รู้จักกับ Social Engineering ศิลปะการหลอกลวงของแฮ็คเกอร์

sophos_logo

หลายท่านน่าจะเคยได้ยินคำว่า Social Engineering กันมาบ้างแล้ว บทความนี้เราจะมาทำความเข้าใจความหมาย ตัวอย่าง และวิธีป้องกันในยุคปัจจุบันกันครับ

Social Engineering หรือที่มีภาษาไทยสวยหรูว่า “วิศวกรรมสังคม” เป็นศิลปะการหลอกลวงผู้คนเพื่อผลประโยชน์ตามที่แฮ็คเกอร์ต้องการ โดยอาศัยจุดอ่อน ความไม่รู้ หรือความประมาทเลินเล่อ ทำให้เป็นการโจมตีทีได้ผลดีมากเมื่อเทียบกับการโจมตีไซเบอร์รูปแบบอื่นๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านความมั่นคงปลอดภัย

ttt_terrorist_on_computer-oneinchpunch
Credit: oneinchpunch/ShutterStock

Social Engineering เป็นกุญแจสำคัญของการดำเนินการของแฮ็คเกอร์ อาจเรียกได้ว่าเป็นขั้นตอนแรกที่แฮ็คเกอร์ใช้เพื่อโจมตีเป้าหมาย ซึ่งส่วนใหญ่มักปรากฏในรูปของแคมเปญ Phishing โดยเฉพาะการหลอกให้เปิดไฟล์ที่แนบมากับอีเมล หรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่

ศิลปะการใช้ Social Engineering เพื่อหลอกให้เหยื่อกระทำการตามที่ตนต้องการ

  • สร้างสถานการณ์ฉุกเฉิน เช่น มีการตั้งเดดไลน์สำหรับการกระทำบางอย่าง
  • ปลอมเป็นผู้อื่นที่มีความสำคัญมากๆ เช่น CEO ของบริษัท
  • กล่าวถึงเหตุการณ์หรือสถานการณ์ในปัจจุบันเพื่อให้ดูสมจริง
  • อำพราง URL อันตรายให้เหมือนกับ URL ทั่วๆ ไป
  • เสนอผลตอบแทนหรือโปรโมชันเพื่อสร้างแรงจูงใจ

Phishing จะไม่มีทางประสบความสำเร็จได้เลยถ้าแฮ็คเกอร์ทำ Social Engineering เพื่อโน้มน้าวเหยื่อให้กระทำตามที่ตนต้องการไม่สำเร็จ อย่างไรก็ตาม ปัจจุบันนี้แฮ็คเกอร์มีเทคนิคการหลอกลวงผู้คนได้อย่างแนบเนียนและตรงกลุ่มเป้าหมายมากกว่าในอดีต

Credit: The Cute Design Studio/ShutterStock
Credit: The Cute Design Studio/ShutterStock

นอกจากนี้ Social Engineering ก็ไม่จำเป็นต้องกระทำผ่านแคมเปญ Email Phishing เสมอไป แฮ็คเกอร์สามารถทำการหลอกลวงผ่านโซเชียลมีเดีย ผ่านการพบปะซึ่งหน้า หรือแม้แต่ผ่านทางโทรศัพท์ เช่น โทรศัพท์สายตรงมาที่โต๊ะทำงานของคุณโดยระบุว่ามาจาก “Tech Support” เพื่อหลอกถามข้อมูลเล็กๆ น้อยๆ เกี่ยวกับระบบคอมพิวเตอร์หรือแอพพลิเคชันที่คุณใช้งาน ข้อมูลที่ได้เหล่านี้นับว่าเป็นขุมทรัพย์สำคัญของแฮ็คเกอร์เลยทีเดียว

เป็นเรื่องยากที่จะหลีกเลี่ยงการตกเป็นเหยื่อของ Social Engineering ซึ่งทาง Sophos ก็ได้ให้คำแนะนำแก่ผู้ที่ไม่ได้อยู่ในสายงาน IT ให้สามารถปกป้องตัวเองได้ ดังนี้

  • เชื่อมั่นในสัญชาตญาณของตนเอง ถ้ารู้สึกอะไรแหม่งๆ ให้ใจเย็นๆ และยังไม่ต้องทำอะไรทั้งสิ้น ควรยืนยันสถานการณ์ให้แน่ชัดเสียก่อน ยกตัวอย่างเช่น โทรถามหัวหน้าว่าอีเมลที่ได้รับมานั้น มาจากหัวหน้าจริงหรือไม่ เป็นต้น
  • ถ้าถูกถามถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน ผ่านทางโทรศัพท์ ให้วางสายโดยทันที ไม่ว่าบริษัทใด ฝ่ายบริการลูกค้าหรือทีมซัพพอร์ตจะไม่ถามเกี่ยวกับข้อมูลเหล่านั้นโดยเด็ดขาด
  • หลีกเลี่ยงการคลิ๊กลิงค์บนอีเมล หรือเปิดไฟล์ที่แนบมา ถ้าไม่แน่ใจว่ารู้จักกับผู้ส่งและมั่นใจว่าเป็นอีเมลที่ผู้ส่งนั้นๆ ส่งมาจริงๆ จำไว้เสมอว่าแฮ็คเกอร์สามารถปลอมตัวเป็นคนที่คุณรู้จักหรือเพื่อนที่ทำงานได้ไม่ยากนัก
  • ระลึกไว้เสมอว่า คุณเป็นคนควบคุมจัดการทุกอย่าง อย่าให้คนอื่นๆ มาครอบงำคุณให้ทำสิ่งที่คุณไม่แน่ใจ ไม่ต้องสนใจแรงกดดัน แต่ให้ใจเย็นๆ และพิจารณาสิ่งต่างๆ อย่างถี่ถ้วน
  • ที่สำคัญคือ ควรตระหนักถีงอันตรายไซเบอร์และระมัดระวังตัวอยู่เสมอ ของฟรีไม่มีในโลก และอะไรที่ดูดีเกินไปมักนำอันตรายมาสู่คุณโดยไม่รู้ตัว

ที่มา: https://blogs.sophos.com/what-is/social-engineering/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้