กรุงเทพฯ--14 ก.พ.--คอร์ แอนด์ พีค
เจมี ลินดอน “เจมซ์” เอ ยาเนซา
นักวิเคราะห์อาวุโสด้านภัยคุกคาม
เดวิด แซนโช
ผู้เชี่ยวชาญด้านป้องกันมัลแวร์
ในรอบปีที่ผ่านมาอุตสาหกรรมด้านความปลอดภัยและป้องกันไวรัสมีความเปลี่ยนแปลงไม่มากนัก แต่มีแนวโน้มว่าภัยคุกคามรูปแบบใหม่กำลังเริ่มปรากฎขึ้น ด้วยเหตุที่อินเทอร์เน็ตกลายเป็นเครื่องมือสำคัญด้านการทำตลาด, สื่อสาร และการค้าทั่วโลก แต่โชคร้ายที่มีกลุ่มคนผู้ไม่ประสงค์ดีจำนวนมากกำลังพยายามใช้อินเทอร์เน็ตแสวงหาประโยชน์เข้าตัว ไม่ว่าจะใช้เป็นช่องทางการโฆษณาสินค้าไปจนถึงการก่ออาชญากรรมขโมยหมายเลขบัญชีธนาคารของผู้บริโภค ส่งผลให้ชีวิตในโลก ไซเบอร์ดูจะอันตรายไม่น้อย และไม่แปลกที่จะมีบางคนเรียกโลกแห่งนี้เป็น "บ้านป่าเมืองเถื่อน" หรือ wild wild west แห่งสุดท้าย
ก่อนหน้านี้ บริษัท เทรนด์ ไมโครได้คาดการณ์แล้วว่า ภัยคุกคามของปี 2548 จะมาในรูปผสมผสานของมัลแวร์หลากชนิด เห็นได้จากการแพร่ระบาดของ WORM_BAGLE.BE สแปมโทรจันที่เกิดขึ้นในเดือนมีนาคม 2548 หรือจะเป็นการเพิ่มจำนวนของมัลแวร์ในตระกูล AGOBOT เมื่อเดือนมกราคม และตระกูล MYTOB ที่มีชื่อเสียงโด่งดังไปทั่วโลกในที่ผ่านมา โดยตรวจพบครั้งแรกเมื่อเดือนกุมภาพันธ์ และยังคงแตกสายพันธุ์มากมายต่อเนื่องมาจนถึงเดือนธันวาคม นอกจากนี้ยังมีการโจมตีผู้ใช้ในรูปของไฟล์ WMF (Windows Meta File) ที่ตรวจพบเมื่อปลายเดือนที่ผ่านมา
ด้านภัยคุกคามที่เกี่ยวกับโปรแกรม IRC และ P2P ก็มีจำนวนมากขึ้นถึง 16% ส่วนสแปมและ ฟิชชิ่ง ก็ยังคงเป็นปัญหาใหญ่ที่ผู้ใช้ทั้งองค์กรและผู้ใช้ตามบ้านต้องเผชิญในรอบปีที่ผ่านมา ที่สำคัญ สแปมไม่ได้มาในรูปของภาษาอังกฤษอีกต่อไป มีหลากหลายภาษาทยอยออกมาโจมตีผู้ใช้ตามภูมิภาคมากขึ้นเรื่อยๆ หรือจะเป็นการขโมยรหัสผ่าน และหนอนบ็อตที่ออกอาละวาด ขณะที่สปายแวร์และแอดแวร์ก็ยังคงซุกซ่อนตัวเองอยู่หลังหน้าเว็บต้องสงสัยทั่วไปบนโลกอินเทอร์เน็ต
รายงานฉบับนี้ไม่เพียงวิเคราะห์ภาวะภัยคุกคามคอมพิวเตอร์และเครือข่ายที่เกิดขึ้นในปี 2548 เท่านั้น แต่ยังทำนายสิ่งที่จะเกิดขึ้นในปี 2549 และปีต่อๆ ไปด้วย รายงานสรุปของเทรนด์ ไมโครชิ้นนี้ จึงสามารถใช้เป็นแนวทางที่จะบอกให้ผู้ใช้ตามบ้านและผู้ใช้องค์กรรู้ว่า จะต้องรับมือกับภัยร้ายหลากรูปแบบในอนาคตได้อย่างไร
2548: ปีแห่งเกรย์แวร์?
