MDM (Mobile Device Management) — คุมทั้งเครื่อง#

MDM (การจัดการอุปกรณ์เคลื่อนที่) = software ที่บริษัทติดตั้งบน mobile device ของพนักงาน — แล้ว IT คุมได้ทั้งเครื่อง

ลองนึก แม่บ้านของบริษัท ที่มี กุญแจสำรอง ของทุกห้อง — เขาเดินเข้าห้องเมื่อไรก็ได้ ปิดไฟ เปิดแอร์ ล็อคประตู ลบของในตู้

สิ่งที่ MDM ทำได้:

• บังคับ passcode ขั้นต่ำ 6 หลัก
• บังคับ encryption (FileVault บน Mac, BitLocker บน Windows, built-in บน iOS/Android)
• Remote wipe — ลบข้อมูลทั้งเครื่องถ้าทำหาย
• App whitelist / blacklist — ห้ามติดตั้ง TikTok / Pokemon Go / VPN ไม่รู้จัก
• Compliance check — เครื่องที่ jailbreak / root ห้ามต่อ corporate Wi-Fi
• Location tracking — รู้ว่าเครื่องอยู่ที่ไหน (สำหรับเครื่องบริษัท)
• Push config — ตั้ง Wi-Fi / VPN / Email บัญชีอัตโนมัติ

ปัญหาของ MDM แบบดั้งเดิม — คุมทั้งเครื่อง. ถ้าพนักงานใช้มือถือส่วนตัว — เขาจะให้บริษัทเห็น location + ลบ Line ส่วนตัวได้ไหม? คำตอบส่วนใหญ่คือ ไม่ให้. นี่คือต้นกำเนิดของ MAM

MAM (Mobile Application Management) — คุมแค่แอป#

MAM (การจัดการแอปพลิเคชัน) = แทนที่จะคุมทั้งเครื่อง — บริษัทคุมแค่ แอปของบริษัท (Outlook, Teams, Salesforce, Box, etc.) + ข้อมูลในแอป

ลองนึก ตู้เซฟส่วนตัวของบริษัทในบ้านของพนักงาน — บริษัทมีกุญแจของตู้เซฟ — แต่ไม่มีสิทธิ์เดินเข้าห้องนอน ห้องครัว หรือเปิดตู้เสื้อผ้าส่วนตัว

สิ่งที่ MAM ทำได้:

• App-level encryption — ข้อมูลในแอป Outlook ของงาน encrypt แยกจากของส่วนตัว
• Copy/paste restriction — copy text จาก email งาน → paste ลง Line ส่วนตัวไม่ได้
• Conditional access — ถ้า device ไม่ผ่าน security policy → app เปิดไม่ได้
• Selective wipe — ลบเฉพาะ data ของบริษัท (email + Teams + OneDrive ของงาน) — รูปลูก / Line ส่วนตัวอยู่ครบ
• App protection policy — บังคับ PIN เฉพาะตอนเปิดแอปของงาน

นี่คือ approach ที่บริษัทไทยส่วนใหญ่เริ่มใช้ในยุคปี 2020+ เพราะ ไม่ก้าวก่ายชีวิตส่วนตัว ของพนักงาน

UEM (Unified Endpoint Management) — จานเดียวรวม MDM + MAM + Desktop#

UEM (การจัดการอุปกรณ์ปลายทางแบบครบวงจร) = วิวัฒนาการล่าสุด — จัดการทุก endpoint จากที่เดียว — มือถือ / tablet / laptop / desktop / IoT device บางอย่าง

ลองนึก ห้องควบคุมเมือง ที่ดูได้ทั้ง รถยนต์ + รถไฟ + เรือ + เครื่องบิน + รถบรรทุก — แทนที่จะมี dashboard แยกของแต่ละพาหนะ

Vendor หลักในตลาด:

• Microsoft Intune — รวมกับ Microsoft 365 / Azure AD / Defender — เหมาะกับ Windows-centric / Microsoft shop
• VMware Workspace ONE — มีดี Mac + Android — สมัยก่อนคือ AirWatch (mixed environment)
• Jamf Pro — เจ้าตลาด Apple ecosystem (iPhone / iPad / Mac) — ที่ Apple-heavy company ใช้กันทั่วโลก

และตัวอื่นๆ (IBM MaaS360, Google Endpoint Management) ก็มีในตลาด — เลือกตาม regulated industry หรือ Google shop

