FBI ส่งจดหมายเตือน ที่ชาร์จไฟ USB ปลอม ฝัง Keylogger

นักวิจัยด้านความมั่นคงปลอดภัย Samy Kamkar ได้ประดิษฐ์ที่ชาร์จไฟจากบอร์ด Arduino ซึ่งมีรูปร่างและฟังก์ชันการทำงานไม่ต่างจากที่ชาร์จไฟอุปกรณ์พกพาทั่วไป แต่เพิ่มฟังก์ชันพิเศษ คือ สามารถดักจับข้อมูลและถอดรหัสเพื่อแอบดูข้อความที่พิมพ์ผ่าน Microsoft Wireless Keyboard ได้ โดย Kamkar เรียกสิ่งนี้ว่า KeySweeper

keysweeper_1

KeySweeper เป็น Web-based Tool สำหรับติดตามกดแป้นพิมพ์แบบเรียลไทม์ และสามารถส่งข้อความที่ตรวจจับได้ เช่น ชื่อผู้ใช้ หรือ URL ผ่านทาง SMS ได้ ที่สำคัญคือ อุปกรณ์ดังกล่าวสามารถทำงานได้แม้จะไม่ได้เสียบปลั๊ก เนื่องจากมีแบตเตอรี่อยู่ในตัว ซึ่ง Kamkar ได้เปิดเผยวิธีการประดิษฐ์และรายละเอียดของ KeySweeper สู่สาธารณะเมื่อต้นปีที่ผ่านมา

อย่างไรก็ตาม FBI ได้ออก Warning Advisory ไปยังหน่วยงานต่างๆ ให้ระวังอุปกรณ์ Keylogger ที่ดัดแปลงมาจาก KeySweeper เพื่อคอยแอบจับรหัสผ่านและข้อความจากคีย์บอร์ดไร้สาย โดยระบุว่าในจดหมายว่า ถ้าอุปกรณ์ดังกล่าวถูกติดในออฟฟิศหรือสถานที่ที่เหมาะสม จะทำให้อาชญากรไซเบอร์สามารถขโมยข้อมูลลิขสิทธิ์ทางปัญญา, ข้อมูลการซื้อขาย, ข้อมูลส่วนบุคคล, รหัสผ่าน และข้อมูลความลับอื่นๆ ได้

ที่แย่คือ อุปกรณ์ KeySweeper เวอร์ชันดัดแปลงนี้มีลักษณะคล้ายคลึงกับที่ชาร์จไฟมือถือทั่วไป ทำให้ตรวจจับและแยกแยะลำบาก อย่างไรก็ตาม Microsoft ได้ออกมาให้คำแนะนำว่า สำหรับผู้ที่ใช้คีย์บอร์ดบลูทูธ และคีย์บอร์ดไร้สายที่ผลิตหลังปี 2011 ไม่จำเป็นต้องกังวลไป เพราะคีย์บอร์ดเหล่านี้มีการเข้ารหัสข้อมูลแบบ AES ซึ่งแข็งแกร่งเพียงพอให้ไม่สามารถแฮ็คได้

ที่มา: http://thehackernews.com/2016/05/usb-charger-keylogger.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