ผู้เชี่ยวชาญเตือน! ใช้ไวไฟสาธารณะเสี่ยงถูกดูดวลีซีด สูญคริปโตเป็นล้านภายในวินาที

นักลงทุนคริปโตควรใช้ความระมัดระวังสูงสุดเมื่อเชื่อมต่ออินเทอร์เน็ตผ่าน *ไวไฟสาธารณะ* โดยเฉพาะในสนามบินหรือโรงแรม เนื่องจากมีความเสี่ยงสูงที่จะตกเป็นเหยื่อของการโจมตีแบบ “อีวิลทวิน” ซึ่งเป็นกลลวงที่แฮกเกอร์ใช้ในการลวงให้ผู้ใช้เชื่อมต่อกับเครือข่ายปลอมที่เลียนแบบไวไฟของสถานที่จริง ส่งผลให้ข้อมูลสำคัญอย่างชื่อผู้ใช้งาน รหัสผ่าน หรือวลีซีด(seed phrase)ถูกขโมย และทรัพย์สินใน *กระเป๋าคริปโต* อาจสูญหายภายในไม่กี่วินาที

การโจมตีแบบ ‘อีวิลทวิน’ ถือเป็นรูปแบบหนึ่งของ *การโจมตีทางสังคม* โดยอาศัยความผิดพลาดของมนุษย์แทนที่จะใช้เทคนิคขั้นสูง โดยสตีเวน วาลบลอยเอิล ผู้ร่วมก่อตั้งบริษัทไซเบอร์ซิเคียวริตี้ Halborn กล่าวว่า เหตุการณ์เช่นนี้มักเกิดขึ้นในพื้นที่ที่มีการใช้งานไวไฟจำนวนมาก เช่น สนามบิน โรงแรม ร้านกาแฟ หรือสถานที่จัดอีเวนต์ต่าง ๆ

เมื่อปีที่ผ่านมา ตำรวจกลางของออสเตรเลียได้ดำเนินคดีกับชายคนหนึ่งที่ตั้งเครือข่ายไวไฟปลอมในสนามบิน ซึ่งเมื่อมีผู้ใช้งานเผลอเชื่อมต่อเข้ากับเครือข่ายดังกล่าว แฮกเกอร์สามารถดักจับข้อมูลทุกอย่างได้ตั้งแต่อีเมล รหัสผ่านของบัญชีใน *กระดานซื้อขายคริปโตแบบรวมศูนย์(centralized exchange)* ไปจนถึงรหัสยืนยันตัวตนแบบสองขั้นตอน (2FA)

23pds หัวหน้าเจ้าหน้าที่ฝ่ายความมั่นคงทางข้อมูลของบริษัท SlowMist ให้ความเห็นว่า การโจมตีแบบนี้เกิดขึ้นบ่อยกว่าที่หลายคนคิด และยังคงมีผู้คนจำนวนมากตกเป็นเหยื่อ เขาเน้นย้ำว่า ภัยเหล่านี้ไม่ได้เกิดจากระบบแฮกขั้นเทพ แต่เกิดจากพฤติกรรม ‘ผิดพลาด’ เช่น กรอกข้อมูลในเว็บไซต์ปลอม ติดตั้งแอปปลอดภัยปลอม ไปจนถึงกรอกวลีซีดโดยไม่ทันระวัง

เขาแนะนำว่า นักลงทุนไม่ควรทำธุรกรรม ส่งคริปโต หรือปรับเปลี่ยนการตั้งค่าด้านความปลอดภัยใด ๆ ณ จุดที่ใช้เครือข่ายสาธารณะ โดยเฉพาะสำหรับ *กระเป๋าคริปโต* พร้อมเตือนว่าไม่ควรกรอกวลีซีดไม่ว่าในสถานการณ์ใดก็ตาม อีกทั้งยังแนะนำให้ผู้ใช้พิมพ์ URL ด้วยตนเอง หรือบันทึกเว็บไซต์สำคัญไว้ในรายการโปรด แทนการคลิกผ่านโฆษณาหรือผลการค้นหา

Halborn ยังแนะนำพฤติกรรมปลอดภัยเพิ่มเติม เช่น ปิดฟังก์ชันเชื่อมต่ออัตโนมัติ ใช้ *ฮอตสปอตส่วนตัว* หรือใช้งาน *VPN* เพื่อเข้ารหัสข้อมูล รวมถึงควรสอบถามพนักงานของสถานที่จริงเพื่อยืนยันชื่อเครือข่ายไวไฟก่อนใช้งาน

เหตุการณ์ที่สะท้อนความร้ายแรงของปัญหาเกิดขึ้นจริงเมื่อเดือนมกราคมที่ผ่านมา โดยผู้ใช้งานแพลตฟอร์ม X (เดิมคือ Twitter) ในชื่อ 'The Smart Ape' ระบุว่าเขาสูญเสียคริปโตทั้งหมดหลังจากเผลอทำพลาดหลายครั้งระหว่างเชื่อมต่อกับไวไฟของโรงแรม ซึ่งแม้จะไม่ใช่การโจมตีแบบอีวิลทวิน แต่ก็เป็นกรณีศึกษาชัดเจนของ *การโจมตีแบบวิศวกรรมสังคมผ่านเครือข่ายสาธารณะ*

เพื่อเพิ่มความปลอดภัยขณะเดินทาง 23pds ยังเสนอแนวทางจัดการ *กระเป๋าคริปโต* แบบสามขั้น ได้แก่ 1) ห้ามแตะกระเป๋าหลัก, 2) ใช้กระเป๋าย่อยพกพาสำหรับถือสินทรัพย์จำนวนน้อย, 3) แยกกระเป๋า *ฮอตวอลเล็ต* พิเศษไว้สำหรับเชื่อมต่อกับดิจิแอป(dApp) หรือใช้งานเพียงวันต่อวัน เพื่อจำกัดความเสียหายหากเครื่องมือถือถูกขโมยหรือกดลิงก์ผิดพลาด

แม้ว่าการโจมตีด้วยไวไฟปลอมนี้จะอาศัยช่องโหว่จากความประมาทของมนุษย์ แต่ผลกระทบกลับรุนแรงมาก บางกรณีผู้ใช้อาจสูญเสียสินทรัพย์ในระดับหลักล้านถึงหลักสิบล้านบาทภายในพริบตา เทคโนโลยีฟรีมีข้อดี ทว่ากับ *คริปโต* ความฟรีอาจต้องแลกด้วยค่าที่แพงเกินไป