ถ้าคุณไม่ใช่เป็นคนทำเองแปลว่ามีบุคคนอื่น ซื่งเดาว่าน่าจะเป็นมิจฉาชีพ จะล็อกอินเข้าบัญชีคุณ
(เห็นมีหลายเพจบอกวิธีแก้ แล้วแก้ไม่หาย ซักพักก็เป็นใหม่ (ก็แน่ละสิ) ผมเลยมาเขียนนี้ละ บล็อกผมน่าจะเป็นที่แรก เพราะที่ผมค้น ไม่มีใคร บอกแบบผม มีแต่ให้เปลี่ยนพาส กับ ใช้ 2FA)
เอาละ อย่างแรก ตั้งสติ อย่ากดอนญาต ให้กดไม่อนุญาต ไป
แต่ ผมเคยโดน แบบ กำลังกด มือถืออยู่แล้วมันเด้ง มาพอดี แล้วกดตรงนั้นโชคดีที่ไม่ได้ ตรงปุ่มอนุญาต
( มีกรณีที่ผู้ใช้บางคนเผลอกดปุ่มอนุญาตเพราะการแจ้งเตือนเด้งขึ้นมาขณะใช้งานมือถือ )
เอาละ ปัญหานี้จะ ดีกว่า ปัญหาที่ โดนล็อกอินจากที่อื่น ในภาพที่2 ด้านขวา อย่ากด อนุญาต หรือ allow ให้กด ปฏิเสธ หรือ Don't Allow ไป ซึ่งเคสนี้ มิจฉาชีพ จะรู้ พาส ของเรา ต้องเปลี่ยนพาส ทันที
![]() | |
ภาพที่ 2 เครดิต เพจตำรวจสอบสวนกลาง |
คือหลายคนบอก ทำตามเพจที่แนะนำแล้วก็ยังเป็นอีก ทั้งเปลี่ยนพาส หรือ ใช้ 2fa (การรับรองความถูกต้องด้วยสองปัจจัย)
เอาละเรากลับมาที่เคส แรก ที่แจ้ง รีเซ็ตรหัสผ่าน เคสนี้
คือมิจฉาชีพ ยังไม่รู้ pass เรา ไม่จำเป็นต้องไปเปลี่ยนพาส เพราะมิจฉาชีพยังไม่รู้พาสคุณ เปลี่ยนไป ก็เหมือนเดิม เพราะเขาใช้วิธีลืมพาส
แล้ว ผมลอง ไปกดลืมดู ว่ามิจฉาชีพ ต้องรู้อะไรบ้าง? ในการ ทำ
สรุป มิจฉาชีพ รู้แค่สองอย่าง
1. mail icloud
และ
2. เบอร์โทรศัพท์ ที่เอาไว้ กู้ หรือ 2fa แค่นั้นเอง ( 2fa ก็เช่นเบอร์ หรือ อีเมลสำรอง หรือที่เราตั้งไว้)
ซึ่งทั้งสองผมเอาไปสมัคร The Stock Master
หลังจากนั้นไม่ถึงเดือน ผมก็โดนตลอด
ซึ่งไม่ได้กล่าวหา แต่ ผมจำได้แค่นี้ละ
การป้องกันก็อย่าเอาไปใช้ ร่วมกัน
วิธีแก้ อย่างแรก คือการใช้ Security key เป็น 2fa ( แต่ระวัง เพราะอาจจะเป็นการสร้างปัญหาใหม่ )
คือจะล็อกอิน แต่ละครั้งต้องแตะ Security key
ซึ่งผมลองใช้ ยี่ห้ออื่น ที่ไม่ใช่ Yubikey มันไม่รับนะครับ ก็ไม่รู้ว่ารับยี่ห้อไหนบ้างแต่ Yubikey นี้น่าจะ 100%
เอาละ แล้วจะซื้อมา ก็ต้องใช้ อย่างน้อย 2 อัน กัน อีกอันเสีย
ซึ่งปกติมันจะไม่เสียพร้อมๆกันเว้นแต่ซวยจัด เช่น
ไฟไหม้ น้ำท่วม แผ่นดินไหวรุนแรง พายุ หรือ ภัยพิบัติทางธรรมชาติอื่นๆ: ที่อาจนำไปสู่ความเสียหายทางกายภาพต่อสถานที่เก็บกุญแจ
หรือ
การสูญหายหรือถูกโจรกรรมพร้อมกัน หากคุณเก็บกุญแจทั้งสองอันไว้ในที่เดียวกัน
หรือ
เหตุการณ์ที่ส่งผลกระทบต่ออุปกรณ์อิเล็กทรอนิกส์ในวงกว้าง: เช่น เหตุการณ์ที่เกิดจากคลื่นแม่เหล็กไฟฟ้าแรงสูง (EMP) ซึ่งอาจส่งผลกระทบต่ออุปกรณ์อิเล็กทรอนิกส์ทั้งหมดในบริเวณนั้น
พูดง่ายๆก็ต้องเก็บแยกกัน ไม่ใช่ใส่ไว้ในตู้เซฟเดียวกัน
