Security Tips

เพื่อปกป้องผู้ใช้งานระบบอินเทอร์เน็ตให้มีความมั่นคงปลอดภัย สพธอ. ถือว่าความมั่นคงปลอดภัยเป็นสิ่งสำคัญที่ละเลยไม่ได้ และเพื่อให้มีการใช้งานระบบอินเทอร์เน็ตได้อย่างมั่นคงปลอดภัย ไม่ตกเป็นเหยื่อสำคัญผิดจากผู้ไม่หวังดี จึงขอแนะนำ เผยแพร่ ตัวอย่างความรู้ แนวทางปฏิบัติที่เหมาะสม เพื่อสร้างความตระหนักให้ผู้ใช้งานอินเทอร์เน็ตสามารถป้องกันข้อมูลส่วนตัวและและลดความเสี่ยงในการใช้งานคอมพิวเตอร์ ดังนี้

การป้องกันข้อมูลส่วนตัว

• การตั้งรหัสผ่านที่คาดเดาได้ยาก
• ภัยร้ายจาก phishing
• วิธีป้องกันการขโมยข้อมูลส่วนบุคคล
• วิธีป้องกันการถูกฉ้อโกงทางเว็บไซต์

การป้องกันคอมพิวเตอร์

• ประเภทภัยร้ายและวิธีป้องกันภัย
• ค้นคว้าข้อมูลเพิ่มเติม

การป้องกันข้อมูลส่วนตัว

การตั้งรหัสผ่านที่คาดเดาได้ยาก โดยทั่วไปเพื่อความปลอดภัยมีการเสนอให้ตั้งรหัสผ่านอย่างน้อย 8 ตัวอักษร และหลีกเลี่ยงการตั้งรหัสผ่านด้วย หมายเลขโทรศัพท์ ชื่อเล่น ชื่อสัตว์เลี้ยง หรือคำที่ตนเองชอบพูดถึงบ่อย สำนักงานข่าวซีเอ็นเอ็นได้เสนอข่าวโดยอ้างอิงจากผู้เชี่ยวชาญจากสถาบันวิจัยเทคโนโลยีแห่งรัฐจอร์เจียในสหรัฐอเมริกา เสนอวิธีการตั้งรหัสผ่านที่เดายาก ควรตั้งให้ยาวอย่างน้อง 12 ตัวอักษร และควรต้องใช้อักขระหรือสัญลักษณ์พิเศษ ร่วมด้วย และอีกกรณีตัวอย่างที่น่าสนใจคือวิธีการของ อีเบย์ ที่แนะนำให้ตั้งรหัสผ่านจากประโยคในเนื้อเพลงที่สอดแทรกอักขระพิเศษ ที่สำคัญ ภายหลังที่ได้รหัสผ่านที่คาดเดาได้ยากแล้ว ก็ควรเปลี่ยนรหัสผ่านเป็นระยะๆ ด้วย รวมถึงระมัดระวังการใส่รหัสผ่านบนเครื่องคอมพิวเตอร์สาธารณะหรือเครื่องคอมพิวเตอร์ของบุคคลอื่น และควรตั้งรหัสผ่านสำหรับการใช้งานกับบัญชีธนาคารออนไลน์ ไม่ซ้ำกับบัญชีเว็บอีเมล เว็บเกม หรือแม้กระทั้งเว็บเครือข่ายสังคม

ภัยร้ายจาก phishing "พิชชิ่ง" (phishing) เป็นการหลอกลวงในรูปแบบการปลอมแปลง จดหมายอิเล็กทรอนิกส์ หรือข้อความที่สร้างขึ้นหลอกให้ผู้งานสำคัญผิดเปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนตัวต่างๆ เช่น บัญชีใช้งานและรหัสผ่าน (User name / Password), ข้อมูลหมายเลขบัตรเครดิต หรือหมายเลขบัตรประจำตัวอื่นๆ วิธี phishing มักจะเริ่มต้นด้วยการส่งอีเมล หรือข้อความที่อ้างว่ามาจากองค์กรต่างๆ ที่ผู้ใช้งานอาจเคยติดต่อ เช่นเว็บไซต์ธนาคาร เว็บไซต์ที่เคยซื้อขายสินค้าบริการ เพื่อขอให้ท่าน ยืนยันข้อมูลส่วนตัวให้เป็นปัจจุบัน โดยอ้างให้สำคัญผิดว่า หากไม่ดำเนินการอาจก่อให้เกิดความเสียหายต่างๆตามมาได้ เพื่อให้ข้อความที่สร้างหลอกนั้นมีความสมจริงมากขึ้น คนร้ายมักใส่ hyperlink ให้ดูเหมือน URL ขององค์กรนั้นๆ แท้ที่จริงแล้วเป็นเว็บไซต์ปลอม (Spoofed Website) และเมื่อผู้ใช้งานถูกทำให้สำคัญผิดเข้ามาใช้งานแล้ว วิธีป้องกัน ไม่ควรใช้ links ในอีเมลเพื่อเข้าใช้งานยังเว็บไซต์ และหากผู้ใช้งานสังสัยควรจะติดต่อทางโทรศัพท์ไปยังองค์กรนั้นๆ โดยตรงและควรใช้งานผ่านการพิมพ์ URL ขององค์กรนั้นใหม่ทุกครั้งที่ใช้งาน