ปี 2548 กลายเป็น “ปีแห่งเกรย์แวร์” ไปโดยปริยายเนื่องจากครองสัดส่วนของภัยคุกคาม 15 อันดับแรกสูงสุดถึง 65% ซึ่งมีรายงานแจ้งความเสียหายมากถึง 11 ล้านฉบับ นอกจากนี้ ยังมีภัยคุกคามจากสปายแวร์, แอดแวร์, แบ็คดอร์, รูทคิต, และบ็อตอีกด้วย
การประกาศเตือนภัยมัลแวร์ในช่วงปี 2548 พบว่า WORM_MYTOB มีการแพร่ระบาดมากถึง 26% ความสามารถของมันเป็นผลมาจากการได้รับเชื้อมาจาก WORM_MYDOOM ที่แพร่ระบาดคอมพิวเตอร์ทั่วโลกเมื่อปี 2547
ขณะที่ WORM_SOBER ก็มีแพร่ระบาดไปไม่น้อยครองสัดส่วนที่ 16% และเนื่องจากถูกออกแบบเนื้อหาให้คล้ายกับสแปม นั่นคือมีแพร่ระบาดถึง 2 ภาษา ได้แก่ อังกฤษ และเยอรมัน โดยใช้มหกรรมการแข่งขันฟุตบอลโลก ซึ่งจัดขึ้นที่เยอรมนีมาแอบอ้าง ทำให้สามารถลวงผู้ใช้ออนไลน์ได้สำเร็จ
ส่วนการใช้เครือข่ายข้อมูลร่วมกันก็ไม่ปลอดภัยนัก โดยเฉพาะแอพพลิเคชั่น P2P ที่เป็นที่นิยมแพร่หลาย ทำให้ WORM_BAGLE ใช้เป็นช่องทางในการแพร่ระบาด และมีรายงานความเสียหายมากถึง 11%
ตารางข้างต้นแสดงภาพรวมของเทคนิคมัลแวร์ที่ถูกใช้อย่างแพร่หลายในรอบปี 2548 โดยเทรนด์ ไมโครสามารถตรวจจับชิ้นส่วนย่อยใหม่ๆ ของมัลแวร์ตลอดทั้งปีได้มากกว่า 9,000 ชิ้น และการโจมตีเครือข่ายที่ใช้งานพื้นที่จัดเก็บไฟล์ หรือโปรแกรมร่วมกันยังคงครองแชมป์ที่มัลแวร์พุ่งเป้าโจมตีสูงสุดด้วยสัดส่วน 37% ส่วนการใช้ช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ ครองอันดับสองด้วยจำนวน 19%
ปล่อยหนอนผ่านไอเอ็ม
ในช่วงสามปีที่ผ่านมา นักวิจัยของเทรนด์ ไมโคร ได้เตือนผู้ใช้ออนไลน์มาโดยตลอดว่า ไวรัสร้ายที่ใช้ช่องทางผ่านทางโปรแกรมสนทนาออนไลน์ หรือไอเอ็ม กำลังเพิ่มจำนวนขึ้น โดยในไตรมาสแรกของปี 2548 มีการตรวจจับพบหนอน KELVIR, FATSO และ BROPIA ที่ออกมาอาละวาดแพร่ระบาดผ่านทางโปรแกรมเอ็มเอสเอ็น แมสเซ็นเจอร์
การเติบโตของมัลแวร์รุ่นใหม่ที่ใช้โปรแกรมไอเอ็มเป็นตัวส่งผ่านไวรัสกำลังทวีจำนวนมากขึ้น จะเห็นได้ว่าจากที่พบเพียง 4 ตัวในเดือนมกราคม กลับเพิ่มจำนวนกว่า 10 เท่าในเดือนธันวาคม
โทรจันดาหน้าโจมตีไม่ยั้ง
