การเข้ารหัสของ Signal ไม่มีปัญหา แต่ผู้ใช้คือเป้าหมาย
Signal ได้รับการยอมรับมาอย่างยาวนานว่าเป็นมาตรฐานสูงสุดของการส่งข้อความแบบส่วนตัว การเข้ารหัสแบบ end-to-end มีความมั่นคงทางคณิตศาสตร์ โค้ดเป็นแบบ open source และโปรโตคอลได้รับความไว้วางใจจากนักวิจัยด้านความปลอดภัยทั่วโลก ดังนั้นเมื่อมีรายงานออกมาว่าแฮกเกอร์ที่เชื่อมโยงกับรัสเซียประสบความสำเร็จในการเจาะบัญชี Signal ของผู้ใช้ระดับสูง คำถามที่เกิดขึ้นตามธรรมชาติคือ: Signal ถูกแฮกหรือเปล่า?
คำตอบสั้นๆ คือ ไม่ การเข้ารหัสของ Signal ไม่ได้ถูกทำลาย สิ่งที่ถูกทำลายคือบางอย่างที่แก้ไขได้ยากกว่ามาก นั่นคือความไว้วางใจของมนุษย์
จากรายงาน ผู้โจมตีใช้แคมเปญฟิชชิงที่ซับซ้อนเพื่อหลอกให้ผู้ใช้ Signal อนุญาตการเข้าถึงบัญชีด้วยตนเอง วิธีการมักจะเป็นการส่งการแจ้งเตือนความปลอดภัยปลอมที่ดูน่าเชื่อถืออย่างยิ่ง กระตุ้นให้เป้าหมายทำการเชื่อมอุปกรณ์ใหม่เข้ากับบัญชี เมื่อเกิดเหตุการณ์นั้นขึ้น ผู้โจมตีจะได้รับสำเนาข้อความของเหยื่อแบบสดๆ ในเวลาจริง โดยไม่ต้องแตะต้องเซิร์ฟเวอร์ของ Signal หรือถอดรหัสแม้แต่บรรทัดเดียว
นี่คือความแตกต่างที่สำคัญ ตัวแอปไม่ใช่จุดอ่อน พฤติกรรมของผู้ใช้ต่างหากที่เป็นปัญหา
การโจมตีทำงานอย่างไรจริงๆ
Signal รองรับฟีเจอร์ที่ถูกกฎหมายชื่อว่า linked devices ซึ่งช่วยให้ผู้ใช้เข้าถึงบัญชีจากโทรศัพท์หรือคอมพิวเตอร์หลายเครื่องพร้อมกัน ผู้โจมตีกำลังใช้ประโยชน์จากฟีเจอร์นี้โดยการสร้าง QR code หรือลิงก์ที่เป็นอันตราย ซึ่งเมื่อสแกนหรือคลิกแล้วจะเพิ่มอุปกรณ์ของผู้โจมตีเข้าไปในบัญชีของเหยื่ออย่างเงียบๆ
ข้อความฟิชชิงถูกออกแบบมาเพื่อสร้างความเร่งด่วน อาจอ้างว่าบัญชีของผู้ใช้ถูกบุกรุก ต้องการยืนยันตัวตน หรือมีการอัปเดตความปลอดภัยที่ต้องดำเนินการทันที เป้าหมายที่มีคุณค่าสูงซึ่งอยู่ภายใต้แรงกดดันมีแนวโน้มที่จะกระทำอย่างรวดเร็วและตรวจสอบคำขออย่างละเอียดน้อยลง
เมื่อเชื่อมต่อแล้ว ผู้โจมตีไม่จำเป็นต้องถอดรหัสสิ่งใดเลย พวกเขาเพียงแค่อ่านข้อความที่เข้ามาในรูปแบบข้อความธรรมดา เช่นเดียวกับที่อุปกรณ์ที่เชื่อมต่อถูกกฎหมายใดๆ จะทำ พวกเขายังสามารถแอบอ้างเป็นเหยื่อในการสนทนาที่กำลังดำเนินอยู่ ซึ่งมีผลกระทบร้ายแรงต่อนักข่าว นักเคลื่อนไหว ทนายความ เจ้าหน้าที่รัฐบาล และทุกคนที่จัดการกับการสื่อสารที่ละเอียดอ่อน
การโจมตีรูปแบบนี้บางครั้งเรียกว่าการโจมตีวิศวกรรมสังคมหรือการยึดครองบัญชีผ่านการเข้าถึงที่ได้รับอนุญาต ไม่ต้องการช่องโหว่แบบ zero-day ไม่ต้องการการเจาะเซิร์ฟเวอร์ และไม่ต้องการความเชี่ยวชาญด้านการเข้ารหัส มีเพียงแค่ต้องการให้เป้าหมายทำผิดพลาดเพียงครั้งเดียว
ความหมายต่อคุณคืออะไร
หากคุณใช้ Signal เพราะใส่ใจเรื่องความเป็นส่วนตัว ข่าวนี้ไม่ควรทำให้คุณละทิ้งแอป Signal ยังคงเป็นหนึ่งในแพลตฟอร์มส่งข้อความที่น่าเชื่อถือที่สุดที่มีอยู่ และการเข้ารหัสพื้นฐานยังคงปกป้องข้อความจากการดักฟังระหว่างส่ง แต่สถานการณ์นี้เป็นสิ่งเตือนใจว่าการเข้ารหัสเป็นเพียงชั้นหนึ่งของท่าทีด้านความปลอดภัย ไม่ใช่ทั้งหมด
