เทคนิคการหลอกลวงของอาชญากรไซเบอร์ด้วย Social Engineering

Social Engineering หรือวิศวกรรมสังคม คือรูปแบบการหลอกลวงโดยอาชญากรไซเบอร์ ซึ่งลอกเลียนแบบแหล่งข้อมูลที่น่าเชื่อถือ เพื่อโน้มน้าวให้เหยื่อดำเนินการบางอย่าง โดยอาศัยจุดอ่อน ความไว้วางใจ ความไม่รู้ ความประมาทเลินเล่อ

อาชญากรไซเบอร์ได้เรียนรู้ว่าอีเมล ข้อความเสียง หรือข้อความ SMS สามารถโน้มน้าวผู้คนให้โอนเงิน ให้ข้อมูลที่เป็นความลับ หรือดาวน์โหลดไฟล์ที่ติดตั้งมัลแวร์บนเครือข่ายของบริษัทได้ ทำให้การโจมตีได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์รูปแบบอื่นๆ โดยเฉพาะกับกลุ่มคนที่ไม่มีความรู้ทางด้านความปลอดภัยทางไซเบอร์

รูปแบบการโจมตีด้วย Social Engineering

ขั้นตอนแรก อาชญากรไซเบอร์จะหาเหยื่อที่ต้องการ หลอกล่อเหยื่อให้ติดกับ ขโมยข้อมูลที่ต้องการและทำการโจมตี หลังจากนั้นก็ถอนตัวไปเงียบๆ โดยเหยื่อไม่รู้ตัว

9 ตัวอย่างการโจมตีทางวิศวกรรมสังคมที่พบบ่อยสุด

1. Phishing

เป็นวิธีที่แพร่หลายที่สุดในการนำวิศวกรรมสังคมไปใช้ อาชญากรไซเบอร์จะใช้อีเมล เว็บไซต์ และข้อความหลอกลวงเพื่อขโมยข้อมูลส่วนบุคคลหรือข้อมูลองค์กรที่อ่อนไหวจากเหยื่อที่ไม่ระวังตัว แม้ว่าเทคนิคอีเมลฟิชชิงจะเป็นที่รู้จัก แต่พนักงาน 1 ใน 5 คนยังคงคลิกลิงก์ที่น่าสงสัยเหล่านั้น

2. Spear Phishing

การหลอกลวงทางอีเมลแบบ Spear Phising ใช้เพื่อโจมตีบุคคลหรือองค์กรแบบกำหนดเป้าหมาย ฟิชชิงแบบ Spear นั้นซับซ้อนกว่าอีเมลฟิชชิงทั่วไป เนื่องจากต้องมีการวิจัยเชิงลึกเกี่ยวกับเป้าหมายที่เป็นไปได้และองค์กรของพวกเขา

3. Baiting

การโจมตีประเภทนี้สามารถทำได้ทั้งทางออนไลน์และออฟไลน์ อาชญากรไซเบอร์มักจะสัญญาว่าจะให้รางวัลหรือสิ่งตอบแทนแก่เหยื่อเพื่อหลอกขอข้อมูลส่วนบุคคล

4. Malware

กลุ่มของการโจมตีรวมไปถึงแรนซัมแวร์ เหยื่อจะได้รับข้อความฉุกเฉินและหลอกให้ติดตั้งมัลแวร์บนอุปกรณ์ของตน และเรียกร้องเงิน หรือขโมยข้อมูลเพื่อไปโจมตีต่อ

5. Pretexting

อาชญากรไซเบอร์จะปลอมแปลงตัวตนเป็นองค์กรที่มีข้อมูลลูกค้าเป็นจำนวนมาก เช่น ธนาคาร ผู้ให้บริการบัตรเครดิต และบริษัทสาธารณูปโภค เพื่อหลอกให้เหยื่อยอมให้ข้อมูล

6. Quid Pro Quo

การโจมตีนี้มีศูนย์กลางอยู่ที่การแลกเปลี่ยนข้อมูลหรือบริการเพื่อโน้มน้าวให้เหยื่อทำตามคำแนะนำ โดยอาชญากรไซเบอร์จะแสดงตัวเป็นผู้เชี่ยวชาญด้านเทคโนโลยี และเสนอความช่วยเหลือแก่เหยื่อให้ทำตามคำแนะนำ และนำไปสู่การโจมตีทางไซเบอร์

