5 เทคนิค Social Engineering ที่คนส่วนใหญ่ตกเป็นเหยื่อ

“คน” เรียกได้ว่าเป็นช่องโหว่อันดับหนึ่งของภัยคุกคามไซเบอร์ ต่อให้ระบบเครือข่ายขององค์กรมีโซลูชันด้านความมั่นคงปลอดภัยแข็งแกร่งเพียงใด มีกระบวนในการประเมินความเสี่ยงและรับมือกับภัยคุกคามดีเลิศแค่ไหน แต่ถ้าพนักงานในองค์กรเป็นคนเปิดบ้านให้แฮ็คเกอร์เข้ามา ต่อให้ตั้งใจหรือไม่ตั้งใจก็ตาม ระบบก็ถูกคุกคามอยู่ดี

ttt_Thief_using_Phishing-_Carlos_A._Oliveras

จากรายงาน Data Breach Investigation Report ประจำปี 2016 ของ Verizon ระบุว่า 30% ของข้อความ Phishing ถูกเปิดโดยเหยื่อ หรือก็คือพนักงานในองค์กร และ 12% ของบุคคลเหล่านั้นกดคลิกลิงค์อันตรายหรือไฟล์แนบที่แฝงมัลแวร์มา ที่สำคัญคือ แฮ็คเกอร์ในปัจจุบันพยายามรังสรรค์เทคนิคใหม่ๆ ในการหลอกลวงและเล่นจิตวิทยากับเหยื่อเพื่อให้ตกหลุมพรางมากยิ่งขึ้น

บทความนี้รวม 5 อันดับการหลอกลวงเชิงจิตวิทยาหรือ Social Engineering ที่พนักงานในองค์กรมักตกหลุม ดังนี้

1. อีเมลงาน

อีเมล Phishing ส่วนใหญ่ที่พุ่งเป้ามายังพนักงานในองค์กรมักจะเกี่ยวข้องกับงาน เช่น ระบุหัวข้อว่า “ใบแจ้งหนี้”, “ไฟล์ที่คุณขอมา” หรือ “ส่ง Resume” เป็นต้น เหล่านี้มักทำให้พนักงานที่ขาดความตระหนักด้านความมั่นคงปลอดภัยเปิดอีเมลและไฟล์ที่แนบมาโดยไม่เอะใจใดๆ

2. ข้อความเสียง

บริษัทส่วนใหญ่มักมีบริการรับส่งข้อความเสียงที่ใช้กันภายใน ซึ่งแฮ็คเกอร์นิยมใช้ข้อความเสียงนี้ในการแพร่กระจายมัลแวร์เข้าไปยังระบบเครือข่ายเนื่องจากตรวจจับว่าเป็น Phishing ได้ยาก ยกตัวอย่างเช่น แฮ็คเกอร์ส่งอีเมลแนบข้อความเสียงที่ปลอมคล้ายๆ กับข้อความจาก Microsoft หรือ Cisco แล้วระบุว่า มีข้อความเสียงส่งมาให้คุณ แต่คุณยังไม่ได้ฟัง ให้เปิดฟังจากไฟล์แนบ เป็นต้น

3. ของฟรี

ของฟรีเป็นสิ่งที่ยากจะหักห้ามใจ ไม่ว่าจะเป็นตั๋วฟรี บัตรกำนัลฟรี หรือซอฟต์แวร์ฟรีให้ดาวน์โหลด เมื่อพนักงานในองค์กรกดคลิกลิงค์ที่แนบมา ก็จะนำไปสู่หน้าเว็บไซต์ของแฮ็คเกอร์ที่พร้อมจะส่งมัลแวร์เข้ามาติดตั้งบนเครื่องทันที หรือบางกรณีสำหรับซอฟต์แวร์ฟรี เมื่อทำการติดตั้งแล้วอาจมีแถมซอฟต์แวร์อื่นที่ไม่พึงประสงค์ และก่อความวุ่นวายแก่ระบบรักษาความมั่นคงปลอดภัยได้

4. คำเชิญจาก Linkedin

แฮ็คเกอร์หลายคนนิยมปลอมตัวเป็นพนักงานในองค์กรหรือผู้บริหารระดับสูงของบริษัทที่เหยื่อสังกัดอยู่ จากนั้นส่งคำเชิญเพื่อสร้าง Connection ซึ่งเหยื่อส่วนใหญ่มักตายใจและยินดีที่จะรับเข้า Connection ของตน เนื่องจากคิดว่าผู้บริหารต้องการสื่อสารการทำงานกับตนเอง แต่ที่จริงแล้วแฝงด้วยจุดประสงค์การหลอกถามข้อมูลสำคัญและข้อมูลความลับขององค์กร

5. การเล่น Social Media ในที่ทำงาน

Social Media เป็นช่องทางสำคัญสำหรับแฮ็คเกอร์ที่ใช้เชื่อมต่อกับเหยื่อหรือพนักงานภายในองค์กร แทนที่แฮ็คเกอร์จะต้องส่งอีเมล 1,000 ฉบับแบบสุ่ม แล้วหวังว่าเหยื่อสัก 1 คนจะเผลอเปิด ในกรณีที่เป็น Social Media แฮ็คเกอร์สามารถหลอกล่อให้เหยื่อเข้าถึง Page ของตนได้ง่ายๆ เพียงแค่โพสต์อะไรที่ถูกใจคนอื่นๆ เพียงครั้งเดียวเท่านั้น

คำแนะนำง่ายๆ สำหรับการป้องกัน Social Engineering เหล่านี้ คือ “Double-check” หรือทำการตรวจสอบให้แน่ใจว่า ข้อความ คำเชิญ หรืออะไรก็ตามมาจากบุคคลผู้ส่งจริงๆ อย่าอายหรือกลัวที่จะถามกลับไป และต้องใช้ช่องทางติดต่อสื่อสารประจำที่ใช้กัน หรือช่องทางที่เป็นทางการ เพื่อให้มั่นใจได้ว่าเรากำลังมีปฏิสัมพันธ์กับบุคคลนั้นๆ จริงๆ

ที่มา: http://www.csoonline.com/article/3121791/social-engineering/five-social-engineering-scams-employees-still-fall-for.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รายงานจาก Microsoft ชี้ตรวจพบ Malware, Ransomware และ Cryptominer ลดลงในปี 2019

ถ้าถามว่าใครจะมีข้อมูลของผู้ใช้งาน Windows มากที่สุด คงเถียงไม่ได้ว่าน่าจะเป็น Microsoft เนื่องจากเป็นเจ้าของ OS ซึ่งจากรายงานของปีนี้พบว่าภัยคุกคามประเภท Malware, Ransomware และ Cryptominer น้อยลงกว่ามีก่อน

OpenBSD ออกแพตช์ช่องโหว่ 4 รายการ แนะผู้ใช้ควรอัปเดต

มีแพตช์อุดช่องโหว่จาก OpenBSD จำนวน 4 รายการ ซึ่งสามารถนำไปสูการยกระดับสิทธิ์และ Bypass การพิสูจน์ตัวตนได้