ทุกวันนี้ คิวอาร์โค้ด (QR Code) เป็นส่วนหนึ่งของชีวิตประจำวันของเราไปแล้วก็ว่าได้ ไม่ว่าจะด้วยความง่ายในการสแกน หรือการเตรียมภาพ QR Code มาให้สแกน แต่รู้หรือไม่ว่า ที่จริงแล้ว QR Code นั้นอันตรายกว่าที่เราคิด !
ผู้เขียนได้พูดคุยกับ เลน โนอี (Len Noe) ผู้เชี่ยวชาญด้านเทคนิค และแฮกเกอร์สายขาว (Technical Evangelist/Whitehat Hacker) จากทาง CyberArk หรือเรียกง่าย ๆ ว่าเป็นผู้ที่หาช่องโหว่ในระบบรักษาความปลอดภัยไซเบอร์ผ่านการแฮกข้อมูล และพัฒนาเพื่อให้เกิดความปลอดภัยมากขึ้นต่อไป ซึ่งการนัดคุยกันในครั้งนี้ เขามาพร้อมกับความมั่นใจ และความกังวลในสิ่งที่เขาอยากจะเล่าอย่างมาก
เขาได้ให้หัวข้อไว้แต่แรกเลยว่า QR Code นั้นอันตรายกว่าที่เราคิด !
‘QR Code อันตรายได้ขนาดนั้นเลยหรอ ?’ นั่นคือสิ่งแรกที่ผมคิดหลังจากได้ยินถึงหัวข้อในการสนทนาครั้งนี้ เริ่มต้นมา เลนได้เริ่มเล่าด้วยการนำเอาคลิปตัวอย่างการทำงานของการ ‘Hack ผ่าน QR Code’ ได้ง่าย ๆ แค่สแกน QR Code เข้าไปในเว็บไซต์เท่านั้นเอง แฮกเกอร์ก็สามารถรู้ข้อมูลอุปกรณ์ทุกอย่างผ่านเว็บที่เราเข้าไปได้เลย หรือการยกตัวอย่างสถานการณ์ เป็น QR Code สแกนเข้าในเว็บสมัครงาน ที่เว็บไซต์ที่เราเข้าไป แม้จะดูไม่อันตราย แต่มีฟอร์มการสมัครงานให้เรากรอก ซึ่งใคร ๆ ก็สแกน QR Code ไปกรอกข้อมูลส่วนตัว หรือกระทั่งเลขบัตรประชาชน ยื่นให้แฮกเกอร์ได้เลย โดยที่ไม่ระวังตัวแต่อย่างใด
QR Code เป็นเหมือน Spam Email แบบที่จับต้องได้
Len Noe
สิ่งแรกที่ทำให้ QR Code อันตรายได้ก็คือ QR Code เป็นหนึ่งในเทคโนโลยีที่เพิ่มความสะดวกให้กับเรา และความสะดวกที่เพิ่มขึ้นมานั่นเอง ที่ทำให้มันอันตราย
“QR Code เป็นเหมือน Spam Email แบบที่จับต้องได้” คือสิ่งที่เลนเน้นย้ำมาหลาย ๆ รอบอย่างมาก เขาเล่าว่า เราต่างถูกสอนเรื่อง Spam Email หรืออีเมลขยะมาตลอดว่าเราควรจะหลีกเลี่ยง หรือระมัดระวังตัวอย่างไรบ้าง ซึ่งกับ QR Code ไม่เป็นอย่างนั้นเลย ผู้คนต่างสแกน QR Code และเข้าเว็บไซต์กันแบบไม่รู้ตัว และอาจขโมยข้อมูลไปได้แบบง่าย ๆ แถมโดยปกติ พวก Antivirus ต่าง ๆ ก็ไม่มีการตรวจสอบ QR Code ที่เราสแกนก่อนด้วย ซึ่งทำให้ลิงก์ที่เราสแกนไปนั้นอาจจะเป็นลิงก์ที่ไม่ปลอดภัยก็ได้ หรืออย่าง QR Code บางตัวอาจจะทำเป็นหน้าเว็บปลอมให้เราเผลอล็อกอินเข้าเว็บไซต์ ดักเอา Username และ Password ของเราไปได้
