Social Engineering
Social Engineering หรือที่มีภาษาไทยสวยหรูว่า “วิศวกรรมสังคม” เป็นศิลปะการหลอกลวงผู้คนเพื่อผลประโยชน์ตามที่แฮ็คเกอร์ต้องการ โดยอาศัยจุดอ่อน ความไม่รู้ หรือความประมาทเลินเล่อ ทำให้เป็นการโจมตีทีได้ผลดีมากเมื่อเทียบกับการโจมตีไซเบอร์รูปแบบอื่นๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านความมั่นคงปลอดภัย
Social Engineering เป็นกุญแจสำคัญของการดำเนินการของแฮ็คเกอร์ อาจเรียกได้ว่าเป็นขั้นตอนแรกที่แฮ็คเกอร์ใช้เพื่อโจมตีเป้าหมาย ซึ่งส่วนใหญ่มักปรากฏในรูปของแคมเปญ Phishing โดยเฉพาะการหลอกให้เปิดไฟล์ที่แนบมากับอีเมล หรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่
ศิลปะการใช้ Social Engineering เพื่อหลอกให้เหยื่อกระทำการตามที่ตนต้องการ
• สร้างสถานการณ์ฉุกเฉิน เช่น มีการตั้งเดดไลน์สำหรับการกระทำบางอย่าง
• ปลอมเป็นผู้อื่นที่มีความสำคัญมากๆ เช่น CEO ของบริษัท
• กล่าวถึงเหตุการณ์หรือสถานการณ์ในปัจจุบันเพื่อให้ดูสมจริง
• อำพราง URL อันตรายให้เหมือนกับ URL ทั่วๆ ไป
• เสนอผลตอบแทนหรือโปรโมชันเพื่อสร้างแรงจูงใจ
Phishing จะไม่มีทางประสบความสำเร็จได้เลยถ้าแฮ็คเกอร์ทำ Social Engineering เพื่อโน้มน้าวเหยื่อให้กระทำตามที่ตนต้องการไม่สำเร็จ อย่างไรก็ตาม ปัจจุบันนี้แฮ็คเกอร์มีเทคนิคการหลอกลวงผู้คนได้อย่างแนบเนียนและตรงกลุ่มเป้าหมายมากกว่าในอดีต
นอกจากนี้ Social Engineering ก็ไม่จำเป็นต้องกระทำผ่านแคมเปญ Email Phishing เสมอไป แฮ็คเกอร์สามารถทำการหลอกลวงผ่านโซเชียลมีเดีย ผ่านการพบปะซึ่งหน้า หรือแม้แต่ผ่านทางโทรศัพท์ เช่น โทรศัพท์สายตรงมาที่โต๊ะทำงานของคุณโดยระบุว่ามาจาก “Tech Support” เพื่อหลอกถามข้อมูลเล็กๆ น้อยๆ เกี่ยวกับระบบคอมพิวเตอร์หรือแอพพลิเคชันที่คุณใช้งาน ข้อมูลที่ได้เหล่านี้นับว่าเป็นขุมทรัพย์สำคัญของแฮ็คเกอร์เลยทีเดียว
เป็นเรื่องยากที่จะหลีกเลี่ยงการตกเป็นเหยื่อของ Social Engineering ซึ่งทาง Sophos ก็ได้ให้คำแนะนำแก่ผู้ที่ไม่ได้อยู่ในสายงาน IT ให้สามารถปกป้องตัวเองได้ ดังนี้
• เชื่อมั่นในสัญชาตญาณของตนเอง ถ้ารู้สึกอะไรแหม่งๆ ให้ใจเย็นๆ และยังไม่ต้องทำอะไรทั้งสิ้น ควรยืนยันสถานการณ์ให้แน่ชัดเสียก่อน ยกตัวอย่างเช่น โทรถามหัวหน้าว่าอีเมลที่ได้รับมานั้น มาจากหัวหน้าจริงหรือไม่ เป็นต้น
• ถ้าถูกถามถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน ผ่านทางโทรศัพท์ ให้วางสายโดยทันที ไม่ว่าบริษัทใด ฝ่ายบริการลูกค้าหรือทีมซัพพอร์ตจะไม่ถามเกี่ยวกับข้อมูลเหล่านั้นโดยเด็ดขาด
• หลีกเลี่ยงการคลิ๊กลิงค์บนอีเมล หรือเปิดไฟล์ที่แนบมา ถ้าไม่แน่ใจว่ารู้จักกับผู้ส่งและมั่นใจว่าเป็นอีเมลที่ผู้ส่งนั้นๆ ส่งมาจริงๆ จำไว้เสมอว่าแฮ็คเกอร์สามารถปลอมตัวเป็นคนที่คุณรู้จักหรือเพื่อนที่ทำงานได้ไม่ยากนัก
• ระลึกไว้เสมอว่า คุณเป็นคนควบคุมจัดการทุกอย่าง อย่าให้คนอื่นๆ มาครอบงำคุณให้ทำสิ่งที่คุณไม่แน่ใจ ไม่ต้องสนใจแรงกดดัน แต่ให้ใจเย็นๆ และพิจารณาสิ่งต่างๆ อย่างถี่ถ้วน
• ที่สำคัญคือ ควรตระหนักถีงอันตรายไซเบอร์และระมัดระวังตัวอยู่เสมอ ของฟรีไม่มีในโลก และอะไรที่ดูดีเกินไปมักนำอันตรายมาสู่คุณโดยไม่รู้ตัว
Social Engineering เป็นเทคนิคหรือกระบวนการที่ผู้ไม่ประสงค์ดีใช้เพื่อทำให้ผู้อื่นเปิดเผยข้อมูลสำคัญ หรือดำเนินการที่ไม่เหมาะสม โดยการใช้เทคนิคการจูงใจหรือการล่อให้ผู้เป้าหมายกระทำตามที่ผู้ที่มีเจตนาไม่ดีต้องการ โดยทั่วไปเป้าหมายของ Social Engineering คือความประสงค์ในการเข้าถึงข้อมูลสำคัญ เช่น ...
รหัสผ่าน, ข้อมูลบัญชีธนาคาร, หรือข้อมูลส่วนบุคคล โดยมักจะใช้วิธีการปลอมตัวเป็นบุคคลอื่น, การขอข้อมูลอย่างเชื่อถือได้, หรือการใช้เทคนิคการเกลียดชัง ในการประพฤติมากกว่าเทคนิคทางเทคโนโลยีในการเข้าถึงข้อมูลที่ปลอดภัยโดยตรง
ตัวอย่างของเทคนิค Social Engineering ได้แก่:
• การโทรศัพท์หรือส่งอีเมลล์หลอกลวง: ผู้ไม่ประสงค์ดีอาจโทรหรือส่งอีเมลล์แอบอ้างเป็นบุคคลที่น่าเชื่อถือ เช่น เจ้าหน้าที่ธนาคาร, เจ้าหน้าที่รัฐบาล หรือบริษัทที่มีชื่อเสียง เพื่อขอข้อมูลส่วนตัวหรือรหัสผ่านจากผู้เป้าหมาย
• การสร้างเว็บไซต์ปลอม: ผู้ไม่ประสงค์ดีอาจสร้างเว็บไซต์ปลอมที่คล้ายคลึงกับเว็บไซต์ที่น่าเชื่อถือ เพื่อให้ผู้เข้าชมกรอกข้อมูลส่วนตัวหรือรายละเอียดบัญชีในการเข้าสู่ระบบ
• การหยิบยื่นข้อมูล: ผู้ไม่ประสงค์ดีอาจเข้าไปในสถานที่ที่มีข้อมูลสำคัญ เช่น ออฟฟิศหรือโรงงาน และหยิบยื่นข้อมูลที่อยู่ในที่เข้าถึงได้ง่าย เช่น เอกสารที่ถูกทิ้งไว้โดยไม่ประมาณการ
การ Social Engineering สามารถสร้างผลกระทบและความเสียหายได้หลากหลายรูปแบบ ได้แก่:
• การสูญเสียข้อมูลสำคัญ: ผู้ไม่ประสงค์ดีอาจได้รับข้อมูลสำคัญเช่น รหัสผ่านบัญชีธนาคารหรือรายละเอียดบัตรเครดิต และนำไปใช้ในการทำความเสียหาย โดยการถอนเงินหรือการซื้อสินค้าออนไลน์โดยไม่ได้รับอนุญาต
• การประสบความเสียหายทางการเงิน: ผู้ไม่ประสงค์ดีอาจนำข้อมูลที่ได้รับมาใช้ในการฉ้อโกงการเงินหรือธุรกิจอื่น ๆ เพื่อก่อให้เกิดความเสียหายทางการเงินต่อบุคคลหรือองค์กร
• การรุกรานและการฉ้อโกง: ผู้ไม่ประสงค์ดีอาจใช้ข้อมูลที่ได้รับจาก Social Engineering เพื่อทำการรุกรานหรือการฉ้อโกงบุคคล ซึ่งอาจทำให้ผู้เป้าหมายเสียเงินหรือเสียความน่าเชื่อถือในบุคคลที่อาจจะเป็นคนดีตามกฎหมาย
สถิติการเกิด Social Engineering สามารถแสดงให้เห็นถึงความเสี่ยงที่เกี่ยวข้องได้ ยกตัวอย่างเช่น:
• ตามรายงาน Verizon ปี 2021 เกี่ยวกับการแฮกเกอร์และซีเออร์ต่อสถิติการขโมยข้อมูล สูงถึง 22% ของการเข้าถึงข้อมูลจากการโจมตีแบบ Social Engineering โดยวิธีการการโทรศัพท์หลอกลวงเป็นที่นิยม
• ตามรายงาน Cybersecurity Ventures ปี 2020 การโจมตีแบบ Social Engineering ได้รับการเพิ่มขึ้นอย่างต่อเนื่อง โดยคาดว่าจะมีค่าใช้จ่ายต่อปีเพิ่มขึ้นจาก 1.2 ล้านล้านเหรียญสหรัฐฯในปี 2021 ไปสู่ 10 ล้านล้านเหรียญสหรัฐฯในปี 2025
การเสียหายที่อาจเกิดขึ้นจาก Social Engineering สามารถมีความหลากหลาย ได้แก่:
• การสูญเสียเงิน: ผู้ไม่ประสงค์ดีอาจใช้ข้อมูลที่ได้รับจาก Social Engineering เพื่อทำการถอนเงินหรือการฉ้อโกงเงินจากบัญชีธนาคารของผู้เป้าหมาย
• การโจมตีระบบ: ผู้ไม่ประสงค์ดีอาจใช้ข้อมูลที่ได้รับเพื่อเข้าถึงระบบคอมพิวเตอร์หรือระบบเครือข่ายขององค์กร และนำไปใช้ในการโจมตีหรือการเข้าถึงข้อมูลอื่น ๆ ที่มีความสำคัญ
• การโจมตีภาพลักษณ์: ผู้ไม่ประสงค์ดีอาจใช้ข้อมูลที่ได้รับเพื่อประดิษฐ์ภาพลักษณ์และประวัติส่วนตัวของบุคคลอื่น ๆ และนำไปใช้ในการขัดแย้งหรือการล่อให้ผู้อื่นเชื่อภาพลักษณ์ที่ประดิษฐ์ขึ้นนั้นเป็นของบุคคลนั้น
การป้องกัน Social Engineering มีความสำคัญอย่างมาก องค์กรควรเน้นการฝึกอบรมพนักงานให้มีความตระหนักและความระมัดระวังเกี่ยวกับเทคนิคการ Social Engineering และปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลที่เข้าถึงได้ง่าย รวมถึงการตรวจสอบและตรวจจับกิจกรรมที่อาจเป็นอันตราย
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
