วันที่ ๑๐ ก.ค. ๕๓ ผมได้รับ อี-เมล์ จากสาวน้อยขอเป็นเพื่อนใน Desktopdating ผมนึกในใจว่าวันนี้สาวน้อยโรแมนติคจัง ต้องรับเดทเสียหน่อย ก็ คลิ้ก ตอบรับ แล้วก็ต้องชะงัก เพราะเขาให้กรอกชื่อ นามสกุล และ e-mail password ซึ่งนักใช้ internet ตัวจริงเขาไม่บอกใคร ผมชะงักแล้วก็ไม่กรอก
วันนี้ลองพิจารณา อี-เมล์นี้ใหม่ มันมีคำต่อไปนี้อยู่ This invitation was sent to [email protected] on behalf of Amara Panich <[email protected]> from 124.121.95.144 และเมื่อเรา คลิ้ก Accept ก็จะเห็นว่า ข้อความที่เรากรอกจะไปที่ http://invite.desktopdating.net/invite.php?3c3I28zm3ZDUwuLS0c/iiPHb6tjTzMLm167O0cbc16LS39Hfl+ev1MXX1IvE0N7NxNznkeXF0tTY1eHRpMnj3dvIzdGhzuPc7offppmfl5GVqpilnw==
ผมจึงถามสาวน้อยว่าเขาส่ง อี-เมล์ นี้หรือเปล่า เขาตอบว่าเปล่า เขาได้รับ invitation แบบนี้มาจาก หมอวิชัย และได้ตอบไป พร้อมทั้งให้ e-mail password ไปด้วย เขาจึงเอามาหลอกเอา password ของผมต่อ
ผมย้ำกับสาวน้อย ว่า ต้องกำหนดจดจำไว้ตลอดเวลา ว่าคนที่มาขอทราบ password ของเรา ไม่ว่าเรื่องอะไร เป็นมิจฉาชีพ อย่าเผลอบอกเป็นอันขาด
จึงขอเอามาเล่า เพื่อบอกต่อ ว่าสมัยนี้มิจฉาชีพทาง internet แฝงมาอย่างแนบเนียนขึ้นเรื่อยๆ จนเรานึกไม่ถึง เราต้องรู้ทัน อย่าตกเป็นเหยื่อ
เมื่อ ๖ วันมาแล้ว ผมได้รับ อี-เมล์ ดังนี้
Good Morning
How are you doing? Hope all is well with you and family, I know this might be a surprise to you but I am sorry I didn't inform you about my traveling to Birmingham for a Seminar.
I need a favor from you as I've misplaced my wallet on my way to the hotel where my money,and other valuable things were kept and I will like you to assist me with an urgent loan of $3,500=£2,500 to sort-out my hotel bills and get myself back home.
I will appreciate whatever amount you can help me with and I promise to pay you back as soon as I return home.Kindly get back to me know and let me know if you can be of my help so i can send you Western Union Details to make the transfer for me.
With best regards,
Kraisid
ซึ่งผมรู้ทันทีว่าเป็น อี-เมล์ จากมิจฉาชีพในต่างประเทศ เพราะ Kraisid คือ ศ. นพ. ไกรสิทธิ์ ตันติศิรินทร์ ซึ่งสนิทสนมกับผมมาก และจะไม่เขียน อี-เมล์ ถึงผมด้วยสำนวนแบบนี้ สำนวนนี้เป็นสำนวนมาตรฐานของมิจฉาชีพชั้นต่ำ
วันนี้ (๑๑ ก.ค. ๕๓) ผมส่ง อี-เมล์ ไปถาม อ. หมอไกรสิทธิ์ ว่า ส่ง อี-เมล์ นี้หรือเปล่า ได้รับคำตอบดังนี้
Sawasdee Krub,
My gmail had been hacked from 4-6 July during my trip to Geneva and has been recovered on the evening of 7 July after contacting the Gmail Service. I made a crime claim to the police in Birmingham since we know the bank and address of the hacker. The mail from the hacker reach you on 5 July at 11.50 am.
