7 วิธีป้องกัน Google account ไม่ให้ถูกแฮก

Google account

หากคุณใช้ Gmail และบริการอื่น ๆ ของ Google account คุณรู้ไหมว่าบัญชี Google ของคุณเป็นหนึ่งในทรัพย์สินออนไลน์ที่มีค่าที่สุด และหากอยากให้บัญชี Google ปลอดภัย ลองทำตาม 7 ขั้นตอนนี้ เพื่อป้องกันบัญชี Google ของคุณจากการถูกแฮก

 

หากชีวิตออนไลน์ของคุณวนเวียนอยู่กับ Gmail, Chrome, Google software และบริการอื่น ๆ ของ Google บัญชี Google ของคุณก็นับว่าเป็นแหล่งข้อมูลออนไลน์ที่มีค่าที่สุด โดยเฉพาะอย่างยิ่งหากคุณใช้ Gmail address เป็นที่อยู่อีเมลหลักของคุณ

 

► เหตุผลสำคัญที่เราควรต้องป้องกัน Google account

 

Google

 

แฮกเกอร์ที่ขโมยข้อมูลส่วนตัว อาจทำให้ชีวิตในโลกออนไลน์ของคุณเกิดความวุ่นวาย และสร้างความเสียหายอย่างร้ายแรงได้เลย ซึ่งเป็นเหตุผลสำคัญที่เราควรต้องป้องกันบัญชี Google จากการถูกแฮก และเพื่อความปลอดภัยขั้นสูงสุด ควรเพิ่ม physical hardware อย่างน้อยหนึ่งรายการ พร้อมกับติดตั้งแอป Google Authenticator และลบที่อยู่อีเมลส่วนตัวสำรองที่ใช้ในการยืนยันทิ้งไป การตั้งค่าดังกล่าวอาจจะยุ่งยากก็จริง แต่มันก็ทำให้แฮกเกอร์เข้าถึงข้อมูลส่วนตัวคุณได้ยากเช่นกัน

 

อย่างไรก็ตาม การตั้งค่าดังกล่าวอาจต้องลงทุนซื้อฮาร์ดแวร์มาเพิ่ม และแน่นอนว่ามันอาจจะยุ่งยากเวลาที่ต้อง sign-in เข้าใช้งาน แต่วิธีนี้ก็เป็นวิธีที่มีประสิทธิภาพที่สุด ในการปกป้องบัญชี Google ของคุณ

 

 ► ขั้นตอนที่ 1: สร้าง STRONG PASSWORD

 

รหัสกูเกิ้ล

 

อันดับแรกในการสร้าง Google account คุณต้องมีรหัสผ่านที่รัดกุมและไม่ซ้ำกับใคร วิธีที่ดีที่สุดคือการใช้ Password Manager tool เพื่อสร้างรหัสผ่านใหม่ การสร้างรหัสผ่านใหม่จะช่วยให้คุณสบายใจได้ว่าบัญชีของคุณไม่ได้ถูกแชร์กับบัญชีอื่น

 

วิธีเปลี่ยนรหัสผ่านใหม่ ให้ไปที่หน้า Google Account Security ที่ https://myaccount.google.com/security  จากนั้นก็ Sign in (หากจำเป็น) แล้วก็คลิกรหัสผ่าน (อยู่ในหัวข้อ Signing In To Google) และปฏิบัติตามคำแนะนำเพื่อเปลี่ยนรหัสผ่าน

 

จากนั้นให้บันทึกรหัสผ่านใหม่โดยใช้ Password Manager tool และอย่าลืมจดบันทึกไว้เผื่อเวลาที่คุณต้อง physical backup อีกทั้งควรเก็บกระดาษที่บันทึกรหัสผ่านใหม่ไว้ในที่ที่ปลอดภัย เช่น ลิ้นชัก แฟ้ม หรือตู้เซฟ

 

▶︎ ขั้นตอนที่ 2: เปิด TWO-STEP VERIFICATION

 

 

TWO-STEP VERIFICATION

 

