อย่าปล่อยให้ “บัญชีร้าง” กลายเป็นช่องทางให้แฮ็กเกอร์!

คุณมีบัญชีออนไลน์ที่ไม่ได้ใช้งานมานานแค่ไหนแล้ว? ถ้ามี ถึงเวลาแล้วสำหรับการจัดระเบียบครั้งใหญ่ในโลกดิจิทัลของคุณ!

ในยุคที่ชีวิตเราผูกกับโลกออนไลน์มากขึ้นเรื่อย ๆ จำนวนบัญชีที่เราสมัครไว้ก็มากขึ้นตามไปด้วย ลองถามตัวเองดูว่าคุณจำได้ไหมว่าตลอดหลายปีที่ผ่านมาเคยสมัครใช้งานอะไรไว้บ้าง ไม่ว่าจะเป็นช่วงทดลองใช้ฟรีที่ลืมยกเลิกหรือแอปที่เคยใช้ตอนไปเที่ยวแล้วไม่เคยกลับไปแตะอีกเลย การมีบัญชีมากมายเกินไปเป็นเรื่องที่เกิดขึ้นจริง จากการประมาณการพบว่า โดยเฉลี่ยแล้วคนหนึ่งคนมีรหัสผ่านสำหรับบัญชีส่วนตัวถึง 168 รหัสเลยทีเดียว

อย่างไรก็ตาม บัญชีที่ไม่ได้ใช้งานเหล่านี้กลับมีความเสี่ยงด้านความปลอดภัยอย่างคาดไม่ถึง ทั้งในชีวิตส่วนตัวและการทำงาน บัญชีเหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ที่มักฉวยโอกาส ดังนั้น การจัดระเบียบเป็นครั้งคราวเพื่อควบคุมบัญชีเหล่านี้จึงเป็นสิ่งสำคัญ

ทำไมบัญชีที่ไม่ได้ใช้งานถึงมีความเสี่ยง?

เหตุผลที่เรามีบัญชีที่ถูกลืมและไม่ได้ใช้งานจำนวนมากนั้นมีหลายประการ เรามักถูกดึงดูดด้วยข้อเสนอพิเศษและบริการดิจิทัลใหม่ๆ อยู่เสมอ บางครั้งวิธีเดียวที่จะลองใช้งานได้คือการสมัครเปิดบัญชีใหม่ แต่ด้วยความเป็นมนุษย์ เรามักจะลืม ความสนใจก็เปลี่ยนแปลงไป และบางครั้งก็จำข้อมูลล็อกอินไม่ได้แล้วก็ปล่อยทิ้งไป การลบบัญชีก็มักจะยุ่งยากกว่าการปล่อยให้บัญชีนั้นไม่ได้ใช้งานเสียอีก

แต่ตามข้อมูลจาก Google ระบุว่า บัญชีที่ไม่มีการใช้งานเป็นเวลานานมีแนวโน้มถูกแฮ็กมากกว่า โดยเฉพาะบัญชีที่ใช้รหัสผ่านเดิมๆซ้ำกันหรือรหัสที่เคยหลุดจากเหตุการณ์ข้อมูลรั่วในอดีต อีกทั้งยังพบว่า บัญชีร้างมีโอกาสตั้งค่าระบบยืนยันตัวตน 2 ชั้น (2FA) น้อยกว่า “บัญชีปกติ” ถึง 10 เท่า

บัญชีเหล่านี้จึงเป็นแหล่งดึงดูดแฮ็กเกอร์ ซึ่งกำลังมุ่งเน้นไปที่การเข้ายึดบัญชี (Account Takeover - ATO) มากขึ้นเรื่อย ๆ โดยพวกเขามักใช้เทคนิคเหล่านี้:

• Infostealer Malware: มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลล็อกอินของคุณ รายงานหนึ่งเผยว่าปีที่แล้วมีข้อมูลล็อกอินถูกขโมยไปถึง 3.2 พันล้านชุด ส่วนใหญ่ (75%) มาจากมัลแวร์ประเภทนี้
• การเจาะฐานข้อมูลขนาดใหญ่: ที่ทำให้แฮ็กเกอร์ได้รหัสผ่านและชื่อผู้ใช้จากบริการที่คุณเคยสมัครไว้
• Credential Stuffing: การทดลองใช้รหัสผ่านที่เคยหลุดมาลองล็อกอินบัญชีอื่น ๆ ที่คุณอาจใช้รหัสซ้ำ โดยใช้ซอฟต์แวร์อัตโนมัติ
• Brute Force: การเดารหัสผ่านซ้ำ ๆ โดยใช้การลองผิดลองถูกจนกว่าจะเจอ

ถ้าบัญชีโดนแฮ็กแล้วจะเกิดอะไรขึ้นได้บ้าง?