แม้ว่าบรรดาผู้ค้าผลิตภัณฑ์ด้านรักษาความปลอดภัยเครือข่าย จะแนะนำให้องค์กรและผู้ใช้ติดตั้งระบบตรวจสอบและกรองอีเมล์ ร้ายที่แฝงตัวมา แต่ผู้เขียนมัลแวร์ก็เอาคืนด้วยการเขียนมัลแวร์ด้วยเทคนิคที่ซับซ้อนยิ่งขึ้น ไม่ว่าจะเป็นการใช้ลิงค์ยูอาร์แอลลวงตา หรือหลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมที่แฝงโทรจันไปติดตั้งไว้ในเครื่องอย่างง่ายดาย เทคนิคที่ใช้ไม่ได้ยึดติดว่าต้องมาพร้อมกับอีเมล์ เท่านั้น แต่สามารถผ่านการดาวน์โหลดไฟล์ทั่วไปบนโลกอินเทอร์เน็ต โดยผู้ใช้ไม่รู้ตัวว่าไฟล์ร้ายถูกฝังลงในเครื่องแล้ว และในปี 2548 เทรนด์ ไมโครตรวจพบมัลแวร์มากถึง 56 ชนิดที่ใช้เทคนิคดังกล่าว และคาดว่าเทคนิคนี้จะได้รับความนิยมเพิ่มมากขึ้นไปอีก
ภาษาไม่ใช่ปัญหา
ยอดผู้ใช้อินเทอร์เน็ตหน้าใหม่มีจำนวนเพิ่มขึ้นเรื่อยๆ ส่งผลให้ผู้เขียนมัลแวร์พยายามพัฒนาเทคนิคใหม่จูงใจให้ผู้ใช้เชื่อถือและไว้ใจจนเผลอไปเปิดอีเมล์ ที่แนบมัลแวร์มาด้วย และเจ้า SOBER ก็ทำได้สำเร็จในรอบปีที่ผ่านมา ด้วยการใช้ภาษาทั้งภาษาเยอรมันส่งตรงถึงผู้ใช้ชาวเยอรมัน และภาษาอังกฤษสำหรับผู้ใช้ทั่วๆ ไป
เทคนิควิศวกรรมทางสังคม
ในเดือนพฤษภาคม SOBER.S ประสบความสำเร็จในการใช้เทคนิควิศวกรรมด้านสังคม โดยมาในรูปของการสัญญาว่าจะให้ตั๋วฟรีสำหรับการเข้าชมมหกรรมการแข่งขันฟุตบอลโลกที่เยอรมนี ทำให้มีผู้คนจำนวนไม่น้อยหลงเชื่อและติดมัลแวร์โดยไม่ทันเฉลียวใจ เทรนด์ ไมโครพบว่ามีความพยายามใช้กระแสข่าวที่โด่งดังและเรื่องการเมืองมาประกอบกับเทคนิคนี้ ด้วยการส่งอีเมล์ แจ้งข่าวและซ่อนมัลแวร์ไว้ภายใน อาทิ WORM_BOBAX.P ที่แพร่ระบาดในเดือนมิถุนายน ซึ่งใช้กลลวงของข่าวซัดดัม ฮุสเซน และโอซามะ บินลาเดน ว่าถูกจับแล้ว หรือแม้แต่ข่าวคลื่นยักษ์สึนามิ ก็ติดอันดับข่าวยอดนิยมที่สแปมนิยมนำไปใช้เรียกความสนใจ และกำลังกลายเป็นโมเดลที่ภัยคุกคามทั้งหลายจะนำไปใช้ด้วย
ภาษาอังกฤษยังคงครองความนิยมด้วยสัดส่วน 40% ของสแปมทั้งหมดที่ส่งผ่านทางอินเทอร์เน็ต แต่ภาษาอื่นๆ ในแวดวงสแปมก็กำลังเพิ่มจำนวนขึ้นถึง 20% สิ่งนี้แสดงให้เห็นว่า สแปมกำลังเข้าโจมตีผู้ใช้ในระดับท้องถิ่นมากขึ้นแล้วเช่นเดียวกับปีก่อนๆ สแปมยังคงเป็นปัญหาสำคัญในปี 2548 อย่างไรก็ตาม มีการเปลี่ยนแปลงด้านเนื้อหาไม่น้อยใน ปีที่ผ่านมา จะเห็นได้ว่าสแปมด้านการค้าการขายลดลงเกือบ 50% ขณะที่สแปมด้านการศึกษาเพิ่มขึ้น 100% สแปมด้านการเงินและสุขภาพลดลงจากปีก่อนหน้านี้เช่นกัน โดยด้านสุขภาพลดลงมากถึง 70% ส่วนสแปมด้านการพนันและเกมเดิมพันต่างๆ มีจำนวนเพิ่มถึง 22% จาก ปี 2547 ที่มีเพียง 1% เท่านั้น ส่วนสแปมเกี่ยวกับภาพลามกอนาจารก็เพิ่มขึ้นเป็น 21% เทียบกับปีก่อนที่มีเพียง 6%