อย่าเพิ่งออกจากหน้า Google Account Security ให้เลื่อนขึ้นไปที่ Two-Step Verification (การยืนยันสองขั้นตอน) ก่อน และตรวจสอบให้แน่ใจว่าตัวเลือกนี้เปิดอยู่ จากนั้นคลิก default option เพื่อรับรหัสผ่านที่จะส่งเข้าไปในมือถือ ขั้นตอนการตั้งค่านี้จะช่วยยืนยันว่าคุณสามารถรับข้อความ verification ได้ หลังจากนั้นก็ให้ทำตามขั้นตอนต่อไป

 

► ขั้นตอนที่ 3: เซฟ Recovery codes

 

Recovery codes

 

ขั้นตอนต่อไปคือการเซฟ recovery codes (รหัสสำรอง) การใช้รหัสสำรองจะช่วยให้คุณ sign in เข้าใช้บัญชีของคุณได้กรณีที่คุณลืมรหัสผ่านหรือทำโทรศัพท์หาย เพราะหากไม่มีรหัสสำรองนี้คุณอาจเสี่ยงต่อการถูกล็อกอย่างถาวรได้

 

วิธีเอา recovery codes ให้ไปหน้า Google Account Security แล้วคลิกที่ Backup Codes จากนั้นคลิก Set Up ซึ่งจะมี pop-up เด้งขึ้นมาพร้อมรหัส backup 10 ชุด รหัส backup 10 ชุดนี้จะใช้ต่อเมื่อคุณได้รับการแจ้งเตือนให้ยืนยัน verification factor ครั้งที่สอง จากนั้นให้ปริ้นหน้ารหัส backup นั้นและเก็บไว้ในที่ที่ปลอดภัย

 

นอกจากนี้คุณยังสามารถกลับมาที่หน้า Google Account Security ได้ตลอดเวลา เพื่อดูลิสต์รหัส backup ของคุณ แต่รหัส backup จะสามารถใช้ได้เพียงครั้งเดียว และเมื่อใช้แล้วระบบจะแจ้งว่า “Already used” ซึ่งหากคุณพิมพ์ลิสต์รหัสซ้ำ การสร้างชุดรหัสใหม่จะทำให้ชุดรหัสเก่า invalid ทันที

 

▶︎ ขั้นตอนที่ 4: เพิ่ม Recovery email address (อีเมลสำรอง)

 

 

ที่อยู่อีเมล

 

การลงทะเบียนอีเมลสำรองเป็นการป้องกันที่สำคัญ เพราะในกรณีที่ Google ตรวจพบกิจกรรมที่น่าสงสัยใน account ของคุณ คุณจะได้รับการแจ้งเตือนตามที่อยู่อีเมลสำรองที่กรอกไว้

 

ในกรณีที่คุณลืมรหัสผ่าน การมีอีเมลสำรองนั้นมีประโยชน์มาก และคุณจะต้องรีเซ็ตรหัสผ่านใหม่โดยใช้  two-step verification การรีเซ็ตรหัสผ่านใหม่จำเป็นต้องมีการยืนยันตัวตนอย่างน้อยสองรูปแบบ เช่น รหัส backup (ที่พิมพ์ออกมา) และรหัสจากอีเมลที่ลงทะเบียนไว้ มิฉะนั้นคุณอาจเสี่ยงต่อการถูกล็อกอย่างถาวร

 

จากนั้นให้กลับไปที่หน้า Google Account Security แล้วคลิก Recovery Email (อยู่ในหัวข้อ Ways We Can Verify It’s You) จากนั้นให้ป้อนหรือเปลี่ยนที่อยู่อีเมลสำรอง คุณจะได้รับการแจ้งเตือนการกู้คืนรหัสผ่านตามที่อยู่อีเมลสำรองนั้น

 

► ควรใช้ email address สำรองของเจ้าไหนดี?

