Google เปิดเผยงานวิจัยที่ทำร่วมกับ University of California, San Diego ในหัวข้อการสำรวจกลุ่มแฮกเกอร์ที่ประกาศรับจ้างแฮกบัญชีอีเมล โดยพบว่าส่วนใหญ่เป็นการหลอกลวง ไม่สามารถแฮกได้จริง อีกทั้งวิธีการที่ใช้ก็เป็นแค่การพยายามหลอกถามรหัสผ่านจากเหยื่อหรือหลอกให้เหยื่อติดตั้งมัลแวร์เพื่อขโมยข้อมูล ไม่ได้ใช้เทคนิคซับซ้อนใดๆ
ทางทีมวิจัยได้สร้างบัญชี Gmail ขึ้นมาจำนวนหนึ่งเพื่อใช้จำลองเป็นบัญชีอีเมลของเหยื่อ ใส่ข้อมูลโพรไฟล์ให้ดูเหมือนว่าเป็นบัญชีที่มีการใช้งานจริง โดยบัญชีเหล่านี้ได้ถูกตั้งค่าให้บันทึกข้อมูลการเข้าถึงและติดตามพฤติกรรมการใช้งานเพื่อใช้ตรวจสอบว่าสามารถถูกแฮกได้ผ่านช่องทางไหนและหลังจากที่ถูกแฮกได้นั้นบัญชีเหล่านี้ถูกนำไปใช้ทำอะไรต่อบ้าง จากนั้นได้ติดต่อไปยังกลุ่มแฮกเกอร์จำนวน 27 กลุ่มที่อ้างว่าสามารถแฮกอีเมลได้ โดยพบว่ามี 10 กลุ่มที่ไม่ตอบอะไรกลับมาเลย อีก 12 กลุ่มตอบกลับมาว่าสามารถแฮกได้แต่สุดท้ายก็ไม่ได้มีการพยายามแฮกเข้ามาจริง (ในนี้มี 3 กลุ่มที่มีแนวโน้มชัดเจนว่าตั้งใจหลอกลวง) มีแค่ 5 กลุ่มเท่านั้นที่พยายามหาวิธีแฮกบัญชี Gmail ของเหยื่อได้จนสำเร็จ
ถึงแม้ค่าใช้จ่ายในการแฮกบัญชี Gmail นั้นอาจสูงถึง 500 ดอลลาร์สหรัฐฯ แต่กลุ่มแฮกเกอร์เหล่านี้ก็ไม่ได้ใช้วิธีซับซ้อนใดๆ ในการโจมตี รวมถึงไม่ได้มีการโจมตีเข้ามาที่ระบบของ Gmail โดยตรง ส่วนใหญ่เป็นแค่การส่งอีเมลฟิชชิ่งไปหลอกถามรหัสผ่านจากเหยื่อ มีแค่ 1 ทีมที่ส่งมัลแวร์เข้าไปหลอกให้เหยื่อติดตั้ง ซึ่งมัลแวร์นี้จะขโมยรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์แล้วส่งกลับมา ทั้งนี้ บัญชี Gmail ที่ใช้ทดสอบแฮกนั้นได้เปิดใช้งานการล็อกอินแบบสองชั้น มีกลุ่มแฮกเกอร์แค่กลุ่มเดียวเท่านั้นที่ใช้วิธีหลอกให้เหยื่อกรอกรหัส OTP ที่ได้รับทาง SMS ลงในเว็บไซต์ปลอมเพื่อให้สามารถเข้าถึงบัญชีดังกล่าวได้
แนวทางการป้องกัน
- ผู้ใช้ควรตั้งรหัสผ่านให้คาดเดาได้ยาก ไม่ซ้ำกับรหัสผ่านที่ใช้ในบริการอื่น เปิดใช้งานการล็อกอินแบบสองชั้นหากทำได้ พิจารณาก่อนล็อกอินเพราะอาจตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง และระวังการติดตั้งโปรแกรมที่ไม่สามารถยืนยันแหล่งที่มาเพราะอาจเป็นมัลแวร์ขโมยข้อมูล
- ผู้ที่ต้องการใช้บริการจ้างแฮกอีเมล ควรพิจารณาให้รอบคอบก่อนจ่ายเงินให้กับผู้ที่อ้างว่าสามารถแฮกอีเมลหรือบัญชีของบริการต่างๆ ได้ เนื่องจากส่วนใหญ่นั้นเป็นการหลอกลวงหรือไม่ก็โฆษณาเกินจริง
กระบวนการวิจัย ช่องทางการติดต่อกลุ่มแฮกเกอร์รับจ้าง และรายละเอียดข้อมูลต่างๆ ที่พบ ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากที่มา
| 
