เครื่องมือดักจับข้อมูล หรือ Keylogger เป็นรูปแบบมัลแวร์หนึ่งที่เก่าแก่ที่สุดครั้งสมัยเครื่องพิมพ์ดีด แต่ก็ยังคงใช้งานอย่างแพร่หลายในการโจมตีไซเบอร์ขนาดใหญ่

 

คำจำกัดความของ Keylogger 

หนึ่งในประเภทซอฟต์แวร์ที่ออกแบบมาเพื่อบันทึกข้อมูลการใช้แป้นพิมพ์ ข้อมูลที่ป้อนผ่านคีย์บอร์ดจะถูกบันทึกผ่านเหยื่อที่พิมพ์ข้อความบนเว็บไซต์หรือแอปพลิเคชันที่ถูกตั้งค่าไว้ จากนั้นข้อมูลดังกล่าวจะถูกส่งกลับไปยังแฮกเกอร์

อาชญากรไซเบอร์ใช้เครื่องดักจับข้อมูลเพื่อโจรกรรมข้อมูลส่วนตัวหรือการเงินเช่น ธุรกรรมทางการเงินกับธนาคาร โดยข้อมูลเหล่านี้จะถูกขายให้ลูกค้าที่สนใจในตลาดมืดหรือเว็บมืด (Dark web) อย่างไรก็ตาม การใช้เครื่องดักจับข้อมูลสามารถใช้แบบถูกกฎหมายได้ในเชิงธุรกิจ เพื่อแก้ไขปัญหา ปรับปรุงประสบการณ์ผู้ใช้ หรือสังเกตการณ์พนักงาน ผู้ใช้กฎหมายหรือหน่วยข่าวกรองก็ใช้เครื่องดักจับข้อมูลเพื่อเผ้าระวังภัยคุมคามเช่นกัน

 

หลักการทำงานของ Keylogger

มัลแวร์ตัวนี้จะเก็บข้อมูลและส่งกลับไปยังมือที่สาม ไม่ว่าจะเป็นอาชญากร ผู้ใช้กฎหมาย หรือฝ่ายไอที นายทอม เบน รองประธานฝ่ายกลยุทธ์ความปลอดภัยของ Morphisec กล่าวว่า “Keylogger เป็นโปรแกรมซอฟต์แวร์ที่ใช้หลักอัลกอริทึม เพื่อจับตาดูการป้อนข้อมูลผ่านคีย์บอร์ด โดยการจดจำรูปแบบและเทคนิคอื่น ๆ”

จำนวนข้อมูลที่รวบรวมผ่านเครื่องดักจับข้อมูลสามารถจำแนกได้หลากหลาย โดยทั่วไปจะอยู่ในรูปแบบการป้อนข้อมูลผ่านเว็บไซต์ใดเว็บไซต์หนึ่งหรือผ่านแอปพลิเคชัน การทำงานที่ซับซ้อนกว่านั้นจะเป็นการบันทึกข้อมูลที่ป้อนทั้งหมดไม่ว่าจะผ่านสื่อใด ซึ่งรวมถึงข้อมูลที่คัดลอกและวางผ่านคีย์บอร์ด บางประเภทที่เจาะจงเป้าหมายบนโทรศัพท์ จะบันทึกข้อมูลการโทรทั้งประวัติและเสียงพูดคุย, ข้อมูลการแชท, ที่อยู่ GPS, หน้าจอ, ไปจนถึงไมโครโฟนกับกล้องถ่ายรูป

เครื่องดักจับข้อมูลเป็นได้ทั้งในรูปของอุปกรณ์ (hardware based) หรือโปรแกรม (software based) โดยตัวอุปกรณ์จะถูกติดตั้งระหว่างตัวเชื่อมต่อคีย์บอร์ดกับคอมพิวเตอร์ ขณะที่โปรแกรมจะเป็นแอปพลิเคชัน เครื่องมือทั่วไปที่ใช้หรือดาวน์โหลดไว้ หรืออาจเป็นมัลแวร์ที่ถูกติดตั้งโดยไม่รู้ตัวก็ได้

 

 

ข้อมูลที่บันทึกไว้จะส่งกลับไปยังมือที่สามผ่านอีเมล หรืออัปโหลดข้อมูลประวัติบนเว็บไซต์ ฐานข้อมูล หรือเซิฟเวอร์ FTP ที่กำหนดไว้ ถ้าหากเป็นการโจมตีขนาดใหญ่ ข้อมูลจะสามารถดาวน์โหลดผ่านตัวเครื่องของเหยื่อแบบทางไกลได้เลย

 

