ระวัง! การโจรกรรมผ่านระบบสุ่มคำศัพท์บน Smart Phone

Andre ผู้เชี่ยวชาญด้าน IT ชาวเยอรมันวัย 33 ปี เพิ่งออกมาโพสต์ข้อความของเขาลงในกลุ่ม r/CryptoCurrency บน Reddit หลังจากค้นพบว่าโทรศัพท์มือถือของเขาสามารถทำนายวิธีการกู้คืนระบบ Seed Phrase ได้ทั้งหมด ทันทีที่เขาพิมพ์คำศัพท์คำแรกลงไปเท่านั้น หรือว่านี่จะเป็นสัญญาณเตือนครั้งใหม่ของการก่อคดีโจรกรรมผ่านระบบสุ่มคำศัพท์บนมือถือ?

Seed Phrase คืออะไร?

Seed Phrase หรือ การสุ่มชุดคำศัพท์ภาษาอังกฤษง่าย ๆ จากข้อเสนอการปรับปรุงระบบบิทคอยน์ (Bitcoin Improvement Protocol - BIP39) ประกอบไปด้วยคำศัพท์กว่า 2,048 คำ เพื่อสร้าง Master Private Key ขึ้นมาให้ผู้ใช้งานสามารถกู้ Private Key หรือ สามารถเข้าถึงสินทรัพย์ดิจิทัลของตนเองใน Wallet แบบกระจายศูนย์ได้ นอกจากนี้ BIP39 ยังทำหน้าที่เสมือนด่านป้องกันไม่ให้บรรดาแฮ็กเกอร์สามารถเจาะระบบโดยไม่ได้รับอนุญาตได้นั่นเอง

แฮ็กเกอร์จะสามารถก่อคดีโจรกรรมผ่านระบบสุ่มคำศัพท์ได้อย่างไร?

ผู้ใช้งาน Reddit รายดังกล่าวพยายามออกมาเตือนผู้ใช้งานรายอื่น ๆ รวมไปถึงกลุ่มผู้ใช้งานคริปโตให้ระมัดระวังการโจรกรรมในลักษณะนี้เป็นพิเศษ โดย Andre ได้ย้ำว่าระบบดังกล่าวได้เอื้อให้บรรดาแฮ็กเกอร์สูบเงินทั้งหมดในกระเป๋าดิจิทัลของผู้ใช้งานรายต่าง ๆ ไปได้อย่างง่ายได้ เพียงแค่พิมพ์คำศัพท์แรกจากหนึ่งในรายชื่อของ BIP39 เท่านั้น ทั้งนี้เขาได้ออกมากล่าวเพิ่มเติมว่า

“ระบบดังกล่าวได้เอื้อให้แฮ็กเกอร์สามารถโจมตีเหยื่อได้อย่างง่ายดายมากยิ่งขึ้น โดยพวกคุณสามารถทดลองดูได้ง่าย ๆ เพียงแค่หยิบโทรศัพท์มือถือของตนเองขึ้นมา แล้วเริ่มกดเข้าไปยังแอปพลิเคชันแชทเจ้าใดก็ได้ จากนั้นเริ่มพิมพ์คำศัพท์จาก BIP39 ลงไป แล้วลองดูว่าโทรศัพท์ของคุณจะแนะนำอะไร”

นอกจากนี้ การทดลองของ Andre ยังสามารถยืนยันได้ว่า แป้นพิมพ์ GBoard จาก Google นั้นเป็นแป้นพิมพ์ที่มีช่องโหว่น้อยที่สุด เนื่องจากซอฟต์แวร์ไม่สามารถคาดเดาคำศัพท์ในลำดับต่าง ๆ ได้อย่างถูกต้อง ในขณะที่ แป้นพิมพ์ Swiftkey ของ Microsoft รวมไปถึงแป้นพิมพ์จาก Samsung นั้นสามารถคาดเดาคำศัพท์ได้อย่างแม่นยำในทันทีที่เริ่มดำเนินการ ด้วยระบบ Auto replace และ Suggest text correction ที่ผู้ใช้งานสามารถเลือกเปิดใช้งานได้ด้วยตนเอง

Andre ทราบได้อย่างไรว่าสามารถโจรกรรมผ่านระบบสุ่มคำศัพท์ได้?

