รัสเซียถูกกล่าวหาว่าอยู่เบื้องหลังการโจมตีฟิชชิงบน Signal ต่อเจ้าหน้าที่เยอรมัน
เยอรมนีได้ระบุอย่างเป็นทางการว่าแคมเปญฟิชชิงที่ซับซ้อนนี้มีต้นตอมาจากกลุ่มที่รัฐรัสเซียให้การสนับสนุน หลังจากที่เป้าหมายระดับสูงหลายร้อยคน ทั้งรัฐมนตรีระดับสหพันธรัฐ สมาชิกบุนเดสทาค และนักการทูต ถูกบุกรุกบัญชี Signal สำนักงานอัยการสูงสุดแห่งสหพันธรัฐเยอรมนีได้เปิดการสอบสวนด้านการจารกรรมอย่างเป็นทางการ นับเป็นหนึ่งในเหตุการณ์การบุกรุกทางไซเบอร์โดยรัฐที่สำคัญที่สุดที่มุ่งเป้าไปยังบุคคลทางการเมืองของเยอรมนีในความทรงจำร่วมสมัย
การโจมตีครั้งนี้ไม่ได้เจาะระบบเข้ารหัสของ Signal แต่อย่างใด แต่กลับใช้ประโยชน์จากสิ่งที่แก้ไขได้ยากกว่ามาก นั่นคือ ความไว้วางใจของมนุษย์
การโจมตีฟิชชิงบน Signal ทำงานอย่างไร
ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของ Signal โดยส่งข้อความปลอมเพื่อหลอกให้เป้าหมายมอบรหัสยืนยันบัญชีของตนเอง เมื่อได้รหัสเหล่านั้นมาแล้ว แฮกเกอร์ก็สามารถเชื่อมโยงบัญชี Signal ของเหยื่อเข้ากับอุปกรณ์ที่ตนควบคุม ทำให้เข้าถึงการสนทนาส่วนตัวและรายชื่อผู้ติดต่อได้แบบเรียลไทม์ โดยไม่จำเป็นต้องถอดรหัสการเข้ารหัสของแอปแต่อย่างใด
เทคนิคนี้เรียกว่า การจี้ผ่านอุปกรณ์ที่เชื่อมต่อ (linked-device hijack) ซึ่งเป็นอันตรายอย่างยิ่ง เนื่องจาก Signal ออกแบบมาให้ไม่ต้องใช้รหัสผ่านในการอ่านข้อความเมื่อมีการเชื่อมบัญชีแล้ว การเข้ารหัสที่ทำให้ Signal ได้รับความไว้วางใจจากนักข่าว นักกิจกรรม และเจ้าหน้าที่รัฐ จะถูกหลีกเลี่ยงได้อย่างสมบูรณ์ในทันทีที่ผู้โจมตีควบคุมอุปกรณ์ที่เชื่อมต่อได้
บทเรียนที่ได้จากเหตุการณ์นี้ไม่ใช่ว่า Signal ไม่ปลอดภัย แต่คือไม่มีเครื่องมือรักษาความปลอดภัยใดแม้แต่ชิ้นเดียว ไม่ว่าจะออกแบบมาดีเพียงใด ที่สามารถปกป้องผู้ใช้ที่ถูกหลอกให้มอบข้อมูลรับรองของตนเองได้
เหตุใดแอปเข้ารหัสเพียงอย่างเดียวจึงไม่เพียงพอ
การโจมตีครั้งนี้แสดงให้เห็นช่องว่างสำคัญในวิธีที่คนจำนวนมาก รวมถึงผู้เชี่ยวชาญที่ควรจะรู้ดีกว่านี้ มองเรื่องความปลอดภัยทางดิจิทัล แอปส่งข้อความเข้ารหัสปกป้องข้อมูลระหว่างการส่ง แต่ไม่ได้ปกป้องจากวิศวกรรมสังคม (social engineering) อุปกรณ์ที่ถูกบุกรุก หรือการจัดการในระดับบัญชี
ผู้คุกคามที่ได้รับการสนับสนุนจากรัฐ โดยเฉพาะผู้ที่มีทรัพยากรมากและความอดทนในการปฏิบัติการสูง มักจะมุ่งเป้าไปที่ชั้นของมนุษย์โดยตรง เพราะชั้นทางเทคนิคนั้นยากจะเจาะมาก การโน้มน้าวให้ใครบางคนมอบรหัสยืนยันนั้นง่ายกว่าการถอดรหัสการเข้ารหัสสมัยใหม่มากนัก
นี่คือเหตุผลที่ผู้เชี่ยวชาญด้านความปลอดภัยยืนยันอยู่เสมอว่าควรใช้การป้องกันแบบหลายชั้น แทนที่จะพึ่งพาเครื่องมือเดียว การเพิ่มชั้นการป้องกันแต่ละชั้นบังคับให้ผู้โจมตีต้องเอาชนะอุปสรรคเพิ่มขึ้นอีกหนึ่งข้อ และในทางปฏิบัติ ผู้โจมตีส่วนใหญ่จะเลือกเป้าหมายที่ง่ายกว่า แทนที่จะสิ้นเปลืองทรัพยากรกับเป้าหมายที่แข็งแกร่ง
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