แฮกเกอร์นำข้อมูลไปใช้ทำอะไรต่อ

เครื่องดักจับข้อมูลตัวแรกของโลกถูกใช้โดยโดยสหภาพโซเวียตในปี 1970 เพื่อสังเกตการณ์เครื่องพิมพ์ดีดไฟฟ้า IBM ที่ใช้ในสถานทูตกรุงมอสโก โดยหวังว่าจะบันทึกข้อมูลที่ถูกพิมพ์และส่งข้อมูลกลับไปยังหน่วยข่าวกรองโซเวียตผ่านสัญญาณวิทยุ

ในปัจจุบัน Spyware อย่าง Keylogger มีบทบาทมากขึ้นในเครื่องมือทางอาชญากรรมไซเบอร์ ที่ช่วยดักจับธุรกรรมทางการเงินกับธนาคาร ข้อมูลบัตรเครดิต ข้อมูลส่วนตัวที่พบเห็นคืออีเมล รหัสผ่าน ชื่อบุคคล และที่อยู่ หรือเป็นข้อมูลธุรกิจที่อ่อนไหว รวมไปถึงทรัพย์สินทางปัญญา เหล่าแฮกเกอร์อาจนำข้อมูลไปขายทอดตลาด หรือใช้เพื่อต่อรองกับเจ้าของข้อมูล ทั้งนี้ก็ขึ้นอยู่กับแรงจูงใจและผลประโยชน์ที่ต้องการ

นายทอม เบนกล่าวว่า “โปรแกรมเหล่านี้ใช้โจรกรรมข้อมูลเช่นรหัสผ่าน ข้อมูลที่ระบุตัวบุคคลได้ (PII: Personally Identifiable Information) และข้อมูลสำคัญอื่น ๆ ที่เกี่ยวข้องกับรายบุคคลไปจนถึงระดับองค์กร ยกตัวอย่างเช่น ถ้าตัว Keylogger สามารถสังเกตการณ์ข้อมูลการกดแป้นพิมพ์ของแอดมินในองค์กรขนาดใหญ่ได้ แฮกเกอร์จะมีสิทธิ์เข้าถึงแล็ปท็อปและเซิฟเวอร์เก็บข้อมูล ซึ่งสามารถโจรกรรมข้อมูลที่ทำเงินมหาศาลได้”

 

 

การใช้ Keylogger เชิงธุรกิจ

การใช้ Spyware อาจนำมาซึ่งคำถามถึงความเหมาะสมและปัญหาทางจริยธรรม การดักจับข้อมูลที่ใช้กับบุคคลในครอบครัว เพื่อนพ้อง หรือคนรักสามารถทำได้อย่างถูกกฎหมาย ถ้าติดตั้งบนอุปกรณ์ที่ตนเองใช้หรือคนรู้จัก แต่ก็ถือว่าเข้าข่ายรุกล้ำพื้นที่ส่วนบุคคลได้ สปายแวร์ที่ถูกกฎหมายที่เก็บรวบรวมข้อมูลของพนักงาน อาจมีระบบรักษาความปลอดภัยที่หละหลวม ตัวอย่างเช่น บริษัทให้บริการสปายแวร์อย่าง mSpy ได้ทำผิดโดยการละเมิดข้อมูลอย่างน้อยถึงสองครั้ง

เครื่องดักจับข้อมูลในสำนักงานเป็นประโยชน์ในแง่ของการทดสอบ แก้ไขบัค และปรับปรุงประสบการณ์ผู้ใช้ นายไซมอน ชาร์ป รองประธานระหว่างประเทศของ ObserverIT กล่าวว่า “ในสภาพแวดล้อมขององค์กรขนาดใหญ่ การสังเกตพฤติกรรมของพนักงานก็เพื่อให้พวกเขาอยู่ในกฎเกณฑ์ของบริษัท ซึ่งเป็นหน้าที่ของฝ่ายรักษาความปลอดภัยด้านไอที ข้อมูลจาก Keylogger สามารถสอบสวนแหล่งที่มาของข้อผิดพลาดในระบบ และทราบว่าเกิดอะไรขึ้น เพราะเจ้าหน้าที่สามารถทราบได้ทันทีที่มีการค้นหาถึงคำละเมิด หรือข้อมูลสำคัญที่เกี่ยวข้องภายใต้การสอบสวน และรู้ถึงตัวผู้ละเมิดกฎบริษัทรวมถึงมูลเหตุและเวลาก่อเหตุ”