แล้วจะล็อกที่ก็วุ่นวาย แล้วมีโอกาส สูญได้
กันมิจฉาชีพได้ 99.99% 0.01% คือ เขาอยู่ในบ้านคุณ ( และ มันไม่สามารถปกป้องจากตัวคุณ หรือความผิดพลาด หรือความซวยของคุณได้)
วิธีนี้ ก็ต้องดูว่าเหมาะกับคุณไหม ส่วนผมจน ให้ซื้อ Yubikey 2ตัว 2800 บาท ยังไม่โดน
---
ต่อมา มาดูที้ต้นตอ คือมิฉาชีพรู้ e-mail icloud เรา พร้อมกับ เบอร์โทรศัพท์ ใน 2fa
ซึ่งถ้าเราเปลี่ยนอย่างใดอย่างหนึ่ง มิจฉาชีพ ก็จะมาใช้มุขเดิมไม่ได้แล้ว
แต่ถ้าเปลี่ยน e-mail icloud มันคือการสมัคร ใหม่ นั่นละ ก็ทิ้งอันเก่าแล้วไปเอาอันใหม่คลีนๆ ก็ว่าดี แต่ต้องไม่ให้หลุดอีก
หรือ จะเปลี่ยน เบอร์มือถือที่ผูกไว้ โดยที่ข้อดีของเบอร์มือถือกับ Security key คือมีชื่อเราแปะไว้ กับเบอร์ สำหรับ ใครที่ใช้ sim สองอันเต็มแล้ว ถ้าจะใช้วิธีนี้ต้องเปลี่ยนเบอร์ไม่ก็ซื้อโทรศัพท์ แยกต่างหาก แนะนำ ให้ใช้โทรศัพท์ถูกๆ แค่รับ sms ได้ แบต อึดๆ หรือโทรศัพท์บ้านใส่ซิม ก็ได้ หรือจะสลับซิมเอาก็ได้ตามงบ
ต่อมา ซิมใช้แบบไหนดี ระหว่าง รายเดือนกับเติมเงิน
แนะนำให้ใช้เติมเงิน จะถูกกว่า เติมเดือนละ 20-50บาท แถม ซื้อวัน เพิ่มได้ด้วย งั้น 50บาท จะได้หลายเดือน
ลองมาเที่ยบราคากันกับ Yubikey 2ตัว 2800/50 = 4.6 ปี ก็ถ้าเติมเงินอย่างเดียว ก็ใช้ได้ 4.6ปี นี้ยังไม่รวมซื้อวันนะ
แล้ว ยังมีความยืดหยุ่น ในการเปลี่ยนเบอร์ใหม่อีก ถ้าหลุด ส่วนเบอร์นี้ ก็ไม่ต้องรับสาย ไม่ต้องใช้กับอะไรทั้งนั้น และใช้กับมือถือ อีกเครื่อง จะได้ไม่หลุด ถ้าหลุดโทษผู้ให้บริการ เครื่อค่ายได้เลย ถ้าหลุดก็เปลี่ยนซิมใหม่
วิธีการคือ เพิ่มเบอร์ใหม่ แล้ว ค่อยลบ เบอร์เก่า
โดยระหว่างนั้นรอ 1ชั่วโมง
หรืออีกวิธีหนึ่งคือใช้พาสเวิร์ดเพียงอย่างเดียว
แล้วเอา 2fa ออกให้หมด แม้กระทั้งมือถือ ที่ใช้อยู่ด้วย นั่นคือความคิด แต่ในความเป็นจริง ลบเครื่องที่ใช้อยู่ไม่ได้ ดังนั้นต้องใช้ iphone อีกเครื่อง ดันนั้น วิธีนี้ตัดออก
อย่างไรก็ตาม ผมใช้วิธีนี้บ่อยมากและได้ผลดี แต่ก็มีโอกาสหลุดได้ เช่น กรณี Yahoo ถูกแฮก ซึ่งทำให้ข้อมูลรั่วไหล หรือ ลืมพาสเวิร์ดเอง หรือ ทำที่จดไว้หาย
ซึ่งก็มีวิธีแก้ไข ถ้ารหัสผ่านมีความสำคัญมาก สามารถ ตอกพาสเวิร์ดลงบนแผ่นโลหะกันไฟ เพื่อป้องกันการสูญหาย หรือถ้ากรณี เซิร์ฟเวอร์ของผู้ให้บริการถูกแฮก ควรเปลี่ยนรหัสผ่านเป็นประจำ เช่น ทุกเดือนหรือทุกสัปดาห์ ซึ่งสามารถเปลี่ยนแบบสุ่มหรือมีรูปแบบเฉพาะก็ได้
แม้ว่าวิธีนี้จะไม่สามารถป้องกันได้ 100% แต่ก็ช่วยเพิ่มความปลอดภัยได้มากขึ้น เพราะข้อมูลที่ถูกขโมยมักถูกนำไปขายต่ออีกที ถ้าเราเปลี่ยนรหัสผ่านเร็วก่อนที่แฮกเกอร์จะนำไปใช้ เราก็อาจรอดพ้นจากการถูกเจาะระบบ
