[nForceSecure] Social Engineering ปฏิบัติการโจมตีทางจิตวิทยา การก่ออาชญากรรมทางไซเบอร์ นอกจากแฮกเกอร์จะใช้กลวิธีผ่านเทคโนโลยีที่แยลยลในการเจาะระบบข้อมูลขององค์กร หรือข้อมูลส่วนบุคคลแล้วนั้น สิ่งหนึ่งที่แฮกเกอร์นิยมใ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

18 พ.ย. 2022 เวลา 10:50 • วิทยาศาสตร์ & เทคโนโลยี

Social Engineering ปฏิบัติการโจมตีทางจิตวิทยา

การก่ออาชญากรรมทางไซเบอร์ นอกจากแฮกเกอร์จะใช้กลวิธีผ่านเทคโนโลยีที่แยลยลในการเจาะระบบข้อมูลขององค์กร หรือข้อมูลส่วนบุคคลแล้วนั้น สิ่งหนึ่งที่แฮกเกอร์นิยมใช้อีกวิธีหนึ่งก็คือ “Social Engineering” ปฏิบัติการโจมตีทางจิตวิทยา รวมถึงการใช้วาทะศิลป์ในการล่อลวงเหยื่อให้หลงกลยอมเปิดเผยข้อมูลสำคัญ ทั้งที่ตั้งใจ และไม่ตั้งใจ

อันนำไปสู่การโจมตีระบบตามวัตถุประสงค์และผลลัพธ์ที่ต้องการ ประเด็นที่น่าสนใจคือในบางกรณีการโจมตีโดยการใช้ Social Engineering นั้น แทบไม่ต้องพึ่งพาอินเทอร์เน็ต และคอมพิวเตอร์เลยด้วยซ้ำ…แล้วแฮกเกอร์ใช้วิธีไหนในการโจมตี วันนี้เรามาเรียนรู้เพื่อรู้เท่าทันภัยคุกคามประเภทนี้กัน

Social Engineering กับการรับรู้ข้อมูลของมนุษย์

“Social Engineering” หรือ “วิศวกรรมสังคม” นั้น เป็นสาขาวิชาทางจิตวิทยาแขนงหนึ่ง มีเนื้อหาที่เป็นวิทยาศาสตร์ เกี่ยวกับการรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูล ซึ่งสามารถวิเคราะห์ด้วยสถิติและหาข้อสรุปด้วยวิธีทางวิทยาศาสตร์ได้

Social Engineering เกิดมาจากการนำเอาความรู้ทางจิตวิทยา สังคมศาสตร์ รัฐศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ รวมไปถึงการศึกษาการออกแบบ การแก้ไข และการวางแผนพฤติกรรมมนุษย์ มาประยุกต์เข้าด้วยกัน หลักการของวิชานี้

จะมุ่งเน้นไปที่พฤติกรรมของสังคมศึกษา ทำความเข้าใจ วิเคราะห์ วางแผน และออกแบบให้เกิดการกระทำพฤติกรรมตามแนวทางที่วางไว้

โดยนัยแล้วความเกี่ยวข้องกับข้อมูลของ Social Engineering ไม่จำกัดว่าข้อมูลนั้นได้มาอย่างไร ถูกต้อง หลอกลวง เปิดเผยหรือปิดบัง และการประยุกต์ใช้ Social Engineering ก็เช่นกัน ไม่จำกัดว่า มุ่งดีหรือมุ่งร้าย ให้ประโยชน์หรือหาประโยชน์

นอกจากนี้ยังได้มีการนำความรู้ทางคอมพิวเตอร์มาประยุกต์ใช้กับ Social Engineering ในหลายๆ ทาง ยกตัวอย่างเช่น การประยุกต์ใช้ Data Mining เพื่อให้ได้มาซึ่งข้อมูลอันเป็นประโยชน์ เพื่อวิเคราะห์ความต้องการ วิเคราะห์หาเจตจำนง และหาเหตุเชื่อมโยงแห่งการตัดสินใจของมนุษย์

