Social Engineering การหลอกหลวงที่แฝงภัยจากแฮกเกอร์

บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ภัยคุกคามทางไซเบอร์ หรือ Cyber Threat คือการโจมตีโดยใช้คอมพิวเตอร์ และ อินเทอร์เน็ตเป็นเครื่องมือหลัก เพื่อต้องการแสวงหาผลประโยชน์จากเหยื่อ เช่น โจมตีผู้ใช้งานหรือระบบเครือข่าย เพื่อไม่ให้ User เข้าใช้งานได้อีก หรือต้องการผลประโยชน์จากข้อมูลส่วนตัวเหยื่อที่แฮกได้ ซึ่งโดยหลัก ๆ แล้วเหล่าอาชญากร หรือ แฮกเกอร์ มักจะมีศิลปะในการสื่อสารเพื่อให้เหยื่อคล้อยตามเพื่อหลอกขโมยข้อมูลมาได้อย่างง่ายดาย หรือเรียกวิธีการนี้ว่า Social Engineering หนึ่งในภัยคุมคามทางไซเบอร์ที่พบบ่อยโดยเฉพาะในประเทศไทย เช่น ส่งข้อความยืมเงินผ่าน Facebook, การส่งอีเมล Phishing หลอกล่อให้เหยื่อคลิกลิงก์ปลอม หรือ SMS แจ้งว่าเป็นผู้โชคดีได้รับรางวัลต่าง ๆ เป็นต้น

Social Engineering หรือ แปลเป็นไทยว่า “วิศวกรรมสังคม” เป็นศิลปะในการหลอกลวง ล่อหลอกผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูล เพื่อให้ได้ผลประโยชน์ตามที่แฮกเกอร์ต้องการโดยอาศัยจุดอ่อน ความรู้เท่าไม่ถึงการณ์ ความไม่รู้ ความประมาท ซึ่งการโจมตีนี้จะได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์ วิธีการสื่อสารมักจะมีรูปแบบดังนี้

  • การสร้างสถานการณ์ให้มีความเร่งด่วนเช่น เช่น ใกล้จะหมดเวลาแล้ว ให้เหยื่อควรรีบตัดสินใจก่อนโปรโมชันจะหมดลง
  • ปลอมแปลงตัวเองเป็นผู้อื่นที่มีความสำคัญกับองค์กร หรือบุคคลสำคัญต่างๆ เช่น CEO หรือ เจ้าของบริษัท
  • พูดถึงเหตุการณ์ต่างๆ เพื่อความสมจริง หรือนำสถานการณ์ฉุกเฉิน ณ เวลานั้น มาใช้ในการอ้างอิง เช่น การขอรับบริจาคเงินน้ำท่วม หรือจากสถานการณ์โรคระบาดโควิด19
  • ซ่อน หรืออำพราง URL, Domain หรือ Address อันตราย ให้เหมือน URL ของจริง
  • เสนอผลตอบแทนหรือโปรโมชันเพื่อสร้างแรงจูงใจ
  • ในบางครั้งใช้วิธีการแฮก Account ของผู้ใกล้ชิดเหยื่อแล้วติดต่อเหยื่อผ่าน Social Network เพื่อขอยืมเงิน

กลยุทธ์ของการทำ Social Engineering หรือ การทำ Phishing ซึ่งจุดประสงค์หลัก ๆ คือ การหลอก โดยทำการหลอกล่อผู้ใช้งาน ให้กรอกข้อมูลต่าง ๆ ที่สำคัญ โดยไม่จำเป็นต้องทำผ่านอีเมล หรือ ลิงก์ URL เช่น ในช่วงที่มีการระบาดของโรค COVID-19 ได้มีการสร้างเว็ปไซต์ปลอม www.เราไม่ทิ้งกัน.com โดยเป็นการสร้าง โดเมนปลอมหรือคล้ายกันขึ้นมาหลายสิบโดเมน หากผู้ใช้งานไม่ตรวจสอบ URL หรือ ชื่อโดเมนอย่างละเอียด และเข้าไปกรอกข้อมูลส่วนตัว เช่น เลขที่บัตรประชาชน ชื่อ-นามสกุล เบอร์โทรศัพท์ เป็นต้น ข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลที่มีความสำคัญสำหรับการยืนยันตัวตนเพื่อทำธุรกรรมต่าง ๆ ทั้งของทางภาครัฐ ธนาคาร หรือบริษัททางการเงินด้านอื่น  ๆ เมื่อแฮกเกอร์ได้ข้อมูลเหยื่อไปแล้ว ก็สามารถสวมรอยเป็นเหยื่อเพื่อนำข้อมูลไปใช้ในทางมิชอบ ทำให้เกิดความเสียหายถึงขั้นที่เหยื่อจนหมดตัวก็ได้