BYOD vs COPE vs COBO — 3 แนวทางของ device ownership#

ก่อนเลือก MDM/MAM/UEM — บริษัทต้องตัดสินใจก่อนว่า ใครเป็นเจ้าของ device — มี 3 แนวทางที่ผู้บริหารควรรู้:

มุมผู้บริหาร: คำถามแรกที่ผู้บริหารต้องตอบตัวเอง — “บริษัทเราอยู่โหมดไหน (BYOD / COPE / COBO) และเรามีคำตอบเป็นทางการหรือเปล่า?” ที่เห็นในวงการบ่อย — บริษัทไม่เคยตัดสินใจอย่างเป็นทางการ → กลายเป็น shadow BYOD — พนักงานเอามือถือส่วนตัวมาเช็ค email งานโดยไม่มี control. พนักงานลาออก = เอา email + ลูกค้าติดไปทั้งหมด ไม่มีทางลบ. ตัดสินใจให้เป็นทางการในไตรมาสนี้ก่อนทุกอย่างอื่น

Jailbreak (iOS) / Root (Android) — ตัดยามของบ้านออก#

Jailbreak (เจลเบรค — แหกคุก iOS) = การ bypass restriction ของ iOS เพื่อ install app นอก App Store + เข้าถึง root filesystem

Root (รูท — Android) = ทำนองเดียวกันบน Android — ปลดล็อค superuser access

ลองนึก โรงงานผลิตรถยนต์ ที่ออกแบบให้ทุกระบบ — เครื่องยนต์ / เบรค / ถุงลม — มี ECU (Engine Control Unit) ที่ผู้ใช้ห้ามแก้ — เพื่อความปลอดภัย. การ jailbreak/root = การถอด ECU ออก แล้วต่อสายเอง

ทำไมคนทำ: ติดตั้งแอปนอกร้าน, themes, emulator, app ที่ Apple/Google ไม่อนุญาต, app ปลอม region

ปัญหา security:

• Sandbox ของ OS ถูกทำลาย — แอปหนึ่งอ่าน data ของอีกแอปได้
• Security patch หยุดอัพเดต — เพราะ jailbreak แตกตอน update
• App Store review ของ Apple/Google ใช้ไม่ได้ — ติดตั้ง malware ได้ง่าย
• Banking app / payment app ส่วนใหญ่ refuse ทำงาน บนเครื่อง jailbreak (มี root detection)

MDM ส่วนใหญ่ block jailbroken device จาก corporate resource อัตโนมัติ

Sideloading — ติดตั้งแอปนอกร้าน#

Sideloading (ไซด์โหลด — โหลดข้างทาง) = การติดตั้ง app จากแหล่งที่ไม่ใช่ App Store / Play Store

บน Android — ทำได้ง่ายมาก — เปิด setting “Install unknown apps” → download APK file → ติดตั้ง. บน iOS — ทำได้ยากกว่า — ต้อง jailbreak หรือ enterprise certificate

ทำไมเป็นปัญหา: App Store + Play Store มีการ review + scan malware ก่อนปล่อย. APK จากเว็บ random ไม่มีใครเช็ค

Real case — กลุ่ม banking trojan ใน Android เช่น Anubis / Cerberus / SharkBot — กระจายผ่าน sideloading โดยปลอมเป็น “ตัวอัพเดต Android” / “Flash Player” — แสดงหน้า login ปลอมของ banking app เพื่อขโมย credential. กลุ่มเป้าหมายไทยโดน trojan ลักษณะนี้ระบาดเป็นระยะ — Bank of Thailand + ธนาคารพาณิชย์ออกเตือนทุกครั้ง

Pegasus / NSO Group — สปายแวร์ระดับชาติที่ติด iPhone โดยไม่ต้องคลิก#

นี่คือ chapter ที่ผมอยากให้คุณตั้งใจอ่านที่สุดของหัวข้อนี้ครับ

NSO Group คือบริษัทใน Israel ที่ขายเครื่องมือ surveillance ให้รัฐบาลทั่วโลก. ผลิตภัณฑ์ flagship คือ Pegasus (เพกาซัส — ม้ามีปีก) — spyware ที่ติด iPhone / Android ได้แบบ zero-click — ไม่ต้องให้เหยื่อกดอะไรเลย — แค่ส่ง iMessage หรือ WhatsApp message มา — เครื่องโดน