Many thanks for this message and your concern. I arrived Bangkok this morning.
Kraisid
ชีวิตของคนเราเต็มไปด้วยภยันตรายรอบด้าน ทั้งที่เป็นเชื้อโรค ศัตรู มิจฉาชีพ และสิ่งเย้ายวน เราต้องมีสติไม่หลงไปตามแนวทางที่จะเป็นอันตรายต่อตนเอง รวมทั้งไม่เผลอทำอันตรายต่อผู้อื่น ดังกรณีหลอกเอา e-mail password ก็เพื่อเอาไปหลอกเอาเงินจากคนอื่น
วิจารณ์ พานิช
๑๑ ก.ค. ๕๓
นับว่าอาจารย์เป็นตัวอย่างต้นแบบของคนที่รู้เท่าทันภัยที่มาจากเทคโนโลยี และขอชื่นชมในการติดตามอัพเดตตัวเองให้ตามทัน the good, the bad, and the ugly ของเทคโนโลยีอยู่เสมอของอาจารย์ครับ
ผมมีเรื่องประสบการณ์ตรงจะเล่าแลกเปลี่ยนเป็นอุทาหรณ์ครับ ผมเองทำงานในแวดวงเทคโนโลยีสารสนเทศ และเป็นคนที่สนใจที่จะเรียนรู้และอัพเดตตัวเองเรื่องความปลอดภัยสารสนเทศ (information security) ตลอดเวลา ช่วงที่อยู่ระหว่างลาศึกษาต่อ ป.โท และ ป.เอก ก็ได้ take course computer/information security ไป 2 ตัว ซึ่งเนื้อหาเข้มข้นมาก ถึงขนาดที่ทำให้เราเป็นอย่างน้อยก็ hacker มือสมัครเล่นได้เลยทีเดียว (เพราะหากจะรู้เท่าทัน hacker ก็ต้องรู้จริงว่าเขาทำกันอย่างไร) ทำให้เชื่อมั่นในตัวเอง(อย่างผิดๆ)ว่าเรียกได้ว่าเราน่าจะรู้มากพอที่จะเอาตัวรอดจากภัยนี้ได้แน่นอน
ปรากฏว่าผมมารู้ตัวทีหลังว่าสิ่งที่ตัวเองเชื่อมั่นอยู่นั้น ผิดมหันต์ เพราะวันหนึ่งมี e-mail ในลักษณะที่คล้ายคลึงกับที่อาจารย์โพสต์มาจาก e-mail ของเพื่อนนักเรียนไทยที่มหาวิทยาลัยเดียวกัน อ้างว่าอยู่ในระหว่างไปร่วมงานวิชาการที่ประเทศหนึ่งแล้วเกิดทำกระเป๋าเงินหาย และขอให้ช่วยเหลือ สุดท้ายมีการลงชื่อเพื่อนคนนั้นท้าย e-mail
ผมเองได้รับ e-mail คล้ายๆ แบบนี้บ่อยมาก และที่ผ่านมาก็รู้ดีว่าเป็นภัยที่เรียกว่า "phishing" หรือ "social engineering" ก็แค่ลบ e-mail เหล่านั้นไป แต่ครั้งนี้ ก่อนที่สมองซีกซ้ายของผมจะตื่นตัวและรู้ทันว่าเป็นโจรปลอมตัว สมองซีกขวาของผมเห็นว่ามาจากเพื่อนนักเรียนไทยในต่างแดน เพื่อนกำลังตกระกำลำบาก ประกอบกับผมเองตอนนั้นเพิ่งลงจากตำแหน่งประธานสมาคมนักเรียนไทย ยิ่งรู้สึกว่าตัวเองควรยื่นมือเข้าไปช่วยเหลือ จึงตอบ e-mail ไปโดยไม่ทันคิด และก็อยู่ในระหว่างประสานงานกับเพื่อนคนอื่นๆ เพื่อหาทางช่วยเหลือ เพื่อนก็ฉุกคิดได้ว่าอาจเป็นเรื่องหลอกลวง...