วิธีการเพิ่มความปลอดภัยให้ SMS จาก กอ.รมน (และองค์กรอื่นๆ)

กอ.รมน ซึ่งเป็นหน่วยงานที่ดูแลความมั่งคงภายในประเทศ ได้มีการส่ง sms เพื่อแจ้งเตือนให้ประชาชนที่มีการใช้มือถือใน 3 จังหวัดชายแดนภาคใต้ไปยืนยันตัวตนด้วยใบหน้า เพื่อช่วยป้องกันการใช้มือถือในการก่อเหตุรุนแรง แต่การส่ง sms ของกอ.รมนมีปัญหาเรื่องความปลอดภัยอยู่บ้าง เพราะฉะนั้นผมถึงเขียนโพสต์นี้ขึ้นมาเพื่อเสนอวิธีการเพิ่มมาตรการความปลอดภัยให้ดียิ่งขึ้น

เมื่อไม่กี่วันที่ผ่านมา มีเพื่อนผมคนหนึ่งได้รับข้อความมาว่า:

“กอ.รมน.ภาค4 ขอให้ผู้ใช้งานเบอร์นี้ในพื้นที่ชายแดนใต้รีบลงทะเบียนซอมด้วยระบบตรวจสอบใบหน้า (อัตลักษณ์) ภายใน 31ตค.62 เพื่อป้องกันการระงับการใช้งานในพื้นที่ นำซิม+บัตรปชช.ติดต่อตัวแทนจำหน่ายทรูมูฟเอช บ.ทีวีสลาตันจก.ในจ.ยะลา เพิ่มเติมคลิก bit.ly/tmh_rp”

พอได้คลิกเข้าไปเพื่อนผมเจอหน้าจอที่ว่างเปล่าและมีไฟล์แปลกๆโหลดมาในเครื่อง เขาก็เลยรีบโทรหาผมด้วยความเป็นห่วงเพราะเขาไม่แน่ใจว่าโดน hack หรือเปล่า ผมลองตรวจสอบแล้วไม่เจอปัญหาอะไร แต่ผมเห็นว่าการส่ง sms แบบนี้สามารถเปิดช่องโหว่และสร้างปัญหาให้คนในพื้นที่ได้ ที่ผมคิดแบบนี้ก็เพราะข้อความที่เข้ามานั้นไม่มีระบบการยืนยันว่าข้อความจากกอ.รมน.อย่างแท้จริง เปรียบเสมือนจดหมายที่ใครๆก็สามารถเปลี่ยนหน้าตาของซองได้ รูปแบบการหลอกลวงแบบนี้เรียกว่า phishing ส่วน bit.ly เป็นบริการสาธารณะที่ใครๆก็สามารถใช้ได้ ไม่ได้อยู่ภายใต้การควบคุมของหน่วยงานภาครัฐ

สิ่งที่ผมเป็นห่วงมากที่สุดคือวันหนึ่งผู้ก่อการไม่สงบสามารถใช้ sms แบบนี้ในการหลอกคนในพื้นที่เพื่อเอาซิมไปก่อเหตุอาชญากรรม ยกตัวอย่างถ้าคุณได้รับข้อความแบบนี้คุณจะทำอย่างไร: > กอ.รมน. ได้รับข้อมูลมาว่าซิมเบอร์นี้ได้ถูกใช้ในการก่อเหตุอาชญากรรม เพื่อยืนยันความบริสุทธิ์ให้ติดต่อพนักงาน กอ.รมน.ที่เบอร์โทร 0812345678 หรือเพิ่มเติมคลิก bit.ly/abc_de

พอติดต่อเข้าไป คนที่อ้างตัวว่าเป็นพนง.กอ.รมน.สามารถหลอกชาวบ้านให้ทำอะไรก็ได้ รวมถึงยื่นข้อมูลส่วนตัว เอาซิมไปสร้างสถานการณ์ หรือแม้กระทั่งให้โอนเงินเข้าบัญชี

วิธีการแก้ปัญหาที่ผมอยากเสนอมีสองวิธีด้วยกัน เรียงลำดับจากง่ายไปยาก:

  1. ให้ใช้ URL หรือ ลิ้งค์ ที่เป็นมาตรฐาน ใช้โดเมนที่อยู่ภายใต้การควบคุมโดยกอ.รมน.หรือภาครัฐ ยกตัวอย่าง sms ด้านล่างที่มีลิ้งค์ (tmbbank.com) อยู่ภายใต้การควบคุมของธนาคาร TMB แน่นอน

  1. ใช้ Digital Signature หรือลายเซ็นอีเล็คทรอนิกส์ที่สามารถเข้าไปยืนยันในเว็บของกอ.รมน.ได้ โดยการลงท้าย sms ด้วยคำว่า “รหัสยืนยัน: 89df94” ซึ่งถ้าเราเข้าไปในเว็บทางการของกอ.รมน.(หรือโทรไปที่ call centre) เราสามารถใส่รหัสยืนยันนี้เข้าไปและเว็บก็จะมีข้อความขึ้นมาบอกว่า sms ถูกส่งโดยกอ.รมน.หรือไม่ พร้อมกับเนื้อหาของข้อความที่ถูกส่งออกไปเพื่อที่จะได้ยืนยันต่อไปว่าไม่ได้การเอารหัสยืนยันไปใช้ใหม่พร้อมกับข้อความหลอกลวง

ความปลอดภัยด้านไอทีไม่ได้เป็นสิ่งที่ง่าย และถ้าไม่ออกแบบดีๆการสื่อสารระหว่างรัฐกับประชาชนสามารถถูกนำไปใช้เป็นเครื่องมือโดยมิจฉาชีพได้ แต่ในขณะเดียวกันผมก็ได้สาธิตให้เห็นว่าการเพิ่มมาตรการความปลอดภัยไม่ได้เป็นสิ่งที่ยากจนเกินไปเหมือนกัน

Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.