อีกตัวอย่างที่เลนแสดงให้ดูคือ QR Code ที่ลิงก์ไปที่เว็บดาวน์โหลดแอปบันทึกพาสปอร์ตการฉีดวัคซีนของปลอม อยากให้ผู้อ่านลองนึกถึง QR Code ที่เข้าไปลิงก์โหลดแอปฯอย่าง ‘หมอพร้อม’ หรือ ‘ไทยชนะ’ ของปลอมดูสิ ผู้ใช้ที่ไม่ทันสังเกตอาจจะเผลอดาวน์โหลดแอปฯ ของปลอมที่ฝังโทรจัน หรือแฝงไวรัสต่าง ๆ เข้ามาได้แบบไม่รู้ตัวเลย
และพอเป็นแอปฯของปลอมนี้ ก็จะเข้าถึงข้อมูลภายในเครื่องได้มากกว่าเดิม เข้าถึงกล้อง, ไมโครโฟน, หน่วยเก็บข้อมูลของเรา, GPS หรืออาจจะเป็นพาสเวิร์ดของเราก็ทำได้เหมือนกัน และข้อมูลที่แฮกเกอร์ได้ไป ก็สามารถใช้เพื่อปลอมแปลงเป็นตัวเราได้เลย ยิ่งได้ข้อมูลไปมากเท่าไหร่ ก็ยิ่งปลอมเป็นตัวเราได้มากเท่านั้น
และอย่างสุดท้ายที่อาจจะอันตรายมาก และหลอกลวงให้เราสแกนได้ก็คือ QR Code เพื่อดู ‘เมนู’ ของร้านอาหาร ซึ่งปกติจะมาในรูปแบบของ QR Code บนภาพกราฟิก ให้เราสแกนไปดูเมนูแบบออนไลน์บนสมาร์ตโฟนของเรา แม้ว่าเมนูออนไลน์แบบนี้จะทำให้เราสะดวกในการดูเมนู แต่คนร้ายก็อาจจะอาศัยพื้นที่ที่จะมี QR Code ให้สแกนได้ง่าย ๆ นี้ เพื่อแปะ QR Code ปลอมได้ในแบบที่เราไม่รู้ตัวด้วยซ้ำ
นอกจากนั้น ลิงก์ที่อยู่ใน QR Code ก็ตรวจสอบได้ยากด้วย เพราะปัจจุบันเรามี ‘Short Link’ หรือลิงก์ที่ผ่านการย่อมาแล้ว ซึ่งลิงก์ย่อเหล่านี้มีหลากหลายรูปแบบมาก นอกจากจะย่อลิงก์ให้สั้นลงแล้ว ลิงก์ย่อเหล่านี้ยังซ่อนลิงก์เว็บไซต์ที่หลอกลวง ทำให้ตรวจสอบยากขึ้นไปอีกด้วย
แล้วเราจะอยู่ได้ยังไงว่าเราโดน Hack ไปแล้ว ? เลนเล่าว่า เมื่อเราโดนแฮกไปแล้ว สุดท้ายจะขึ้นกับแฮกเกอร์ได้เลยว่าเขาขโมยข้อมูลของเราไปเท่าไหร่แล้ว ซึ่งวิธีสังเกตง่าย ๆ เบื้องต้นก็คือ สมาร์ตโฟนของเราอาจจะเริ่มช้า เริ่มร้อน หรือแบตเตอรี่ลดเร็วแบบไม่ทราบสาเหตุ แบบที่ว่าวางไว้เฉย ๆ ก็ร้อนหรือแบตไหลได้ นั่นอาจจะเป็นสัญญาณเริ่มต้นว่าเราโดนแล้วก็ได้
เราจะป้องกันตัวเองจาก QR Code ปลอมนี้ได้อย่างไร ?