• ใช้บัญชีของคุณส่งสแปมหรือหลอกลวงคนรู้จัก: เช่น บัญชีอีเมลหรือโซเชียลมีเดียที่ร้าง เพื่อหลอกเอาข้อมูลหรือติดตั้งมัลแวร์

• แฮ็กข้อมูลส่วนตัวในบัญชีนั้น: เช่น ข้อมูลบัตรเครดิต หรือประวัติส่วนตัว เพื่อนำไปฉ้อโกงข้อมูลส่วนบุคคล

• ขายบัญชีของคุณในตลาดมืด: หากมีมูลค่า เช่น บัญชีสะสมแต้ม, Air Miles ฯลฯ

• ถอนเงินหรือทรัพย์สินที่อยู่ในบัญชีนั้น: เช่น กระเป๋าคริปโตหรือบัญชีธนาคารที่ลืมไปแล้ว (ในสหราชอาณาจักร มีการประมาณว่าอาจมีเงินถึง 8.2 หมื่นล้านปอนด์ในบัญชีที่สูญหายไป)

บัญชีธุรกิจที่ร้างก็เป็นเป้าหมายสำคัญเช่นกัน: เพราะเป็นช่องทางให้ผู้ไม่หวังดีเข้าถึงข้อมูลองค์กรที่ละเอียดอ่อน เพื่อขโมย ขาย หรือเรียกค่าไถ่ได้

• ปี 2021 การโจมตี Colonial Pipeline ที่ทำให้เกิดวิกฤตน้ำมันในสหรัฐฯ เริ่มจากบัญชี VPN ที่ร้างซึ่งถูกยึด
• ปี 2020 การโจมตีแรนซัมแวร์ต่อเขต Hackney ในลอนดอน ก็เกิดจากรหัสผ่านที่อ่อนแอในบัญชีร้างที่เชื่อมต่อกับเซิร์ฟเวอร์

ถึงเวลาเคลียร์โลกดิจิทัลของคุณหรือยัง?

ผู้ให้บริการบางรายเริ่มปิดบัญชีที่ไม่ได้ใช้งานโดยอัตโนมัติหลังจากไม่มีความเคลื่อนไหวเป็นระยะเวลาหนึ่ง เพื่อประหยัดทรัพยากรระบบ ลดต้นทุน และเพิ่มความปลอดภัยให้กับผู้ใช้งาน ตัวอย่างเช่น Google, Microsoft และ X (ชื่อใหม่ของ Twitter) ก็เริ่มใช้นโยบายนี้แล้วเช่นกัน

• ตรวจสอบและลบบัญชีที่ไม่ได้ใช้งานเป็นระยะ: ลองค้นหาในกล่องจดหมายอีเมลด้วยคำว่า "Welcome," "Verify account," “Free trial,” “Thank you for signing up,” “Validate your account” เพื่อหาบัญชีเก่าๆ

• จัดการรหัสผ่าน: ตรวจสอบตัวจัดการรหัสผ่านหรือรายการรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ ลบข้อมูลที่เชื่อมโยงกับบัญชีที่ไม่ได้ใช้งาน หรืออัปเดตรหัสผ่านหากเคยถูกธงว่าไม่ปลอดภัย/รั่วไหล

• ตรวจสอบนโยบายการลบบัญชี: ควรตรวจสอบนโยบายการลบบัญชีของผู้ให้บริการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลและข้อมูลทางการเงินจะถูกลบออกทั้งหมดเมื่อคุณปิดบัญชี

• คิดให้รอบคอบก่อนสมัครใหม่: คุ้มค่าจริงหรือที่จะสร้างบัญชีใหม่

สำหรับบัญชีที่คุณต้องการเก็บไว้ นอกจากการอัปเดตรหัสผ่านให้เป็นรหัสที่แข็งแกร่ง ไม่ซ้ำใคร และจัดเก็บไว้ในตัวจัดการรหัสผ่านแล้ว ให้พิจารณาสิ่งต่อไปนี้:

• เปิดใช้งานการยืนยันตัวตนสองชั้น (2FA): เพื่อที่ว่าแม้แฮกเกอร์จะรู้รหัสผ่าน ก็ไม่สามารถเข้าถึงบัญชีคุณได้

• ระวัง Wi-Fi สาธารณะ: อย่าล็อกอินเข้าสู่บัญชีที่ละเอียดอ่อนบน Wi-Fi สาธารณะ (หากไม่ใช้ VPN) เพราะอาชญากรไซเบอร์อาจดักฟังกิจกรรมและขโมยข้อมูลล็อกอินได้

• ตระหนักถึงข้อความฟิชชิ่ง: อย่าหลงกลข้อความที่พยายามหลอกให้คุณส่งมอบข้อมูลล็อกอินหรือดาวน์โหลดมัลแวร์ อย่าคลิกลิงก์ในข้อความที่ไม่พึงประสงค์ และอย่าหลงกลความพยายามเร่งรัดให้คุณดำเนินการ (เช่น อ้างว่าคุณเป็นหนี้ หรือบัญชีจะถูกลบ)

ทุกคนล้วนมีบัญชีที่ลืมไปแล้วอยู่บนโลกออนไลน์ แต่เพียงใช้เวลาไม่กี่นาทีต่อปีเพื่อล้างบ้านดิจิทัล คุณก็สามารถลดความเสี่ยงทางไซเบอร์ได้อย่างมหาศาล และช่วยให้ชีวิตออนไลน์ของคุณปลอดภัยขึ้นอีกระดับ