ความสามารถของ Pegasus:

• อ่าน message ทุก app (รวม WhatsApp / Signal / Telegram — เพราะอยู่บนเครื่อง encryption ไม่ช่วย)
• เปิด microphone อัด audio
• เปิด camera ถ่ายภาพ
• track GPS location
• ดู photo / contact / email / browser history
• ทำงาน ในหน่วยความจำ — restart เครื่อง = หาย — ตรวจหาเจอยาก

เคสที่เปลี่ยนวงการ — Jamal Khashoggi (จามาล คาช็อกกี)

นักข่าว Saudi Arabia ที่เขียน column วิจารณ์รัฐบาลใน Washington Post. ในวันที่ 2 ตุลาคม 2018 — เขาเดินเข้า สถานทูต Saudi ที่อิสตันบูล — แล้วถูกฆ่าและตัดร่างกาย. การสอบสวนภายหลังพบว่า — คนใกล้ตัวของเขา (ภรรยา / คู่หมั้น / เพื่อน) ถูก Pegasus ติด — รัฐบาล Saudi รู้ทุกความเคลื่อนไหวของเขาก่อนเข้าสถานทูต

ตั้งแต่ปี 2021 — Citizen Lab (University of Toronto) + Amnesty International เปิดเผยว่า Pegasus ถูกใช้ติดตาม:

• นักข่าวอย่างน้อย 180 คน ใน 20 ประเทศ
• ผู้นำฝ่ายค้านการเมือง — รวมถึง Emmanuel Macron (ประธานาธิบดีฝรั่งเศส) ที่ถูก list ในเป้าหมาย
• นักเคลื่อนไหวสิทธิมนุษยชน
• ทนายความที่ทำคดีต่อต้านรัฐบาล

ปี 2021 — Apple ฟ้อง NSO Group. ปี 2021 — US Department of Commerce ใส่ NSO Group ใน Entity List — บริษัทอเมริกันห้ามค้าด้วย

บทเรียนสำหรับผู้บริหาร — Pegasus ราคาประมาณ $500,000 ต่อเป้าหมาย — ไม่ใช่เครื่องมือของอาชญากรทั่วไป. แต่ถ้าบริษัทคุณมี CEO / executive / นักวิจัย ที่อาจตกเป็นเป้าหมายของรัฐบาลใดรัฐบาลหนึ่ง (M&A กับบริษัทต่างชาติ / สัญญารัฐบาล / IP มูลค่าสูง) — high-risk individual ต้องมี mobile threat defense เพิ่ม + lockdown mode ของ iOS

Stalkerware — สปายแวร์ระดับผู้บริโภค#

Stalkerware (สตอล์คเกอร์แวร์ — โปรแกรมตามรอย) = spyware ระดับ consumer — ขายในชื่อ “parental control” หรือ “employee monitoring” — ราคาเดือนละไม่กี่ร้อยบาท — แต่หลายคนใช้ติดตาม คู่ครอง อย่างเงียบๆ

ตัวอย่าง — mSpy / FlexiSPY / Cocospy / Hoverwatch — ติดตั้งบนมือถือคน — แล้วเห็น message, location, call log, photo ของเขาแบบ real-time

ปัญหา: stalkerware ส่วนใหญ่ติดตั้งโดย คนใกล้ตัว ที่ได้ physical access ของมือถือ — และเหยื่อไม่รู้

Coalition Against Stalkerware (ปี 2019+) — กลุ่ม security company ที่ร่วมกัน detect + remove stalkerware. Antivirus เกือบทุกเจ้า detect ได้แล้ว

Mobile Malware — gallery ครบ#

นอกจาก Pegasus / stalkerware — มี mobile malware ระดับทั่วไปอีกหลายตระกูล:

• Banking trojan (Anubis, FluBot, Roaming Mantis) — ปลอมหน้า login ธนาคาร
• Ad fraud — แอปฟรีที่ run ads ในพื้นหลังโดยไม่ให้คุณเห็น
• Cryptominer — ใช้ CPU มือถือขุดเหรียญ — แบตหมดเร็ว เครื่องร้อน
• Click fraud — กดโฆษณาในพื้นหลัง
• Ransomware mobile — เข้ารหัสไฟล์ในมือถือ

