ในปี คศ.2008 เราสามารถจัดอันดับภัยอินเทอร์เน็ตได้ 10 อันดับ ดังต่อไปนี้

1. ภัยจากการถูกขโมยชื่อผู้ใช้และรหัสผ่านในการเข้าใช้งานระบบออนไลน์ผ่านทางอินเทอร์เน็ต (Username/Password and Identity Theft)

หลายท่านคงเคยได้ชมภาพยนตร์แนว Sci-Fi ที่เกี่ยวกับแฮกเกอร์ที่เจาะข้อมูลของเหยื่อ ยกตัวอย่างเช่น ภาพยนตร์เรื่อง "The Net" หรือ "Firewall" แฮกเกอร์จะทำการขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อเพื่อแอบโอนเงินจากบัญชีของเหยื่อ หรือ แอบนำบัตรเครดิตของเหยื่อไปใช้โดยที่เหยื่อไม่รู้ตัว ซึ่งกว่าเหยื่อจะทราบว่าโดนขโมยบัตรเครดิต หรือ ถูกโอนเงินในบัญชีไปโดยไม่รู้ตัว ก็พบว่าเงินหมดบัญชีไปแล้ว หรือ บางรายถึงขั้นล้มละลายเลยก็มี เป็นต้น

การขโมย "Identity" หรือ ความเป็นตัวตนของเหยื่อดังกล่าวนั้นเกิดขึ้นจริงแล้วในปัจจุบันไม่ใช่การแสดงเฉพาะในภาพยนตร์เท่านั้น การขโมยเงินจากบัตรเครดิตหรือบัตรเอทีเอ็มมีคดีเกิดขึ้นมากมายในประเทศไทยในช่วงสองสามปีทีผ่านมา และ มีเนวโน้มที่จะเพิ่มขึ้นในอนาคต เป้าหมายของเหล่าผู้ไม่หวังดีก็คือ ระบบอินเทอร์เน็ตแบงค์กิ้งหรือระบบการให้บริการธนาคารผ่านทางอินเทอร์เน็ต

ซึ่งในปัจจุบันทางธนาคารแห่งประเทศไทยได้ออกกฎระเบียบให้ธนาคารพาณิชย์ทุกธนาคารต้องมีกระบวนการในการตรวจสอบความปลอดภัยของระบบออนไลน์ของตนเองด้วยการทดสอบเจาะระบบของตนที่เรียกว่า "Penetration Testing" ก่อนการให้บริการกับประชาชน ถือว่าเป็นการบริหารความเสี่ยง (Risk Management) ที่ถูกต้องตามหลักวิชาการ

ในปัจจุบันหลายธนาคารในประเทศไทยตกเป็นเป้าหมายของแฮกเกอร์ในการเจาะข้อมูลของลูกค้าธนาคาร ซึ่งแฮกเกอร์มีเทคนิคใหม่ๆ มากมายในการเจาะระบบ ทางธนาคารจึงมีความจำเป็นอย่างยิ่งที่ต้องทดสอบและตรวจสอบระบบด้วยการทำ Vulnerability Assessment และ Penetration Testing ก่อนการให้บริการ

อีกธุรกิจหนึ่งที่ตกเป็นเป้าหมายของแฮกเกอร์ก็คือ เกมส์ออนไลน์ ซึ่งแฮกเกอร์จะเรียกตัวเองว่า "Gold Farmer" หรือ "นักขุดทองออนไลน์" โดยจะพยายามเจาะข้อมูลของผู้เล่นเกมส์ แล้วเข้าไปในเกมส์เพื่อขโมยทรัพย์สินภายในเกมส์แล้วนำมาขายทอดตลาดในโลกจริง ทำให้ผู้เล่นเกมส์เกิดความเสียหาย เช่น การเสียทรัพย์ เสียทั้งเงินและเวลาในการสะสมทรัพย์สินในเกมส์เหล่านั้นให้ได้มาเหมือนเดิมก่อนที่จะถูกขโมยดังกล่าวซึ่งจะมีผลกระทบกับเด็กวัยรุ่นที่ยังไม่สามารถหาเงินได้เอง ต้องเดือดร้อนถึงคุณพ่อคุณแม่อย่างหลีกเลี่ยงไม่ได้