ช่องโหว่อีกอย่างของการใช้พาสเวิร์ดเพียงอย่างเดียว คือ ความเสี่ยงจากฝั่งเราเอง เช่น
-
ถูกโทรจัน (Trojan) หรือคีย์ล็อกเกอร์ (Keylogger) ดักข้อมูล
-
มีคนแอบมองหน้าจอขณะใส่รหัสผ่าน เช่น ตอนใช้งานในร้านกาแฟ แล้วมีกล้อง IP ซ่อนอยู่แอบถ่ายเรา
ดังนั้น แม้ว่าการใช้พาสเวิร์ดเพียงอย่างเดียวจะเป็นไปได้ แต่ก็ต้องระวังความเสี่ยงเหล่านี้ด้วย
แล้ว ถ้าใช้ 2FA มันดีกว่าไหม ก็ต้องตอบว่าดีกว่า แต่หลายครั้งเองที่ มันนั่นละคือจุดอ่อน
ทำให้คนไม่รู้พาส สามารถ เข้าถึงได้
อย่างเบอร์มือถือที่มีชื่อเราแท้ๆ ก็ยังโดน เคสนี้มีชื่อ ทางการว่า Sim Swap Attack
คือ เขา ได้รับซิมใหม่ จากผู้ให้บริการ ซึ่งวิธีการหลายหลายวิธี พอได้ซิมแล้ว ความฉิบหายก็บังเกิด จากเคสอ้างอิง CEO ของ Twitter (Jack Dorsey) เคยถูกแฮกบัญชีผ่าน SIM Swap
เคสนี้ ถ้า มีแต่พาส ก็จะใช้วิธีนี้ไม่ได้
ส่วนถ้าเป็นเคส Man-in-the-Middle Attack (MITM)
อันนี้ จะมี 2FA OTP ผ่านเบอร์ หรือแอป ก็ไม่รอด เว้นแต่ใช้ Security Key
จะบอกว่า Security Key ดีสุดว่างั้น?
ตอบก็ใช่ แต่ห้ามพังห้ามหาย ห้ามโดนขโมยนะ ก็ซื้อมาเยอะๆ ไว้ในบ้าน 2-3อัน อีกอันฝากไว้อีกบ้าน หรือ ฝากไว้ในตู้เซฟธนาคาร ก็ได้ ตามกำลังทรัพย์ +ความสะดวก
ถ้าใครมีเงิน ซื้อแค่อันเดียว ไม่แนะนำอย่างยิ่ง อย่างน้อย 2อัน เพราะโอกาสเสียพร้อมๆกันสองอัน มันยาก มาก เว้นแต่เกิดอาเพศ เช่นไฟไหม้ น้ำท่วม แผ่นดินไหวตึกถล่มทับ Security Key อะไรแบบนี้ หรือโจรกวาดไปหมด หรือโดนเก็บทิ้งถังขยะ เป็นต้น
ดังนั้น ใช้เงินแก้ปัญหาได้ ตามที่กล่าวมา
เอาละ ย้อนกลับไป การไม่มี 2FA มันอัตราย สำหรับหลายๆคน แล้ว มิจฉาชีพ ก็สามารถ ใช้ 2FA ในการเข้า ถึง เมลเราด้วย จากการ แจ้งลืมรหัสผ่าน
ถาม ai ได้คำตอบดังนี้
2FA ถูกใช้เป็นเครื่องมือแฮกได้ยังไง?
🔹 1. รีเซ็ตรหัสผ่านผ่าน 2FA ที่แฮกเกอร์เข้าถึงได้
-
ถ้าใช้ SMS 2FA → โดน SIM Swap ได้
-
ถ้า 2FA ผูกกับ อีเมล → ถ้าอีเมลโดนแฮก = ทุกบัญชีก็โดนแฮก
🔹 2. หลอกให้เหยื่อกด "อนุญาต" บนอุปกรณ์ 2FA
-
ถ้าใช้ 2FA แบบ Push Notification (Google Prompt, Apple ID)
-
แฮกเกอร์สแปมแจ้งเตือนจนเหยื่อเผลอกด "อนุญาต" มันคือเคสที่เรากำลังคุยกันอยู่นี้ละ ผมก็เกิบไปแล้ว
🔹 3. รีเซ็ตรหัสผ่านของแอปผ่าน Social Engineering
-
ถ้าแฮกเกอร์รู้เบอร์โทร + อีเมล → เขาสามารถโทรไปหลอก Call Center ของบางบริการให้รีเซ็ตรหัสให้ได้
สรุปให้เพื่อความปลอดภัย จากมิจฉาชีพ ถ้าจะใช้ 2fa แนะนำให้ใช้ Security Key