 

Email address สำรองฟรีอย่าง Microsoft Outlook.com ไม่ค่อยเป็นที่ยอมรับในเรื่องของความปลอดภัยเท่าไหร่ แต่ business email address (อีเมลบริษัท) นั้นมีผู้ดูแลระบบคอยควบคุมดูแลอยู่ ทำให้การแฮกเข้าถึงได้ยากกว่าอีเมลส่วนตัว

 

▶︎ ขั้นตอนที่ 5: ตั้งค่ามือถือของคุณเป็น AUTHENTICATOR (ผู้ตรวจสอบสิทธิ์) 

 

AUTHENTICATOR

 

หากคุณจะลงทะเบียนให้มือถือของคุณเป็นอุปกรณ์ที่เชื่อถือได้ Google จะให้วิธีในการตรวจสอบสิทธิ์อยู่ 2 วิธี

 

  • วิธีแรกหากคุณใช้อุปกรณ์ Android ที่ลงชื่อเข้าใช้ด้วยบัญชี Google คุณสามารถลงชื่อเข้าใช้บริการ Google service ต่าง ๆ ได้เลย เพียงแค่ตอบรับข้อความจาก Google เท่านั้น ไม่ต้องตั้งค่าเพิ่มเติมอะไร

 

  • หากคุณใช้  iPhone หรือ iPad คุณต้องดาวน์โหลดแอป Google หรือ Gmail แล้วลงชื่อเข้าใช้ด้วยบัญชี Google จากนั้นให้เปิดแจ้งเตือนไว้  (ลองดูคำแนะนำทั้งหมดของ Google Support ที่นี้: “ลงชื่อเข้าใช้ด้วย Google prompts”)

 

Google Authenticator

 

นอกจากนี้คุณสามารถใช้ Google Authenticator หรือแอปในมือถืออื่น ๆ ที่สามารถสร้างรหัส Time-based One-time Password Algorithm (TOTP) สำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัยได้

 

ในการตั้งค่า Google Authenticator (หรือแอปตรวจสอบสิทธิ์อื่น ๆ ) เพื่อใช้กับบัญชี Google ให้ไปที่หน้า Google Account 2-Step Verification ที่อยู่ในหัวข้อ Authenticator App แล้วคลิก Set Up (หากคุณจะเปลี่ยนมือถือให้คลิก Change Phone) จากนั้นก็ติดตั้งแอป แล้วทำตามคำแนะนำเพื่อเพิ่มบัญชีของคุณโดยใช้บาร์โค้ดในแอป authenticator

 

► ขั้นตอนที่ 6: ลบข้อความ SMS ที่มาจากการให้ยืนยัน

 

ข้อความ SMS

 

เมื่อถึงตรงนี้คุณควรปลอดภัยไว้ก่อน นั่นหมายความว่าต้องลบลิงก์ที่ให้ยืนยันตัวตนที่ส่งมาจากข้อความ SMS สิ่งที่ทำให้ข้อความ SMS มีปัญหาด้านความปลอดภัย เพราะผู้โจมตีสามารถขโมยบัญชีมือถือของคุณได้

 

ก่อนที่คุณจะเปลี่ยนการตั้งค่า โปรดยืนยันว่าคุณมีรูปแบบการยืนยันทางเลือกอย่างน้อยสองรูปแบบ (เช่นที่อยู่อีเมลที่ปลอดภัยและแอป Google Authenticator) และคุณได้บันทึกรหัสสำรองสำหรับบัญชีไว้แล้ว จากนั้นไปที่ส่วนของ Voice Or Text Message ตรงนี้มันจะแสดงรายการหมายเลขโทรศัพท์แต่ละหมายเลขที่ลงทะเบียน 2FA ไว้

 

จากนั้นให้คลิกไอคอนดินสอทางด้านขวาของตัวเลข เพื่อเปิดคุณสมบัติและคลิก Remove Phone เพื่อลบรายการ แล้วทำขั้นตอนข้างต้นกับหมายเลขอื่น ๆ ที่ต้องการลบ

 

► ขั้นตอนที่ 7: ใช้ HARDWARE SECURITY KEY เพื่อการตรวจสอบสิทธิ์

 

HARDWARE SECURITY KEY

 

ขั้นตอนนี้เป็นขั้นตอนที่ยุ่งยาก และต้องใช้เงินในการซื้อฮาร์ดแวร์เพิ่ม แต่ข้อกำหนดในการเสียบอุปกรณ์เข้ากับพอร์ต USB หรือทำการเชื่อมต่อผ่านบลูทูธ หรือ NFC จะเพิ่มระดับความปลอดภัยสูงสุดซึ่งก็ถือว่าคุ้มค่า