จะเห็นได้ว่า การโจมตีในโลกออนไลน์หรือในระบบเกมส์บนอินเทอร์เน็ตที่เราเรียกว่า "Virtual World" ได้มีผลกระทบกับโลกแห่งความเป็นจริง "Real World" ทั้งทางตรงและทางอ้อม ดังนั้นเราควรเรียนรู้ถึงวิธีการโจมตีในรูปแบบต่างๆ ของแฮกเกอร์เพื่อที่เราจะได้สามารถป้องกันตนเองและญาติพี่น้อง ตลอดจนบริษัทหรือองค์กรที่เราทำงานอยู่ได้อย่างปลอดภัยจากภัยอินเทอร์เน็ตดังต่อไปนี้

1.1 Phishing Attack

วิธีการโจมตีแบบ "Phishing" นั้นกำลังเป็นที่นิยมของแฮกเกอร์ในช่วงหลายปีที่ผ่านมา โดยจะเน้นการโจมตีไปที่กลุ่มผู้ใช้บริการออนไลน์และผู้ใช้บริการ eCommerce เช่น eBay, Amazon หรือ PayPal เป็นต้น และ แฮกเกอร์ยังนิยมโจมตีกลุ่มผู้ใช้บริการอินเทอร์เน็ตแบงค์กิ้งอีกด้วย

วิธีการของเหล่ามิจฉาชีพก็คือ การส่งอิเล็กทรอนิกส์เมล์หลอกมายังผู้ใช้บริการออนไลน์ต่างๆ เช่น ผู้ใช้บริการอินเทอร์เน็ตแบงค์กิ้งว่าอิเล็กทรอนิกส์เมล์นั้นถูกส่งมาจากธนาคารที่ผู้ใช้บริการติดต่อใช้บริการอยู่ โดยมีการปลอมแปลงชื่อผู้ส่งและที่อยู่ของผู้ส่งว่ามาจากธนาคารดังกล่าว และมีเนื้อความในอิเล็กทรอนิกส์เมล์หลอกให้เหยื่อหลงเข้าไป "Log-on" หรือ "Sign-on" เข้าไปในหน้าเว็บหลอกที่มี URL ปรากฎอยู่ในรูปของ Link ที่อยู่ในเนื้อความของอิเล็กทรอนิกส์เมล์ ซึ่ง Link ดังกล่าวก็จะเชื่อมไปยังเว็บไซต์หลอกที่แฮกเกอร์ได้ทำไว้เพื่อดักชื่อผู้ใช้และรหัสผ่านของเหยื่อ เมื่อเหยื่อหลงเข้าไป "Log-on" ก็เท่ากับว่าไปบอกชื่อผู้ใช้และรหัสผ่านซึ่งเป็นความลับ ให้กับแฮกเกอร์โดยรู้เท่าไม่ถึงการณ์

สำหรับทางแก้ไขที่ได้ประสิทธิภาพก็คือการนำระบบ "Two-Factor Authentication" หรือ ระบบการพิสูจน์ตัวตนโดยการใช้อุปกรณ์ Token หรือ Smart Card ร่วมกับรหัสผ่าน หรือ ใช้ระบบรหัสผ่านแบบ "One Time Password" (OTP) ซึ่งจะมีความปลอดภัยมากกว่าระบบที่ใช้เพียงแค่ "ชื่อผู้ใช้" และ "รหัสผ่าน" แบบเดิมๆ ที่ไม่สามารถป้องกันวิธีการโจมตีแบบ "Phishing" ได้

1.2 Pharming Attack

เป็นการโจมตีที่ไม่ต้องใช้วิธีการส่งอิเล็คโทรนิกส์เมล์มาหลอกเหยื่อแบบ Phishing แต่จะใช้วิธีการโจมตีที่ระบบ Domain Name System (DNS) หรือ โจมตีที่ไฟล์ HOSTS ของเครื่องลูกข่าย โดยการ "Re-Direct" หรือ "ย้าย" ชื่อของเว็บไซต์ให้ชี้ไปยัง "IP Address ลวง" ที่ไม่ตรงกับ "IP Address จริง" ของเว็บไซต์นั้นๆ ซึ่งเหยื่อจะแยกความแตกต่างแทบไม่ออกเลยระหว่างเว็บไซต์จริงกับเว็บไซต์ปลอมที่ทางแฮกเกอร์ได้เตรียมไว้ เพราะ URL ของเว็บไซต์ไม่มีการเปลี่ยนแปลง ดังนั้นทางแก้จึงมีเพียงทางเดียวที่ได้ผล นอกจากการป้องกันระบบ DNS ให้ปลอดภัยจากการโจมตี กล่าวคือ การใช้ระบบ Two Factor Authentication ดังที่กล่าวมาแล้วในตอนต้น

