จากกรณีที่มีผู้ใช้งาน Facebook รายหนึ่งออกมาเผยว่าเงินบนแอปธนาคารหายไปเป็นแสนหลังจากเพียงแค่เสียบมือถือชาร์จทิ้งไว้เท่านั้น จนเกิดข้อสงสัยเกี่ยวกับสายชาร์จตัวร้ายที่เป็นช่องทางแฮกอุปกรณ์มือถือ
สายชาร์จใช้แฮกได้จริงหรือ
การขโมยข้อมูลผ่านสายเชื่อมต่อในรูปแบบต่าง ๆ นั้นไม่ใช่เรื่องใหม่ ที่ผ่านมาหลายองค์กรจากหลายประเทศเคยออกคำเตือนเกี่ยวกับการดูดข้อมูลหรือฝังมัลแวร์ผ่านสายชาร์จหรือจุดชาร์จอุปกรณ์ในที่สาธารณะหรือที่เรียกว่า Juice Jacking
คณะกรรมการการสื่อสารของสหรัฐอเมริกา (FCC) เคยออกมาเตือนว่าอาชญากรไซเบอร์อาจฝังมัลแวร์ไว้ตามพอร์ต USB สาธารณะ หรือแกล้งทิ้งสายชาร์จไว้ตามจุดชาร์จต่าง ๆ ในพื้นที่สาธารณะเพื่อล่อให้เหยื่อมาใช้งาน หรือแม้แต่อาจแจกสายชาร์จประเภทนี้ตามที่ต่าง ๆ ก็เป็นได้
อย่างไรก็ดี ในปัจจุบันผู้ผลิตซอฟต์แวร์ของอุปกรณ์ต่าง ๆ และผู้พัฒนาระบบปฏิบัติการที่ใช้กันอยู่อย่างแพร่หลายก็ได้ทำการแก้ไขมาหลายปีแล้ว โดยเฉพาะการทำให้อุปกรณ์หรือสายเคเบิลที่เชื่อมกับอุปกรณ์จะต้องได้รับความยินยอมจากเจ้าของเครื่องก่อนถึงจะเข้าไปถ่ายโอนข้อมูลมาจากตัวเครื่องได้
แต่สำหรับในกรณีที่เป็นข่าวอยู่คือการที่ผู้เสียหายเสียบสายชาร์จอยู่ที่บ้านของตัวเอง พร้อมยืนยันว่าไม่เคยตอบตกลงอะไรที่ตัวเองไม่รู้จัก ถือว่าเป็นเรื่องที่แทบไม่เคยมีใครได้ยินมาก่อน
ตำรวจสอบสวนกลางเผยผ่านเพจทางการบน Facebook ว่าปัจจุบันมีการพบสายชาร์จมือถือที่แฝงตัว Access Point ที่เปิดช่องให้ผู้ไม่หวังดีเจาะเข้าอุปกรณ์ของเหยื่อจากระยะไกลจนสามารถขโมยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลทางการเงิน หรือแฝงมัลแวร์ได้ สายชาร์จประเภทนี้มีหลากหลายรูปแบบทั้ง Micro-USB, USB-C และ Lighting
สายที่ว่านี้มีหน้าตาเป็นอย่างไร
นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ให้ข้อมูลกับสำนักข่าว PPTV ว่าการแยกแยะสายชาร์จเหล่านี้ออกจากสายชาร์จปกติทำได้ยากหากไม่ใช่ผู้เชี่ยวชาญ สายประเภทนี้ส่วนใหญ่จะขายบนโลกออนไลน์ ราคาเริ่มต้นเป็นหลักหลายพันบาท ผู้ที่จะก่อเหตุด้วยสายประเภทนี้มักจะมีเป้าหมายเฉพาะอยู่แล้ว
ตัวอย่างของสายชาร์จประเภทนี้ที่โดดเด่นที่สุดคือสาย O.MG ที่ได้รับการพัฒนาโดย ไมค์ โกรเวอร์ (Mike Grover) หรือนามแฝงคือ MG ที่มีการฝังอุปกรณ์ที่สามารถสร้างฮอตสปอตกระจายสัญญาณไวไฟ (WiFi Hotspot) จะช่วยให้แฮกเกอร์สามารถเชื่อมต่อกับอุปกรณ์ของตัวเองเพื่อดักจับข้อมูลทุกอย่างที่เหยื่อพิมพ์ลงบนอุปกรณ์ที่เชื่อมกับสายชาร์จนั้นได้ ซึ่งเป็นการทำงานเหมือนกับ Keylogger หรืออุปกรณ์เก็บข้อมูล
โดยข้อมูลที่ดักเก็บมาได้จากสายชาร์จจะไปปรากฎอยู่ในหน้าจออุปกรณ์ของอาชญากรแบบเรียลไทม์
อย่างไรก็ดี แม้ว่า MG จะระบุว่าสายชนิดนี้สามารถใช้แฮกจากระยะไกลได้ แต่ในการทดสอบของเว็บไซต์ Motherboard นั้นพบว่าผู้ที่จะแฮกอุปกรณ์ของเหยื่อผ่านสายชาร์จ O.MG จะต้องอยู่ในระยะไม่ไกลจากเป้าหมาย
