5 เทคนิค Social Engineering ที่คนส่วนใหญ่ตกเป็นเหยื่อ

“คน” เรียกได้ว่าเป็นช่องโหว่อันดับหนึ่งของภัยคุกคามไซเบอร์ ต่อให้ระบบเครือข่ายขององค์กรมีโซลูชันด้านความมั่นคงปลอดภัยแข็งแกร่งเพียงใด มีกระบวนในการประเมินความเสี่ยงและรับมือกับภัยคุกคามดีเลิศแค่ไหน แต่ถ้าพนักงานในองค์กรเป็นคนเปิดบ้านให้แฮ็คเกอร์เข้ามา ต่อให้ตั้งใจหรือไม่ตั้งใจก็ตาม ระบบก็ถูกคุกคามอยู่ดี

จากรายงาน Data Breach Investigation Report ประจำปี 2016 ของ Verizon ระบุว่า 30% ของข้อความ Phishing ถูกเปิดโดยเหยื่อ หรือก็คือพนักงานในองค์กร และ 12% ของบุคคลเหล่านั้นกดคลิกลิงค์อันตรายหรือไฟล์แนบที่แฝงมัลแวร์มา ที่สำคัญคือ แฮ็คเกอร์ในปัจจุบันพยายามรังสรรค์เทคนิคใหม่ๆ ในการหลอกลวงและเล่นจิตวิทยากับเหยื่อเพื่อให้ตกหลุมพรางมากยิ่งขึ้น

บทความนี้รวม 5 อันดับการหลอกลวงเชิงจิตวิทยาหรือ Social Engineering ที่พนักงานในองค์กรมักตกหลุม ดังนี้

1. อีเมลงาน

อีเมล Phishing ส่วนใหญ่ที่พุ่งเป้ามายังพนักงานในองค์กรมักจะเกี่ยวข้องกับงาน เช่น ระบุหัวข้อว่า “ใบแจ้งหนี้”, “ไฟล์ที่คุณขอมา” หรือ “ส่ง Resume” เป็นต้น เหล่านี้มักทำให้พนักงานที่ขาดความตระหนักด้านความมั่นคงปลอดภัยเปิดอีเมลและไฟล์ที่แนบมาโดยไม่เอะใจใดๆ

2. ข้อความเสียง

บริษัทส่วนใหญ่มักมีบริการรับส่งข้อความเสียงที่ใช้กันภายใน ซึ่งแฮ็คเกอร์นิยมใช้ข้อความเสียงนี้ในการแพร่กระจายมัลแวร์เข้าไปยังระบบเครือข่ายเนื่องจากตรวจจับว่าเป็น Phishing ได้ยาก ยกตัวอย่างเช่น แฮ็คเกอร์ส่งอีเมลแนบข้อความเสียงที่ปลอมคล้ายๆ กับข้อความจาก Microsoft หรือ Cisco แล้วระบุว่า มีข้อความเสียงส่งมาให้คุณ แต่คุณยังไม่ได้ฟัง ให้เปิดฟังจากไฟล์แนบ เป็นต้น

3. ของฟรี

ของฟรีเป็นสิ่งที่ยากจะหักห้ามใจ ไม่ว่าจะเป็นตั๋วฟรี บัตรกำนัลฟรี หรือซอฟต์แวร์ฟรีให้ดาวน์โหลด เมื่อพนักงานในองค์กรกดคลิกลิงค์ที่แนบมา ก็จะนำไปสู่หน้าเว็บไซต์ของแฮ็คเกอร์ที่พร้อมจะส่งมัลแวร์เข้ามาติดตั้งบนเครื่องทันที หรือบางกรณีสำหรับซอฟต์แวร์ฟรี เมื่อทำการติดตั้งแล้วอาจมีแถมซอฟต์แวร์อื่นที่ไม่พึงประสงค์ และก่อความวุ่นวายแก่ระบบรักษาความมั่นคงปลอดภัยได้

4. คำเชิญจาก Linkedin

แฮ็คเกอร์หลายคนนิยมปลอมตัวเป็นพนักงานในองค์กรหรือผู้บริหารระดับสูงของบริษัทที่เหยื่อสังกัดอยู่ จากนั้นส่งคำเชิญเพื่อสร้าง Connection ซึ่งเหยื่อส่วนใหญ่มักตายใจและยินดีที่จะรับเข้า Connection ของตน เนื่องจากคิดว่าผู้บริหารต้องการสื่อสารการทำงานกับตนเอง แต่ที่จริงแล้วแฝงด้วยจุดประสงค์การหลอกถามข้อมูลสำคัญและข้อมูลความลับขององค์กร

5. การเล่น Social Media ในที่ทำงาน

Social Media เป็นช่องทางสำคัญสำหรับแฮ็คเกอร์ที่ใช้เชื่อมต่อกับเหยื่อหรือพนักงานภายในองค์กร แทนที่แฮ็คเกอร์จะต้องส่งอีเมล 1,000 ฉบับแบบสุ่ม แล้วหวังว่าเหยื่อสัก 1 คนจะเผลอเปิด ในกรณีที่เป็น Social Media แฮ็คเกอร์สามารถหลอกล่อให้เหยื่อเข้าถึง Page ของตนได้ง่ายๆ เพียงแค่โพสต์อะไรที่ถูกใจคนอื่นๆ เพียงครั้งเดียวเท่านั้น

คำแนะนำง่ายๆ สำหรับการป้องกัน Social Engineering เหล่านี้ คือ “Double-check” หรือทำการตรวจสอบให้แน่ใจว่า ข้อความ คำเชิญ หรืออะไรก็ตามมาจากบุคคลผู้ส่งจริงๆ อย่าอายหรือกลัวที่จะถามกลับไป และต้องใช้ช่องทางติดต่อสื่อสารประจำที่ใช้กัน หรือช่องทางที่เป็นทางการ เพื่อให้มั่นใจได้ว่าเรากำลังมีปฏิสัมพันธ์กับบุคคลนั้นๆ จริงๆ

ที่มา: http://www.csoonline.com/article/3121791/social-engineering/five-social-engineering-scams-employees-still-fall-for.html