โดยวิธีทางการวิเคราะห์ข้อมูล Data Analysis จากข้อมูลปริมาณมากที่มนุษย์สร้างขึ้น เช่น การเลือกคลิกรายการสินค้า การค้นหาข้อมูลด้วยคำต่างๆ ผ่าน Search Engines การคลิกเลือกเข้าชมเว็ปไซต์ การเลือกเข้าดูหนังหรือรายการสื่อออนไลน์ การกรอกข้อมูลเพศ อายุ และการตอบแบบสอบถาม เป็นต้น

ข้อมูลเหล่านี้สามารถรวบรวมจากการใช้งานคอมพิวเตอร์ในแต่ละวันจากทุกๆ คนในสังคม เมื่อนำมารวมกันจะมีปริมาณข้อมูลมหาศาล ซึ่งเมื่อผ่านการจำแนกและวิเคราะห์แล้วจะได้มาซึ่งข้อมูลอันเป็นประโยชน์ เช่น รายการสินค้าที่อยู่ในความต้องการ การนำเสนอบริการที่ตรงใจผู้บริโภค รสนิยมทางเพศ การตามรอยแผนการก่อการร้าย หรือการโฆษณา ก็ล้วนแต่เป็นการประยุกต์ใช้ Social Engineering ในเชิงปฏิบัติทั้งสิ้น

แต่สำหรับแฮกเกอร์นั้น การได้มาซึ่งข้อมูลของ Social Engineering จะใช้วิธีการหลอกลวงเหยื่อ ประยุกต์ใช้โดยการมุ่งร้ายและหาผลประโยชน์ เหล่านี้คือจุดมุ่งหมายเดียวที่แฮกเกอร์นำไปใช้ในเพื่อก่ออาชญากรรม สร้างภัยคุกคามต่อองค์กรและตัวบุคคล ซึ่งมีหลากหลายรูปแบบด้วยกัน ปรับเปลี่ยนไปตามบริบทของสังคม ไม่มีแบบแผนตายตัวหวังผลลัพธ์เป็น “ข้อมูล” ของเป้าหมาย

ไม่ว่าจะเป็นรหัสบัตรเครดิต บัตร ATM ข้อมูลส่วนบคคุบ หรือบัญชีผู้ใช้และรหัสผ่านของบริการต่างๆ เมื่อวางเป้าหมายไว้แล้ว ขั้นตอนต่อไปคือการลงมือโจมตี โดยขอยกตัวอย่างช่องทางและวิธีที่แฮกเกอร์มักใช้ดำเนินการอยู่บ่อยครั้ง ดังนี้

★
สร้างสถานการ์หลอกลวงให้เหยื่อโอนเงิน

วิธีนี้เราคุ้นเคยกันเป็นอย่างดี มาในลักษณะเดียวกับแก๊ง Call Center เป็นการโทรศัพท์เข้ามาหลอกลวงเหยื่อเพื่อให้เปิดเผยข้อมูลสำคัญหรือหลอกล่อให้เหยื่อกระทำการตามที่แฮกเกอร์ต้องการ หรือถ้าเป็นในองค์กรต่างๆ กลุ่มที่มักจะตกเป็นเหยื่ออาจจะเป็นฝ่ายประสัมพันธ์, HR, ฝ่ายบริการลูกค้า เป็นต้น

ซึ่งเป็นกลุ่มที่มีหน้าที่คอยให้ข้อมูลกับบุคคลอื่นอยู่แล้ว ดังนั้นกลุ่มคนเหล่านี้จึงมีความเสี่ยงสูงที่อาจจะเผลอเปิดเผยข้อมูลสำคัญบางอย่างออกมา ตัวอย่างของการหลอกลวงในลักษณะนี้เช่น แฮกเกอร์โทรมาหลอกลวงเหยื่อ ว่าเหยื่อได้รับสิทธิ์ในการลดหย่อนภาษีจากกรมสรรพากรจึงอยากจะโอนเงินภาษีคืนให้ผ่านทางธนาคาร