มุมผู้บริหาร: ถ้าบริษัทคุณมี executive ที่เดินทางบ่อย + ทำ M&A + เข้าประชุมระดับชาติ — ความเสี่ยงไม่ใช่แค่ malware ทั่วไป. Lockdown Mode ของ iOS (เปิดตั้งแต่ปี 2022 บน iOS 16) — ทำให้ Pegasus-class attack ติดยากกว่าเดิมมาก. สำหรับ everyday employee — แค่บังคับ (1) อัพเดต OS ภายใน 7 วันของ patch ใหม่ (2) ใช้ official app store เท่านั้น (3) blocked jailbreak/root ผ่าน MDM (4) ไม่ใช้ public charging station (juice jacking) — ครอบคลุม 95% ของความเสี่ยง

Wi-Fi generations — WEP / WPA / WPA2 / WPA3 ใน 1 ตาราง#

Wi-Fi encryption วิวัฒนาการ 4 รุ่นใน 25 ปี — ผู้บริหารแค่จำว่า ตัวไหนใช้ได้ ตัวไหนห้าม:

KRACK Attack 2017 — รูใหญ่ใน WPA2 ที่นักวิจัย Belgian ค้นพบ#

KRACK (Key Reinstallation Attack — การโจมตีติดตั้งกุญแจซ้ำ) ค้นพบโดย Mathy Vanhoef (มาธี วันโฮฟ) นักวิจัยชาวเบลเยี่ยม ปี 2017

ปัญหา — WPA2 ทำ 4-way handshake เพื่อตกลงกุญแจระหว่าง client + access point. Vanhoef ค้นพบว่า — ผู้โจมตีสามารถ บังคับให้ client ติดตั้งกุญแจซ้ำ — และในกระบวนการนี้ — nonce counter รีเซ็ตเป็น 0 — ทำให้ผู้โจมตีถอด encryption ของ packet ได้

ผลกระทบ — ทุก device ที่ใช้ WPA2 โดนหมด — รวม Windows / macOS / Android / iOS / Linux / router / IoT. Vanhoef แจ้ง vendor ล่วงหน้า — patch ออกพร้อมกันทั่วโลก. แต่ device ที่ไม่ได้ patch ในปี 2017 (โดยเฉพาะ Android เก่า + IoT) ยังเสี่ยงอยู่ในปี 2026

บทเรียน — KRACK เป็นเหตุผลใหญ่ที่ Wi-Fi Alliance เร่งออก WPA3 ในปี 2018

Evil Twin — Wi-Fi ปลอมที่ใช้ชื่อเดียวกับ Wi-Fi จริง#

Evil Twin (ฝาแฝดปีศาจ) = ผู้โจมตีตั้ง rogue access point ที่ใช้ SSID เดียวกับ Wi-Fi จริง — โดยส่งสัญญาณแรงกว่า — ทำให้ device ของเหยื่อต่อแฝดอัตโนมัติ

ลองนึก scenario — คุณนั่งร้านกาแฟ. Wi-Fi จริงชื่อ “CoffeeShop_Free”. ผู้โจมตีนั่งโต๊ะข้างๆ — ตั้ง hotspot ชื่อ “CoffeeShop_Free” เหมือนกัน — แต่สัญญาณแรงกว่า. มือถือของคุณ — โดยเฉพาะถ้าเคยต่อ Wi-Fi ชื่อนี้มาก่อน — ต่ออัตโนมัติ กับเครื่องของผู้โจมตี

จากนั้น — ทุก traffic ของคุณวิ่งผ่านเครื่องของเขา. เขาเห็น (ถ้าไม่ใช่ HTTPS) — username / password / cookie / data ทั้งหมด. ถ้าใช้ HTTPS — เขา proxy ได้ + ลอง SSL strip ลด HTTPS → HTTP

เคสจริงที่เปลี่ยนวงการ — Vegas Casino Wi-Fi

ใน DEF CON + Black Hat ที่จัดที่ Las Vegas ทุกปี — security researcher สาธิต Evil Twin บน Wi-Fi ของโรงแรม casino — และในข่าวมีรายงาน — โรงแรมและ casino ใน Vegas เจอ Evil Twin ที่ขโมย credential ของผู้เข้าพักหลายครั้ง. กลุ่มเป้าหมายคือ conference attendee ที่เป็น executive จากบริษัท Fortune 500 — credential ที่ขโมยได้มีมูลค่ามหาศาล