 

ในการกำหนดค่า hardware key ให้ไปที่หน้า Google Account 2-Step Verification คลิก Add Security Key จากนั้นทำตามขั้นตอน นอกจากนี้คุณต้องใส่ PIN สำหรับ hardware key ของคุณ จากนั้นคลิกเพื่อเปิดใช้งาน เมื่อการตั้งค่าเสร็จสมบูรณ์ คุณจะสามารถ sign in เข้าใช้บริการใด ๆ ของบัญชี Google ได้โดยไม่ต้องยุ่งยากกับรหัสผ่านอีก

 

Google Drive

 

ดังที่ได้กล่าวไว้แล้วในตอนต้นของบทความ คนส่วนใหญ่ไม่ชอบการตั้งค่าอะไรที่มันยุ่งยาก แต่ถ้าบัญชี Google Drive ของคุณมีเอกสารที่มีค่า เช่น เอกสารการคืนภาษี หรือใบแจ้งยอดหนี้จากธนาคาร มันก็จะเป็นการเซฟกว่าหากคุณจะเสียสละเวลาในการตั้งค่าสักนิด

 

อ่านบทความเพิ่มเติม : Gmail มีช่องโหว่ให้คนร้ายปลอมอีเมลส่งออกทั้งลูกค้า Gmail และ G Suite

 

ขอบคุณที่มาและภาพประกอบ : zdnet.com

 

การแฮกข้อมูลบริษัทใหญ่มีมากขึ้น และหนึ่งในปัญหาสำคัญคือชื่อเสียงบริษัท!

การแฮกเพื่อขโมยข้อมูลมีเพิ่มมากขึ้นเรื่อย ๆ โดยเฉพาะการแฮกทางอินเทอร์เน็ต การแฮกอาจมีผลกระทบที่มีค่าใช้จ่ายสูง รวมถึงการที่เจ้าของข้อมูลพยายามเรียกร้องค่าเสียหายจากผู้ที่ดูแลระบบ แต่เชื่อไหมว่าความเสียหายที่ยิ่งใหญ่ที่สุดของ CEO คือเรื่องของชื่อเสียงบริษัท ที่ทำให้ซีอีโอต้องนอนไม่หลับมาแล้วหลายราย

 

▶︎ ในช่วง 12 เดือนที่ผ่านมามีการโจมตีแบบฟิชชิงเพิ่มขึ้น 46%

 

 

ฟิชชิง

 

Mimecast องค์กรที่รายงานความปลอดภัยทางอีเมลเปิดเผยว่า ในช่วง 12 เดือนที่ผ่านมามีการโจมตีแบบฟิชชิงเพิ่มขึ้น 46% มีการแอบอ้างว่าเป็นบุคคลอื่นทางอีเมลเพิ่มขึ้น 75% ซึ่งการแอบอ้างว่าเป็นบุคคลอื่นทางอีเมลนั้นเกิดขึ้นใน 100 วันแรกของการเกิดโรคระบาด Covid-19

 

การโจมตีทางไซเบอร์อีกรูปแบบหนึ่งที่เพิ่มมากขึ้น คือการใช้แรนซัมแวร์เพื่อรีดไถเงินจากบริษัทต่าง ๆ เพื่อให้บริษัทเหล่านั้นจ่ายเงินให้ระบบไอทีกลับมาใช้งานได้เหมือนเดิม หรือเพื่อไม่ให้ข้อมูลถูกปล่อยออกมา  (ในกรณีที่บริษัทนั้นมีชื่อเสียง)

 

▶︎ คำแนะนำหากบริษัทของคุณถูกแฮกข้อมูลสำคัญ 

 

แฮกข้อมูล

 

