รู้เท่าทันแฮกเกอร์ กับเทคนิคเจาะข้อมูลแบบ “วิศวกรรมสังคม”


โดย PPTV Online

เผยแพร่




รู้เท่าทันแฮกเกอร์ กับเทคนิคเจาะข้อมูลแบบ “วิศวกรรมสังคม” 5 รูปแบบ ผ่านพฤติกรรมของเรา

วิศวกรรมสังคม (Social Engineering) เป็นวิชาทางจิตวิทยาแขนงหนึ่ง เกี่ยวข้องกับ
การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งมิจฉาชีพมักจะนำสิ่งเหล่านี้มาใช้ในการลวง และเจาะข้อมูลบุคคลเพื่อนำไปใช้ในทางที่ไม่ดี เช่น ข้อมูลบัตรเครดิต, หลอกให้โอนงาน, นำข้อมูลส่วนตัว ไปใช้ในทางผิดกฎหมาย และอื่น ๆ ที่ส่งผลกระทบกับผู้ที่ถูกกระทำหากเคยได้ยินข่าวกันบ้างอย่างเช่น โทรศัพท์เข้ามาอ้างตัวเป็นคอลเซ็นเตอร์ธนาคาร เพื่อสอบถามข้อมูลส่วนตัวนำไปทำธุรกรรมยักยอกเงินจากบัญชีของเจ้าของเบอร์ เป็นต้น

แฮกเกอร์ ประกาศขายข้อมูลส่วนตัวคนไทย อ้างมี 30 ล้านรายชื่อ!
ตำรวจแนะ 12 วิธีป้องกันข้อมูลองค์กร ถูกแฮก และโจมตีเรียกค่าไถ่

 

     สิ่งเหล่านี้รุนแรง และมีรูปแบบที่หลากหลายมากยิ่งขึ้นพร้อมกับการมาถึงของยุคดิจิทัล ซึ่งเทคนิคดังกล่าว ไม่ได้อาศัยช่องโหว่ของระบบ หรือเทคโนโลยีใด ๆ หากใช้แต่เพียงช่องโหว่จากพฤติกรรมของเหยื่อ ที่มีต่อข้อมูลนั้น ๆ ในการเข้าถึงข้อมูล

     การเจาะข้อมูลแบบ “วิศวกรรมสังคม” ผ่านอุปกรณ์อิเล็กทรอนิกส์มี 5 รูปแบบหลัก ๆ ด้วยกันคือ 

    1. Baiting “ใช้เหยื่อล่อ”
    เป็นรูปแบบที่มีการใช้รางวัล หรือสิ่งตอบแทนเป็นเหยื่อล่อ ให้บุคคลที่ติดเหยื่อ นั้นถูกล้วงข้อมูล หรือเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคลอยู่ ไม่ว่าจะเป็นในรูปแบบดิจิทัล อย่างการคลิกลิงค์ที่ไม่มีความน่าเชื่อถือ แล้วถูกเจาะเข้าอุปกรณ์อิเล็กทรอนิกส์ หรือแบบกายภาพอย่าง Flash Drive ที่ไม่มีเจ้าของ หากเราหยิบนำมาใช้โดยไม่ระวัง เมื่อเชื่อมต่อกับอุปกรณ์อิเล็กทรอนิกส์ ก็อาจถูกล้วงข้อมูลได้

    2. Scareware “แจ้งเตือนไวรัสคอมพิวเตอร์ปลอม”
    รูปแบบการโจมตีที่มักพบบนคอมพิวเตอร์ ที่จะหลอกเจ้าของเครื่องว่าถูกโจมตีโดยไวรัสคอมพิวเตอร์ หรือมัลแวร์ต่าง ๆ ทำให้คอมพิวเตอร์ของเราไม่ปลอดภัย ซึ่งหากเจ้าของเครื่องทำการติดตั้ง หรือซื้อโปรแกรมป้องกันไวรัสคอมพิวเตอร์ปลอมดังกล่าว มักจะถูกขโมยข้อมูลบัตรเครดิต หรือเข้าถึงคอมพิวเตอร์เครื่องที่ถูกติดตั้งได้

