ความเป็นส่วนตัว

การโจมตีด้วยสปายแวร์บน WhatsApp เผยให้เห็นข้อจำกัดด้านความปลอดภัยของแอปพลิเคชัน

2 เมษายน 2569อ่าน 4 นาที

บริษัทเฝ้าระวังของอิตาลีใช้แอป WhatsApp ปลอมเพื่อติดตั้งสปายแวร์

WhatsApp เปิดเผยว่าบริษัทเฝ้าระวังสัญชาติอิตาลีชื่อ ASIGINT ซึ่งเป็นบริษัทในเครือของบริษัทที่ชื่อ SIO ได้หลอกลวงผู้ใช้งานประมาณ 200 รายให้ดาวน์โหลดแอปพลิเคชันส่งข้อความเวอร์ชันปลอมที่บรรจุสปายแวร์เอาไว้ เหยื่อส่วนใหญ่อยู่ในอิตาลี และแคมเปญดังกล่าวถูกอธิบายว่ามีการกำหนดเป้าหมายอย่างแม่นยำ โดยอาศัยวิศวกรรมสังคม (Social Engineering) แทนการใช้ประโยชน์จากช่องโหว่ทางเทคนิคของ WhatsApp เอง

เมื่อ WhatsApp ระบุบัญชีที่ได้รับผลกระทบได้แล้ว บริษัทได้ล็อกเอาต์ผู้ใช้งานเหล่านั้นออกจากแพลตฟอร์มและ촉เร่งเร้าให้พวกเขาค้นหาและลบแอปพลิเคชันปลอมออกจากอุปกรณ์ของตน SIO ได้แถลงต่อสาธารณะว่าทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรอง แม้ว่าการเปิดเผยข้อมูลของ WhatsApp จะไม่ได้ยืนยันหรือรับรองข้อกล่าวอ้างดังกล่าว

นี่เป็นครั้งที่สองในรอบ 15 เดือนที่ Meta บริษัทแม่ของ WhatsApp ออกมาพูดถึงกิจกรรมสปายแวร์ที่เชื่อมโยงกับอิตาลีอย่างเปิดเผย รูปแบบดังกล่าวบ่งชี้ถึงความสนใจที่เพิ่มขึ้นในเครื่องมือเฝ้าระวังเชิงพาณิชย์ที่ดำเนินงานในภูมิภาคนี้

วิศวกรรมสังคมที่แท้จริงมีหน้าตาอย่างไร

คำว่า "วิศวกรรมสังคม" มักถูกมองว่าเป็นศัพท์เฉพาะทางเทคนิค แต่แนวคิดนั้นเข้าใจได้ไม่ยาก แทนที่จะบุกรุกเข้าระบบโดยตรง ผู้โจมตีจะหลอกล่อให้คนเปิดทางให้พวกเขาเข้ามาแทน

ในกรณีนี้ เหยื่อถูกหลอกให้ดาวน์โหลดแอปที่ดูเหมือน WhatsApp แต่ไม่ใช่ของจริง การหลอกลวงดังกล่าวน่าจะเกี่ยวข้องกับการผสมผสานระหว่างลิงก์ดาวน์โหลดปลอม คำแนะนำที่ทำให้เข้าใจผิด หรือการแอบอ้างเป็นแหล่งที่น่าเชื่อถือ ไม่จำเป็นต้องมีช่องโหว่ใดๆ ในโค้ดของ WhatsApp เอง การโจมตีสำเร็จได้เพราะผู้คนเชื่อในสิ่งที่ถูกนำเสนอต่อหน้าพวกเขา

นี่เป็นความแตกต่างที่สำคัญ เมื่อบริษัทแก้ไขข้อบกพร่องในซอฟต์แวร์ ก็เท่ากับกำจัดจุดเข้าถึงทางเทคนิคออกไป แต่การโจมตีด้วยวิศวกรรมสังคมไม่ได้อาศัยข้อบกพร่องเหล่านั้น มันอาศัยพฤติกรรมมนุษย์ โดยเฉพาะแนวโน้มที่จะเชื่อใจอินเทอร์เฟซที่ดูคุ้นเคยและปฏิบัติตามคำแนะนำจากแหล่งที่ดูเหมือนมีอำนาจ

ไม่มีการอัปเดตแอปใดๆ ไม่ว่าจะละเอียดรอบคอบเพียงใด ที่สามารถปิดช่องว่างนั้นได้อย่างสมบูรณ์