ขอให้เหยื่อแจ้งหมายเลขบัญชีธนาคารให้ทราบ และขอให้ทำการโอนเงินเข้ามายังบัญชีของแฮกเกอร์เพื่อเป็นการยืนยันว่า เหยื่อเป็นเจ้าของบัญชีนั้นจริง ซึ่งหากเหยื่อหลงเชื่อก็จะทำการโอนเงินไปให้แฮกเกอร์

★
Phishing หลอกให้คลิกลิงก์อันตราย

เป็นการหลอกลวงเหยื่อผ่านทางอินเทอร์เน็ต ไม่ว่าจะผ่านการเข้าใช้งานเว็บไซต์ อีเมล หรือการแชต การหลอกลวงในรูปแบบนี้แฮกเกอร์มักจะมีเป้าหมายเพื่อขโมยรหัสผ่านของบริการต่างๆ ตัวอย่างการหลอกลวงในลักษณะนี้เช่น แฮกเกอร์ส่งอีเมลถึงลูกค้าของธนาคารโดยอ้างว่าธนาคารได้มีการปรับปรุงระบบรักษาความปลอดภัย

จึงอยากให้ลูกค้าเข้าสู่ระบบเพื่อยืนยันข้อมูลส่วนบุคคล โดยคลิกที่ลิงก์ที่ส่งมาในอีเมล หากลูกค้าคลิกลิงก์เพื่อที่จะเข้าสู่ระบบ แฮกเกอร์ก็จะได้ชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าใช้งานธนาคารของเหยื่อไป เป็นต้น ซึ่งการโจมตีในลักษณะดังกล่าวเรียกว่า Phishing นอกจากนี้หากเหยื่อใช้งานรหัสผ่านตัวเดียวกันกับบริการอื่น แฮกเกอร์ก็อาจจะสามารถเข้าสู่ระบบของบริการอื่นๆ ได้ด้วยเช่นกัน

★
Dumpster Diving ค้นหาข้อมูลสำคัญจากถังขยะ

เป็นเทคนิคการค้นหาข้อมูลสำคัญจากถังขยะของบุคคลหรือองค์กรที่เป็นเป้าหมาย เพื่อที่จะได้ข้อมูลสำคัญ เช่น รหัสผ่านที่จดบันทึกไว้ในกระดาษ แผนผังองค์กร หมายเลขโทรศัพท์ รวมถึงข้อมูลสำคัญอื่นๆ ที่เก็บไว้บนสื่อบันทึกข้อมูลทุกประเภท การทำ Dumpster Diving นี้ อาจจะทำให้แฮกเกอร์ได้ข้อมูลเพียงพอสำหรับนำไปใช้หลอกลวงด้วยวิธีการอื่นต่อไป

วางกับดักเพื่อให้ตายใจ

เป็นวิธีการที่แฮกเกอร์สามารถทำให้เหยื่อติดต่อกลับเข้ามาหาตนเอง โดยอาจจะติดต่อกลับมาเพื่อขอความช่วยเหลือ หรือสอบถามข้อมูล ซึ่งเหตุการณ์เช่นนี้อาจเป็นผลมาจากการที่แฮกเกอร์เคยหลอกลวงเหยื่อเอาไว้แล้วในครั้งก่อน ทันทีที่เหยื่อติดต่อกลับมา

เหยื่อก็แทบจะไม่มีทางรู้ตัวได้เลยว่าตนกำลังถูกหลอกลวงอยู่ ทั้งนี้ก่อนจะหลอกให้เหยื่อติดต่อกลับมานั้น แฮกเกอร์จะต้องทำการบ้านมาเป็นอย่างดี เพื่อไม่ให้เหยื่อที่ติดต่อกลับมาหานั้นเกิดความสงสัย

ตัวอย่างง่ายๆ ของการหลอกลวงลักษณะนี้เช่น แฮกเกอร์แนะนำเหยื่อว่าหากมีปัญหากับการใช้งานอินเทอร์เน็ตสามารถปรึกษากับตนได้ ซึ่งเมื่อเวลาผ่านไปเหยื่ออาจจะติดต่อกลับมา ซึ่งจะเป็นโอกาสที่ดีของแฮกเกอร์ที่จะหลอกเอาชื่อผู้ใช้ และรหัสผ่านของการเข้าใช้งานอินเทอร์เน็ตของเหยื่อได้