WPS Attack (Reaver) — ปุ่มกดที่ออกแบบมาผิด#

WPS (Wi-Fi Protected Setup) = feature ที่ออกแบบให้ user ต่อ Wi-Fi ง่าย — กดปุ่มที่ router + กดปุ่มที่ device — connect เลย

ปัญหา — PIN ของ WPS ใช้ 8 หลัก แต่ออกแบบให้แยกตรวจ 4 หลักแรก + 3 หลักหลัง (หลักที่ 8 เป็น checksum) — ลดความปลอดภัยจาก 10^8 (100 ล้าน combination) เหลือ 10^4 + 10^3 = 11,000 combination — crack ได้ใน 2-10 ชั่วโมง

Reaver = tool open-source ที่ crack WPS อัตโนมัติ. router หลายล้านเครื่อง ทั่วโลกที่ยังเปิด WPS — เสี่ยง

คำแนะนำของวงการ — ปิด WPS ที่ router ทุกเครื่อง

Enterprise Wi-Fi — 802.1X + RADIUS#

สำหรับ office ระดับ enterprise — ใช้ PSK ตัวเดียวให้ทุกคน = ความเสี่ยงสูง (พนักงานลาออกก็เอา password ติดไป)

มาตรฐานคือ 802.1X (Port-Based Network Access Control) + RADIUS (Remote Authentication Dial-In User Service)

ลองนึก ป้อมยามที่ไม่ใช่ปุ่มเดียวเปิดประตู — แต่ ตรวจบัตรของแต่ละคน + เช็คกับฐานข้อมูลกลาง ทุกครั้ง

วิธีทำ:

• พนักงาน → ต่อ Wi-Fi → access point ถาม credential (username + password + certificate)
• access point ส่งต่อให้ RADIUS server ตรวจ
• RADIUS ตรวจกับ Active Directory / Azure AD
• ผ่าน — connect. ไม่ผ่าน — ปฏิเสธ

ข้อดี — ลาออก = disable account = ต่อ Wi-Fi office ไม่ได้ทันที. รู้ว่าใครต่อเมื่อไร. กลุ่มต่างกัน — VLAN ต่างกัน (เชื่อมกับ EP.28)

มุมผู้บริหาร: บริษัทไทยขนาดกลางที่ใช้ Wi-Fi PSK ตัวเดียว สำหรับพนักงาน 50+ คน — เป็น pattern คลาสสิคที่เสี่ยง. ลาออก 1 คน — password ออกไปกับเขา — บริษัทต้องเปลี่ยน Wi-Fi PSK + บอกพนักงานทุกคนใหม่ — ไม่มีใครทำ. ผลคือ — password ตัวเดิมใช้ไป 5 ปี — มีอดีตพนักงาน 200 คนรู้. การลงทุน 802.1X + RADIUS — ถ้ามี Microsoft 365 อยู่แล้ว — ใช้ Azure AD Conditional Access + NPS (Network Policy Server) ติดตั้งบน Windows Server — ค่า license เพิ่ม 0 บาท — workload IT ประมาณ 2-3 สัปดาห์. ผลลัพธ์ — credential ส่วนตัวต่อ Wi-Fi + ลาออก = ตัดสิทธิ์ทันที + รู้ว่าใครต่อเมื่อไร

Bluetooth — มากกว่าหูฟัง#

Bluetooth ทำงานกับ — หูฟัง / smartwatch / car kit / smart lock / health device / payment terminal / keyboard / mouse / printer

ลองนึก คนที่ตะโกนผ่านโทรโข่งในตึก — ใครอยู่ในตึกก็ได้ยินถ้าฟังให้ดี

BlueBorne 2017 — Bluetooth worm ที่ติดได้โดยไม่ต้องคู่#

BlueBorne ค้นพบโดย Armis Security ปี 2017 — กลุ่มของช่องโหว่ใน Bluetooth stack ของ Android / iOS / Windows / Linux

ความน่ากลัวของ BlueBorne — ติดได้แค่ Bluetooth เปิดอยู่ — ไม่ต้อง pair + ไม่ต้องคลิก + ไม่ต้องเห็นรายชื่อ device