วิธีป้องกันการถูกขโมยข้อมูลส่วนบุคคล

1. ตรวจสอบรายการใช้งานอยู่เสมอ ในการใช้งานเว็บไซต์ต่างๆ ที่ต้องกรอกชื่อบัญชีและรหัสผ่านก่อนใช้งานทุกครั้งนั้น เว็บไซต์เหล่านั้น มักมีข้อมูลประวัติการใช้งานของเรา จึงควรตรวจสอบประวัติข้อมูลการใช้งาน เพื่อสังเกตความผิดปกติว่าเป็นการใช้จากเราเพียงคนเดียวหรือไม่
2. หลีกเลี่ยงการใช้ข้อมูลส่วนตัวมากเกินจำเป็นในเว็บไซต์ซี้อขาย ในการทำธุรกรรมทางเว็บไซต์ ควรหลีกเลี่ยงการให้ข้อมูลส่วนตัวเกินจำเป็น เนื่องจากหากให้ข้อมูลส่วนตัวของเรามากก็จะมีความเสี่ยงมากขึ้น เช่นผู้ที่ได้รับข้อมูลส่วนตัวจากเราจะสามารถรักษาความลับได้อย่างปลอดภัยหรือไม่
3. ระมัดระวังอีเมลที่สอบถามข้อมูลส่วนบุคคล หากได้รับอีเมลจากบุคคลที่ไม่รู้จัก สอบถามเกี่ยวกับข้อมูลส่วนบุคคล ไม่ควรตอบข้อมูลส่วนบุคคลกลับทางอีเมล และหากอีเมลดังกล่าวมาจากธนาคารหรือองค์กรที่เราเคยใช้บริการ ก็ควรติดต่อสอบถามทางโทรศัพท์เพื่อให้มั่นใจว่าไม่ถูกหลอกสอบถามข้อมูลส่วนบุคคลทางอีเมล
4. มีรหัสผ่านที่คาดเดาได้ยาก ควรตั้งรหัสผ่านที่คาดเดายาก โดยใช้อักขระพิเศษร่วมด้วยและมีความยาวไม่น้อยกว่า 8 ตัวอักษร และควรเปลี่ยนรหัสผ่านเป็นระยะๆอย่างต่อเนื่อง เพื่อลดโอกาสในการที่คนร้ายพยายามแกะรหัสผ่านของเรา
5. ควรระมัดระวัง Wifi Hot spots ปลอม เป็นภัยที่มีหลักการคล้ายกับ Phishing ปัจจุบันมีผู้ใช้งานอุปกรณ์มือถือ (moblie device) มากขึ้น คนร้ายจึงทำการปล่อยสัญญาณ Wifi ฟรีในที่สาธารณะ ผู้ใช้งานทั่วไปอาจสำคัญผิดลองเข้ามาใช้งานหวังต้องการใช้สัญญาณ Wifi ฟรี ซึ่งคนร้ายจะเตรียมเว็บไซต์ปลอมสำหรับการใช้บริการอินเทอร์เน็ตฟรี เมื่อผู้หลงผิดทำการต่อเชื่อมสัญญาณเข้ามาจะปรากฎหน้าต่างแจ้งถึงเงื่อนไขเพียงกรอกข้อมูลอีเมลตั้งรหัสผ่าน ก็จะสามารถใช้บริการอินเทอร์เน็ตฟรี ซึ่งโดยทั่วไปคนเรามั่งใช้รหัสผ่านซ้ำๆกันอยู่แล้ว ทำให้คนร้ายจะทำเอาข้อมูลที่ได้ไปทดลองสุ่มใช้กับเว็บไซต์ต่างๆ ซึ่งอาจจะทำเสียหายมาสู่ผู้สำคัญผิดได้
6. ทำลายเอกสารที่มีข้อมูลส่วนบุคคล ควรระมัดระวังเอกสารหรือจดหมายส่วนตัวที่มีระบุข้อมูลส่วนบุคคล เช่นหมายเลขบัตรเครดิต, บัญชีผู้ใช้งาน หรือแม้แต่การแจ้งรหัสผ่านทางจดหมาย ควรเก็บรักษาในที่ปลอดภัยจากบุคคลภายนอก และหากไม่มีความจำเป็นต้องเก็บไว้เป็นหลักฐานหรือช่วยเตือนความจำเป็น ควรทำลายในลักษณะไม่สามารถนำกลับมาอ่านใหม่ได้ เช่นการย่อยทำลายเอกสารให้เป็นชิ้นเล็กๆ เป็นต้น โดยเฉพาะอย่างยิ่งเอกสารทางการเงินควรทำลายเอกสารก่อนทิ้งเสมอ รวมถึงควรลบข้อมูลและประวัติในการใช้ browser ภายหลังการใช้งานเสมอ เพื่อล้างข้อมูลส่วนบุคคลหรือข้อมูลติดต่อกับธนาคารทางอินเทอร์เน็ตไปด้วยในคราวเดียวกัน
7. ใช้ social networking ด้วยความระมัดระวัง ปัจจุบันมีการใช้เว็บเครือข่ายสังคมออนไลน์อย่างกว้างขวาง ผู้ใช้งานควรกำหนดระดับความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคลของตนที่อยู่บนเว็บเครือข่ายสังคมดังกล่าว พร้อมทั้งไม่ค่อยเปิดเผยให้กับผู้ใด