จะเห็นได้ว่าส่วนใหญ่แล้ว Social Engineering มีเหยื่อเป็นบุคคล การให้ความรู้ความเข้าใจในเรื่อง Social Engineering จึงเป็นสิ่งสำคัญ หากมองในมุมขององค์กรแล้ว นอกจากจะให้ความรู้ความเข้าใจกับพนักงาน ยังควรจะต้องมีการกำหนดนโยบาย

และขั้นตอนการปฏิบัติงานที่ชัดเจนเพื่อป้องกัน Social Engineering ไม่ว่าจะเป็นการกำหนดขั้นตอนการปฏิบัติงานของแผนกต่างๆ เช่น Helpdesk ซึ่งควรจะต้องมีการตรวจสอบข้อมูลของผู้สอบถามก่อนจะให้ข้อมูล การกำหนด Password Policy ที่จะกำหนดแนวทางการใช้งานรหัสผ่าน เช่น ห้ามจดบันทึกรหัสผ่าน หรือห้ามใช้รหัสผ่านร่วมกับผู้อื่น การกำหนดชั้นความลับของเอกสาร ที่จะทำให้มีการปฏิบัติต่อเอกสารอย่างเหมาะสม ไม่ว่าจะเป็นการเก็บรักษา หรือการทำลายเอกสาร เป็นต้น

คุณจะหลีกเลี่ยงการตกเป็นเหยื่อได้อย่างไร?

เพื่อเป็นการเตือนภัยเกี่ยวกับ Social Engineering เรามีแนวทางปฏิบัติและคำแนะนำ ดังนี้

• อย่าให้ข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับองค์กรของคุณ รวมถึงโครงสร้างหรือเครือข่ายขององค์กร เว้นแต่คุณจะแน่ใจว่าบุคคลนั้นมีอำนาจในการเข้าถึงข้อมูลจริงๆ

• อย่าเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินในอีเมล และอย่าตอบกลับการร้องขอทางอีเมลสำหรับข้อมูลนี้ ซึ่งรวมถึงลิงก์ที่ส่งมาในอีเมลด้วย

• อย่าส่งข้อมูลที่ละเอียดอ่อนทางอินเทอร์เน็ต ก่อนที่จะตรวจสอบความปลอดภัยของเว็บไซต์

• หากคุณไม่แน่ใจว่าคำขอทางอีเมลนั้นถูกต้องหรือไม่ ให้ลองยืนยันโดยติดต่อบริษัทโดยตรงอย่าใช้ข้อมูลการติดต่อที่ให้ไว้บนเว็บไซต์

• ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัส ไฟร์วอลล์ และตัวกรองอีเมลเพื่อลดการรับส่งข้อมูลบางส่วน

• ใช้ประโยชน์จากคุณสมบัติป้องกัน Phishing ที่มีให้โดยไคลเอนต์อีเมล และเว็บเบราว์เซอร์ของคุณ

ทำอย่างไรถ้าคุณคิดว่ากำลังตกเป็นเหยื่อของ Social Engineering?

• หากคุณเชื่อว่าคุณอาจเปิดเผยข้อมูลที่ละเอียดอ่อนเกี่ยวกับองค์กรของคุณ ให้รายงานต่อบุคคลที่เหมาะสมภายในองค์กร รวมถึงผู้ดูแลระบบเครือข่าย พวกเขาสามารถแจ้งเตือนสำหรับกิจกรรมที่น่าสงสัยหรือผิดปกติได้

• หากคุณเชื่อว่าบัญชีการเงินของคุณอาจถูกบุกรุก ให้รีบติดต่อสถาบันการเงินของคุณและปิดบัญชีทันที

• เปลี่ยนรหัสผ่านที่คุณอาจเปิดเผยทันที หากคุณใช้รหัสผ่านเดียวกันหลายรายการ อย่าลืมเปลี่ยนรหัสผ่านของแต่ละบัญชีด้วย และอย่าใช้รหัสผ่านนั้นอีกในอนาคต