ฝ่ายไอทีสามารถนำข้อมูลจากแป้นพิมพ์มาระบุและแก้ไขปัญหาของผู้ใช้งาน ช่วยรักษาความปลอดภัยด้านไอที และควบคุมความประพฤติของพนักงาน เพื่อไม่ให้ใช้อุปกรณ์นอกเหนือไปจากการทำงาน ไปจนถึงค้นหาหลักฐานทางนิติวิทยาศาสตร์เมื่อเกิดปัญหาขึ้น นอกจากนี้ประโยชน์ของ Keylogger ยังสามารถหยุดยั้งภัยคุมคามภายในที่อาจเกิดขึ้นได้ 

Windows 10 ก็มี Keylogger ของตัวเองติดตั้งพร้อมกับโปรแกรม สามารถเปิดดูได้ใน “PC Manager”

ส่วนขยายของ Google อย่าง Grammarly เป็นเครื่องมือช่วยตรวจการสะกดคำและไวยกรณ์ ก็ถือว่าเป็น Keylogger ที่มีประโยชน์เช่นกัน

การแจ้งเตือนพนักงานให้ทราบล่วงหน้าว่า ทางบริษัทมีการเก็บข้อมูลการใช้แป้นพิมพ์ ถือเป็นเรื่องสำคัญเพื่อไม่ให้ขัดกับกฎหมายละเมิดความเป็นส่วนตัว และข้อมูลที่เก็บควรถูกเข้ารหัส (encryption) ด้วยเช่นกัน

 

ภัย Keylogger แฝงตัวบนอุปกรณ์

เครื่องดักจับข้อมูลสามารถติดตั้งบนคอมพิวเตอร์ได้หลายช่องทาง ถ้าอยู่ในรูปแบบอุปกรณ์ (Hardware) บุคคลนั้นต้องกระทำด้วยตัวเอง โดยส่วนมากจะเกิดจากบุคคลภายใน การใช้คีย์บอร์ดไร้สายก็สามารถถูกดักข้อมูลจากทางไกลได้เช่นกัน

โปรแกรมดักจับข้อมูล (Software) เป็นวิธีหลักที่ใช้และมีช่องทางที่หลากหลายกว่า การฝังมัลแวร์ในโดเมนเป็นวิธีการโจมตีทั่วไป ในเดือนตุลาคม ชุดสำนักงานออนไลน์อย่าง Zoho ของอินเดีย มีผู้ใช้งานถูกมัลแวร์โจมตี ส่งผลให้โดเมน .com และ .eu โดนระงับ รวมถึงโปรแกรม Wordpress ออนไลน์อื่น ๆ นับพันก็ถูกมัลแวร์ฝังตัวในสคริปท์ Google Analytics ของปลอมด้วย

มัลแวร์ที่ฝังตัวผ่านแอปฟลิเคชันก็เป็นช่องทางหนึ่งเช่นกัน Google ได้ลบแอปกว่า 145 แอปออกจาก Play Store เพราะมีมัลแวร์ดักจับข้อมูลรวมอยู่ในแอป เช่นเดียวกับมัลแวร์ประเภทอื่น ๆ Keylogger ก็แฝงตัวอยู่ในลิงก์ของ การฟิชชิงผ่านอีเมล (Phishing Email) ด้วย เวอร์ชันใหม่ของ HawkEye ได้แพร่ระบาดผ่านการสแปมอีเมลที่มีไฟล์ .doc แฝงมัลแวร์ไว้ บางประเภทสามารถติดมัลแวร์ผ่าน USB ได้ อย่างของ Fauxspersky 

นายทอม เบนกล่าวว่า “สิ่งที่เปลี่ยนแปลงครั้งใหญ่ที่สุดของเครื่องดักจับข้อมูล ก็คือสามารถหลีกเลี่ยงการตรวจจับของ Antivirus ได้ โดยการใช้เทคนิคแฝงตัวไว้ใน Adware เพราะโดยทั่วไปเป็นโปรแกรมที่ไม่เป็นภัย หลังจากที่ adware ได้รับอนุญาตให้ทำงานแล้ว ก็จะไม่เกิดการตรวจสอบภัยคุมคาม เป็นเพราะไม่พบสิ่งแปลกปลอมที่โปรแกรมตั้งเงื่อนไขไว้”

Keylogger ส่วนใหญ่จะมาพร้อมกับมัลแวร์ประเภทอื่นเพื่อการโจมตีที่กว้างกว่า อีกทั้งยังแฝงมาพร้อมกับ Ransomware, cryptocurrency mining หรือ โปรแกรม Botnet ที่สามารถเปิดใช้งานโดยแฮกเกอร์ได้อย่างอิสระ