    3. Pretexting “แอบอ้างเพื่อล้วงข้อมูล”
    มิจฉาชีพมักจะได้ข้อมูลส่วนตัวของเราเช่น ชื่อ-นามสกุล, เบอร์โทรศัพท์ หรืออีเมล์ จากนั้นจะอ้างตัวเป็นเจ้าหน้าที่ธนาคารโทร หรือส่งอีเมล์เข้ามาเพื่อขอข้อมูลธนาคาร หรือข้อมูลส่วนบุคคล ทำให้เหยื่อมักจะสูญเสียเงินในบัญชี หรือถูกนำไปใช้ทำธุรกรรมที่ก่อให้เกิดความเสียหายได้

    4. Phishing “ล้วงข้อมูลโดยแอบอ้าง”
    มักจะพบเห็นรูปแบบการโจมตีผ่านอีเมล์ ซึ่งอีเมล์ที่ส่งมามักจะมีความคล้ายคลึงกับอีเมล์ขององค์กรที่มิจฉาชีพแอบอ้าง หากไม่สังเกตให้ดี หรือเว็บไซต์ที่มี URL คล้ายคลึงกัน เช่น google.com เป็น gooogle.com โดยจะมีลักษณะของการแอบอ้างเรื่องความปลอดภัย หรือการปรับปรุงระบบข้อมูล เมื่อเราหลงเข้าสู่ระบบ ผ่านหน้าเว็บไซต์ปลอม ทำให้เข้าถึงชื่อผู้ใช้งาน และรหัสผ่าน รวมถึงข้อมูลส่วนบุคคลที่เรากรอกลงไป

    5. Spear phishing “ล้วงข้อมูลโดยแอบอ้างเฉพาะกลุ่ม”
    รูปแบบการโจมตีจะมีความคล้ายคลึงกับ Phishing แต่รูปแบบจะเน้นไปที่องค์กร หรือพนักงานในองค์กรนั้น ๆ เพื่อเข้าถึงข้อมูลองค์กร

     วิธีป้องกัน
     วิศวกรรมสังคม อาจเป็นเครื่องมือที่มิจฉาชีพใช้ในการโจมตีบุคคลทั่วไป โดยอาศัยช่องโหว่เชิงพฤติกรรมของมนุษย์ ที่ตอบสนองต่อข้อมูล ซึ่งเราสามารถอุดช่องโหว่ และป้องกันได้ เช่น
- อย่าเปิดอีเมล์ หรือไฟล์ที่แนบมากับอีเมล์จากแหล่งที่ไม่น่าเชื่อถือ หรือเราไม่รู้จักผู้ส่ง
- เปิดใช้ “การยืนยันหลายขั้นตอน” ของผู้ให้บริการที่เราเปิดใช้ธุรกรรมต่าง ๆ เช่น อีเมล์ที่มีระบบยืนยันการเข้าใช้งานแบบ 2 ขั้นตอน ก็จะทำให้ถูกโจมตีได้ยากขึ้น
- ระวังโฆษณา หรือข้อเสนอที่ดูดีเกินไปเสมอว่าเป็นอันตราย โดยเราอาจจะลองนำคำโฆษณา หรือข้อความค้นหาบนกูเกิล หรือสอบถามหน่วยงานที่เกี่ยวข้อง
- เปิดระบบป้องกัน หรือลงโปรแกรมป้องกันไวรัสบนอุปกรณ์อิเล็กทรอนิกส์ และหมั่นอัพเดตระบบสม่ำเสมอ เพื่อรับมือการโจมตีรูปแบบใหม่ ๆ ที่อาจเกิดขึ้นได้

แหล่งอ้างอิง : What is Social Engineering | Attack Techniques & Prevention Methods | Imperva
 

TOP ไอที
วิดีโอยอดนิยม
เรื่องที่คุณอาจพลาด

วิดีโอยอดนิยม

ข่าวเด่นในรอบสัปดาห์

เพิ่ม PPTVHD36
ลงในหน้าจอหลักของคุณ