ผู้อ่านส่วนใหญ่ไม่ได้เป็นรัฐมนตรีระดับสหพันธรัฐเยอรมัน แต่กลวิธีที่ใช้ในแคมเปญนี้ไม่ได้จำกัดเฉพาะเป้าหมายในรัฐบาลที่มีมูลค่าสูง การโจมตีฟิชชิงที่แอบอ้างเป็นแอปและบริการยอดนิยมเป็นหนึ่งในภัยคุกคามที่พบบ่อยที่สุดสำหรับผู้ใช้ทั่วไป และการปลอมแปลงเป็น Signal ได้รับการบันทึกไว้แล้วในหลายประเทศตลอดช่วงสองปีที่ผ่านมา
นี่คือสิ่งที่กรณีของเยอรมนีทำให้ชัดเจนสำหรับทุกคนที่ใช้ข้อความเข้ารหัสเพื่อการสื่อสารที่ละเอียดอ่อน:
รหัสยืนยันคือกุญแจสู่บัญชีของคุณ ไม่มีบริการที่ถูกต้องตามกฎหมายใด รวมถึง Signal ที่จะขอให้คุณแชร์รหัสยืนยันผ่านข้อความแชทหรืออีเมล หากมีใครขอรหัสของคุณ คำขอนั้นเป็นการฉ้อโกง โดยไม่มีข้อยกเว้น
อุปกรณ์ที่เชื่อมต่อเป็นพื้นผิวการโจมตีที่แท้จริง การตรวจสอบอุปกรณ์ที่เชื่อมต่อกับบัญชี Signal ของคุณเป็นระยะ (พบได้ในการตั้งค่าใต้หัวข้อ Linked Devices) ใช้เวลาเพียงประมาณสามสิบวินาที และสามารถเผยให้เห็นการเข้าถึงโดยไม่ได้รับอนุญาตก่อนที่ความเสียหายจะเกิดขึ้น
การยืนยันตัวตนสองชั้นเพิ่มอุปสรรคที่มีความหมาย Signal มีฟีเจอร์ Registration Lock ซึ่งกำหนดให้ต้องใช้ PIN ก่อนที่จะลงทะเบียนบัญชีของคุณบนอุปกรณ์ใหม่ การเปิดใช้งานเป็นหนึ่งในขั้นตอนที่ง่ายและมีประสิทธิภาพที่สุดที่คุณทำได้ นอกจากนี้ การใช้แอปยืนยันตัวตนแทน SMS สำหรับ 2FA ในทุกบัญชีจะเพิ่มต้นทุนในการยึดครองบัญชีให้กับผู้โจมตีอย่างมีนัยสำคัญ
ความปลอดภัยของอุปกรณ์สำคัญพอกับความปลอดภัยของแอป หากอุปกรณ์ที่รัน Signal ถูกบุกรุกด้วยมัลแวร์หรือการเข้าถึงทางกายภาพ การเข้ารหัสก็ไม่อาจให้ความคุ้มครองได้มากนัก การอัปเดตระบบปฏิบัติการอยู่เสมอ การใช้ PIN อุปกรณ์ที่แข็งแกร่งหรือระบบไบโอเมตริก และหลีกเลี่ยงแอปที่ติดตั้งจากภายนอก จะช่วยลดความเสี่ยงนี้ได้อย่างมาก
การตระหนักรู้ในระดับเครือข่ายมีความสำคัญ การเข้าถึงบัญชีที่ละเอียดอ่อนผ่านเครือข่ายสาธารณะที่ไม่น่าเชื่อถือทำให้มีความเสี่ยงเพิ่มขึ้น VPN ที่น่าเชื่อถือสามารถลดความเสี่ยงจากการดักจับการรับส่งข้อมูลเมื่อคุณไม่ได้อยู่บนเครือข่ายที่คุณควบคุม แม้ว่าจะเป็นเพียงหนึ่งชั้นในหลายชั้น ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์
ภาพรวมที่ใหญ่กว่า
การโจมตีฟิชชิงบน Signal ของเยอรมนีเป็นเครื่องเตือนใจว่าการเข้ารหัสที่แข็งแกร่งที่สุดในโลกไม่สามารถชดเชยวัฒนธรรมความตระหนักด้านความปลอดภัยที่ขาดหายไปได้ เมื่อผู้ดำเนินการที่มีความซับซ้อนจากรัฐยินดีลงทุนในแคมเปญวิศวกรรมสังคมที่อดทนและมุ่งเป้าไปยังนักนิติบัญญัติและนักการทูต ผู้ใช้ทั่วไปที่จัดการข้อมูลส่วนตัวหรือข้อมูลวิชาชีพที่ละเอียดอ่อนก็เผชิญกับภัยคุกคามในรูปแบบเดียวกัน แม้จะมีทรัพยากรน้อยกว่า
การตอบสนองที่ถูกต้องไม่ใช่ความตื่นตระหนก และไม่ใช่การละทิ้งเครื่องมืออย่าง Signal ซึ่งยังคงเป็นหนึ่งในตัวเลือกการส่งข้อความที่ปลอดภัยที่สุดที่มีอยู่ การตอบสนองคือการสร้างนิสัยและการป้องกันแบบหลายชั้นที่ทำให้วิศวกรรมสังคมยากขึ้น ตรวจสอบอุปกรณ์ที่เชื่อมต่อของคุณ เปิดใช้งาน Registration Lock ปฏิบัติต่อคำขอรหัสยืนยันที่ไม่ได้ร้องขอว่าเป็นสัญญาณเตือนภัยโดยอัตโนมัติ และมองท่าทีความปลอดภัยของคุณว่าเป็นชุดของมาตรการป้องกันที่ทับซ้อนกัน แทนที่จะให้แอปเดียวทำงานทั้งหมด
