Social Engineering หรือวิศวกรรมสังคม คือรูปแบบการหลอกลวงโดยอาชญากรไซเบอร์ ซึ่งลอกเลียนแบบแหล่งข้อมูลที่น่าเชื่อถือ เพื่อโน้มน้าวให้เหยื่อดำเนินการบางอย่าง โดยอาศัยจุดอ่อน ความไว้วางใจ ความไม่รู้ ความประมาทเลินเล่อ
อาชญากรไซเบอร์ได้เรียนรู้ว่าอีเมล ข้อความเสียง หรือข้อความ SMS สามารถโน้มน้าวผู้คนให้โอนเงิน ให้ข้อมูลที่เป็นความลับ หรือดาวน์โหลดไฟล์ที่ติดตั้งมัลแวร์บนเครือข่ายของบริษัทได้ ทำให้การโจมตีได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์รูปแบบอื่นๆ โดยเฉพาะกับกลุ่มคนที่ไม่มีความรู้ทางด้านความปลอดภัยทางไซเบอร์
รูปแบบการโจมตีด้วย Social Engineering
ขั้นตอนแรก อาชญากรไซเบอร์จะหาเหยื่อที่ต้องการ หลอกล่อเหยื่อให้ติดกับ ขโมยข้อมูลที่ต้องการและทำการโจมตี หลังจากนั้นก็ถอนตัวไปเงียบๆ โดยเหยื่อไม่รู้ตัว
9 ตัวอย่างการโจมตีทางวิศวกรรมสังคมที่พบบ่อยสุด
1. Phishing
เป็นวิธีที่แพร่หลายที่สุดในการนำวิศวกรรมสังคมไปใช้ อาชญากรไซเบอร์จะใช้อีเมล เว็บไซต์ และข้อความหลอกลวงเพื่อขโมยข้อมูลส่วนบุคคลหรือข้อมูลองค์กรที่อ่อนไหวจากเหยื่อที่ไม่ระวังตัว แม้ว่าเทคนิคอีเมลฟิชชิงจะเป็นที่รู้จัก แต่พนักงาน 1 ใน 5 คนยังคงคลิกลิงก์ที่น่าสงสัยเหล่านั้น
2. Spear Phishing
การหลอกลวงทางอีเมลแบบ Spear Phising ใช้เพื่อโจมตีบุคคลหรือองค์กรแบบกำหนดเป้าหมาย ฟิชชิงแบบ Spear นั้นซับซ้อนกว่าอีเมลฟิชชิงทั่วไป เนื่องจากต้องมีการวิจัยเชิงลึกเกี่ยวกับเป้าหมายที่เป็นไปได้และองค์กรของพวกเขา
3. Baiting
การโจมตีประเภทนี้สามารถทำได้ทั้งทางออนไลน์และออฟไลน์ อาชญากรไซเบอร์มักจะสัญญาว่าจะให้รางวัลหรือสิ่งตอบแทนแก่เหยื่อเพื่อหลอกขอข้อมูลส่วนบุคคล
4. Malware
กลุ่มของการโจมตีรวมไปถึงแรนซัมแวร์ เหยื่อจะได้รับข้อความฉุกเฉินและหลอกให้ติดตั้งมัลแวร์บนอุปกรณ์ของตน และเรียกร้องเงิน หรือขโมยข้อมูลเพื่อไปโจมตีต่อ
5. Pretexting
อาชญากรไซเบอร์จะปลอมแปลงตัวตนเป็นองค์กรที่มีข้อมูลลูกค้าเป็นจำนวนมาก เช่น ธนาคาร ผู้ให้บริการบัตรเครดิต และบริษัทสาธารณูปโภค เพื่อหลอกให้เหยื่อยอมให้ข้อมูล
6. Quid Pro Quo
การโจมตีนี้มีศูนย์กลางอยู่ที่การแลกเปลี่ยนข้อมูลหรือบริการเพื่อโน้มน้าวให้เหยื่อทำตามคำแนะนำ โดยอาชญากรไซเบอร์จะแสดงตัวเป็นผู้เชี่ยวชาญด้านเทคโนโลยี และเสนอความช่วยเหลือแก่เหยื่อให้ทำตามคำแนะนำ และนำไปสู่การโจมตีทางไซเบอร์
7. Tailgating