 
วิธีป้องกันการถูกฉ้อโกงทางเว็บไซต์

1. ศึกษาข้อมูลความน่าเชื่อถือในสินค้าและผู้ขาย อาจใช้วิธีการส่งจดหมายอิเล็กทรอนิกส์หรือโทรศัพท์ไปสอบถามรายละเอียดสินค้าหรือบริการ เพื่อสังเกตความรวดเร็วในการตอบกลับและการมีตัวตนเองของธุรกิจนั้นๆ และสังเกตเพิ่มเต็มว่ามี trust mark บ้างหรือไม่ เช่น BBBOnline, Truste หรือ Verified เป็นต้น
2. การจ่ายชำระเงินผ่านระบบควรสังเกตว่าระบบดังกล่าวมีความมั่นคงปลอดภัยหรือเข้ารหัสเสมอหรือไม่ เช่นอาจสังเกตจาก https หรือ ssl หรือเครื่องหมายแม่กุญแจที่ปรากฎ 3 หากสามารถเลือกชำระเงินแบบบัตรเดบิต(Debit Card) หรือ บัตรเครดิต (Credit Card) ก็ควรเลือกชำระใช้บัตรเครดิตเสมอ เนื่องจากหากมีปัญหาในตัวสินค้าที่สั่งซื้อ เจ้าของบัตรอาจจะสามารถปฏิเสธการชำระเงินได้ ในขณะที่กรณีบัตรเดบิตมีความเสี่ยงกว่าเนื่องจากจะถูกหักเงินจากบัญชีเงินฝากธนาคารทันทีที่ชำระผ่านบัตรเดบิต รวมทั้งควรตรวจอสอบใบแจ้งหนี้ทุกรอบบัญชี เพื่อตรวจสอบรายการที่อาจผิดปกติ
3. ศึกษาว่าเว็บไซต์ที่กำลังจะซื้อสินค้าหรือบริการดังกล่าวมี กฎระเบียบเกี่ยวกับการรับประกันความพึงพอใจในสินค้าหรือไม่ มีนโยบายการรับคืนและคืนเงินทันทีเมื่อลูกค้าแจ้งความไม่พอใจในสินค้าหรือไม่
4. ใช้ความระมัดระวังอย่างสูงหากพบการเสนอขายสินค้าบนเว็บไซต์ที่ราคาขายต่ำเกินความเป็นจริงอย่างมากรวมถึงสิ้นค้าหรือบริการที่อวดอ้างสรรพคุณเกินจริง