Andre ได้เริ่มก้าวเข้ามาสู่วงการคริปโตเป็นครั้งแรกในปี 2015 และเริ่มค่อย ๆ เลิกสนใจสินทรัพย์เหล่านี้ไปในช่วงหนึ่ง ก่อนจะกลับมาหวนคืนสู่วงการดังกล่าวอีกครั้งหลังจากรู้ว่าสามารถซื้อสินค้า และบริการด้วย Bitcoin (BTC) และเหรียญดิจิทัลสกุลอื่น ๆ ได้ ซึ่ง Andre ได้ตัดสินใจที่จะซื้อ และถือครง Bitcoin รวมไปถึงเหรียญ Altcoin สกุลอื่น ๆ ไว้บนพอร์ตโฟลิโอ เช่น Terra (LUNA), Algorand (ALGO) และ Tezos (XTZ) ก่อนจะจัดสรรสัดส่วนของเหรียญดังกล่าวให้เทียบเท่ากับเหรียญ BTC เมื่อราคาของสินทรัพย์เหล่านี้ทะยานขึ้นสูงอีกครั้ง นอกจากนี้ผู้เชี่ยวชาญด้าน IT รายนี้ยังได้พัฒนาเหรียญดิจิทัล และโทเคนของตนเองเป็นงานอดิเรกในยามว่างอีกด้วย

ในฐานะผู้คร่ำหวอดทั้งในวงการเทคโนโลยี และวงการคริปโต จึงทำให้ชาวเยอรมันรายนี้สามารถจำลองสถานการณ์ผ่านโทรศัพท์มือถือของตนเอง เพื่อทดสอบการคาดเดาระบบสุ่มคำศัพท์ดังกล่าว โดยเขาได้ออกมาให้สัมภาษณ์ผ่านสำนักข่าวต่างประเทศรายหนึ่งถึงความรู้สึกหลังจากค้นพบภัยคุกคามรูปแบบใหม่ว่า

“แน่นอนว่าถ้าหากการสุ่มคำศัพท์เหล่านั้นเกิดขึ้นแค่เพียงสองสามคำแรก ก็คงจะไม่ใช่เรื่องแปลกอะไร แต่ทว่าหลังจากที่โทรศัพท์มือถือของผมได้สุ่มเดาคำศัพท์จำนวน 12-24 คำจาก Seed Phrase ได้เป็นครั้งแรกนั้น ผมก็รู้สึกทึ่งไปเลย”

หลังจากตระหนักว่าผลกระทบเหล่านี้อาจถูกส่งต่อไปยังกลุ่มอาชญากรไซเบอร์ได้ จึงทำให้เขาตัดสินใจที่จะออกมาเตือนผู้คนในแวดวงต่าง ๆ ถึงเรื่องราวดังกล่าว นอกจากนี้ เขายังมั่นใจอย่างมากว่าจะต้องมีผู้ใช้งานรายอื่นที่ได้เคยพิมพ์ชุดคำศัพท์เหล่านั้นลงบนโทรศัพท์ของพวกเขาไปแล้วอย่างแน่นอน

มาตรการป้องกันภัยจากการแฮ็กผ่านระบบ Seed Phrase

ผู้เชี่ยวชาญชาวเยอรมันยังได้แนะนำมาตรการป้องกันความปลอดภัยจากการแฮ็กที่อาจเกิดขึ้นในอนาคต ว่าผู้ใช้คริปโตควรจัดเก็บข้อมูลสำคัญ และถือครองสินทรัพย์ในระยะยาวไว้กับ Hardware Wallet พร้อมกันนี้เขายังได้ออกมาเตือนชาว Reddit ทั่วโลกว่า

“สร้างเกราะคุ้มกันที่แข็งแกร่งให้กับตนเอง และป้องกันไม่ให้ภัยคุกคามดังกล่าวเกิดขึ้นด้วยการลบ Cache ที่เกี่ยวข้องกับการคาดเดาคำศัพท์บนอุปกรณ์ของคุณออกไป”

คำเตือนของ Andre เกิดขึ้นจริงแล้ว

ในขณะเดียวกัน เมื่อวันที่ 25 เมษายน ที่ผ่านมา บริษัทผู้ให้บริการรักษาความปลอดภัยบนเครือข่าย Blockchain อย่าง PeckShield ก็ได้ออกมาเตือนชุมชนคริปโตอย่าหลงเชื่อเว็บไซต์ปลอมที่เหล่าแฮ็กเกอร์ได้ทำการดัดแปลง Plug-in จากเบราว์เซอร์ MetaMask เพื่อนำมาใช้เล่นงานกลุ่มผู้ใช้งานแอปพลิเคชันไลฟ์สไตล์บน Web3 อย่าง STEPN ผ่านระบบ Seed Phrases เป็นอันขาด เนื่องจากหากแก๊งอาชญากรเหล่านี้สามารถเจาะเข้าไปยัง Seed Phrases ได้แล้วนั้น พวกเขาก็จะสามารถเข้าควบคุมกระเป๋าคริปโตของผู้ใช้งานผ่านบัญชี STEPN ได้อย่างสมบูรณ์นั่นเอง