วิธีการลวงด้วยแอดเดรสบาร์ ครองอันดับหนึ่งด้วยจำนวน 81% ซึ่งฟิชชิ่ง รูปแบบนี้จะเลือกจู่โจมผู้ใช้เบราเซอร์อินเทอร์เน็ตเอ็กซ์พลอเรอร์ หรือไออี ที่มีจำนวนมากเกือบ 90% ของผู้ใช้ที่ติดตั้งระบบปฎบัติการวินโดว์สไว้ในคอมพิวเตอร์ ทั้งนี้ วินโดว์สถือเป็นระบบปฏิบัติการยอดนิยมที่มีผู้ใช้มากถึง 95% ของจำนวนคอมพิวเตอร์ตั้งโต๊ะทั่วโลก ขณะที่การลวงด้วย ยูอาร์แอลลดลงเหลือ 13 % ในช่วงปลายปีที่ผ่านมาเมื่อเทียบกับต้นปีที่มีจำนวนมากถึง 76 %
รูทคิตไม่ใช่สิ่งใหม่ เป็นชุดโปรแกรมที่บรรดาแฮคเกอร์จะแอบทิ้งไว้ในเครื่องหลังจากจู่โจมได้สำเร็จแล้ว เพื่อใช้เป็นเครื่องมือในการหาประโยชน์ใส่ตัวในภายหลัง โปรแกรมประเภทรูทคิตจะพยายามหลบซ่อนตัวเองให้หลุดรอดจากตรวจจับของเจ้าของระบบ ทำให้สามารถฝังรากแน่นอยู่ในระบบชนิดยากจะพบเจอ อย่างไรก็ตามแม้ว่าในรอบปีที่ผ่านมารูทคิตอาจมีไม่มากนัก แต่เทรนด์ ไมโคร คาดว่าแนวโน้มของภัยคุกคามรูปแบบนี้จะยังคงเกิดขึ้นต่อเนื่องไปจนถึงปี 2549
หนอนมือถือตัวแรกถูกค้นพบในเดือนสิงหาคม 2547 ใช้ชื่อว่า SYMBOS_CABIR แพร่ระบาดตัวเองไปยังมือถือเครื่องอื่นๆ ที่ใช้ระบบปฎิบัติการซิมเบียน 60 ผ่านทางเทคโนโลยีบลูทูธ ซึ่งผู้ใช้งานในเครือข่ายจีเอสเอ็มกว่า 80 % ล้วนประสบพบเจอกับหนอนร้ายตัวนี้มาแล้ว หลังจากหนอนมือถือตัวแรกแพร่ระบาด เทรนด์ ไมโครก็ได้คอยบันทึกจำนวนภัยร้ายทางมือถือนี้ตลอดมา และพบว่ากำลังทวีจำนวนเพิ่มมากขึ้น และยังมีความสามารถในการใช้เทคโนโลยีมือถืออื่นๆ มาเป็นตัวกลางในการแพร่ระบาดด้วย ไม่ว่าจะเป็น เอ็มเอ็มเอส และคุณสมบัติด้านการท่องอินเทอร์เน็ต และการดาวน์โหลดไฟล์แนบท้ายอีเมล์ เป็นต้น
อย่างไรก็ตามเทคโนโลยีมือถือใหม่ๆ โดยเฉพาะช่องสัญญาณส่งผ่านข้อมูลที่เพิ่มขึ้นในการเชื่อมต่ออินเทอร์เน็ต เช่น ไว-ไฟ, เอจ/จีพีอาร์เอส, 3จี/ยูเอ็มทีเอส และแม้แต่ไวแมกซ์ที่กำลังจะเกิดขึ้น ก็เป็นเป้าหมายที่ต้องคอยระมัดระวังเช่นกัน
แนวโน้มภัยคุกคามปี ? 2549
เทรนด์ ไมโครคาดว่าสิ่งที่พบเจอในรอบปีที่ผ่านมาจะยังคงเกิดขึ้นต่อเนื่องในปี 2549:
- สปาย-ฟิชชิ่ง จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง
- บ็อตส์ จะใช้รูทคิตส์ในการเพิ่มความสามารถให้กับตัวเอง
- สเปียร์-ฟิชชิ่ง (Spear-phishing) จะสร้างความกังวลใจให้กับองค์กรธุรกิจต่างๆ ไม่น้อย
- สแปมจะมาในรูปภาษาท้องถิ่นมากขึ้น
- มัลแวร์จะมาในรูปของการเข้ารหัสและแบ่งย่อยตัวเองมากขึ้น เพื่อหลบเลี่ยงการตรวจจับ
- โปรแกรมสนทนาออนไลน์ อย่าง IRC, IM, และ P2P จะยังคงเป็นช่องทางแพร่ไวรัสอยู่
- ช่องโหว่ของระบบปฎิบัติการวินโดว์สยังคงเป็นเป้าหมายไม่หยุดหย่อน
- เกรย์แวร์และมัลแวร์เริ่มแยกกันไม่ออก แต่ก็ส่งผลดีต่อผู้ค้าผลิตภัณฑ์รักษาความปลอดภัยที่จะสามารถกำจัดภัยร้ายนี้ได้ง่ายขึ้น
- บ็อตส์และบ็อตเน็ตส์เพิ่มจำนวนขึ้น
- แอดแวร์และสปายแวร์ยังคงแพร่ระบาดอยู่
ข้อแนะนำสำหรับผู้ใช้รับมือมัลแวร์ปี 2549
สำหรับผู้ใช้องค์กร:
- หมั่นใช้ระบบสแกนหาไวรัสทางอินเทอร์เน็ต ให้เหมือนกับระบบสแกนอีเมล์ ที่ใช้กันมานานแล้ว
- ปิดกั้นการเข้าถึงเครือข่ายองค์กรของโปรโตคอลที่ไม่จำเป็น โดยเฉพาะโปรแกรมสนทนาออนไลน์ทั้งหลาย
- ใช้ซอฟต์แวร์สแกนช่องโหว่ในเครือข่าย
- อย่าให้สิทธิพิเศษแก่ผู้ใช้งานในองค์กร จำกัดสิทธิการใช้งานเป็นนโยบายออกมาเลย
- ใช้ระบบสแกนสปายแวร์องค์กร
- ให้ความรู้กับผู้ใช้ และกำนดนโยบายการใช้งานเครือข่ายองค์กรอย่างเข้มงวด
สำหรับผู้ใช้ตามบ้าน:
- ระวังเว็บไซต์ ที่มีข้อแม้ให้คุณต้องติดตั้งซอฟต์แวร์ลงในคอมพิวเตอร์ และอย่าติดตั้งซอฟต์แวร์ใหม่จากเว็บไซต์ แปลกหน้านอกจากคุณจะมั่นใจว่าเว็บไซต์ หรือเจ้าของซอฟต์แวร์นั้นน่าเชื่อถือจริง
- สแกนโปรแกรมที่ดาวน์โหลดทางอินเทอร์เน็ตด้วยซอฟต์แวร์ป้องกันสปายแวร์และไวรัสที่ไดรับการอัพเดทแล้ว ไม่ว่าจะดาวน์โหลดจากเครือข่าย P2P ผ่านเว็บไซต์ หรือแหล่งอื่นใดก็ตาม
- ระวังอีเมล์ หน้าตาแปลกๆ อย่าเปิดไฟล์แนบท้าย หรือคลิกลิงค์ที่มาพร้อมกับอีเมล์ ไม่น่าไว้ใจ
- ตั้งค่า “Automatic Update” ในระบบปฎิบัติการวินโดว์สของคุณไว้ และอัพเดทใหม่ทันทีที่มีการประกาศให้เข้าไปอัพเดท
- ต้องใช้บริการสแกนไวรัสแบบเรียลไทม์ เพื่อช่วยให้การท่องโลกออนไลน์ปลอดภัยไร้กังวล
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 02-439-4600 ต่อ 8300
srisuput@corepeak.com--จบ--