแบบต่อไปนี้
URL:username:password
ในบางกรณี ตัวแบ่ง (delimiter) ระหว่างแต่ละ component อาจถูกเปลี่ยนเป็น comma, semicolon หรือ dash
ตัวอย่างเช่น Infostealer อาจบันทึกข้อมูลที่ขโมยมาใน log ดังนี้
หากใครก็ตามติดมัลแวร์ Infostealer และมีข้อมูล credentials ที่ถูกบันทึกไว้ในเว็บเบราว์เซอร์ มัลแวร์จะขโมยข้อมูลออกไปทั้งหมด และบันทึกไว้ใน log ซึ่ง log เหล่านี้จะถูกอัปโหลดกลับไปยังผู้โจมตี ซึ่งสามารถนำข้อมูลเหล่านี้ไปใช้ในการโจมตีเพิ่มเติม หรือขายต่อในตลาดของอาชญากรรมไซเบอร์
ปัญหาของ Infostealer นั้นรุนแรง และแพร่หลายมากจนข้อมูล credentials ที่ถูกขโมยกลายเป็นหนึ่งในวิธีที่พบบ่อยที่สุดในการที่ผู้โจมตีใช้เจาะระบบเครือข่าย
ปัญหานี้ยังทำให้หน่วยงานบังคับใช้กฎหมายทั่วโลกเริ่มดำเนินการปราบปรามกลุ่มอาชญากรรมไซเบอร์อย่างจริงจังมากขึ้น ตัวอย่างเช่น การดำเนินการล่าสุดในชื่อ “Operation Secure and the disruption of LummaStealer"
เนื่องจากเครื่องมือขโมยข้อมูลมีมากมาย และถูกใช้กันอย่างแพร่หลาย ผู้โจมตีบางรายจึงเริ่มปล่อยชุดข้อมูลให้ใช้ฟรีผ่านช่องทางต่าง ๆ เช่น Telegram, Pastebin และ Discord เพื่อสร้างชื่อเสียงในหมู่ชุมชนอาชญากรรมไซเบอร์ หรือเพื่อเป็นตัวอย่างล่อซื้อสำหรับข้อมูลที่ต้องมีการชำระเงิน
เพื่อให้เห็นภาพว่ามีรหัสผ่านถูกแจกฟรีมากแค่ไหน ไฟล์หนึ่งที่มีขนาด 1,261.4 MB ที่แสดงในภาพด้านบน มีข้อมูลบัญชีมากกว่า 64,000 รายการ
ยังมีไฟล์ลักษณะเดียวกันนี้อีกนับหลายพัน หรืออาจถึงหลักแสนไฟล์ที่ถูกแชร์กันบนโลกออนไลน์ ซึ่งส่งผลให้มีข้อมูลบัญชีหลายพันล้านรายการถูกเผยแพร่ฟรี
ไฟล์ archives ที่แจกฟรีเหล่านี้ น่าจะถูกนำไปรวมกันเป็นชุดข้อมูลขนาดใหญ่ที่ถูกเปิดเผยในช่วงสั้น ๆ และถูกค้นพบโดย Cybernews
ในอดีตเคยมีการรั่วไหลของข้อมูลที่คล้ายคลึงกัน เช่นการรั่วไหลของ RockYou2024 ที่มีข้อมูลมากกว่า 9 พันล้านรายการ และ “Collection #1” ซึ่งมีรหัสผ่านไม่ซ้ำกันกว่า 22 ล้านชุด
แม้จะมีกระแสข่าวมากมาย แต่ก็ไม่มีหลักฐานว่าการรวบรวมข้อมูลครั้งนี้มีข้อมูลใหม่ หรือข้อมูลที่ไม่เคยถูกเปิดเผยมาก่อน
ควรทำอย่างไร ?
เมื่อทราบแล้วว่ามีการรั่วไหลของข้อมูล credentials จำนวนมาก ซึ่งน่าจะถูกขโมยไปโดย Infostealer, เหตุการณ์ data breaches และการโจมตีแบบ Credential Stuffing สิ่งที่สำคัญที่สุดคือ การมีแนวทางปฏิบัติด้านความปลอดภัยไซเบอร์ที่ดี
- หากกังวลว่าอุปกรณ์อาจมีมัลแวร์ Infostealer หรือไม่ ควรทำการสแกนอุปกรณ์ด้วยโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้ก่อนที่จะเปลี่ยนรหัสผ่าน เนื่องจากหากเครื่องยังติดมัลแวร์อยู่ ข้อมูล credentials ที่เปลี่ยนใหม่ก็อาจถูกขโมยไปได้อีกครั้งเช่นกัน
- เมื่อมั่นใจแล้วว่าระบบปลอดภัยจากมัลแวร์ ให้เน้นไปที่การปรับปรุงพฤติกรรมการใช้รหัสผ่าน ซึ่งหมายถึงการใช้รหัสผ่านที่ไม่ซ้ำกัน และคาดเดาได้ยากสำหรับทุกเว็บไซต์ที่ใช้งาน และใช้ Password Manager เพื่อจัดการ และเก็บรหัสผ่านอย่างปลอดภัย อย่างไรก็ตาม แม้จะใช้รหัสผ่านที่ไม่ซ้ำกัน ก็ไม่สามารถช่วยได้หากถูกแฮ็กโดยตรง หรือตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง หรือการติดตั้งมัลแวร์
- ควรเปิดใช้การยืนยันตัวตนสองขั้นตอน (2FA) ร่วมกับการใช้แอปสำหรับการยืนยันตัวตน เช่น Microsoft Authenticator, Google Authenticator หรือ Authy เพื่อจัดการรหัส 2FA หากเปิดใช้งาน 2FA แล้ว แม้รหัสผ่านจะถูกขโมย ผู้โจมตีก็จะไม่สามารถเข้าถึงบัญชีได้ หากไม่มีรหัส 2FA โดยควรหลีกเลี่ยงการรับรหัส 2FA ผ่านข้อความ SMS เนื่องจากผู้โจมตีสามารถทำการโจมตีแบบ SIM-swapping เพื่อขโมยหมายเลขโทรศัพท์ และเข้าถึงรหัส 2FA ได้
สำหรับเหตุการณ์ข้อมูลรั่วไหลครั้งนี้ ด้วยจำนวนบัญชีที่รั่วไหลออกมามหาศาล มีโอกาสที่ทุกคนจะอยู่ในรายชื่อข้อมูลรั่วไหลครั้งนี้
หากต้องการตรวจสอบว่า ข้อมูลบัญชีเคยปรากฏในเหตุการณ์ข้อมูลรั่วไหลหรือไม่ สามารถใช้บริการ เช่น Have I Been Pwned เพื่อตรวจสอบข้อมูลรั่วไหลได้ และหากใช้รหัสผ่านเดียวกันในหลายเว็บไซต์ ก็ควรดำเนินการเปลี่ยนเป็นรหัสผ่านที่ไม่ซ้ำกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.