บัญชี PSN ถูกยึดครองหลายครั้ง แม้จะเปิดใช้งานการยืนยันตัวตนสองชั้น (2FA) แล้ว

ในยุคที่การโจมตีทางไซเบอร์เพิ่มขึ้นอย่างต่อเนื่อง ผู้ใช้งานบริการออนไลน์จำนวนมากต่างตระหนักถึงความสำคัญของการป้องกันบัญชี โดยเฉพาะอย่างยิ่งการเปิดใช้งานการยืนยันตัวตนสองชั้น (Two-Factor Authentication หรือ 2FA) ซึ่งถือเป็นมาตรฐานความปลอดภัยขั้นพื้นฐาน อย่างไรก็ตาม กรณีศึกษาล่าสุดจากผู้ใช้งานรายหนึ่งในฟอรัม tarnkappe.info เผยให้เห็นว่าบัญชี PlayStation Network (PSN) สามารถถูกยึดครองได้หลายครั้ง แม้เจ้าของบัญชีจะปฏิบัติตามแนวปฏิบัติด้านความปลอดภัยอย่างเคร่งครัดแล้วก็ตาม เรื่องราวนี้เกิดขึ้นกับผู้ใช้งานชื่อ “DerKomiker” ซึ่งบัญชีของเขาถูกแฮกเกอร์บุกรุกถึงสามครั้งภายในระยะเวลาเพียงสองสัปดาห์

เหตุการณ์ครั้งแรกเกิดขึ้นเมื่อวันที่ 20 ตุลาคม โดยแฮกเกอร์สามารถเข้าถึงบัญชีได้จากที่อยู่ IP ที่ไม่รู้จัก ซึ่งตั้งอยู่ในประเทศรัสเซีย จากนั้นได้เปลี่ยนแปลงรหัสผ่าน อีเมลที่เชื่อมโยงกับบัญชี และลบการตั้งค่า 2FA ออกทั้งหมด ผู้ใช้งานตรวจพบความผิดปกติเมื่อไม่สามารถเข้าถึงบัญชีได้ตามปกติ และรีบดำเนินการติดต่อฝ่ายสนับสนุนของ Sony ทันที กระบวนการกู้คืนบัญชีต้องใช้เอกสารยืนยันตัวตน เช่น ใบเสร็จรับเงินจากการซื้อสินค้าที่เชื่อมโยงกับบัญชี ซึ่ง Sony ต้องการเพื่อยืนยันความเป็นเจ้าของที่แท้จริง สุดท้าย ผู้ใช้งานก็สามารถกู้คืนบัญชีได้ในวันที่ 21 ตุลาคม

ไม่นานนัก เพียงสี่วันต่อมา ในวันที่ 24 ตุลาคม บัญชีถูกบุกรุกอีกครั้ง คราวนี้แฮกเกอร์ใช้ที่อยู่ IP จากประเทศอื่น และทำการเปลี่ยนแปลงข้อมูลในลักษณะเดียวกัน ผู้ใช้งานต้องทำตามขั้นตอนกู้คืนซ้ำอีกครั้ง และประสบความสำเร็จในวันที่ 25 ตุลาคม แต่โศกนาฏกรรมยังไม่จบ เมื่อวันที่ 30 ตุลาคม บัญชีถูกยึดครองเป็นครั้งที่สาม โดยแฮกเกอร์เปลี่ยนอีเมลเป็นที่อยู่แบบใช้แล้วทิ้ง (burner email) และลบ 2FA ออกอีกครั้ง กระบวนการกู้คืนครั้งนี้ยิ่งยุ่งยากกว่าเดิม เนื่องจาก Sony ต้องการเอกสารเพิ่มเติมเพื่อป้องกันการฉ้อโกง

สิ่งที่น่าสนใจคือ ผู้ใช้งาน “DerKomiker” ได้ปฏิบัติตามมาตรฐานความปลอดภัยอย่างดีเยี่ยม โดยใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกับบัญชีอื่นๆ รวมถึงเปิดใช้งาน 2FA ผ่านแอปพลิเคชัน Google Authenticator ซึ่งถือว่าปลอดภัยกว่าการใช้ SMS อย่างมาก นอกจากนี้ ผู้ใช้งานยังไม่มีสัญญาณของมัลแวร์ในระบบคอมพิวเตอร์หรืออุปกรณ์ของตน ดังนั้น ช่องโหว่ที่แฮกเกอร์ใช้ประโยชน์จึงน่าจะมาจากปัจจัยภายนอก เช่น การโจมตีแบบฟิชชิง (phishing) ที่ซับซ้อน หรือการขโมยเซสชัน (session hijacking) ผ่านช่องโหว่ XSS (Cross-Site Scripting) บนเว็บไซต์ของบุคคลที่สามที่เชื่อมโยงกับ PSN