1.3 Vishing หรือ Voice SPAM Attack

เป็นการโจมตีโดยการใช้ระบบโทรศัพท์เข้ามาเกี่ยวข้อง เราคงเคยได้ยินเรื่อง "แก็งค์โทรตุ๋น ไม่โชว์เบอร์" พฤติกรรมของแก็งค์นี้มีการใช้ระบบ "Automated Calling" หรือระบบ "Voice Over IP" มาใช้ในการโทรหลอกเหยื่อให้หลงคิดว่าเป็นระบบโทรอัตโนมัติจากธนาคารสถาบันการเงิน หรือบริษัทบัตรเครดิต เพื่อทำการหลอกเหยื่อให้หลงเชื่อ จากนั้นก็จะหลอกถามข้อมูลส่วนตัวหรือข้อมูลทางด้านการเงินของเหยื่อ เพื่อนำไปใช้ในการทำบัตรเครดิตปลอม หรือนำไปใช้ในทางมิชอบทางอื่น ทำให้เหยื่อเกิดความเสียหายได้โดยกว่าจะรู้ตัวก็พบว่าเงินได้ออกจากบัญชีไปแล้ว หรือ มีการแอบใช้บัตรเครดิตของเราโดยที่เราไม่ได้เป็นคนใช้จ่าย ดังนั้น เราจึงควรระวังตัวเวลาได้รับโทรศัพท์จากแก็งค์ดังกล่าว อย่าเผลอไปหลงเชื่อวิธีการ "Social Engineering" ดังที่กล่าวมาแล้ว และควรใช้วิจารณญาณวิเคราะห์ทุกครั้งที่ได้รับโทรศัพท์จากคนแปลกหน้า

1.4 Spyware / Keylogger Attack

โปรแกรมดักข้อมูลจากคีย์บอร์ด หรือ Keylogger จักได้ว่าเป็นโปรแกรมประเภท "Spyware" โดยมีจุดประสงค์ในการดักข้อมูลโดยที่เหยื่อไม่รู้ตัว เกิดจากการที่เหยื่อมักจะเปิดเครื่องทิ้งไว้โดยไม่ได้ Lock หน้าจอคอมพิวเตอร์ เป็นเหตุให้ผู้ไม่หวังดีสามารถทำการติดตั้งโปรแกรม Spyware หรือ Keylogger ผ่านทางการใช้ Thumb Drive หรือ USB Drive ที่ทุกคนใช้กันโดยทั่วไป หลังจากนั้นไม่ว่าเหยื่อจะพิมพ์อะไรก็จะถูกดักข้อมูลบนคีย์บอร์ดและข้อมูลหน้าจอส่งไปยังฟรีอีเมล์ของแฮกเกอร์เป็นระยะๆ ทำให้ข้อมูลส่วนตัวของเหยื่อหลุดเข้าไปอยู่ในมือคนร้ายอย่างง่ายดาย ดังนั้น เราควรล็อกหน้าจอคอมพิวเตอร์ทุกครั้งเวลาที่เราไม่ได้อยู่หน้าเครื่องและการใช้โปรแกรมประเภท Anti-Malware ด้วย