ลองคิดแบบนี้: ประตูตู้นิรภัยมีประสิทธิภาพก็ต่อเมื่อไม่มีใครมอบกุญแจให้กับผู้โจมตีที่อ้างตัวว่าเป็นช่างกุญแจ
สำหรับผู้ใช้ทั่วไป ความเสี่ยงจากแคมเปญที่เชื่อมโยงกับรัสเซียโดยเฉพาะนี้ค่อนข้างต่ำ เป้าหมายที่รายงานคือบุคคลระดับสูง มักเป็นผู้ที่เกี่ยวข้องกับงานการเมือง การทหาร หรือการสื่อสารมวลชนที่ละเอียดอ่อน แต่กลวิธีที่ใช้ไม่ได้ซับซ้อนแต่อย่างใด การโจมตีฟิชชิงโดยใช้การแจ้งเตือนความปลอดภัยปลอมนั้นพบได้ทั่วไปในทุกแพลตฟอร์ม และฟีเจอร์ linked devices ก็ไม่ได้มีเฉพาะใน Signal
ผู้ใช้ที่ใส่ใจความเป็นส่วนตัวในทุกระดับความเสี่ยงควรปฏิบัติต่อแอปส่งข้อความของตนเหมือนที่ผู้เชี่ยวชาญด้านความปลอดภัยปฏิบัติต่อระบบที่ละเอียดอ่อนใดๆ นั่นคือด้วยการป้องกันหลายชั้นและความตระหนักอย่างต่อเนื่อง
ขั้นตอนที่ปฏิบัติได้จริงเพื่อปกป้องบัญชี Signal ของคุณ
นี่คือสิ่งที่คุณสามารถทำได้ตอนนี้เพื่อลดความเสี่ยง:
ตรวจสอบอุปกรณ์ที่เชื่อมต่ออยู่เป็นประจำ เมนูการตั้งค่าของ Signal แสดงอุปกรณ์ทุกเครื่องที่เชื่อมต่อกับบัญชีของคุณในปัจจุบัน หากพบสิ่งที่ไม่คุ้นเคย ให้ลบออกทันที ทำให้การตรวจสอบนี้เป็นกิจวัตร ไม่ใช่การกระทำเพียงครั้งเดียว
ระมัดระวังอย่างยิ่งต่อการแจ้งเตือนความปลอดภัย แอปที่ถูกกฎหมายแทบจะไม่ส่งข้อความเร่งด่วนขอให้คุณสแกน QR code หรือคลิกลิงก์เพื่อยืนยันบัญชี ถือว่าคำขอดังกล่าวน่าสงสัยโดยค่าเริ่มต้น แม้จะดูเป็นทางการก็ตาม
เปิดใช้งานการล็อกการลงทะเบียนของ Signal ฟีเจอร์นี้ต้องการ PIN ก่อนที่บัญชีของคุณจะสามารถลงทะเบียนใหม่บนอุปกรณ์ใหม่ได้ มันเพิ่มอุปสรรคให้กับผู้โจมตีที่พยายามยึดครองบัญชี
ปกป้องตัวอุปกรณ์เอง การเข้ารหัสของ Signal ปกป้องข้อความระหว่างส่ง หากโทรศัพท์ของคุณถูกปลดล็อคและส่งให้กับใครบางคน หรือถูกมัลแวร์โจมตี การปกป้องนั้นก็สิ้นสุดลง รหัสผ่านอุปกรณ์ที่แข็งแกร่ง การล็อกด้วยไบโอเมตริก และการอัปเดตระบบปฏิบัติการอยู่เสมอล้วนมีความสำคัญ
พิจารณาความปลอดภัยของเครือข่ายในวงกว้าง สำหรับผู้ใช้ที่จัดการกับการสื่อสารที่ละเอียดอ่อนจริงๆ การส่งทราฟฟิกผ่าน VPN ที่น่าเชื่อถือจะเพิ่มชั้นของการไม่เปิดเผยตัวตนที่ทำให้ผู้โจมตีระบุกิจกรรมของคุณ ค้นหาตำแหน่งของคุณ หรือดำเนินการสืบค้นที่มักเกิดขึ้นก่อนการฟิชชิงแบบเจาะจงเป้าหมายได้ยากขึ้น VPN ไม่ได้แก้ปัญหาฟิชชิง แต่เป็นส่วนหนึ่งของแนวทางหลายชั้นที่ช่วยลดความเสี่ยงโดยรวม
ยืนยันผ่านช่องทางอื่น หากคุณได้รับข้อความที่น่าสงสัยแม้จากผู้ติดต่อที่รู้จัก ให้ยืนยันคำขอนั้นผ่านช่องทางที่แยกจากกันโดยสิ้นเชิง ไม่ว่าจะเป็นการโทรศัพท์ การพูดคุยแบบพบหน้า หรือแอปอื่น ก่อนที่จะดำเนินการใดๆ
บทเรียนจากการโจมตีฟิชชิง Signal เหล่านี้ไม่ใช่ว่าการส่งข้อความแบบเข้ารหัสนั้นไร้ประโยชน์ แต่คือไม่มีเครื่องมือใดเพียงชิ้นเดียวที่เป็นทางออกที่สมบูรณ์ Signal ปกป้องข้อความของคุณได้อย่างยอดเยี่ยม แต่การปกป้องบัญชีของคุณต้องการให้คุณตื่นตัวต่อวิธีที่ผู้โจมตีพยายามหลีกเลี่ยงเทคโนโลยีทั้งหมด โดยการมุ่งเป้าไปที่คุณแทน
