เอเดรียน เฮีย กรรมการผู้จัดการ ภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า รายงานของแคสเปอร์สกี้ ระบุว่า มัลแวร์ขโมยพาสเวิร์ดกำลังเป็นเครื่องมือที่ผู้โจมตีนิยมใช้มากขึ้นในการโจมตีองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ ข้อมูลจากแคสเปอร์สกี้แสดงให้เห็นว่าการโจมตีด้วยมัลแวร์ขโมยพาสเวิร์ดที่มุ่งเป้าไปที่ผู้ใช้องค์กรธุรกิจในภูมิภาคนี้เพิ่มปริมาณขึ้น 18% ซึ่งชี้ให้เห็นว่าข้อมูลประจำตัวที่ถูกขโมยไปอย่างเงียบๆ นั้นถูกใช้ในการแทรกซึมเข้าสู่สภาพแวดล้อมทางธุรกิจโดยที่ไม่เกิดสัญญาณแจ้งเตือน
โซลูชันทางธุรกิจของแคสเปอร์สกี้ตรวจพบและบล็อกการโจมตีองค์กรธุรกิจด้วยมัลแวร์ขโมยพาสเวิร์ดจำนวนมากกว่าหนึ่งล้านครั้ง เฉพาะในปี 2025 เพียงปีเดียว
มัลแวร์ขโมยพาสเวิร์ด (Password stealers) เป็นมัลแวร์ประเภทหนึ่งที่ออกแบบมาเพื่อขโมยพาสเวิร์ดและข้อมูลบัญชีอื่นๆ มัลแวร์นี้จะดึงคีย์ลับที่จัดเก็บไว้จากเบราว์เซอร์และยูทิลิตี้อื่นๆ วิเคราะห์ไฟล์แคชและคุกกี้ และเข้าถึงข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี
อาชญากรไซเบอร์สามารถใช้พาสเวิร์ดที่ถูกขโมยไปเพื่อเข้าถึงบัญชีโดยไม่ได้รับอนุญาตเพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ รวมถึงการโจรกรรมทางการเงิน การโจรกรรมข้อมูลส่วนบุคคล การกรรโชก และการใช้บัญชีที่ถูกบุกรุกเพื่อโจมตีเพิ่มเติม
ภัยคุกคามมัลแวร์ขโมยพาสเวิร์ดเพิ่มสูงขึ้นมากที่สุดในฟิลิปปินส์ (41%) รองลงมาคือมาเลเซีย (33%) และสิงคโปร์ (25%) เวียดนามตามมาติดๆ ด้วยอัตราการเติบโต 21% และอินโดนีเซียเพิ่มขึ้น 7% อย่างไรก็ตาม ประเทศไทยกลับลดลงถึง -21%
“มัลแวร์ขโมยพาสเวิร์ดเป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพที่สุดในคลังแสงของอาชญากรไซเบอร์ เพราะมัลแวร์นี้มุ่งเป้าไปที่ประตูหน้าของทุกองค์กร นั่นก็คือข้อมูลประจำตัวของผู้ใช้ แคสเปอร์สกี้ได้วิเคราะห์พาสเวิร์ดที่ถูกบุกรุก 193 ล้านรหัส และพบว่า 45% สามารถถูกถอดรหัสได้ภายในหนึ่งนาที มีพาสเวิร์ดเพียง 23% เท่านั้นที่แข็งแกร่งพอที่จะทนต่อการโจมตีได้นานกว่าหนึ่งปี ซึ่งเน้นให้เห็นว่าข้อมูลประจำตัวที่อ่อนแอ ยังคงเป็นเชื้อเพลิงให้กับการบุกรุกทางไซเบอร์ขนาดใหญ่” เอเดรียน เฮีย กล่าว
“สำหรับองค์กร วิธีการที่มีประสิทธิภาพที่สุดคือการกำจัดความเสี่ยงนี้ออกไปอย่างสิ้นเชิง โดยการใช้โปรแกรมจัดการพาสเวิร์ด (password managers) ที่สร้างและจัดเก็บข้อมูลประจำตัวแบบสุ่มอย่างปลอดภัย ควบคู่ไปกับการบังคับใช้นโยบายการเข้าถึงที่เข้มงวด เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การตรวจสอบข้อมูลประจำตัวเป็นประจำ และการเข้าถึงแบบจำกัดสิทธิ์ การฝึกอบรมพนักงานและการฝังนโยบายและพฤติกรรมด้านความปลอดภัยทางไซเบอร์ในวัฒนธรรมองค์กรก็มีความสำคัญอย่างยิ่งเช่นกัน” เอเดรียนกล่าวเสริม
ผู้ใช้และองค์กรธุรกิจต่างๆ สามารถใช้เคล็ดลับง่ายๆ เพื่อให้ระบบพาสเวิร์ดมีความปลอดภัยมากขึ้น ดังต่อไปนี้
- การจดจำพาสเวิร์ดที่ยาวและไม่ซ้ำกันสำหรับบริการทั้งหมดที่ใช้นั้นแทบเป็นไปไม่ได้ แต่ด้วยโปรแกรมจัดการพาสเวิร์ด ผู้ใช้จะสามารถจดจำพาสเวิร์ดหลักเพียงรหัสเดียวได้
- ใช้พาสเวิร์ดที่แตกต่างกันสำหรับแต่ละบริการ ด้วยวิธีนี้ แม้ว่าบัญชีใดบัญชีหนึ่งจะถูกขโมย บัญชีที่เหลือก็จะไม่หายไปด้วย
- พาสเวิร์ดแบบวลีอาจมีความปลอดภัยมากขึ้นเมื่อใช้คำที่ไม่คาดคิด แม้ว่าผู้ใช้จะใช้คำทั่วไป ก็สามารถจัดเรียงคำเหล่านั้นในลำดับที่ไม่ธรรมดาและตรวจสอบว่าคำเหล่านั้นไม่เกี่ยวข้องกัน นอกจากนี้ยังมีบริการออนไลน์ที่จะช่วยตรวจสอบว่าพาสเวิร์ดมีความปลอดภัยเพียงพอหรือไม่
- ควรหลีกเลี่ยงการใช้พาสเวิร์ดที่เดาได้ง่ายจากข้อมูลส่วนตัว เช่น วันเกิด ชื่อสมาชิกในครอบครัว สัตว์เลี้ยง หรือชื่อของตัวเอง สิ่งเหล่านี้มักเป็นคำเดาแรกๆ ที่ผู้โจมตีจะลองใช้
- เปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) แม้ว่าจะไม่เกี่ยวข้องโดยตรงกับความแข็งแกร่งของพาสเวิร์ด แต่การเปิดใช้งาน 2FA จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง แม้ว่าจะมีคนรู้พาสเวิร์ดของตน ก็ยังคงต้องมีการยืนยันตัวตนอีกรูปแบบหนึ่งเพื่อเข้าถึงบัญชีของผู้ใช้ โปรแกรมจัดการพาสเวิร์ดสมัยใหม่จะจัดเก็บคีย์ 2FA และรักษาความปลอดภัยด้วยอัลกอริธึมการเข้ารหัสล่าสุด
- การใช้โซลูชันด้านความปลอดภัยที่เชื่อถือได้จะช่วยเพิ่มการป้องกันของผู้ใช้ ซึ่งจะตรวจสอบอินเทอร์เน็ตและ Dark Web และแจ้งเตือนหากจำเป็นต้องเปลี่ยนพาสเวิร์ด