เป็นการโจมตีที่มุ่งเป้าไปที่บุคคลที่สามารถทำให้อาชญากรเข้าถึงอาคารหรือพื้นที่ที่ปลอดภัยได้ และมักจะประสบความสำเร็จเนื่องจากมารยาทแบบผิดๆ ของเหยื่อ เช่น การเปิดประตูไว้ให้กับ “พนักงาน” ที่ไม่คุ้นเคย
8. Vishing
อาชญากรไซเบอร์จะฝากข้อความเสียงฉุกเฉินเพื่อโน้มน้าวให้เหยื่อต้องดำเนินการอย่างรวดเร็วเพื่อปกป้องตนเองจากการถูกจับกุมหรือความเสี่ยงอื่นๆ โดยมักจะหลอกว่าเป็น ธนาคาร หน่วยงานของรัฐ และหน่วยงานบังคับใช้กฎหมาย
9. Water-Holing
การโจมตีนี้ใช้เทคนิควิศวกรรมสังคมขั้นสูงเพื่อทำให้เว็บไซต์และผู้เยี่ยมชมติดมัลแวร์ และมักจะแพร่กระจายผ่านทางเว็บไซต์เฉพาะสำหรับอุตสาหกรรมของเหยื่อ เช่น เว็บไซต์ยอดนิยมที่มีผู้เข้าชมเป็นประจำ
วิธีปกป้องข้อมูลจากการโจมตีทางวิศวกรรมสังคม
ระดับองค์กร
- นำเทคโนโลยีที่เหมาะสมมาใช้งานเพื่อช่วยป้องกันการโจมตี
- ดำเนินนโยบายการฝึกอบรมความตระหนักรู้ด้านความปลอดภัย ผู้ดูแลด้านความปลอดภัยควรให้การอบรมกับพนักงานโดยนำตัวอย่างการโจมตีต่างๆ มาทดสอบพนักงาน เพื่อทำให้พนักงานเข้าใจความเสี่ยงและป้องกันให้ไม่ตกเป็นเหยื่อ
ระดับบุคคล
- เชื่อมั่นในสัญชาตญาณของตนเอง ถ้ารู้สึกอะไรแปลกๆ ให้ใจเย็นๆ และยังไม่ต้องทำอะไรทั้งสิ้น ควรยืนยันสถานการณ์ให้แน่ชัดเสียก่อน เช่น กรณีมีอีเมลแปลกๆ มาจากหัวหน้า ให้โทรถามหัวหน้าก่อนว่าอีเมลที่ได้รับมานั้น มาจากหัวหน้าจริงหรือไม่
- กรณีที่ถูกถามถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน ผ่านทางโทรศัพท์ ให้วางสายโดยทันที เพราะไม่ว่าบริษัทใด ฝ่ายบริการลูกค้าหรือทีมซัพพอร์ตจะไม่ถามเกี่ยวกับข้อมูลเหล่านั้นโดยเด็ดขาด
- หลีกเลี่ยงการคลิกลิงก์บนอีเมล หรือเปิดไฟล์ที่แนบมา ถ้าไม่แน่ใจว่ารู้จักกับผู้ส่ง หรือไม่มั่นใจว่าเป็นอีเมลที่ผู้ส่งนั้นๆ ส่งมาจริงๆ จำไว้เสมอว่าอาชญากรไซเบอร์สามารถปลอมตัวเป็นคนที่คุณรู้จักหรือเพื่อนที่ทำงานได้ไม่ยากนัก
- อย่าให้คนอื่นๆ มาครอบงำคุณให้ทำสิ่งที่คุณไม่แน่ใจ ไม่ต้องสนใจแรงกดดัน แต่ควรพิจารณาสิ่งต่างๆ อย่างถี่ถ้วน
- ตระหนักถึงอันตรายไซเบอร์และระมัดระวังตัวอยู่เสมอ ระลึกไว้เสมอว่าของฟรีไม่มีในโลก และอะไรที่ดูดีเกินไปมักนำอันตรายมาสู่คุณโดยไม่รู้ตัว
ที่มา
https://terranovasecurity.com/examples-of-social-engineering-attacks/
https://th.safetydetectives.com/blog/what-is-social-engineering-th/
https://www.techtalkthai.com/what-is-social-engineering-by-sophos/
ภาพจาก freepik