รู้เท่าทันแฮกเกอร์ กับเทคนิคเจาะข้อมูลแบบ “วิศวกรรมสังคม” 5 รูปแบบ ผ่านพฤติกรรมของเรา
วิศวกรรมสังคม (Social Engineering) เป็นวิชาทางจิตวิทยาแขนงหนึ่ง เกี่ยวข้องกับ
การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งมิจฉาชีพมักจะนำสิ่งเหล่านี้มาใช้ในการลวง และเจาะข้อมูลบุคคลเพื่อนำไปใช้ในทางที่ไม่ดี เช่น ข้อมูลบัตรเครดิต, หลอกให้โอนงาน, นำข้อมูลส่วนตัว ไปใช้ในทางผิดกฎหมาย และอื่น ๆ ที่ส่งผลกระทบกับผู้ที่ถูกกระทำหากเคยได้ยินข่าวกันบ้างอย่างเช่น โทรศัพท์เข้ามาอ้างตัวเป็นคอลเซ็นเตอร์ธนาคาร เพื่อสอบถามข้อมูลส่วนตัวนำไปทำธุรกรรมยักยอกเงินจากบัญชีของเจ้าของเบอร์ เป็นต้น
สิ่งเหล่านี้รุนแรง และมีรูปแบบที่หลากหลายมากยิ่งขึ้นพร้อมกับการมาถึงของยุคดิจิทัล ซึ่งเทคนิคดังกล่าว ไม่ได้อาศัยช่องโหว่ของระบบ หรือเทคโนโลยีใด ๆ หากใช้แต่เพียงช่องโหว่จากพฤติกรรมของเหยื่อ ที่มีต่อข้อมูลนั้น ๆ ในการเข้าถึงข้อมูล
การเจาะข้อมูลแบบ “วิศวกรรมสังคม” ผ่านอุปกรณ์อิเล็กทรอนิกส์มี 5 รูปแบบหลัก ๆ ด้วยกันคือ
1. Baiting “ใช้เหยื่อล่อ”
เป็นรูปแบบที่มีการใช้รางวัล หรือสิ่งตอบแทนเป็นเหยื่อล่อ ให้บุคคลที่ติดเหยื่อ นั้นถูกล้วงข้อมูล หรือเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคลอยู่ ไม่ว่าจะเป็นในรูปแบบดิจิทัล อย่างการคลิกลิงค์ที่ไม่มีความน่าเชื่อถือ แล้วถูกเจาะเข้าอุปกรณ์อิเล็กทรอนิกส์ หรือแบบกายภาพอย่าง Flash Drive ที่ไม่มีเจ้าของ หากเราหยิบนำมาใช้โดยไม่ระวัง เมื่อเชื่อมต่อกับอุปกรณ์อิเล็กทรอนิกส์ ก็อาจถูกล้วงข้อมูลได้
2. Scareware “แจ้งเตือนไวรัสคอมพิวเตอร์ปลอม”
รูปแบบการโจมตีที่มักพบบนคอมพิวเตอร์ ที่จะหลอกเจ้าของเครื่องว่าถูกโจมตีโดยไวรัสคอมพิวเตอร์ หรือมัลแวร์ต่าง ๆ ทำให้คอมพิวเตอร์ของเราไม่ปลอดภัย ซึ่งหากเจ้าของเครื่องทำการติดตั้ง หรือซื้อโปรแกรมป้องกันไวรัสคอมพิวเตอร์ปลอมดังกล่าว มักจะถูกขโมยข้อมูลบัตรเครดิต หรือเข้าถึงคอมพิวเตอร์เครื่องที่ถูกติดตั้งได้
3. Pretexting “แอบอ้างเพื่อล้วงข้อมูล”
มิจฉาชีพมักจะได้ข้อมูลส่วนตัวของเราเช่น ชื่อ-นามสกุล, เบอร์โทรศัพท์ หรืออีเมล์ จากนั้นจะอ้างตัวเป็นเจ้าหน้าที่ธนาคารโทร หรือส่งอีเมล์เข้ามาเพื่อขอข้อมูลธนาคาร หรือข้อมูลส่วนบุคคล ทำให้เหยื่อมักจะสูญเสียเงินในบัญชี หรือถูกนำไปใช้ทำธุรกรรมที่ก่อให้เกิดความเสียหายได้
4. Phishing “ล้วงข้อมูลโดยแอบอ้าง”
มักจะพบเห็นรูปแบบการโจมตีผ่านอีเมล์ ซึ่งอีเมล์ที่ส่งมามักจะมีความคล้ายคลึงกับอีเมล์ขององค์กรที่มิจฉาชีพแอบอ้าง หากไม่สังเกตให้ดี หรือเว็บไซต์ที่มี URL คล้ายคลึงกัน เช่น google.com เป็น gooogle.com โดยจะมีลักษณะของการแอบอ้างเรื่องความปลอดภัย หรือการปรับปรุงระบบข้อมูล เมื่อเราหลงเข้าสู่ระบบ ผ่านหน้าเว็บไซต์ปลอม ทำให้เข้าถึงชื่อผู้ใช้งาน และรหัสผ่าน รวมถึงข้อมูลส่วนบุคคลที่เรากรอกลงไป
5. Spear phishing “ล้วงข้อมูลโดยแอบอ้างเฉพาะกลุ่ม”
รูปแบบการโจมตีจะมีความคล้ายคลึงกับ Phishing แต่รูปแบบจะเน้นไปที่องค์กร หรือพนักงานในองค์กรนั้น ๆ เพื่อเข้าถึงข้อมูลองค์กร
วิธีป้องกัน
วิศวกรรมสังคม อาจเป็นเครื่องมือที่มิจฉาชีพใช้ในการโจมตีบุคคลทั่วไป โดยอาศัยช่องโหว่เชิงพฤติกรรมของมนุษย์ ที่ตอบสนองต่อข้อมูล ซึ่งเราสามารถอุดช่องโหว่ และป้องกันได้ เช่น
– อย่าเปิดอีเมล์ หรือไฟล์ที่แนบมากับอีเมล์จากแหล่งที่ไม่น่าเชื่อถือ หรือเราไม่รู้จักผู้ส่ง
– เปิดใช้ “การยืนยันหลายขั้นตอน” ของผู้ให้บริการที่เราเปิดใช้ธุรกรรมต่าง ๆ เช่น อีเมล์ที่มีระบบยืนยันการเข้าใช้งานแบบ 2 ขั้นตอน ก็จะทำให้ถูกโจมตีได้ยากขึ้น
– ระวังโฆษณา หรือข้อเสนอที่ดูดีเกินไปเสมอว่าเป็นอันตราย โดยเราอาจจะลองนำคำโฆษณา หรือข้อความค้นหาบนกูเกิล หรือสอบถามหน่วยงานที่เกี่ยวข้อง
– เปิดระบบป้องกัน หรือลงโปรแกรมป้องกันไวรัสบนอุปกรณ์อิเล็กทรอนิกส์ และหมั่นอัพเดตระบบสม่ำเสมอ เพื่อรับมือการโจมตีรูปแบบใหม่ ๆ ที่อาจเกิดขึ้นได้
แหล่งอ้างอิง : What is Social Engineering | Attack Techniques & Prevention Methods | Imperva
——————————————————————————————————————————–
ที่มา : pptvhd36 / วันที่เผยแพร่ 11 ต.ค.2564
Link : https://www.pptvhd36.com/news/ไอที/158188