บางมหาวิทยาลัยได้รับความเสียหายจากเครื่องดักจับข้อมูล นักศึกษากว่า 2,000 รายในมหาวิทยาลัยเออร์ไวน์ แคลิฟอร์เนีย, สหรัฐอเมริกา ถูกโจรกรรมข้อมูลส่วนตัวจากคอมพิวเตอร์ที่ติดมัลแวร์ ในปี 2017  มหาวิทยาไอโอวาสเตต, สหรัฐอเมริกา นักศึกษาถูกจับกุมตัวโดย FBI ฐานปลอมแปลงข้อมูลคอมพิวเตอร์ โดยการคัดลอกข้อสอบและเปลี่ยนแปลงผลการเรียน  

 

6 วิธีการสังเกตและกำจัด Keylogger ออกจากอุปกรณ์

ข้อแนะนำดังต่อไปนี้ เป็นวิธีที่มีประสิทธิภาพที่สุดที่จะลดผลกระทบของมัลแวร์อันไม่พึงประสงค์ได้

1. สังเกตการณ์การจัดสรรทรัพยากร กระบวนการ และข้อมูล

การสังเกตการจัดสรรทรัพยากรและการทำงานของโปรแกรมพื้นหลังบนเครื่องคอมพิวเตอร์ เช่นเดียวกับข้อมูลที่ถูกส่งไปยังอุปกรณ์อื่น สามารถช่วยระบุตัว Keylogger ได้ เพราะมันต้องได้รับสิทธิเข้าถึงฐานระบบของเครื่องอุปกรณ์ ซึ่งเป็นสัญญาณว่ามีตัว Keylogger อยู่บนอุปกรณ์

2. หมั่นอัปเดตโปรแกรม Antivirus และ Anti-rootkit เสมอ

Keylogger มักมาพร้อมกับมัลแวร์ประเภทอื่น ๆ การพบ Keylogger บนอุปกรณ์อาจเป็นตัวบ่งชี้ว่าเกิดการโจมตีมากกว่าหนึ่งชนิด โปรแกรมป้องกันไวรัสจะกำจัดมัลแวร์ดักจับข้อมูลที่ตรวจพบได้ แต่อาจมีการสอบสวนเพิ่มเติมว่า Keylogger เป็นเพียงมัลแวร์ชนิดเดียวหรือไม่

3. ใช้โปรแกรม Anti-keylogger 

โปรแกรมถูกออกแบบมาเพื่อเข้ารหัส (Encryption) แป้นคีย์บอร์ด ค้นหา และกำจัดโปรแกรมดักข้อมูลที่รู้จักหรือโปรแกรมที่เกี่ยวข้องบนเครื่องอุปกรณ์ การปิดกั้นการเข้าถึงฐานระบบจากโปรแกรมไม่พึงประสงค์และนำ Spyware เข้าบัญชีดำก็สามารถช่วยได้เช่นกัน

4. พิจารณาใช้คีย์บอร์ดเสมือนบนหน้าจอคอมพิวเตอร์

สามารถลดความเสี่ยงของการถูกดักข้อมูลได้ เพราะการป้อนข้อมูลจะแตกต่างไปจากคีย์บอร์ดปกติ การทำแบบนี้อาจลดประสิทธิภาพการทำงานของผู้ใช้ได้ และไม่ได้ป้องกันการดักข้อมูลได้ทุกประเภท อีกทั้งยังไม่ได้กำจัดสาเหตุของปัญหาอีกด้วย

5. ปิดการใช้งานการทำงานของไฟล์ภายนอกโดยอัตโนมัติ

ปิดการเชื่อมต่ออุปกรณ์ภายนอกอย่าง USB อัตโนมัติ หรือการจำกัดการคัดลอกไฟล์จากแหล่งภายนอกและไปยังคอมพิวเตอร์อื่น อาจลดความเป็นไปได้ที่จะเกิดการติดมัลแวร์ได้

6. มาตราการเข้ารหัสที่เข้มงวด

นายทอม เบนให้คำแนะนำว่า “วิธีการที่กล่าวมาข้างต้นสามารถช่วยเหลือได้เป็นบางกรณีเท่านั้น แต่ทางที่ดีที่สุดสำหรับการจัดการระดับองค์กรก็คือมาตราการเข้ารหัสหลายชั้น การยืนยัน 2 ขั้นตอน (2FA: Two-Factor Authentication) เป็นวิธีที่ประสบความสำเร็จและปลอดภัยกับบัญชีของบริษัทและเครื่องอุปกรณ์ สำคัญที่สุดก็คือ เราไม่ควรแน่ใจว่าโปรแกรมป้องกันไวรัสทั่วไปจะสามารถป้องกันได้ทั้งหมด”