ปัญหาที่เกิดขึ้นซ้ำๆ กับสปายแวร์เชิงพาณิชย์

เครื่องมือเฝ้าระวังเชิงพาณิชย์ที่ขายให้แก่รัฐบาลและหน่วยงานบังคับใช้กฎหมายเป็นประเด็นที่นักวิจัยด้านความเป็นส่วนตัวและองค์กรด้านเสรีภาพพลเมืองให้ความสนใจอย่างต่อเนื่อง บริษัทที่พัฒนาเครื่องมือเหล่านี้มักอ้างว่าใช้เพื่อวัตถุประสงค์ในการสืบสวนที่ถูกต้องตามกฎหมาย แต่นักวิจารณ์ชี้ให้เห็นว่าเครื่องมือเดียวกันนั้นอาจถูกนำไปใช้ และก็เคยถูกใช้แล้ว กับนักข่าว นักกิจกรรม ทนายความ และประชาชนทั่วไปที่ไม่มีความเกี่ยวข้องกับกิจกรรมทางอาญาใดๆ

ASIGINT และ SIO เข้าข่ายโปรไฟล์ที่คุ้นเคยในแวดวงนี้ การมีอยู่ของแอป WhatsApp ปลอมที่ออกแบบมาเพื่อแอบส่งสปายแวร์นั้นก่อให้เกิดคำถามเกี่ยวกับการกำกับดูแล เกณฑ์การกำหนดเป้าหมาย และกรอบกฎหมายใดๆ หากมี ที่ควบคุมแคมเปญนี้โดยเฉพาะ การเปิดเผยข้อมูลของ WhatsApp ไม่ได้ตอบคำถามเหล่านั้น แต่การที่แพลตฟอร์มขนาดใหญ่รู้สึกจำเป็นต้องเปิดเผยชื่อบริษัทต่อสาธารณะและเตือนผู้ใช้ที่ได้รับผลกระทบนั้นเป็นเรื่องที่น่าสังเกต

สำหรับผู้คนราว 200 รายที่ตกอยู่ในแคมเปญนี้ ประสบการณ์ดังกล่าวเตือนใจอย่างชัดเจนว่าภัยคุกคามนั้นไม่ได้มาจากข้อบกพร่องในแอปที่พวกเขาเลือกใช้ แต่มาจากการถูกหลอกให้ใช้แอปอื่นที่แตกต่างกันโดยสิ้นเชิง

สิ่งที่ควรนำมาปรับใช้สำหรับคุณ

ผู้ใช้ WhatsApp ทั่วไปไม่น่าจะตกเป็นเป้าหมายของปฏิบัติการเฝ้าระวังเชิงพาณิชย์ แคมเปญเหล่านี้มักมีค่าใช้จ่ายสูง ต้องใช้แรงงานมาก และมุ่งเน้นไปที่บุคคลเฉพาะเจาะจง แต่วิธีการพื้นฐาน นั่นคือการหลอกให้ใครสักคนติดตั้งแอปที่เป็นอันตรายโดยทำให้ดูเหมือนถูกต้องตามกฎหมาย ไม่ได้จำกัดอยู่แค่การเฝ้าระวังในระดับรัฐชาติ รูปแบบของกลวิธีนี้ปรากฏอยู่ในแคมเปญฟิชชิ่งและกลโกงทุจริตในชีวิตประจำวันทั่วโลก

กรณี WhatsApp เป็นการเตือนที่มีประโยชน์ว่าความปลอดภัยดิจิทัลไม่ใช่แค่เรื่องของการเชื่อใจแอปที่ถูกต้อง แต่ยังต้องใส่ใจว่าแอปเหล่านั้นมาจากไหนด้วย

ต่อไปนี้คือขั้นตอนปฏิบัติที่ควรพิจารณา:

ดาวน์โหลดแอปจากแหล่งทางการเท่านั้น บนระบบ Android หมายถึง Google Play Store และบน iOS หมายถึง App Store หลีกเลี่ยงการติดตั้งแอปจากลิงก์ที่ส่งมาทางข้อความ แม้แต่จากคนที่คุณรู้จัก
ตรวจสอบก่อนติดตั้ง หากมีคนส่งลิงก์ดาวน์โหลดแอปให้คุณ ให้ตรวจสอบเว็บไซต์ทางการของแอปนั้นโดยตรงแทนที่จะคลิกตามลิงก์
เปิดใช้งานฟีเจอร์ความปลอดภัยของอุปกรณ์ไว้เสมอ ระบบปฏิบัติการสมัยใหม่ส่วนใหญ่จะแจ้งเตือนเกี่ยวกับแอปจากแหล่งที่ไม่ได้รับการยืนยัน ให้ใส่ใจกับคำเตือนเหล่านั้น
ระวังความรู้สึกเร่งด่วน การโจมตีด้วยวิศวกรรมสังคมมักสร้างความรู้สึกเร่งด่วนเพื่อขัดขวางการคิดอย่างรอบคอบ หากคำแนะนำใดรู้สึกกดดัน ให้ชะลอและใคร่ครวญดูก่อน
ตอบสนองต่อคำเตือนจากผู้ให้บริการแอป WhatsApp ได้ติดต่อผู้ใช้ที่ได้รับผลกระทบอย่างจริงจัง หากบริการที่คุณใช้ติดต่อคุณเกี่ยวกับปัญหาด้านความปลอดภัย ให้รับเรื่องนั้นอย่างจริงจังและปฏิบัติตามคำแนะนำของพวกเขา

บทเรียนที่กว้างขึ้นจากเหตุการณ์นี้คือความปลอดภัยไม่ใช่สิ่งที่แอปพลิเคชันตัวใดตัวหนึ่งจะสามารถมอบให้คุณได้อย่างสมบูรณ์ การอยู่อย่างปลอดภัยต้องอาศัยนิสัยและพฤติกรรม ไม่ใช่แค่เครื่องมือ การรู้ว่าซอฟต์แวร์ของคุณมาจากไหน และการมีความสงสัยเมื่อบางอย่างรู้สึกไม่ถูกต้อง ยังคงเป็นหนึ่งในการป้องกันที่มีประสิทธิภาพสูงสุดที่ผู้ใช้ทุกคนสามารถมีได้

// คำถามที่พบบ่อย

ใครเป็นผู้รับผิดชอบต่อการโจมตีด้วยสปายแวร์ผ่าน WhatsApp ปลอม

บริษัทเฝ้าระวังสัญชาติอิตาลีชื่อ ASIGINT ซึ่งเป็นบริษัทในเครือของบริษัทที่ชื่อ SIO เป็นผู้รับผิดชอบในการติดตั้งสปายแวร์ผ่านแอป WhatsApp ปลอม

มีผู้ใช้งานได้รับผลกระทบจากแอป WhatsApp ปลอมกี่คน

มีผู้ใช้งานได้รับผลกระทบประมาณ 200 ราย ส่วนใหญ่อยู่ในอิตาลี ในแคมเปญที่ถูกอธิบายว่ามีการกำหนดเป้าหมายอย่างแม่นยำ

การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ในโค้ดของ WhatsApp หรือไม่

ไม่ การโจมตีนี้ไม่ได้อาศัยข้อบกพร่องทางเทคนิคใดๆ ใน WhatsApp เอง แต่ใช้วิศวกรรมสังคมเพื่อหลอกลวงให้ผู้คนดาวน์โหลดแอปปลอมแทน

WhatsApp ดำเนินการอย่างไรหลังจากระบุบัญชีที่ได้รับผลกระทบได้

WhatsApp ล็อกเอาต์ผู้ใช้ที่ได้รับผลกระทบออกจากแพลตฟอร์มและเร่งเร้าให้พวกเขาค้นหาและลบแอปพลิเคชันปลอมออกจากอุปกรณ์ของตน

นี่เป็นครั้งแรกที่ Meta ต้องรับมือกับกิจกรรมสปายแวร์ที่เชื่อมโยงกับอิตาลีหรือไม่

ไม่ นี่เป็นครั้งที่สองในรอบ 15 เดือนที่ Meta ออกมาพูดถึงกิจกรรมสปายแวร์ที่เชื่อมโยงกับอิตาลีอย่างเปิดเผย

บริษัทเฝ้าระวังของอิตาลีใช้แอป WhatsApp ปลอมเพื่อติดตั้งสปายแวร์

วิศวกรรมสังคมที่แท้จริงมีหน้าตาอย่างไร

ปัญหาที่เกิดขึ้นซ้ำๆ กับสปายแวร์เชิงพาณิชย์

สิ่งที่ควรนำมาปรับใช้สำหรับคุณ

// คำถามที่พบบ่อย

// ที่เกี่ยวข้อง