ช่องทางในการโจมตีของ Social Engineering

แฮกเกอร์จะใช้การโจมตีดังกล่าวผ่านทาง โซเชียลมีเดีย เช่น Facebook หรือ E-mail ลักษณะจะเป็นข้อความที่มีลิงก์ปลอม เนื้อหาเชิญชวนให้เหยื่อกดลิงก์เข้าไป แล้วจะให้ใส่ข้อมูลส่วนตัวก่อน ถึงจะเปิดดูข้อมูลอื่นได้ หรือการหลอกลวงทางโทรศัพท์ เช่น การโทรมาแจ้งผ่านโทรศัพท์มือถือ หรือโทรศัพท์บ้าน ระบุว่ามาจาก บริษัทส่งพัสดุ บริษัทที่ให้บริการทางธนาคาร หรือบริษัทที่ให้บริการอินเตอร์เน็ต เพื่อถามข้อมูลส่วนตัว ขอให้ระมัดระวังอย่างยิ่งสำหรับการให้ข้อมูลส่วนตัวกับคนแปลกหน้า ยิ่งไปกว่านั้นการคลิกลิงก์จากข้อความแปลกๆ ในโซเชียลมีเดียก็มีความเสี่ยงเช่นกัน เพราะข้อมูลส่วนตัวของเราเป็นขุมทรัพย์มหาศาลที่แฮกเกอร์ต้องการ

การป้องกันการถูก Social Engineering

การหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อของการโจมตีแบบ Social Engineer นั้นเป็นไปได้ยาก เนื่องจากเราต้องใช้บริการต่าง ๆ จาก บริษัทหรือธนาคาร ที่จำเป็นต้องมีข้อมูลส่วนตัวของเราอยู่เสมอ แต่หากต้องการป้องกันเบื้องต้น จะสามารถทำได้ดังนี้

  1. เอ๊ะอยู่เสมอ หรือเชื่อในสัญชาตญาณของเรา คิดวิเคราะห์อย่างใจเย็น ควรจะต้องยืนยันสถานการณ์ให้ชัดเจน เช่น การได้รับอีเมลจากธนาคาร หรือ อีเมลแจ้งสถานะโอนเงิน เป็นของจริงหรือไม่ อาจจะใช้ข้อมูลหลาย ๆ อย่างมาประกอบกัน เช่น เช็คในเว็บไซต์ธนาคารเกี่ยวกับ นโยบายการขอข้อมูลส่วนบุคคลผ่านทางอีเมล หรือ ข้อมูลการโอนเงินจากแอปฯ ธนาคาร เราได้โอนเงินหรือมีเงินเข้าบัญชี จริงหรือไม่
  2. ไม่กรอก Password หากไม่แน่ใจ ในบางครั้งมี Email ส่งลิงก์มาให้คลิกเพื่อทำการยืนยันบัญชี หรืออื่น ๆ โดยเมื่อคลิกไปแล้ว ให้ทำการกรอก Username หรือ Password ในกรณีที่ไม่แน่ใจห้ามกรอกข้อมูลเด็ดขาด โดยเฉพาะเกี่ยวกับบัญชีธนาคาร ให้ถือซะว่าเป็นข้อมูลเท็จ เพราะธนาคารไม่มีนโยบายสอบถามข้อมูลเช่นนี้กับผู้ใช้งาน
  3. หลีกเลี่ยงการคลิกลิงก์ ที่ไม่แน่ใจ หรือ ลิงก์ ที่แนบมากับอีเมลที่ไม่รู้จักเป็นอันขาด หากเป็นคนที่รู้จักส่งมา ก็ต้องมีการตรวจสอบเพื่อยืนยันความชัดเจนให้แน่ใจก่อน ต้องคิดไว้เสมอว่าแฮกเกอร์สามารถที่จะปลอมแปลงเป็นคนที่เรารู้จักได้เสมอ
  4. ตรึกตรองเสมอว่า คุณต้องเป็นคนที่ควบคุมทุกอย่าง อย่าให้สิ่งอื่นมาสั่งให้คุณต้องทำตาม หรือหากไม่แน่ใจในการตัดสินใจก็ต้อง คิดพิจารณาอย่างถี่ถ้วน อย่าตัดสินใจภายใต้แรงกดดัน เพราะอาจจะทำให้ตัดสินใจผิดได้
  5. ต้องระแวดระวังตัวอยู่เสมอ ภัยทางไซเบอร์ มีอยู่มากมาย เมื่อใช้งานระบบ IT ต่าง ๆ หรือข้อมูลส่วนบุคคลที่สามารถยืนยันตัวตนของเราได้ ของฟรีไม่มีในโลก และอะไรที่ดูดี ดึงดูด อาจจะนำเราไปสู่อันตรายโดยที่เราไม่รู้ตัว

เรียบเรียบโดย : นายบรรณศักดิ์ ยุวมิตร

ข้อมูลจาก :

https://news.sophos.com/en-us/2016/08/08/what-is-social-engineering/
https://www.techtalkthai.com/what-is-social-engineering-by-sophos/

เขียนโดย : บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security



เนื้อหาที่เกี่ยวข้อง

1. Cloud Security ความปลอดภัยบน Cloud Computing

2. วิธีปิดการแสดงผล Follow info ของแอปพลิเคชัน LINE

3. New Normal กับ “ข้อมูลส่วนบุคคล” วิถีใหม่ที่ต้องให้ความสำคัญ

4. Next Generation Firewall กับ Web Application Firewall ต่างกันอย่างไร

5. เคล็ดลับ 10 ข้อ ในการเลือกและใช้เครื่องมือสื่อสารออนไลน์