กอ.รมน ซึ่งเป็นหน่วยงานที่ดูแลความมั่งคงภายในประเทศ ได้มีการส่ง sms เพื่อแจ้งเตือนให้ประชาชนที่มีการใช้มือถือใน 3 จังหวัดชายแดนภาคใต้ไปยืนยันตัวตนด้วยใบหน้า เพื่อช่วยป้องกันการใช้มือถือในการก่อเหตุรุนแรง แต่การส่ง sms ของกอ.รมนมีปัญหาเรื่องความปลอดภัยอยู่บ้าง เพราะฉะนั้นผมถึงเขียนโพสต์นี้ขึ้นมาเพื่อเสนอวิธีการเพิ่มมาตรการความปลอดภัยให้ดียิ่งขึ้น
เมื่อไม่กี่วันที่ผ่านมา มีเพื่อนผมคนหนึ่งได้รับข้อความมาว่า:
“กอ.รมน.ภาค4 ขอให้ผู้ใช้งานเบอร์นี้ในพื้นที่ชายแดนใต้รีบลงทะเบียนซอมด้วยระบบตรวจสอบใบหน้า (อัตลักษณ์) ภายใน 31ตค.62 เพื่อป้องกันการระงับการใช้งานในพื้นที่ นำซิม+บัตรปชช.ติดต่อตัวแทนจำหน่ายทรูมูฟเอช บ.ทีวีสลาตันจก.ในจ.ยะลา เพิ่มเติมคลิก bit.ly/tmh_rp”
พอได้คลิกเข้าไปเพื่อนผมเจอหน้าจอที่ว่างเปล่าและมีไฟล์แปลกๆโหลดมาในเครื่อง เขาก็เลยรีบโทรหาผมด้วยความเป็นห่วงเพราะเขาไม่แน่ใจว่าโดน hack หรือเปล่า ผมลองตรวจสอบแล้วไม่เจอปัญหาอะไร แต่ผมเห็นว่าการส่ง sms แบบนี้สามารถเปิดช่องโหว่และสร้างปัญหาให้คนในพื้นที่ได้ ที่ผมคิดแบบนี้ก็เพราะข้อความที่เข้ามานั้นไม่มีระบบการยืนยันว่าข้อความจากกอ.รมน.อย่างแท้จริง เปรียบเสมือนจดหมายที่ใครๆก็สามารถเปลี่ยนหน้าตาของซองได้ รูปแบบการหลอกลวงแบบนี้เรียกว่า phishing ส่วน bit.ly เป็นบริการสาธารณะที่ใครๆก็สามารถใช้ได้ ไม่ได้อยู่ภายใต้การควบคุมของหน่วยงานภาครัฐ
สิ่งที่ผมเป็นห่วงมากที่สุดคือวันหนึ่งผู้ก่อการไม่สงบสามารถใช้ sms แบบนี้ในการหลอกคนในพื้นที่เพื่อเอาซิมไปก่อเหตุอาชญากรรม ยกตัวอย่างถ้าคุณได้รับข้อความแบบนี้คุณจะทำอย่างไร: > กอ.รมน. ได้รับข้อมูลมาว่าซิมเบอร์นี้ได้ถูกใช้ในการก่อเหตุอาชญากรรม เพื่อยืนยันความบริสุทธิ์ให้ติดต่อพนักงาน กอ.รมน.ที่เบอร์โทร 0812345678 หรือเพิ่มเติมคลิก bit.ly/abc_de
พอติดต่อเข้าไป คนที่อ้างตัวว่าเป็นพนง.กอ.รมน.สามารถหลอกชาวบ้านให้ทำอะไรก็ได้ รวมถึงยื่นข้อมูลส่วนตัว เอาซิมไปสร้างสถานการณ์ หรือแม้กระทั่งให้โอนเงินเข้าบัญชี
วิธีการแก้ปัญหาที่ผมอยากเสนอมีสองวิธีด้วยกัน เรียงลำดับจากง่ายไปยาก:
ความปลอดภัยด้านไอทีไม่ได้เป็นสิ่งที่ง่าย และถ้าไม่ออกแบบดีๆการสื่อสารระหว่างรัฐกับประชาชนสามารถถูกนำไปใช้เป็นเครื่องมือโดยมิจฉาชีพได้ แต่ในขณะเดียวกันผมก็ได้สาธิตให้เห็นว่าการเพิ่มมาตรการความปลอดภัยไม่ได้เป็นสิ่งที่ยากจนเกินไปเหมือนกัน
This work is licensed under a Creative Commons Attribution 4.0 International License.