ลองนึก scenario — คุณนั่งใน BTS — มือถือเปิด Bluetooth สำหรับหูฟัง. คนที่นั่งห่าง 5 เมตร — ส่ง exploit เข้ามือถือคุณ — ติด malware — และมือถือของคุณส่ง exploit ต่อให้ทุกเครื่องในตู้รถไฟใน 5 เมตร — เป็น worm ที่กระจายเหมือนโรคติดต่อ

Armis ประเมินว่า BlueBorne กระทบ device 5.3 พันล้านเครื่อง ทั่วโลก. patch ออกในปี 2017 — แต่ device เก่า (โดยเฉพาะ Android < 8) ที่ไม่ได้ patch — ยังเสี่ยง

KNOB Attack — บังคับให้ Bluetooth ใช้ key สั้น#

KNOB (Key Negotiation Of Bluetooth) ค้นพบปี 2019 — ช่องโหว่ในวิธีที่ Bluetooth 2 เครื่องตกลงความยาวของ encryption key

ปกติ — Bluetooth ใช้ key ขนาด 128-bit. KNOB แสดงว่า — ผู้โจมตีในระยะใกล้สามารถ บังคับให้ key เหลือ 1 byte (8-bit) — แล้ว brute-force ใน ไม่กี่วินาที

ผลกระทบ — ทุก Bluetooth chip ที่ตามมาตรฐาน ก่อนปี 2019 โดน. patch ออกในปี 2019 — แต่ device จำนวนมาก (โดยเฉพาะ IoT / car) ที่ไม่ได้ patch ยังเสี่ยง

Bluejacking / Bluesnarfing — รุ่นคลาสสิคที่ยังเจอ#

Bluejacking (บลูแจ็คกิ้ง) = ส่ง message ไปยัง device ใกล้เคียงโดยไม่ได้รับเชิญ — ส่วนใหญ่ใช้ในเรื่องตลก ไม่เสียหายมาก

Bluesnarfing (บลูสนาร์ฟิ่ง) = ขโมยข้อมูลจาก device ผ่าน Bluetooth — contact / photo / message — โดยใช้ pairing flaw ของรุ่นเก่า. ยังเห็นใน device IoT ราคาถูกที่ใช้ Bluetooth stack ไม่ได้ patch

NFC + RFID — สัญญาณระยะ 4 เซนติเมตรที่ปลอมได้#

NFC (Near-Field Communication — สื่อสารระยะใกล้) = สัญญาณวิทยุระยะ 4 ซม. ใช้กับ:

• Apple Pay / Google Pay — payment
• บัตรรถไฟฟ้า (rabbit / EZ-Link)
• บัตรพนักงาน เปิดประตู
• passport e-chip

NFC Relay Attack — ใช้เครื่อง 2 ตัว — ตัวหนึ่งใกล้บัตร / กุญแจ ของเหยื่อ — ตัวหนึ่งใกล้ reader ของเป้าหมาย — forward signal ระยะไกลผ่าน internet — reader คิดว่าบัตรอยู่ใกล้

ใช้กับอะไร:

• Car key fob relay — โจร 2 คน — คนหนึ่งยืนใกล้บ้านเหยื่อ (ที่กุญแจรถอยู่ในบ้าน) — อีกคนยืนใกล้รถ — รถปลดล็อค + สตาร์ทได้ — ขโมยรถได้ใน 2 นาที. เคสในยุโรปกับ BMW / Mercedes / Tesla ระบาดมาตั้งแต่ปี 2016
• Contactless payment relay — ปลอมการแตะบัตรเครดิต
• บัตรพนักงานปลอม — copy บัตรแล้วเข้าออฟฟิศ

มุมผู้บริหาร: สำหรับบริษัทที่ใช้ บัตรพนักงาน เปิดประตู — ลองตรวจรุ่นของบัตร. บัตรรุ่นเก่า MIFARE Classic crack ได้ใน 30 วินาทีด้วยเครื่องราคา 1,000 บาท — copy แล้วปลอมได้. รุ่นใหม่ MIFARE DESFire EV2/EV3 + HID iCLASS SE ใช้ AES — ปลอมยากกว่ามาก. ในข่าวบริษัทไทยขนาดใหญ่หลายแห่งยังใช้ MIFARE Classic — เป็น quick win ของ physical security ที่ผู้บริหารควรถาม IT/facility

4G LTE / 5G พื้นฐาน#

ลองนึก เสาส่งสัญญาณวิทยุของรัฐบาล + บริษัทมือถือ ที่ครอบคลุมทั้งประเทศ. มือถือของเราเชื่อมกับ เสาที่ใกล้ที่สุด — เสาส่งต่อไปยัง core network ของผู้ให้บริการ — แล้วออก internet

4G LTE (Long-Term Evolution) — มาตรฐาน ปี 2010 — ที่ใช้กันทั่วโลก 5G (Fifth Generation) — มาตรฐาน ปี 2019 — เร็วขึ้น + latency ต่ำ + density สูง

• 5G แบ่งเป็น 5G NSA (Non-Standalone) = 5G radio + 4G core, และ 5G SA (Standalone) = 5G เต็มรูปแบบ
• 5G มี security improvements เช่น encrypted IMSI (เลขประจำซิม) ที่ไม่ส่งแบบ plaintext เหมือน 4G — กัน Stingray บางส่วน

IMSI Catcher (Stingray) — เสาปลอมที่ดักการสื่อสารมือถือ#

นี่คือ chapter ที่หลายคนยังไม่รู้ว่ามีอยู่ครับ

IMSI (International Mobile Subscriber Identity — เลขประจำตัวสากลของผู้ใช้มือถือ) = เลข 15 หลักที่อยู่ในซิม — ระบุตัวคุณในเครือข่ายมือถือ

IMSI Catcher (ชื่อทางการ) / Stingray (ชื่อ brand ของบริษัท Harris Corporation ที่ขายให้รัฐบาลอเมริกัน) = อุปกรณ์ที่ ปลอมเป็นเสาส่งสัญญาณมือถือ — ส่งสัญญาณแรงกว่าเสาจริง — ทำให้มือถือในระยะใกล้ ต่อกับเสาปลอม

จากนั้น Stingray ทำได้:

• เก็บ IMSI ของทุกมือถือที่อยู่ในระยะ — รู้ว่าใครอยู่ตรงนี้
• บังคับ downgrade จาก 4G → 2G (ที่ encryption อ่อนกว่า) — ดักการโทร + SMS ได้
• ใน 5G SA — ทำได้ยากกว่ามากเพราะ IMSI ถูก encrypt

ใครใช้ Stingray:

• หน่วยงาน law enforcement ทั่วโลก (FBI / ตำรวจสหรัฐ / ตำรวจยุโรป) — มีการรายงานในศาลและสื่อ
• หน่วยข่าวกรอง
• ในข่าวเคยมีรายงานว่ามีการตรวจพบ Stingray ในกรุง Washington DC ที่ไม่ได้เป็นของรัฐบาลอเมริกา — สงสัยว่าเป็นรัฐบาลต่างชาติทำ surveillance

บทเรียน — สำหรับ executive ที่เดินทางประเทศที่มีความตึงเครียดทางการเมือง — เปิด VPN ตลอดเวลา + ใช้ Signal สำหรับ voice (ไม่ใช่ call ปกติ) — กัน Stingray ได้

SIM Swap — ขโมยเบอร์มือถือเพื่อรับ OTP#

นี่คือเรื่องที่ผมเคยเล่าใน EP.13 ตอน MFA. ทบทวนเร็วๆ ครับ

SIM Swap (สลับ SIM card) = โจรไปร้านมือถือ ปลอมเป็นเหยื่อ — บอก “ทำซิมหาย ขอออกซิมใหม่” — ใช้เอกสารปลอม + ติดสินบนพนักงาน — ได้ซิมใหม่ที่มี เบอร์ของเหยื่อ

ผลลัพธ์ — เบอร์โทรของเหยื่อย้ายเข้าซิมใหม่ทันที. SMS OTP ทุกอันที่ธนาคารส่ง — เข้าโจร. password reset link ส่งทาง SMS — เข้าโจร. 2FA via SMS — โจรผ่าน

ปี 2017 — NIST ประกาศ — SMS OTP ไม่แนะนำเป็น MFA factor เพราะ SIM swap

ในไทย — เคสนี้เกิดเป็นพันเคสต่อปี — สมาคมโทรคมนาคม + Bank of Thailand ออกเตือนเป็นระยะ. คำแนะนำของวงการ — เปลี่ยน MFA จาก SMS → Authenticator app (Google Authenticator / Microsoft Authenticator) หรือ Passkey

มุมผู้บริหาร: ถ้า admin account ของระบบบริษัท (Microsoft 365 / Google Workspace / Salesforce / ระบบ banking) ยังใช้ SMS OTP เป็น 2FA — นี่คือ red flag เร่งด่วน. SIM swap ไปที่ admin = บริษัทเสียทุกอย่าง. การลงทุนเปลี่ยน — 0 บาท (Authenticator app ฟรีทั้งคู่). workload — เปลี่ยน setting ของ identity provider + พนักงาน re-enroll. ทำให้เสร็จใน 30 วัน

สิ่งที่ผู้นำต้องจำ#

ข้อแรก — ตัดสินใจ device ownership อย่างเป็นทางการ + ลงทุน MAM อย่างต่ำ ภายใน 90 วัน

นี่คือ action ที่ ROI สูงที่สุดของ EP นี้สำหรับบริษัทไทยขนาดกลางครับ. shadow BYOD (พนักงานเอามือถือส่วนตัวมาเช็ค email งานโดยไม่มี control) เป็น pattern คลาสสิคที่บริษัทไทยติดบ่อยที่สุด — ผลคือ พนักงานลาออกแล้วเอา email + ลูกค้า + ข้อมูลภายในติดไปด้วยทั้งหมด — ไม่มีทางลบ

แผน 90 วัน:

1. เดือนที่ 1 — board ตัดสินใจ — BYOD / COPE / COBO เลือกแบบไหน + อะไรอนุญาต อะไรไม่อนุญาต
2. เดือนที่ 2 — ลงทุน Microsoft Intune (ถ้ามี Microsoft 365 E3/E5 อยู่แล้ว — รวมในค่า license — เพิ่ม 0 บาท) หรือ Jamf (สำหรับบริษัท Apple-heavy)
3. เดือนที่ 3 — บังคับ — ใครจะเข้า email งาน / Teams / Slack / Salesforce บนมือถือ ต้อง enroll device + บังคับ passcode + remote wipe + selective wipe + block jailbreak

ทั้ง 3 ขั้นไม่ต้องลงทุนเงินใหญ่ — แต่ปิดความเสี่ยงระดับ “พนักงานลาออกเอา data ติดไป” ที่บริษัทไทยติดบ่อยที่สุด

ข้อสอง — Wi-Fi office ของบริษัทคุณยังเป็น Pre-Shared Key หรือเปล่า ถ้าใช่ ย้ายเป็น 802.1X + RADIUS

ข้อนี้เป็น blind spot ที่ผู้บริหารหลายคนยังไม่เห็นภาพครับ. บริษัทขนาดกลางที่ใช้ Wi-Fi PSK ตัวเดียว สำหรับพนักงาน 50+ คน — pattern คลาสสิคของวงการ. ลาออก 1 คน — password ออกไปกับเขา — ไม่มีใครเปลี่ยน — password เดิมใช้มา 5 ปี — มีอดีตพนักงาน 200 คนรู้

ทางออก — ถ้ามี Microsoft 365 + Azure AD อยู่แล้ว — ใช้ Conditional Access + NPS (Network Policy Server) ติดตั้งบน Windows Server — ค่า license เพิ่ม 0 บาท — workload IT ประมาณ 2-3 สัปดาห์. ผลลัพธ์:

• credential ส่วนตัวต่อ Wi-Fi (username + password ของแต่ละคน)
• ลาออก = disable account = ต่อ Wi-Fi office ไม่ได้ทันที
• รู้ว่าใครต่อเมื่อไร — log ครบ
• VLAN แยกตาม role ได้ (executive / employee / contractor / guest)

นอกจากนี้ — สำหรับ executive ที่เดินทางบ่อย — แนะนำ:

• เปิด Lockdown Mode ของ iOS (สำหรับ iPhone)
• ใช้ VPN ของบริษัท ตลอดเมื่ออยู่นอกออฟฟิศ — โดยเฉพาะ Wi-Fi โรงแรม + ร้านกาแฟ
• เปลี่ยน MFA จาก SMS OTP → Authenticator app สำหรับทุก admin account
• ห้ามใช้ public USB charging station — ใช้ของตัวเอง + power bank

5 action ง่ายๆ นี้ — ปิดความเสี่ยงระดับ Pegasus-class attack ออกไป 90%+ — ส่วนที่เหลือคือ lockdown mode + mobile threat defense (MTD) subscription สำหรับ high-risk individual