เรื่องจริงไม่อิงนิยาย มหันตภัยของ man-In-the-middle

คำว่า man-in-the-middle กำลังมาแรงในการสร้างความเสียหายให้กับธุรกิจในยุคปัจจุบัน ฟังชื่อภาษาอังกฤษก็พอจะเดากันได้ครับว่าต้องมีบุคคลที่สามแทรกอยู่ระหว่างกลาง (ถ้าแปลกันตรงตัวเลยครับ) เช่น เป็นบุคคลที่สามระหว่างคนสองคน บุคคลที่สามที่มาสร้างความปั่นป่วนให้กับความสัมพันธ์ ซึ่งในทางธุรกิจ การทำ man-in-the-middle เป็นเทคนิคด้านไอทีที่มีคนเข้ามาแทรกระหว่างกลางของการสื่อสารระหว่างสองบริษัท ซึ่งช่องทางที่ง่ายที่สุดและจับได้ยากที่สุดก็คือช่องทางอีเมล!!!

ในการติดต่อสื่อสารระหว่างสองบริษัทโดยเฉพาะการติดต่อคู่ค้าที่อยู่คนละประเทศ ช่องทางอีเมลย่อมเป็นช่องทางที่ได้รับความนิยมสูงสุดเนื่องจากประหยัดและสามารถอธิบายข้อความได้อย่างชัดเจนที่สุด โดยในทางธุรกิจก็จะนิยมใช้อีเมลตามด้วยโดเมนเนมองค์กรตนเอง ซึ่งการใช้อีเมลโดเมนองค์กรตนเองก็มีหลายทางเลือก ทางเลือกที่คนทั่วไปนิยมใช้ที่สุดก็คือใช้ระบบเมลที่แถมมากับการจดโดเมนและเว็บโฮสติ้ง ซึ่งผู้ให้บริการเว็บโฮสติ้งก็มักจะแถมระบบเมลฟรีที่ให้มากับเว็บโฮสติ้ง ที่ใช้งานแบบง่ายๆ อาจจะเปลี่ยนรหัสผ่านไม่ได้ วันดีคืนดีระบบล่ม หรือข้อมูลหาย เนื่องจากระบบอีเมลมักจะเป็นช่องทางที่พวกแสวงหาผลประโยชน์ในทางธุรกิจจับตามองและหาช่องในการยิงข้อความหรือล้วงความลับจากอีเมล แต่เรื่องที่จะเล่าต่อไปนี้เป็นเรื่องจริงไม่อิงนิยายครับ เกิดขึ้นกับผู้ประกอบธุรกิจมาแล้วหลายราย และจะพบว่าการใช้เครื่องมือในทางธุรกิจที่ฟรีแต่มีจุดอ่อนมหาศาลย่อมไม่คุ้มค่ากับมูลค่าทางธุรกิจที่สูญเสียไป

หนึ่งในเทคนิคที่มิจฉาชีพยุค 4.0 ใช้กันก็คือที่เราจั่วหัวครับ คือเทคนิคที่เรียกว่า man-in-the-middle วิธีการก็ไม่มีอะไรซับซ้อนครับ ผมขออนุญาตสมมติเหตุการณ์จริงที่เกิดกับผู้ประกอบธุรกิจหลายรายในนามสมมติ หากบังเอิญไปพ้องกับชื่อท่านใด ต้องขออภัยมา ณ ที่นี้ด้วยครับ

บริษัท AAA เป็นบริษัทที่ทำธุรกิจส่งออกสินค้าจากประเทศไทย โดยมีบริษัท BBB เป็นผู้สั่งสินค้าอยู่ที่ประเทศอูกันดา โดยบริษัท AAA มีเจ้าหน้าที่รับผิดชอบสมมติว่าชื่อ สมชาย โดยสมชายใช้อีเมลว่า somchai@aaa.com และติดต่อกับฝั่งอูกันด้าชื่อว่าไมเคิล สมมติว่าใช้เมลว่า michael@bbb.com โดยที่ผ่านมาก็สั่งสินค้าและโอนเงินกันปกติ เป็นคู่ค้าที่ดีมาหลายปี แม้จะพูดภาษาอังกฤษกันรู้เรื่องบ้างไม่รู้เรื่องบ้าง แต่เรื่องเขียนอีเมลสมชายเขียนได้ถูกหลักไวยกรณ์เป๊ะ

มีอยู่วันหนึ่งมีบุคคลที่สามสมมติว่ามาจากประเทศบัลแกเรีย ที่เป็นมิจฉาชีพชื่อว่า จอห์น โดยจอห์นกำลังหาเหยื่อที่มีจุดอ่อนทางเทคโนโลยี จอห์นก็ได้ใช้เครื่องมือที่แฮกเกอร์ใช้กันประจำและสแกนเข้าไปเจอพอร์ตว่า โดเมน aaa.com นี่หวานหมูในการเข้าแทรกระหว่างกลางตามคอนเซปของ man-in-the-middle จึงได้แทรกตัวเข้าไประหว่างอีเมล ที่แทรกตัวเข้าไปได้ โดยจอห์นได้สร้างอีเมลขึ้นอันหนึ่งที่ดูแล้วเหมือนกับโดเมนของ AAA มาก โดยใช้ชื่อว่า somchai@aa-a.com มองผ่านๆ โดยไม่ทันได้สังเกต จะมองไม่ออกถึงความแตกต่าง ทำไมชีวิตถึงได้ง่ายดายขนาดนี้ ก็เพราะเหตุผลง่ายๆ คือระหว่างกลางของการส่งข้อความไม่มีการ “encrypt” ข้อมูลเพื่อความปลอดภัย โดยจอห์นได้แทรกเข้าไปในเมลที่โต้ตอบระหว่างกันด้วยเมล somchai@aa-a.com