การป้องกันคอมพิวเตอร์

ประเภทภัยร้ายที่มักพบบ่อย

• malware เป็นคำเรียกย่อจาก "malicious" และ "software" ซึ่งเป็น software ที่ได้รับการออกแบบมาเพื่อแอบเข้าไปทำลายระบบคอมพิวเตอร์ โดยผู้สร้าง malware นั้นเป็นผู้ที่มีความรู้ และออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น mass-mailing worm, KaZaa ซึ่งเป็น File sharing Network Worm ชนิดหนึ่ง, exploit malware รวมไปถึง zombie network และอื่นๆ
• virus เดิมถูกพัฒนาขึ้นเพื่อทำการทดลองพิสูจน์ว่าโปรแกรมสามารถแพร่กระจายตัวเองออกไปในวงกว้างได้ ในเริ่มต้นเพียงสร้างความรำคาญในการใช้งานคอมพิวเตอร์ แต่ปัจจุบันผู้ประสงค์ร้ายได้พัฒนาให้สามารถทำลายความเสียหายให้กับไฟล์กับข้อมูลได้ โดยการแพร่กระจายไปติดไฟล์อื่นๆในคอมพิวเตอร์โปรแกรมจะทำการแนบตัวเองเข้าไป ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยไฟล์พาหะ
• trojan เป็นเทคนิคที่ต้องอาศัยคนอื่นให้สำคัญผิดให้ดาวโหลดเอาไปใส่เครื่องเองหรือด้วยวิธีอื่นๆ สิ่งที่ trojan จะทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติด trojan จากระยะไกล ซึ่งผู้บุกรุกจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด เช่น Remote Access Trojan (RAT), Data Sending/Password Sending Trojan, Keylogger Trojan, Destructive Trojan, Denial of Service (DoS) Attack Trojan, Proxy Trojan, FTP Trojan เป็นต้น
• spyware เป็นโปรแกรมที่ไม่สามารถแพร่กระจายไปไฟล์อื่นๆ หรือส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยเทคนิคการหลอกให้ผู้ใช้งานดาวโหลดเอาไปใส่เครื่องเองหรืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเป้าหมาย สิ่งที่ spyware ทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้

 
การป้องกันภัย

1. ติดตั้งโปรแกรมป้องกันไวรัส และเปิดให้โปรแกรมทำงานเสมอ
2. ตื่นตัวติดตามข่าวสารเกี่ยวกับไววัส และควรติดตั้งโปรแกรมปรับปรุงระบบ (Patch) และมีการอัพเดทเป็นประจำ อัพเดทคอมพิวเตอร์ของท่านด้วยซอฟแวร์ป้องกันไวรัสรุ่นล่าสุด เช่น
   • AVG (http://www.avg.com/ww-en/download-trial)
   • esetNOD32 (http://www.nod32th.com/content/view/32/135/lang,en/)
   • Kaspersky (http://secure.antivirus365.net/bbl/kav6mth.php)
   • McAfee (http://home.mcafee.com/)
   • Symantec (http://us.norton.com/downloads/index.jsp)
3. หากได้รับไฟล์ที่แนบมาพร้อมจดหมายอิเล็กทรอนิกส์ โดยระมัดระวังในการเปิดใช้งานไฟล์ที่แนบมานั้น และหลีกเลี่ยงการเปิดไฟล์ดังกล่าวหากเป็นจดหมายที่ไม่ได้มาจากบุคคลที่รู้จั 
4.  ​ควรติดตั้งและเปิดใช้บริการระบบ firewall เสมอ เพื่อป้องกันอันตรายที่มาจากอินเทอร์เน็ตหรือเน็ตเวิร์กภายนอก
5. ควรปรับระดับการรักษาความปลอดภัยของ browser ให้ในระดับกลางถึงสูงเสมอ
6. โปรดหลีกเลี่ยงและระมัดระวังการใช้โปรแกรมในลักษณะ Peer-to-Peer หากให้ microsoft windows โปรดติดตาม อัพเดทซอฟท์แวร์ด้านความปลอดภัยให้คอมพิวเตอร์ ได้จาก
   • ซอฟท์แวร์ด้านความมั่นคงปลอดภัย (http://www.microsoft.com/en-us/security_essentials/default.aspx)
   • เครื่องมือตรวจสอบความมั่นคงปลอดภัย (http://www.microsoft.com/security/scanner/en-us/default.aspx)
   • ข้อมูลด้านความปลอดภัยที่เป็นประโยชน์ (http://www.microsoft.com/security/pc-security/protect-pc.aspx)