7. Tailgating

เป็นการโจมตีที่มุ่งเป้าไปที่บุคคลที่สามารถทำให้อาชญากรเข้าถึงอาคารหรือพื้นที่ที่ปลอดภัยได้ และมักจะประสบความสำเร็จเนื่องจากมารยาทแบบผิดๆ ของเหยื่อ เช่น การเปิดประตูไว้ให้กับ “พนักงาน” ที่ไม่คุ้นเคย

8. Vishing

อาชญากรไซเบอร์จะฝากข้อความเสียงฉุกเฉินเพื่อโน้มน้าวให้เหยื่อต้องดำเนินการอย่างรวดเร็วเพื่อปกป้องตนเองจากการถูกจับกุมหรือความเสี่ยงอื่นๆ โดยมักจะหลอกว่าเป็น ธนาคาร หน่วยงานของรัฐ และหน่วยงานบังคับใช้กฎหมาย

9. Water-Holing

การโจมตีนี้ใช้เทคนิควิศวกรรมสังคมขั้นสูงเพื่อทำให้เว็บไซต์และผู้เยี่ยมชมติดมัลแวร์ และมักจะแพร่กระจายผ่านทางเว็บไซต์เฉพาะสำหรับอุตสาหกรรมของเหยื่อ เช่น เว็บไซต์ยอดนิยมที่มีผู้เข้าชมเป็นประจำ

วิธีปกป้องข้อมูลจากการโจมตีทางวิศวกรรมสังคม

ระดับองค์กร

  • นำเทคโนโลยีที่เหมาะสมมาใช้งานเพื่อช่วยป้องกันการโจมตี
  • ดำเนินนโยบายการฝึกอบรมความตระหนักรู้ด้านความปลอดภัย ผู้ดูแลด้านความปลอดภัยควรให้การอบรมกับพนักงานโดยนำตัวอย่างการโจมตีต่างๆ มาทดสอบพนักงาน เพื่อทำให้พนักงานเข้าใจความเสี่ยงและป้องกันให้ไม่ตกเป็นเหยื่อ

ระดับบุคคล

  • เชื่อมั่นในสัญชาตญาณของตนเอง ถ้ารู้สึกอะไรแปลกๆ ให้ใจเย็นๆ และยังไม่ต้องทำอะไรทั้งสิ้น ควรยืนยันสถานการณ์ให้แน่ชัดเสียก่อน เช่น กรณีมีอีเมลแปลกๆ มาจากหัวหน้า ให้โทรถามหัวหน้าก่อนว่าอีเมลที่ได้รับมานั้น มาจากหัวหน้าจริงหรือไม่
  • กรณีที่ถูกถามถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน ผ่านทางโทรศัพท์ ให้วางสายโดยทันที เพราะไม่ว่าบริษัทใด ฝ่ายบริการลูกค้าหรือทีมซัพพอร์ตจะไม่ถามเกี่ยวกับข้อมูลเหล่านั้นโดยเด็ดขาด
  • หลีกเลี่ยงการคลิกลิงก์บนอีเมล หรือเปิดไฟล์ที่แนบมา ถ้าไม่แน่ใจว่ารู้จักกับผู้ส่ง หรือไม่มั่นใจว่าเป็นอีเมลที่ผู้ส่งนั้นๆ ส่งมาจริงๆ จำไว้เสมอว่าอาชญากรไซเบอร์สามารถปลอมตัวเป็นคนที่คุณรู้จักหรือเพื่อนที่ทำงานได้ไม่ยากนัก
  • อย่าให้คนอื่นๆ มาครอบงำคุณให้ทำสิ่งที่คุณไม่แน่ใจ ไม่ต้องสนใจแรงกดดัน แต่ควรพิจารณาสิ่งต่างๆ อย่างถี่ถ้วน
  • ตระหนักถึงอันตรายไซเบอร์และระมัดระวังตัวอยู่เสมอ ระลึกไว้เสมอว่าของฟรีไม่มีในโลก และอะไรที่ดูดีเกินไปมักนำอันตรายมาสู่คุณโดยไม่รู้ตัว

ที่มา

https://terranovasecurity.com/examples-of-social-engineering-attacks/

https://th.safetydetectives.com/blog/what-is-social-engineering-th/

https://www.techtalkthai.com/what-is-social-engineering-by-sophos/

ภาพจาก freepik

    wpChatIcon