ส่องพฤติกรรมแฮกเกอร์กับความเปลี่ยนแปลงในตลาดมืด

ต้องยอมรับว่าธุรกิจที่เกี่ยวกับอาชญากรรมทางไซเบอร์นั้นถือเป็นหนึ่งในตัวอย่างที่ประสบความสำเร็จอย่างมากในศตวรรษที่ 21 นี้ โดยเฉพาะผู้ที่มีส่วนได้ส่วนเสีย ซึ่งมีการประมาณตัวเลขไว้ว่าจะมีมูลค่าสูงกว่า 1 พันล้านดอลลาร์ต่อปี มากกว่า GDP ของหลายประเทศเสียอีก สาเหตุหนึ่งของความสำเร็จมาจากความสามารถในการปรับตัวและเปลี่ยนรูปแบบไปตามสถานการณ์ที่เปลี่ยนแปลงไป

รายงานฉบับล่าสุดของเทรนด์ไมโครที่ชื่อว่า Shifts in the Cybercriminal Underground Markets ได้แสดงให้เห็นถึงความก้าวหน้าที่ชวนตื่นตาตื่นใจในวงการอาชญากรรมไซเบอร์ในช่วง 5 ปีที่ผ่านมา จากการวิเคราะห์เชิงลึกทั้งในเว็บบอร์ดต่างๆ, ตลาดซื้อขาย, และเว็บมืดทั่วโลก ซึ่งพบว่าผลิตภัณฑ์หลายอย่างที่เกี่ยวข้องนั้นมีราคาร่วงลงมาจนสามารถหาซื้อได้ทั่วไปแล้ว ยกตัวอย่างเช่น เมื่อปี 2015 นั้น คุณจะต้องจ่ายเงินสูงถึง 1,000 ดอลลาร์ ต่อเดือนเพื่อใช้บริการเข้ารหัส ขณะที่ปัจจุบันราคาถูกมากเพียงแค่ 20 ดอลลาร์เท่านั้น

ส่วนธุรกิจมืดบางกลุ่มอย่างบอทเน็ต IoT, การโฆษณาชวนเชื่อทางไซเบอร์, และการจารกรรมรหัสผ่านบัญชีของเกมออนไลน์นั้น กลับมีราคาสูงขึ้นตามความต้องการที่เพิ่มขึ้นอย่างรวดเร็ว อย่างไอดีล็อกอินเกม Fortnite อาจนำมาขายได้ราคาสูงถึงประมาณ 1,000 ดอลลาร์โดยเฉลี่ย เป็นต้น

ยังมีข่าวดีที่มีหน่วยงานบังคับใช้กฎหมายเข้ามามีบทบาทชัดเจน โดยเทรนด์ไมโครได้จับมือกับหน่วยงานอื่นมายาวนานไม่ว่าจะเป็นตำรวจสากล, ตำรวจยุโรป, หน่วยงานปราบปรามอาชญากรรมประจำชาติ รวมไปถึงตำรวจท้องถิ่นเพื่อให้ความช่วยเหลือในการสืบสวน เรายินดีเป็นอย่างยิ่งที่เห็นความพยายามเหล่านี้มีผลกระทบในเชิงบวก ไม่ว่าจะเป็นการแอบสืบข้อมูลและบุกทลายเว็บบอร์ดใต้ดินและตลาดมืดจำนวนมากในช่วง 5 ปีนี้ รวมทั้งข้อมูลที่นักวิจัยของเราพบว่าลูกค้าปัจจุบันต่างเผชิญกับปัญหาการโจมตีแบบ DDoS และการจารกรรมไอดีล็อกอิน

นอกจากนี้เหล่าอาชญากรไซเบอร์ยังโดนบีบให้ออกมาเคลื่อนไหวอย่างเข้มข้นกว่าเดิมมาก เพราะสูญเสียความเชื่อมั่นในกลุ่มชุมชนเว็บมืดด้วยกัน ไม่ว่าจะเป็น การขึ้นมาใช้บริการสื่อสารด้านเกมอย่าง Discord มาเป็นเครื่องมือซื้อขาย หรือแม้แต่การใช้แพลตฟอร์มอีคอมเมิร์ซอย่าง Shoppy.gg ในการขายสินค้า อีกทั้งยังมีการเปิดเว็บใหม่อย่าง DarkNet Trust เพื่อเรียกความเชื่อมั่นกลับคืนมาด้วยการบริการตรวจสอบความน่าเชื่อถือและชื่อเสียงของผู้จำหน่ายผลิตภัณฑ์บริการที่เป็นอาชญากรรมทางไซเบอร์ ด้วยวิธีวิเคราะห์ชื่อผู้ใช้และร่องรอย PGP

แล้วอนาคตจะเป็นอย่างไร?