ทั้งนี้ ก็ไม่ได้แปลว่าจะไม่มีความเป็นไปได้เลยที่จะไม่สามารถโจมตีระยะไกลได้ เนื่องจากอย่างที่ระบุไปก่อนหน้าว่าสาย O.MG เป็นเพียงตัวอย่างของสายประเภทนี้เท่านั้น ยังมีความเป็นไปได้ว่ามีสายอีกมากที่อาจจะมีประสิทธิภาพสูงยิ่งกว่านี้
ซึ่งหากสายประเภทนี้คือสายที่เหยื่อที่ปรากฎอยู่ในข่าวใช้จริง ก็อาจเป็นไปได้ว่าแฮกเกอร์อาจเก็บข้อมูลรหัสผ่านของแอปธนาคารที่เหยื่อป้อนเข้าไป จากนั้นรอเวลาที่เหยื่อไม่ได้ใช้เครื่อง เพื่อล็อกอินเข้าไปยังแอปธนาคารไปโอนเงินของเหยื่อออกไปยังบัญชีของตัวเองในที่สุด แต่มีข้อแม้ว่าผู้ก่อเหตุจะต้องอยู่ในระยะที่ใกล้กับอุปกรณ์ของเหยื่อ
วิธีดูความปลอดภัยของสายชาร์จ
วิธีการตรวจสอบความผิดปกติของสายชาร์จประเภท O.MG ก็คงมีวิธีเดียวคือการงัดแงะสายด้านในออกมาดู จะพบว่ามีอุปกรณ์แปลกหน้าที่ซ่อนอยู่ในปลอกพลาสติกที่ครอบหัวสายชาร์จอยู่
แต่สำหรับวิธีป้องกันที่ง่ายกว่า คือการไม่ใช้สายชาร์จของคนอื่น ใช้อะแดปเตอร์ของตัวเองเท่านั้น หรือพกแบตเตอรี่สำรองติดตัวเสมอ ควรหลีกเลี่ยงการใปชาร์จในที่สาธารณะ หากจำเป็นต้องชาร์จในที่สาธารณะควรเลือกชาร์จเฉพาะต่อกับเต้าเสียบเท่านั้น ไม่ควรเสียบชาร์จกับพอร์ต USB
การเลือกซื้อสายชาร์จก็เป็นสิ่งสำคัญ คือควรเลือกซื้อสายชาร์จจากผู้ผลิตอุปกรณ์ที่เชื่อถือได้เท่านั้น โดยเฉพาะผู้ผลิตสมาร์ตโฟนโดยตรง หรือผู้ผลิตที่ได้รับการรับรอง
นอกจากนี้ ยังควรหลีกเลี่ยงการดาวน์โหลดแอปที่อยู่ภายนอกร้านค้าแอปทางการ และไม่กดตกลงยินยอมการอนุญาตแปลกหน้าที่ปรากฎขึ้นมาบนอุปกรณ์
ไม่เพียงสายชาร์จเท่านั้น ยังมีช่องทางอีกมากมายที่อาชญากรอาจล่วงรู้ข้อมูลความลับของเหยื่อ ตั้งแต่โฆษณาปลอมในเว็บไซต์ต่าง ๆ ไปจนถึงบัญชีโซเชียลปลอมที่คอยมาโพสต์ลิงก์สแปมที่นับวันก็จะมีมากขึ้นเรื่อย ๆ
คำถามที่ตามมาคือ หากราคาของสายชาร์จอันตรายเหล่านี้สูงเกินครึ่งหมื่น ซึ่งถือว่าสูงกว่าสายชาร์จคุณภาพที่มีขายอยู่ทั่วไปตามท้องตลาดมาก อะไรเป็นปัจจัยที่ทำให้มีคนตกเป็นเหยื่อ และหากผู้เสียหายรายดังกล่าวตกเป็นเหยื่อของสายชาร์จประเภทนี้จริง ๆ ก็แปลว่าผู้ที่ทำการแฮกเงินออกจากบัญชีจำเป็นจะต้องรู้ข้อมูลทางการเงินของเหยื่ออยู่แล้ว
อย่างไรก็ดี ข้อมูลที่ผู้เสียหายให้ไว้นั้นก็ไม่เพียงพอที่จะสรุปได้ว่าเกิดจากสาเหตุใด เนื่องจากว่าเราไม่รู้ว่าเหตุการณ์ที่เกิดขึ้นก่อนหน้าที่เงินในบัญชีจะหายไปจากอุปกรณ์ของผู้เสียหายนั้นเกิดอะไรขึ้นบ้าง หรือมีใครมาใช้มาใช้อุปกรณ์โดยที่เจ้าตัวไม่รู้บ้าง อีกทั้งยังไม่สามารถระบุได้แน่ชัดว่าสาเหตุเงินหายในครั้งนี้มาจากสายชาร์จหรือไม่
สิ่งที่แน่ชัดอย่างเดียวคือเครื่องมือแฮกที่แฝงมากับสายชาร์จนั้นมีอยู่จริง
ที่มา PPTVHD36, ตำรวจสอบสวนกลาง, VICE, FCC, The Verge
พิสูจน์อักษร : สุชยา เกษจำรัส