พอกลับมาอ่านอีกครั้ง (สมองซีกซ้ายทำงานแล้ว) ก็เห็นชัดเจนว่าเป็นเรื่องหลอกแน่นอน โชคดีที่ยังไม่ได้ตกหลุมไปมากกว่านี้ ไม่ได้เสียเงินเสียทองอะไร แต่ก็อดรู้สึกโกรธ ผิดหวัง ในตัวเอง และขายหน้าตัวเองไม่ได้ เพราะเรียนเรื่องนี้มาก็เยอะ เจอ e-mail แบบนี้ก็แยะ แถมตัวเองพร่ำสอนคนอื่นไปทั่วให้ระวังตัว warning signs จาก e-mail ที่ผมหลงกลก็เยอะจนตัวเองควรจะเห็นได้ทันที แต่กลับติดกับ โดนเสียเอง
นิทานเรื่องนี้สอนผมได้ดีมากครับ ว่าถึงแม้เราจะ รู้ เรื่องอะไรมากแค่ไหน หรือคิดว่าเรารู้ดีแค่ไหน ก็อาจจะหนีไม่พ้นภัยคุกคาม ที่อาจอาศัยช่องโหว่จากธรรมชาติของมนุษย์ (susceptibility from human nature) มาหากินได้อยู่ดี เพราะมนุษย์ไม่ได้คิดทุกอย่างเป็น logic เสมอไป (แม้มีความรู้ความสามารถในเรื่องนั้นๆ) พวกเราทุกคนมี soft spot ทางอารมณ์ ที่ไม่ได้อาศัยตรรกะ และถูก trigger ได้ง่ายกันทุกคน การที่เรารู้เท่าทันภัยที่ผ่านมา ไม่ได้หมายความว่าอนาคตเราจะไม่เจอภัยที่อาจจะมาในหน้าตาที่แตกต่างจากเดิมเล็กน้อย แต่ trigger soft spot ของเราได้ จนหลงกล
ดังนั้น ความรู้เกี่ยวกับภัยเหล่านี้ แม้จะสำคัญและควรต้องอัพเดตอยู่ตลอด แต่ก็ต้องใช้ควบคู่กับความตระหนักรู้ใน susceptibility ของตัวเองที่เกิดขึ้นได้เสมอ แม้เราจะเก่งหรือรู้มากแค่ไหนก็ตาม ซึ่งจะทำให้เราไม่เชื่อมั่นเกินเหตุ (overconfidence) และรู้จักระมัดระวังตัวตลอดเวลา
ประสบการณ์นี้ของผมนั้น เป็นประสบการณ์ที่น่าอายทีเดียว (เพราะคนที่ทำงานใน area อย่างผม และเรียนเรื่องนี้มาเยอะ ไม่ควรจะพลาด) แต่อย่างน้อยก็อาจจะเป็นประโยชน์ต่อทุกท่านครับ คนที่รู้มาก รู้ดี ยังตกหลุมได้ คนที่ไม่รู้ จึงต้องทำตัวให้รู้เท่าทันภัยเหล่านี้ คนที่คิดว่าตนรู้มาก รู้ดีอยู่แล้ว ก็ต้องระมัดระวัง สมองของเราเล่นงานเราได้เสมอครับ
ขอ copy ส่งไปให้เพื่อนๆ อ่านนะค่ะ ขอบคุณมากค่ะ
ถ้าหลงกลไปแล้ว จะแก้ไขยังไงคะ ถ้าเปลี่ยนแค่ password จะช่วยได้มั้ยคะ หรือต้อง เปลี่ยนทั้งหมดเลย?