  • ประการแรกซีอีโอต้องแสดงความเป็นผู้นำ เพราะนี่เป็นสิ่งสำคัญเมื่อเกิดภาวะวิกฤตในบริษัท
  • ผู้บริหารระดับสูงควรสร้างความมั่นใจให้กับพนักงานและลูกค้า ด้วยการบอกข้อเท็จจริงในสิ่งที่เกิดขึ้น
  • ผู้บริหารควรบอกวิธีที่กำลังแก้ปัญหากับวิกฤตที่เกิดขึ้น แก่พนักงานและลูกค้า เพราะบริษัทของคุณจะก้าวผ่านวิกฤตนี้ไปได้ ก็ขึ้นอยู่กับความไว้วางใจในตัวผู้บริหารของพนักงาน ซัพพลายเออร์ ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่น ๆ ด้วยเช่นกัน
  • หากคุณเป็นบริษัทที่มีชื่อเสียง ไม่ต้องรอให้มีการสอบสวนภายในเสร็จสิ้นก่อน แต่ควรที่จะต้องออกสื่อแถลงเลย เพราะคุณจำเป็นต้องแจ้งให้สาธารณชนทราบว่าตอนนี้บริษัทของคุณกำลังตรวจสอบข้อมูลและแก้ไขปัญหาอยู่ เนื่องจากการแก้ปัญหาเรื่องการแฮกข้อมูลนั้นใช้เวลาค่อนข้างนาน การจัดการสื่อและการส่งข้อความเชิงรุกเป็นสิ่งสำคัญในการจัดการวิกฤตอย่างมีประสิทธิภาพ

 

▶︎ ทั้งโรงแรม Marriott และสายการบิน British Airways ก็โดนแฮกมาแล้ว

 

โรงแรม

 

อีกหนึ่งตัวอย่างในบริษัทที่มีชื่อเสียงคือเครือโรงแรม Marriott ที่ถูกแฮกข้อมูลในปี 2018 ในการแฮกครั้งนั้นมีรายงานว่าข้อมูลบัตรเครดิตของลูกค้าและรายละเอียดส่วนตัวอื่น ๆ กว่า 339 ล้านคน ถูกขโมยไปจากฐานข้อมูลการจองโรงแรมในเครือ Marriott ทั่วโลก นอกจากนี้ยังพบว่าเหตุการณ์นี้เกิดขึ้นตั้งแต่ปี 2014 ล่าสุดสำนักงานคณะกรรมการข้อมูลของสหราชอาณาจักรแจ้งว่าอาจต้องปรับโรงแรม Marriott 99.2 ล้านปอนด์ หรือ 4,015.53 ล้านบาทไทย

 

อีกตัวอย่างคือสายการบิน British Airways (BA) ในปี 2018 แฮกเกอร์เจาะข้อมูลของลูกค้ากว่า 500,000 รายในช่วงเวลาเพียงแค่สองสัปดาห์ ซึ่งเมื่อวันศุกร์ที่ผ่านมาสำนักงานของกรรมาธิการข้อมูลประกาศว่าจะปรับเงินสายการบิน British Airways 20 ล้านปอนด์ หรือ 800 ล้านบาทไทย สำหรับความประมาทในครั้งนี้

 

อ่านบทความที่เกี่ยวข้อง : Robinhood บริษัทการเงินของอเมริกา เจอแฮกบัญชีเกือบ 2,000 บัญชี

 

อ้างอิง : businesslive.co.za

 

Robinhood บริษัทการเงินของอเมริกา เจอแฮกบัญชีเกือบ 2,000 บัญชี

แฮกบัญชี

บัญชีของบริษัท Robinhood (บริษัทที่ให้บริการทางการเงินของอเมริกา ซึ่งสามารถให้ผู้คนมาลงทุนในหุ้นผ่านแอปฯ ได้) เกือบ 2,000 บัญชี ถูกแฮกเมื่อเร็ว ๆ นี้ ทำให้ระบบไประงับบัญชีทางการเงินของลูกค้า ซึ่งการแฮกในครั้งนี้เป็นสัญญาณว่าการโจมตีได้แพร่หลายมากกว่าที่เคยเป็นมาก่อน

 