เลนได้อธิบายให้ฟัง และสรุปเป็นหัวข้อเอาไว้ในบทความ ที่เขาเขียนเอาไว้ได้ดังนี้
- อย่าสแกน QR Code สุ่มสี่สุ่มห้า ถ้าเราเริ่มรู้สึกได้ว่า QR Code ที่เราเห็นนี้ไม่ปลอดภัย ก็อย่าสแกน QR Code นั้น ให้เข้าเว็บไซต์โดยตรงผ่านการพิมพ์จะดีกว่า ทางที่ดี ใต้ QR Code นั้นควรจะมีลิงก์ของเว็บที่เราต้องการจะเข้าไปจริง ๆ เพื่อจะได้ตรวจสอบได้ หรือไม่ก็ใช้การพิมพ์แทนได้เลย
- ตั้งสติก่อนสแกน ก่อนจะสแกน QR Code ไหน ๆ ก็ตาม ให้ถามตัวเองก่อนว่า นี่เรารู้ไหมว่าใครเอา QR Code นี้มาติดไว้ หรือเราจะรู้ได้อย่างไรว่า QR Code นี้ไม่ได้โดนแปลงไปแล้ว หรือการสแกน QR Code นี้จำเป็นต้องทำหรือไม่
- ตรวจสอบ URL ของ QR Code นั้นให้ดีก่อน ถ้าเกิดว่าลิงก์ที่ได้จากการสแกน QR Code เป็นลิงก์ย่อ ให้ดู URL ของเว็บปลายทางที่เราเข้าไปด้วยว่าเป็นเว็บไซต์ที่เราตั้งใจจะเข้าจริง ๆ หรือไม่ มีการสะกดชื่อผิด หรือมี URL ต่อท้ายอีกหรือเปล่า ถ้าไม่ชัวร์ให้ลองหาชื่อเว็บเต็ม ๆ ใน Google ดูอีกทีก็ยังทัน
- มองหาร่องรอยการโดนแก้ไข QR Code นั้น อย่างเช่นในร้านอาหาร ถ้า QR Code ที่ให้สแกนเพื่อดูเมนูเกิดถูกแก้ไขขึ้นมา อยากให้ระวังตัวให้มากที่สุดจะดีกว่า หรือลองถามทางร้านดูว่าได้มีการแก้ไข อย่างไรไหม
- อย่าดาวน์โหลดแอปฯ ใด ๆ จากการสแกน QR Code ผู้ไม่หวังดีสามารถปลอมเว็บไซต์ในการดาวน์โหลดแอปฯได้ง่ายมาก ๆ ถ้าทางสถานที่นั้น ๆ อยากให้ดาวน์โหลดแอปฯ อยากให้ลองหาชื่อแอปฯ จากใน App Store หรือ Play Store ก็จะดีกว่า
- เปิดใช้งานระบบรักษาความปลอดภัยหลายขั้นตอน (MFA) หรือที่เราจะคุ้น ๆ กันก็คือ 2FA นั่นเอง หมายถึงการเปิดใช้ระบบรักษาความปลอดภัยผ่านการยืนยันตัวตน 2 ขั้นตอน หรือมากกว่า เพื่อให้แน่ใจได้ว่า หากบัญชีของเราโดนแฮก ไม่ว่าจะเป็นบัญชีธนาคาร อีเมล หรือโซเชียลเน็ตเวิร์ก ระบบรักษาความปลอดภัยหลายขั้นตอนนี้จะช่วยไม่ให้แฮกเกอร์เข้าถึงข้อมูลของเราได้โดยง่าย
ทั้งนี้เลนได้กล่าวสรุปว่าตัวเขาเองไม่ได้เกลียดชังในตัว QR Code เลยแม้แต่น้อย เพียงแค่จะเป็นการดีกว่ามาก ถ้าเราสามารถตรวจสอบ หรือพิสูจน์ได้ว่า QR Code ที่เรากำลังจะสแกนนั้น เป็น QR Code ที่ปลอดภัยจริง ๆ โดยเฉพาะในยุคที่คำว่า ‘Zero Trust’ หรือระบบความปลอดภัยที่ไม่ควรมีใครเชื่อถือกันเลยแม้แต่น้อย กำลังเป็นเทรนด์ด้านการรักษาความปลอดภัยใหม่ แต่คนกลับสแกน QR Code โดยไม่สนใจเลยแม้แต่น้อยว่า QR Code นั้นปลอดภัยจริงหรือไม่
เพราะงั้นทางที่ดี เราควรตั้งสติก่อนสแกน QR Code นั้น ๆ ก็จะเป็นการดีที่สุดนะ !
พิสูจน์อักษร : สุชยา เกษจำรัส