1.5 Remote Access Trojan (RAT) Attack

เป็นการโจมตีระยะไกลโดยใช้โปรแกรมประเภทม้าโทรจันส่งผ่านมาทางอีเมล์ โดยหลอกว่าเป็นโปรแกรมประยุกต์ทั่วไป เช่น โปรแกรมเกมส์ หรือ โปรแกรมที่ใช้ในการฆ่าไวรัส เป็นต้น เมื่อเหยื่อหลงเข้าใจผิดแล้วสั่ง "Run" โปรแกรมดังกล่าว เหยื่อก็จะถูกควบคุมคอมพิวเตอร์ของตนจากระยะไกล (Remote Access) โดยไม่รู้ตัว ทำให้แฮกเกอร์สามารถเข้ามาล้วงความลับของเหยื่อได้อย่างง่ายดาย การป้องกันที่ได้ผลที่สุดก็คือ การฝึกอบรม "Security Awareness Training" ให้กับผู้ใช้คอมพิวเตอร์ให้รู้เท่าทันวิธีการโจมตีดังกล่าวและมีวินัยในการเปิดใช้งานโปรแกรมเฉพาะโปรแกรมประยุกต์ที่ใช้ในการทำงานเท่านั้น โดยไม่เข้าไปเปิด หรือ "Run" โปรแกรมที่ไม่ปลอดภัยจะได้ไม่ต้องตกเป็นเหยื่อดังที่กล่าวมาแล้ว

1.6 HOAX/SCAM หรือจดหมายหลอกลวง

HOAX หรือ SCAM ถือเป็นการ "SPAM" อย่างหนึ่งผ่านทางอีเมล์ มีวัตถุประสงค์ในการส่งอีเมล์หลอกให้เหยื่อเข้าใจผิดว่าได้รับรางวัลหรือได้รับเงินผ่านทางอินเทอร์เน็ต ซึ่งเหยื่อจะเกิดความโลภที่จะได้รับเงินก้อนโต จากนั้นมิจฉาชีพก็จะหลอกให้เหยื่อโอนเงินค่าธรรมเนียม (เงินก้อนเล็ก) เพื่อให้ได้รางวัล (เงินก้อนโต) ดังกล่าว ดังนั้น อีเมล์ประเภทนี้เราควรลบทิ้งทันทีไม่ต้องไปสนใจ

1.7 Theft of Notebook/PC or Mobile Device

เป็นการขโมยแบบดั้งเดิมทางกายภาพโดยไม่ต้องใช้เทคนิคทางคอมพิวเตอร์เลย กล่าวคือ การขโมย PC,Notebook,PDA หรือ โทรศัพท์มือถือ จากนั้นก็นำไปถอดเอาฮาร์ดดิสก์หรือ SIM Card ออกจากเครื่องเพื่อนำไป "Copy" ข้อมูลของเหยื่อเพื่อวัตถุประสงค์บางอย่าง หรือนำอุปกรณ์คอมพิวเตอร์ของเราไปจำหน่ายต่อในตลาดมือสอง ทำให้เราต้องเสียทั้งข้อมูลในเครื่องและตัวเครื่อง วิธีการป้องกันก็คือ อย่าวางอุปกรณ์พกพา หรือ อุปกรณ์คอมพิวเตอร์ ไว้ในที่ที่ไม่ปลอดภัยและควร Backup ข้อมูลไว้เป็นระยะๆ หรือ ควรมีการเข้ารหัสข้อมูล (Data Encryption) เพื่อที่จะป้องกันข้อมูลถึงแม้จะถูกขโมยฮาร์ดแวร์ไป แฮกเกอร์ก็ไม่สามารถเข้าถึงข้อมูลที่เราเข้ารหัสไว้ได้ ทำให้เรายังคงรักษาความลับของข้อมูลไว้ได้

จากภัยทั้งเจ็ด เราพบว่าสาเหตุหลักของการถูกโจมตีดังกล่าวก็คือ การที่ผู้ใช้คอมพิวเตอร์ขาดความรู้ความเข้าใจเรื่องเทคนิคการโจมตีของแฮกเกอร์ ทำให้ขาดความระมัดระวัง (No Information Security Awareness) ในการใช้งานอินเทอร์เน็ตโดยรู้เท่าไม่ถึงการณ์ ซึ่งวิธีการแก้ไขที่ได้ผลมากที่สุดก็คือ การ "Update" ข้อมูลใหม่ๆ ให้กับผู้ใช้คอมพิวเตอร์ด้วยการจัดทำโปรแกรม "Information Security Awareness Training" ขึ้นในองค์กร เพื่อให้เกิดความตระหนักและรู้เท่าทันถึงภัยดังกล่าว รวมถึงการใช้กระบวนการ เช่น ISO/IEC2 7001 และเทคโนโลยีที่ทันสมัยมาแก้ปัญหาในระยะยาว เช่น เทคโนโลยี Two Factor Authentication หรือ การเข้ารหัสข้อมูล (Data Encryption) เป็นต้น