การโจมตีดังกล่าวชี้ให้เห็นถึงข้อจำกัดของ 2FA ในปัจจุบัน โดยเฉพาะเมื่อแฮกเกอร์สามารถเข้าถึงเซสชันที่ยังคงใช้งานอยู่ได้ หากผู้ใช้งานเคยล็อกอินผ่านเว็บไซต์ปลอมที่เลียนแบบ PSN หรือคลิกลิงก์ที่เป็นอันตราย แฮกเกอร์อาจขโมยคุกกี้เซสชันและใช้เข้าถึงบัญชีโดยไม่ต้องกรอกรหัสผ่านหรือรหัส 2FA ใหม่ นอกจากนี้ การที่แฮกเกอร์สามารถลบ 2FA ได้ทันทีหลังเข้าถึง แสดงให้เห็นว่าอินเทอร์เฟซผู้ดูแลระบบของ PSN อนุญาตให้เจ้าของบัญชี (ที่ถูกขโมยมา) ทำการเปลี่ยนแปลงดังกล่าวได้โดยง่าย ซึ่งเป็นจุดอ่อนที่ควรได้รับการปรับปรุงจาก Sony

กระบวนการกู้คืนบัญชีของ Sony เองก็มีจุดบกพร่อง โดยผู้ใช้งานต้องรอเวลานานและส่งเอกสารจำนวนมาก ซึ่งอาจไม่เหมาะสมกับผู้ใช้งานทั่วไปที่ไม่มีใบเสร็จเก่าๆ เก็บไว้ แม้ Sony จะมีนโยบายป้องกันการฉ้อโกง แต่ในทางปฏิบัติ มันสร้างความยุ่งยากให้กับผู้เสียหายที่แท้จริง นอกจากนี้ หลังกู้คืน ผู้ใช้งานยังต้องตั้งค่า 2FA ใหม่ทุกครั้ง และตรวจสอบประวัติการเข้าถึงบัญชีอย่างละเอียดเพื่อป้องกันการบุกรุกซ้ำ

จากกรณีนี้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำแนวปฏิบัติเพื่อลดความเสี่ยง ดังนี้

1. ใช้ 2FA แบบแอปพลิเคชันหรือฮาร์ดแวร์คีย์: หลีกเลี่ยง SMS เนื่องจากเสี่ยงต่อการโจมตี SIM swapping ควรใช้ Google Authenticator, Authy หรือ YubiKey แทน

2. รหัสผ่านที่แข็งแกร่งและไม่ซ้ำ: ใช้ตัวจัดการรหัสผ่าน (password manager) เช่น Bitwarden หรือ LastPass เพื่อสร้างและเก็บรหัสผ่านที่ซับซ้อน

3. ตรวจสอบประวัติการเข้าถึงอย่างสม่ำเสมอ: ในส่วนการตั้งค่าบัญชี PSN ควรตรวจดูอุปกรณ์และ IP ที่เข้าถึงล่าสุด หากพบสิ่งผิดปกติ ให้เปลี่ยนรหัสผ่านทันที

4. ระวังฟิชชิง: ไม่คลิกลิงก์จากอีเมลหรือข้อความที่ไม่น่าเชื่อถือ ใช้ลิงก์ตรงจากเว็บไซต์ทางการของ PSN เสมอ

5. เปิดใช้งานการแจ้งเตือน: ตั้งค่าการแจ้งเตือนทางอีเมลเมื่อมีการเปลี่ยนแปลงบัญชี เพื่อตอบสนองอย่างรวดเร็ว

6. สำรองเอกสารยืนยัน: เก็บใบเสร็จและข้อมูลบัญชีไว้ในที่ปลอดภัย เพื่อใช้ในการกู้คืน

กรณีศึกษานี้เป็นเครื่องเตือนใจว่าความปลอดภัยออนไลน์ไม่มีระบบไหนสมบูรณ์แบบ 100% ผู้ใช้งาน PSN และบริการคลาวด์อื่นๆ ควรยกระดับการป้องกันให้สูงสุด โดยผสมผสานหลายชั้นของความปลอดภัย (defense-in-depth) Sony เองก็ควรปรับปรุงระบบเพื่อป้องกันการลบ 2FA โดยไม่มีการยืนยันเพิ่มเติม และเร่งรัดกระบวนการกู้คืนให้มีประสิทธิภาพยิ่งขึ้น เพื่อปกป้องผู้ใช้งานจำนวนมากที่พึ่งพาบริการนี้ในการเล่นเกมและเข้าถึงเนื้อหาดิจิทัล

(จำนวนคำประมาณ 750 คำ)

This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)