แน่นอนว่าในโลกของอาชญากรรมไซเบอร์ใต้ดินนั้นคงไม่ได้หยุดอยู่กับที่ กลับกัน เราน่าจะได้เห็นความก้าวหน้าอย่างเครื่องมือและเทคนิคใหม่จำนวนมากเต็มไปหมดทั้งบนร้านค้าของเว็บมืด และเว็บบอร์ดใต้ดิน รวมถึงการนำเทคโนโลยี AI มาเป็นกลไกหลักของการพัฒนาเหล่านี้ เหมือนกับที่ทางเทรนด์ไมโครและบริษัทอื่นใช้ในการค้นหาการโจมตีแบบปลอมข้อมูล, มัลแวร์, และฟิชชิ่งที่ซับซ้อนนั้น AI เองก็สามารถถูกนำมาใช้กับบอทที่ออกแบบมาเพื่อทำนายรูปแบบการเลือกเว็บไซต์เพื่อโจมตีได้ด้วย ไปจนถึงการนำมาใช้กับบริการปลอมข้อมูลตัวตนอย่างแนบเนียนเพื่อให้ผู้ใช้บริการเจาะผ่านระบบยืนยันไอดีด้วยรูปถ่าย หรือใช้กับขบวนการรีดไถด้วยข้อมูลทางเพศที่ใช้เล่นงานรายบุคคลได้

มีกระแสของการโจมตีที่เติบโตอย่างต่อเนื่อง ที่แม้จะไม่ได้ใช้เทคโนโลยีสูงแต่ก็สร้างความเสียหายได้ไม่น้อย อย่างการจารกรรมข้อมูลล็อกอินของอุปกรณ์แบบสวมใส่ (Wearable) เพื่อใช้ร้องขอการเปลี่ยนอุปกรณ์ใหม่ภายใต้การรับประกัน ที่นอกจากจะปลอมข้อมูลลูกค้าให้เสียหายแล้ว ยังทำให้ผู้ผลิตมีค่าใช้จ่ายเพิ่มขึ้นอีก อย่างไรก็ตาม เราต่างพบการโจมตีเพื่อเข้าถึงอุปกรณ์, ระบบ, และบัญชีผู้ใช้อย่างแพร่หลาย จนมีให้บริการอาชญากรรมไซเบอร์ทั่วไปให้เห็นในรูปของ “as-a-Service” ซึ่งราคาของไอดีเข้าถึงบริษัทในกลุ่ม Fortune 500 นั้นอาจทำราคาได้สูงถึง 10,000 ดอลลาร์เลยทีเดียว

อันตรายที่จะเกิดหลังภาวะโรคระบาด

ขณะที่มีการระบาดหลักของ COVID-19 เราก็ได้เห็นถึงกลุ่มผู้ฉ้อโกงที่จ้องหาประโยชน์จากเงินช่วยเหลือของภาครัฐโดยใช้แอพพลิเคชั่นปลอม หรือบางครั้งก็ใช้ข้อมูลฟิชชิ่งว่ามาจากธุรกิจที่ถูกกฎหมาย หรือแม้แต่องค์กรทางการแพทย์ที่ตกเป็นเป้าของแรนซั่มแวร์เนื่องจากอยู่ภายใต้ความกดดันที่ต้องช่วยเหลือชีวิตคนไข้

แม้แต่เวลาหลังจากการระบาดผ่านพ้นไปแล้ว รูปแบบการทำงานจากระยะไกลก็น่าจะยังมีอยู่ในหลายองค์กร ซึ่งข้อเท็จจริงนี้ทำให้เหล่าอาชญากรไซเบอร์หันมาเพ่งเล็งช่องโหว่ของวีพีเอ็นเพื่อโจมตีด้วยมัลแวร์หรือ DDoS มากขึ้น รวมทั้งมีโอกาสมากกว่าเดิมในการเจาะเข้าเครือข่ายของบริษัททั้งหลายผ่านอุปกรณ์ภายในบ้านที่เชื่อมต่ออยู่ด้วย เหมือนกับสถานการณ์ในการใช้อุปกรณ์ส่วนตัวทำงานหรือ BYOD แบบสวนทาง โดยแทนที่จะนำอุปกรณ์ตัวเองมาเชื่อมต่อในที่ทำงาน กลับเป็นการนำเครือข่ายบริษัทมาเชื่อมต่อกับเครือข่ายภายในบ้านพนักงานแทน

จากความท้าทายข้างต้น ทำให้ต้องใช้ยุทธศาสตร์ด้านความปลอดภัยแบบหลายชั้นที่ครอบคลุมปัจจัยทั้ง 3 ประการ ได้แก่ ผู้คน, กระบวนการ, และเทคโนโลยี ซึ่งจำเป็นต้องมีการฝึกอบรมมากขึ้น, พนักงานที่ทำงานจากบ้านก็ต้องใช้ระบบความปลอดภัยที่แข็งแกร่งมากขึ้น, มีระบบจัดการแพทช์ที่มีประสิทธิภาพมากขึ้น รวมไปถึงความปลอดภัยของการใช้รหัสผ่าน และอื่นๆ อีกมากมาย แต่ที่สำคัญมากที่สุดก็คือ เราจำเป็นต้องศึกษาข้อมูลเชิงลึกของอาชญากรไซเบอร์ทั่วโลก และแพลตฟอร์มที่กลุ่มผู้ไม่หวังดีนี้รวมตัวอยู่ เพื่อทำนายได้ว่า อันตรายครั้งต่อไปจะมาในรูปแบบไหนในอนาคต