• ดูสัญญาณอื่นๆ ของการโจรกรรมข้อมูลส่วนบุคคล เช่น ค่าใช้จ่ายที่ผิดปกติหรือไม่สามารถอธิบายได้ในบิลของคุณ

• รวบรวมหลักฐานและเข้าแจ้งความต่อเจ้าหน้าที่ตำรวจ เพื่อดำเนินการตามขั้นตอนต่อไป

แม้ว่าวิธีการข้างต้นที่แฮกเกอร์ใช้ในการโจมตีนั้นจะไม่ใช่วิธีใหม่ ผู้คนในสังคมเริ่มรู้เท่าทันภัยคุกคามประเภทนี้กันแล้ว แต่ถึงกระนั้นเมื่อการใช้ Social Engineering เน้นเป้าการโจมตีไปที่ตัวบุคคล เ

ราก็ต้องคอยเตือนตัวเองอยู่เสมอว่า “อย่าไว้ใจใครง่ายๆ” โดยเฉพาะการเสนอเงินรางวัล หรือของกำนัล ที่ส่งมาเป็นข้อความพร้อมกับแนบลิงก์ส่งผ่านมือถือหรืออีเมลประมาณว่า “ยินดีด้วย…คุณคือผู้โชคดีได้รับเงินรางวัล 100,000 บาท ลงทะเบียนรับเงิน คลิก!” หากหลงเชื่อก็เป็นอันเข้าทางแฮกเกอร์ทันที

โดยสรุปแล้วการเอาตัวรอดจาก Social Engineering นั้นไม่ใช่เรื่องยากเกินรับมือ หากแต่ต้องอาศัยการเป็นคนช่างสงสัย และมีสติ เมื่อสื่อสารกับคนแปลกหน้าไม่ว่าจะเป็นทางโทรศัพท์ ทางอีเมล หรือพูดคุยกันซึ่งหน้า ที่ต้องการข้อมูลส่วนบุคคล หรือข้อมูลภายในขององค์กร ซึ่งไม่ว่าคนแปลกหน้านั้นจะแสดงตนว่าเป็นบุคคลจากองค์กรใดก็ตาม ก็ควรจะมีการตรวจสอบกับองค์กรนั้นโดยตรงก่อนเสมอ เน้นอีกครั้งว่า “อย่าเชื่อใจจนกว่าจะได้พิสูจน์”

อีกประการหนึ่งที่จะช่วยให้เรารอดพ้นจากการตกเป็นเหยื่อในลักษณะนี้ก็คือ “อย่าโลภ” ให้คิดเสมอว่าอยู่ดีๆ ใครจะให้เงินเราฟรีๆ โดยที่เราไม่ได้ทำอะไรแลกเปลี่ยนหรือตอบแทนใดๆ หากเราถูกความโลภครอบงำการตกเป็นเหยื่อจึงไม่ใช่เรื่องแปลก นี่จึงเป็นเหตุผลว่าทำไมกลวิธีนี้ยังใช้ได้ดีในยุคปัจจุบัน การเล่นกับความโลภความอยากได้ของมนุษย์เป็นจิตวิทยาที่ใช้ได้ดีเสมอ จงจำไว้เลยว่า “ของฟรีไม่มีในแกลแล็คซี่นี้” คติประจำใจในการใช้ชีวิตในโลกยุคดิจิทัล

ข้อมูลจาก

https://www.etda.or.th/

https://th.wikipedia.org/

https://www.cisa.gov/

บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด (มหาชน) (SECURE) ผู้เชี่ยวชาญในด้านผลิตภัณฑ์รักษาความปลอดภัยทางเทคโนโลยีไซเบอร์ (Cyber Security) ในฐานะตัวแทนจำหน่ายและผู้ให้บริการอย่างครบวงจร โดยนำเสนอผลิตภัณฑ์ที่มีคุณภาพและมีชื่อเสียงระดับโลก เพื่อตอบสนองความต้องการของลูกค้าในด้านการรักษาความปลอดภัยทางเทคโนโลยีไซเบอร์

สามารถติดตามโซลูชั่นอื่นๆ ได้ทาง

https://www.nforcesecure.com/

https://www.facebook.com/nForceSecure/

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน