วิศวกรรมสังคม (Social Engineering) เป็นวิชาทางจิตวิทยาแขนงหนึ่ง เกี่ยวข้องกับ
การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งมิจฉาชีพมักจะนำสิ่งเหล่านี้มาใช้ในการลวง และเจาะข้อมูลบุคคลเพื่อนำไปใช้ในทางที่ไม่ดี เช่น ข้อมูลบัตรเครดิต, หลอกให้โอนงาน, นำข้อมูลส่วนตัว ไปใช้ในทางผิดกฎหมาย และอื่น ๆ ที่ส่งผลกระทบกับผู้ที่ถูกกระทำหากเคยได้ยินข่าวกันบ้างอย่างเช่น โทรศัพท์เข้ามาอ้างตัวเป็นคอลเซ็นเตอร์ธนาคาร เพื่อสอบถามข้อมูลส่วนตัวนำไปทำธุรกรรมยักยอกเงินจากบัญชีของเจ้าของเบอร์ เป็นต้น
แฮกเกอร์ ประกาศขายข้อมูลส่วนตัวคนไทย อ้างมี 30 ล้านรายชื่อ!
ตำรวจแนะ 12 วิธีป้องกันข้อมูลองค์กร ถูกแฮก และโจมตีเรียกค่าไถ่
สิ่งเหล่านี้รุนแรง และมีรูปแบบที่หลากหลายมากยิ่งขึ้นพร้อมกับการมาถึงของยุคดิจิทัล ซึ่งเทคนิคดังกล่าว ไม่ได้อาศัยช่องโหว่ของระบบ หรือเทคโนโลยีใด ๆ หากใช้แต่เพียงช่องโหว่จากพฤติกรรมของเหยื่อ ที่มีต่อข้อมูลนั้น ๆ ในการเข้าถึงข้อมูล
การเจาะข้อมูลแบบ “วิศวกรรมสังคม” ผ่านอุปกรณ์อิเล็กทรอนิกส์มี 5 รูปแบบหลัก ๆ ด้วยกันคือ
1. Baiting “ใช้เหยื่อล่อ”
เป็นรูปแบบที่มีการใช้รางวัล หรือสิ่งตอบแทนเป็นเหยื่อล่อ ให้บุคคลที่ติดเหยื่อ นั้นถูกล้วงข้อมูล หรือเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคลอยู่ ไม่ว่าจะเป็นในรูปแบบดิจิทัล อย่างการคลิกลิงค์ที่ไม่มีความน่าเชื่อถือ แล้วถูกเจาะเข้าอุปกรณ์อิเล็กทรอนิกส์ หรือแบบกายภาพอย่าง Flash Drive ที่ไม่มีเจ้าของ หากเราหยิบนำมาใช้โดยไม่ระวัง เมื่อเชื่อมต่อกับอุปกรณ์อิเล็กทรอนิกส์ ก็อาจถูกล้วงข้อมูลได้
2. Scareware “แจ้งเตือนไวรัสคอมพิวเตอร์ปลอม”
รูปแบบการโจมตีที่มักพบบนคอมพิวเตอร์ ที่จะหลอกเจ้าของเครื่องว่าถูกโจมตีโดยไวรัสคอมพิวเตอร์ หรือมัลแวร์ต่าง ๆ ทำให้คอมพิวเตอร์ของเราไม่ปลอดภัย ซึ่งหากเจ้าของเครื่องทำการติดตั้ง หรือซื้อโปรแกรมป้องกันไวรัสคอมพิวเตอร์ปลอมดังกล่าว มักจะถูกขโมยข้อมูลบัตรเครดิต หรือเข้าถึงคอมพิวเตอร์เครื่องที่ถูกติดตั้งได้
3. Pretexting “แอบอ้างเพื่อล้วงข้อมูล”
มิจฉาชีพมักจะได้ข้อมูลส่วนตัวของเราเช่น ชื่อ-นามสกุล, เบอร์โทรศัพท์ หรืออีเมล์ จากนั้นจะอ้างตัวเป็นเจ้าหน้าที่ธนาคารโทร หรือส่งอีเมล์เข้ามาเพื่อขอข้อมูลธนาคาร หรือข้อมูลส่วนบุคคล ทำให้เหยื่อมักจะสูญเสียเงินในบัญชี หรือถูกนำไปใช้ทำธุรกรรมที่ก่อให้เกิดความเสียหายได้
4. Phishing “ล้วงข้อมูลโดยแอบอ้าง”
มักจะพบเห็นรูปแบบการโจมตีผ่านอีเมล์ ซึ่งอีเมล์ที่ส่งมามักจะมีความคล้ายคลึงกับอีเมล์ขององค์กรที่มิจฉาชีพแอบอ้าง หากไม่สังเกตให้ดี หรือเว็บไซต์ที่มี URL คล้ายคลึงกัน เช่น google.com เป็น gooogle.com โดยจะมีลักษณะของการแอบอ้างเรื่องความปลอดภัย หรือการปรับปรุงระบบข้อมูล เมื่อเราหลงเข้าสู่ระบบ ผ่านหน้าเว็บไซต์ปลอม ทำให้เข้าถึงชื่อผู้ใช้งาน และรหัสผ่าน รวมถึงข้อมูลส่วนบุคคลที่เรากรอกลงไป
5. Spear phishing “ล้วงข้อมูลโดยแอบอ้างเฉพาะกลุ่ม”
รูปแบบการโจมตีจะมีความคล้ายคลึงกับ Phishing แต่รูปแบบจะเน้นไปที่องค์กร หรือพนักงานในองค์กรนั้น ๆ เพื่อเข้าถึงข้อมูลองค์กร
วิธีป้องกัน
วิศวกรรมสังคม อาจเป็นเครื่องมือที่มิจฉาชีพใช้ในการโจมตีบุคคลทั่วไป โดยอาศัยช่องโหว่เชิงพฤติกรรมของมนุษย์ ที่ตอบสนองต่อข้อมูล ซึ่งเราสามารถอุดช่องโหว่ และป้องกันได้ เช่น
- อย่าเปิดอีเมล์ หรือไฟล์ที่แนบมากับอีเมล์จากแหล่งที่ไม่น่าเชื่อถือ หรือเราไม่รู้จักผู้ส่ง
- เปิดใช้ “การยืนยันหลายขั้นตอน” ของผู้ให้บริการที่เราเปิดใช้ธุรกรรมต่าง ๆ เช่น อีเมล์ที่มีระบบยืนยันการเข้าใช้งานแบบ 2 ขั้นตอน ก็จะทำให้ถูกโจมตีได้ยากขึ้น
- ระวังโฆษณา หรือข้อเสนอที่ดูดีเกินไปเสมอว่าเป็นอันตราย โดยเราอาจจะลองนำคำโฆษณา หรือข้อความค้นหาบนกูเกิล หรือสอบถามหน่วยงานที่เกี่ยวข้อง
- เปิดระบบป้องกัน หรือลงโปรแกรมป้องกันไวรัสบนอุปกรณ์อิเล็กทรอนิกส์ และหมั่นอัพเดตระบบสม่ำเสมอ เพื่อรับมือการโจมตีรูปแบบใหม่ ๆ ที่อาจเกิดขึ้นได้
แหล่งอ้างอิง : What is Social Engineering | Attack Techniques & Prevention Methods | Imperva
ข่าวที่คุณอาจพลาด
เกาหลี เปิดให้ “ผีน้อย”รายงานตัวกลับบ้านโดยสมัครใจถึง 28 ก.พ.66
ตรวจภายในผู้หญิง รู้ก่อน รีบวางแผนรักษาก่อนระยะลุกลาม
นายกฯ ปลื้ม คะแนนความมั่นคงทางไซเบอร์ของไทย อันดับ 3 อาเซียน
ตีเต้ ลาออกหลังบราซิล ตกรอบฟุตบอลโลก 2022
Phishing คือการล้วงข้อมูลลับด้วยวิธีทางสังคม (Social Engineering) มันคือภัยคุกคามทางไซเบอร์ที่น่ากลัวอย่างยิ่ง คำว่า Phishing ออกเสียงแบบเดียวกับคำว่า Fishing ที่แปลว่าตกปลา ไม่ต่างจากการที่แฮคเกอร์ใช้เหยื่อล่อให้ผู้ใช้ตายใจ และเผลอกรอกข้อมูลส่วนตัวไปให้โดยไม่รู้ตัว
แฮคเกอร์มักจะใช้ Phishing ด้วยการล่อลวงมาทางอีเมล เช่น บอกว่าคุณได้รางวัลใหญ่ หรือบัญชีธนาคารของคุณกำลังถูกระงับ หรือแอคเคานท์โซเชียลมีเดียของคุณมีปัญหา จากนั้นจะมีลิงค์ที่ดูเหมือนว่าจะนำไปสู่หน้า official website ของหน่วยงานนั้น ซึ่งหน้าตาของเว็บไซต์ปลายทางดูเผินๆ ก็เหมือน official website จริงๆ ซึ่งจะมีช่องให้คุณกรอกข้อมูลส่วนตัวต่างๆ ลงไป โดยเฉพาะเลขบัตรเครดิต
ในหน้าเว็บไซต์อันนั้น คือหลุมพรางที่แฮคเกอร์ขุดบ่อไว้ล่อปลามาตกกิน เพราะข้อมูลส่วนตัวของคุณจะถูกเอาไปใช้หากินทันที เช่น บัตรเครดิตจะถูกรูดเอาไปใช้ เป็นต้น
ร้ายกว่านั้น ในการคลิกลิงค์ต่างๆ มันอาจเป็นแผนหลอกให้ผู้ใช้ติดตั้งมัลแวร์ต่างๆ ภายในเครื่องโดยไม่รู้ตัว มัลแวร์เหล่านี้อาจไปเข้ารหัสให้คุณเปิดไฟล์สำคัญไม่ได้ และแฮคเกอร์ก็จะติดต่อคุณเพื่อให้คุณจ่ายเงินแลกกับการได้ไฟล์สำคัญคืนมา
เมื่อค้นดูไปที่ต้นตอของ Phishing พบว่ามันมีมาตั้งแต่ทศวรรษที่ 80 แทบจะมาพร้อมกับๆ การใช้อีเมลเลยก็ว่าได้ ถึงอย่างนั้นศัพท์เทคนิคว่า Phishing ถูกคิดขึ้นมาในปี 1994 โดยแฮคเกอร์และแสปมเมอร์ชาวอเมริกันที่ชื่อ Khan C Smith
ตอนนั้น Khan เป็นเพียงวัยรุ่นอายุ 14 ปีเท่านั้น เขาได้ล้วงข้อมูลส่วนตัวและข้อมูลทางการเงินของผู้ใช้งานเว็บไซต์ America Online ด้วยเทคนิคดังกล่าวไปได้
จากวันนั้นถึงวันนี้ เหล่าแฮคเกอร์ได้หาวิธีใหม่ๆ มาดักตกผู้ใช้งานมากมาย จากผลสำรวจ “APWG Phishing Attack Trends Reports” ในปี 2015 พบว่ามีการรายงานวิธี phishing ใหม่ๆ (Unique Phishing) เข้ามาอย่างต่อเนื่อง และมีแต่เพิ่มมากขึ้นทุกปี
จาก 173,063 เคสในปี 2005 ตัวเลขของ Unique Phishing กระโดดพรวดไปถึง 1,413,978 ในปี 2015
หนึ่งในเหตุผลสำคัญที่เคส Phishing ไม่เคยลดลง แม้ว่าเทคโนโลยีด้าน cyber security จะพัฒนาไปไกลแล้วก็คือ ความรู้เท่าไม่ถึงการณ์ของผู้ใช้ และนั่นทำให้การอบรมเรื่องความปลอดภัยทางไซเบอร์เป็นสิ่งที่ทุกองค์กรต้องทำอย่างหลีกเลี่ยงไม่ได้