ลูกค้าจำนวนมากถูกอาชญากรไซเบอร์โจมตี ซึ่งเข้าถึงได้โดยการละเมิดบัญชีอีเมลส่วนตัว ซึ่งเหยื่อบางรายก็รับรู้และบางรายก็ปฏิเสธ การโจมตีดังกล่าวทำให้เกิดกระแสการร้องเรียนบนโซเชียลมีเดีย ซึ่งนักลงทุนเล่าถึงความพยายามที่ไร้ประโยชน์ในการโทรหาฝ่ายบริการลูกค้า Robinhood ซึ่งมีบัญชีลูกค้ามากกว่า 13 ล้านบัญชี อย่างไรก็ตาม Robinhood กำลังพิจารณาว่าจะเพิ่มหมายเลขโทรศัพท์ฝ่ายบริการลูกค้าพร้อมกับเครื่องมือป้องกันอื่น ๆ

 

“Robinhood บอกว่า บริษัทตอบสนองต่อลูกค้าที่รายงานกิจกรรมที่เป็นการฉ้อโกงหรือน่าสงสัยอยู่เสมอ และจะดำเนินการตรวจสอบให้เสร็จสิ้นโดยเร็วที่สุด ความปลอดภัยของบัญชีลูกค้า Robinhood ถือเป็นสิ่งสำคัญสูงสุด และเป็นสิ่งที่เราให้ความสำคัญมาก”

 

► ปฏิบัติการแฮกบัญชีอีเมล

 

บัญชีอีเมล

 

เหยื่อหลายรายกล่าวว่าพวกเขาไม่พบร่องรอยของการแฮกบัญชีอีเมลของพวกเขา และบางคนกล่าวว่ามีการเข้าถึงบัญชีของพวกเขา แม้ว่าพวกเขาจะตั้งค่า Two-factor authentication Lena Williams หนึ่งในเหยื่อในครั้งนี้เล่าว่า เธอไม่รู้ว่าแฮกเกอร์เข้ามาในบัญชีของเธอได้อย่างไรเป็นเวลากว่าหนึ่งเดือน เธอไม่พบว่ามีการบุกรุกเข้าไปในอีเมลของเธอ และยังมีการตั้งค่า Two-factor authentication อยู่แล้วด้วย แต่พอวันหนึ่งกลับมีการแจ้งเตือนว่าการลงทุนของเธอถูกขาย และเธอก็ถูกล็อกไม่ให้ออกจากบัญชี

 

ส่วน Miah Brittany Laino ก็คิดว่าบัญชีของเธอปลอดภัยด้วยเหตุผลหลายประการ เธอบอกว่าตอนแรก Two-factor authentication ได้บล็อกไม่ให้ใครบางคนเข้าถึงได้ในวันที่ 13 กันยายน จากนั้นเธอก็ทำตามคำแนะนำของ Robinhood ที่บอกให้เปลี่ยนรหัสผ่าน เช้าวันรุ่งขึ้นเธอได้รับการแจ้งเตือนทางโทรศัพท์ว่า ‘หุ้นนี้ถูกขายไปแล้ว’

 

► รหัสปลอม Fake ID

 

รหัส

 

Laino บอกอีกว่าเธอส่งอีเมลถึงฝ่ายบริการลูกค้า แต่ก็ไม่ได้รับการตอบกลับ จากนั้นเธอก็ตรวจสอบถังขยะในอีเมล และพบว่ามีคนเข้ามาตั้งค่าให้ดักฟังข้อความจาก Robinhood หลังจากนั้นเธอได้รับโทรศัพท์จากฝ่ายบริการลูกค้าเมื่อวันที่ 25 กันยายน นั่นคือตอนที่เธอรู้ว่ามีคนสร้างบัตรประชาชนปลอม และส่งให้ Robinhood เพื่อเปิดการซื้อขายอีกครั้ง การปลอมแปลงข้อมูลของเธอ ภาพถ่าย และแบบอักษรก็ไม่ตรงกับรหัสรัฐของแอริโซนาอีกด้วย

 

“Laino กล่าวว่า Robinhood คืนค่าบัญชีและการถือครองหุ้นของเธอ แต่ในที่สุดเธอก็ยังวางแผนที่จะไม่ใช้บริการอีก”

 

อ่านบทความที่เกี่ยวข้องอีเมลฟิชชิ่งปลอม สอนให้คนรู้จัก Scam Messages หรือไม่? มาหาคำตอบกัน!

 

อ้างอิง : bloomberg.com