เอกสารที่กำลังอ่าน อาจกำลังสอดแนมคุณอยู่!
เปิดโปงกลไก OOXML และ Canary Tokens ที่ซ่อนเร้น
เอกสารที่เราใช้งานกันทุกวัน ไม่ว่าจะเป็นไฟล์ Word, Excel หรือ PowerPoint อาจไม่ได้เป็นเพียงแค่ข้อมูลธรรมดา แต่มันอาจซ่อนกลไกบางอย่างที่สามารถติดตามความเคลื่อนไหวของผู้เปิดอ่านได้โดยไม่รู้ตัว ปรากฏการณ์นี้เกิดขึ้นได้จากสองส่วนสำคัญคือ โครงสร้างของไฟล์เอกสารสมัยใหม่ และเทคนิคที่เรียกว่า Canary Tokens
ทำความรู้จักกับ OOXML: เบื้องหลังไฟล์เอกสารยอดนิยม
ไฟล์เอกสารตระกูล Microsoft Office อย่าง .docx, .xlsx หรือ .pptx ที่เราคุ้นเคยกันดี มีโครงสร้างที่เรียกว่า OOXML (Office Open XML) แท้จริงแล้วมันคือไฟล์ ZIP ที่บรรจุชุดไฟล์ XML จำนวนมากเอาไว้ภายใน โครงสร้างนี้ทำให้ไฟล์มีความยืดหยุ่นสูง สามารถฝังเนื้อหาประเภทต่าง ๆ ได้มากมาย รวมถึงการเชื่อมโยงไปยังทรัพยากรภายนอก เช่น รูปภาพ ตัวอักษร หรือแม้แต่เทมเพลตจากอินเทอร์เน็ต
Canary Tokens: กับดักดิจิทัลที่มองไม่เห็น
Canary Tokens คือเทคนิคที่สร้างขึ้นมาเพื่อเป็น “กับดัก” หรือ “สัญญาณเตือนภัย” ทางดิจิทัล เมื่อใดก็ตามที่มีการเข้าถึงหรือเปิดใช้งานทรัพยากรที่ถูกตั้งค่าเป็น Canary Token เจ้าของจะได้รับการแจ้งเตือนทันที เหมือนมีคนไปเหยียบกับดักที่มองไม่เห็น ทำให้รู้ว่ามีใครกำลังยุ่งเกี่ยวกับไฟล์หรือข้อมูลนั้น ๆ
เอกสารกลายเป็นสายลับได้อย่างไร?
เมื่อนำสองสิ่งนี้มารวมกัน ความอันตรายก็เริ่มปรากฏขึ้น ผู้สร้าง Canary Token สามารถฝังลิงก์ไปยัง ทรัพยากรภายนอก ที่เป็น Token ของตนเองไว้ในเอกสาร OOXML ตัวอย่างเช่น การฝังรูปภาพขนาดเล็กที่ถูกโฮสต์บนเซิร์ฟเวอร์ Canary Token เมื่อผู้ใช้เปิดเอกสาร ซอฟต์แวร์ Office จะพยายามดาวน์โหลดรูปภาพนั้นโดยอัตโนมัติ
การพยายามดาวน์โหลดนี้จะส่งผลให้เซิร์ฟเวอร์ของ Canary Token ได้รับข้อมูลการเข้าถึง ซึ่งรวมถึง ที่อยู่ IP ของผู้เปิด วันที่และเวลาที่เปิด และข้อมูล User Agent ของโปรแกรมที่ใช้เปิดไฟล์ จากนั้นระบบจะส่งการแจ้งเตือนไปยังผู้สร้าง Token ทันที โดยที่ผู้เปิดเอกสารไม่ทราบเลยว่าถูกจับตาดูอยู่
ประโยชน์และภัยร้ายของกลไกนี้
สำหรับด้านที่เป็นประโยชน์ Canary Tokens สามารถช่วยองค์กรในการ ตรวจสอบการรั่วไหลของข้อมูล หรือ การเข้าถึงที่ไม่ได้รับอนุญาต หากเอกสารสำคัญถูกเปิดนอกเครือข่ายที่ควรจะเป็น ก็จะมีการแจ้งเตือน เพื่อให้ดำเนินการแก้ไขได้อย่างทันท่วงที
แต่ในทางกลับกัน กลไกนี้ก็เป็นเครื่องมืออันทรงพลังสำหรับผู้ไม่หวังดีได้เช่นกัน ผู้โจมตีสามารถใช้มันเพื่อ ยืนยันว่าเหยื่อเปิดไฟล์ฟิชชิง หรือ เอกสารมัลแวร์ ที่ส่งไปได้ ทำให้พวกเขารู้ว่าควรจะดำเนินการโจมตีขั้นต่อไปอย่างไร นอกจากนี้ยังใช้ในการ ติดตามการแพร่กระจายของเอกสาร ที่เป็นความลับภายในองค์กรได้อีกด้วย การรู้ว่าเอกสารถูกเปิดเมื่อไหร่ ที่ไหน และโดยใคร ให้ข้อมูลเชิงลึกที่มีค่าแก่ผู้โจมตีอย่างมาก
ปกป้องตัวเองจากสายตาที่มองไม่เห็น
การป้องกันตัวจากการสอดแนมลักษณะนี้ เริ่มต้นจาก ความระมัดระวัง อย่างสูงสุด ไม่ควรเปิดเอกสารจากแหล่งที่ไม่น่าเชื่อถือ หากจำเป็นต้องเปิด ควรใช้ สภาพแวดล้อมแบบแซนด์บ็อกซ์ (Sandbox) ที่แยกออกมาจากระบบหลัก เพื่อป้องกันการรั่วไหลของข้อมูล
การ ปิดการดาวน์โหลดเนื้อหาภายนอก อัตโนมัติในโปรแกรม Office และการ ตรวจสอบการเชื่อมต่อขาออก ที่ผิดปกติในเครือข่าย ก็เป็นวิธีที่ช่วยลดความเสี่ยงได้อย่างมาก การเข้าใจว่าเอกสารดิจิทัลอาจมีกลไกซ่อนเร้นเหล่านี้ จะช่วยให้ผู้ใช้งานมีความตระหนักและปลอดภัยมากยิ่งขึ้นในโลกออนไลน์