หลังจากแทรกตัวเข้าไปดูข้อมูลสักพัก ก็ทราบได้ว่าบริษัท BBB กำลังจะสั่งสินค้าจากบริษัท AAA อยู่พอดี ซึ่งจอห์นได้เล็งไว้เรียบร้อยแล้วว่า BBB จะสั่งสินค้ากับ AAA เป็นมูลค่าประมาณ 5 ล้านบาท!!! หลังจากตกลงกันเรียบร้อย ถึงขั้นตอนการชำระเงิน สิ่งที่จอห์นทำก็คือ

  • จอห์นก็ได้ส่งอีเมลจาก  somchai@aa-a.com ไปให้ไมเคิลที่ michael@bbb.com โดยบอกว่า ตอนนี้บริษัท AAA เปลี่ยนแปลงเลขบัญชีรับเงินแล้วนะ โดยให้โอนไปที่บัญชีใหม่
  • ไมเคิล รับทราบ บอกว่าได้เลยเดี๋ยวจัดการให้ โอนให้เมื่อไหร่จะแจ้งเพื่อจะได้ส่งสินค้าต่อ ไมเคิลก็ไปจัดแจงโอนเงินไปที่บัญชีที่มิจฉาชีพบอก พอโอนเสร็จรีบแจ้ง สมชาย ว่าโอนเงินให้แล้วนะ ส่งของได้ ถ้ามิจฉาชีพที่รอบคอบหน่อยก็จะทำการแปลงสลิปโอนเงินให้เนียน แต่ต้องใช้ฝีมือมากขึ้นในการสร้างเมลที่ชื่อว่า michael@bb-b.com เพื่อส่งเมลสลิปโอนเงินปลอมให้สมชาย
  • พอสมชายรับทราบว่าได้มีการโอนเงินแล้ว (ไม่ว่าไมเคิลเป็นคนบอกเอง หรือจอห์นส่งสลิปปลอมให้) ก็รีบส่งของทันที ไม่ต้องห่วงเรื่องการโกงเพราะไมเคิลบอกว่าโอนเงินแล้ว เป็นคู่ค้ากันมาหลายปี

จุดพีคก็คือหลายวันต่อมา สมชายไปเช็คเงินในบัญชีแบงก์ พบว่าไม่มีเงินเข้า แต่ของส่งไปแล้ว ถามไมเคิลก็ได้ความว่าโอนให้แล้วนะ เถียงกันไปมา พบว่าโอนเงินไปอีกบัญชีหนึ่งที่ไม่ช่บัญชีบริษัท AAA!!! เอาสิครับทีนี้จะทำกันยังไงใครผิดใครถูก บริษัท AAA จะได้เงินคืนอย่างไร ของก็ส่งไปแล้ว ท่านผู้อ่านเดากันก่อนนะครับว่าถ้าขึ้นศาลฟ้องร้องกันแบบนี้ใครชนะ ส่วนมิจฉาชีพก็คงต้องเป็นหน้าที่ของตำรวจไปล่าตัวมา ถ้าเป็นในประเทศไทยก็ง่ายหน่อย แต่ถ้าเป็นมิจฉาชีพข้ามชาติ ก็จะเป็นโจทย์สุดหิน อาจจะต้องทำใจและเป็นบทเรียนราคาแพงมาก

ประเด็นคือระบบอีเมลของใครที่มีการป้องกันการเข้าแทรกกลางของ man-in-the-middle ได้ แน่นอนครับ ในการไปถึงคดีความก็ต้องพิสูจน์กันว่าจอห์นเข้าแทรกที่ใครก่อน หรือโดนทั้งคู่ ซึ่งจากหลักฐานทางอิเล็กทรอนิกส์นั้นดูได้ไม่ยาก ใครไม่ได้ป้องกันความมั่นคงปลอดภัยย่อมเสียเปรียบเป็นธรรมดา

กรณีนี้ได้เกิดขึ้นกับผู้ประกอบการมาแล้วหลายราย และมีความเสียหายรวมกันเป็นมูลค่านับหลักร้อยล้านบาท ดังนั้นท่านผู้อ่านที่ประกอบธุรกิจอย่าได้ละเลยกับความมั่นคงปลอดภัยของระบบเป็นอันขาด เรื่องเล็กๆ น้อยๆ ที่เราอาจจะมองข้ามนั่นก็คือการมีระบบอีเมลที่มั่นคงและปลอดภัยนั่นเอง ยกตัวอย่าง Google G Suite ที่ทางกูเกิ้ลออกแบบ และพัฒนามาเพื่อองค์กรให้ทำธุรกิจได้อย่างปลอดภัย ดังนั้นคุณจะมั่นใจได้ว่าอีเมลทุกฉบับที่ส่งออกไปจะมีการ encrypt ข้อมูล ป้องกันการแฮ็คหรือการโจรกรรมทางข้อมูลต่างๆ ได้อย่างแน่นอน ดูรายละเอียดเพิ่มเติมเกี่ยวกับ G Suite