Social Engineering การหลอกหลวงที่แฝงภัยจากแฮกเกอร์

บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ภัยคุกคามทางไซเบอร์ หรือ Cyber Threat คือการโจมตีโดยใช้คอมพิวเตอร์ และ อินเทอร์เน็ตเป็นเครื่องมือหลัก เพื่อต้องการแสวงหาผลประโยชน์จากเหยื่อ เช่น โจมตีผู้ใช้งานหรือระบบเครือข่าย เพื่อไม่ให้ User เข้าใช้งานได้อีก หรือต้องการผลประโยชน์จากข้อมูลส่วนตัวเหยื่อที่แฮกได้ ซึ่งโดยหลัก ๆ แล้วเหล่าอาชญากร หรือ แฮกเกอร์ มักจะมีศิลปะในการสื่อสารเพื่อให้เหยื่อคล้อยตามเพื่อหลอกขโมยข้อมูลมาได้อย่างง่ายดาย หรือเรียกวิธีการนี้ว่า Social Engineering หนึ่งในภัยคุมคามทางไซเบอร์ที่พบบ่อยโดยเฉพาะในประเทศไทย เช่น ส่งข้อความยืมเงินผ่าน Facebook, การส่งอีเมล Phishing หลอกล่อให้เหยื่อคลิกลิงก์ปลอม หรือ SMS แจ้งว่าเป็นผู้โชคดีได้รับรางวัลต่าง ๆ เป็นต้น

Social Engineering หรือ แปลเป็นไทยว่า “วิศวกรรมสังคม” เป็นศิลปะในการหลอกลวง ล่อหลอกผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูล เพื่อให้ได้ผลประโยชน์ตามที่แฮกเกอร์ต้องการโดยอาศัยจุดอ่อน ความรู้เท่าไม่ถึงการณ์ ความไม่รู้ ความประมาท ซึ่งการโจมตีนี้จะได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์ วิธีการสื่อสารมักจะมีรูปแบบดังนี้

  • การสร้างสถานการณ์ให้มีความเร่งด่วนเช่น เช่น ใกล้จะหมดเวลาแล้ว ให้เหยื่อควรรีบตัดสินใจก่อนโปรโมชันจะหมดลง
  • ปลอมแปลงตัวเองเป็นผู้อื่นที่มีความสำคัญกับองค์กร หรือบุคคลสำคัญต่างๆ เช่น CEO หรือ เจ้าของบริษัท
  • พูดถึงเหตุการณ์ต่างๆ เพื่อความสมจริง หรือนำสถานการณ์ฉุกเฉิน ณ เวลานั้น มาใช้ในการอ้างอิง เช่น การขอรับบริจาคเงินน้ำท่วม หรือจากสถานการณ์โรคระบาดโควิด19
  • ซ่อน หรืออำพราง URL, Domain หรือ Address อันตราย ให้เหมือน URL ของจริง
  • เสนอผลตอบแทนหรือโปรโมชันเพื่อสร้างแรงจูงใจ
  • ในบางครั้งใช้วิธีการแฮก Account ของผู้ใกล้ชิดเหยื่อแล้วติดต่อเหยื่อผ่าน Social Network เพื่อขอยืมเงิน

กลยุทธ์ของการทำ Social Engineering หรือ การทำ Phishing ซึ่งจุดประสงค์หลัก ๆ คือ การหลอก โดยทำการหลอกล่อผู้ใช้งาน ให้กรอกข้อมูลต่าง ๆ ที่สำคัญ โดยไม่จำเป็นต้องทำผ่านอีเมล หรือ ลิงก์ URL เช่น ในช่วงที่มีการระบาดของโรค COVID-19 ได้มีการสร้างเว็ปไซต์ปลอม www.เราไม่ทิ้งกัน.com โดยเป็นการสร้าง โดเมนปลอมหรือคล้ายกันขึ้นมาหลายสิบโดเมน หากผู้ใช้งานไม่ตรวจสอบ URL หรือ ชื่อโดเมนอย่างละเอียด และเข้าไปกรอกข้อมูลส่วนตัว เช่น เลขที่บัตรประชาชน ชื่อ-นามสกุล เบอร์โทรศัพท์ เป็นต้น ข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลที่มีความสำคัญสำหรับการยืนยันตัวตนเพื่อทำธุรกรรมต่าง ๆ ทั้งของทางภาครัฐ ธนาคาร หรือบริษัททางการเงินด้านอื่น  ๆ เมื่อแฮกเกอร์ได้ข้อมูลเหยื่อไปแล้ว ก็สามารถสวมรอยเป็นเหยื่อเพื่อนำข้อมูลไปใช้ในทางมิชอบ ทำให้เกิดความเสียหายถึงขั้นที่เหยื่อจนหมดตัวก็ได้

ช่องทางในการโจมตีของ Social Engineering

แฮกเกอร์จะใช้การโจมตีดังกล่าวผ่านทาง โซเชียลมีเดีย เช่น Facebook หรือ E-mail ลักษณะจะเป็นข้อความที่มีลิงก์ปลอม เนื้อหาเชิญชวนให้เหยื่อกดลิงก์เข้าไป แล้วจะให้ใส่ข้อมูลส่วนตัวก่อน ถึงจะเปิดดูข้อมูลอื่นได้ หรือการหลอกลวงทางโทรศัพท์ เช่น การโทรมาแจ้งผ่านโทรศัพท์มือถือ หรือโทรศัพท์บ้าน ระบุว่ามาจาก บริษัทส่งพัสดุ บริษัทที่ให้บริการทางธนาคาร หรือบริษัทที่ให้บริการอินเตอร์เน็ต เพื่อถามข้อมูลส่วนตัว ขอให้ระมัดระวังอย่างยิ่งสำหรับการให้ข้อมูลส่วนตัวกับคนแปลกหน้า ยิ่งไปกว่านั้นการคลิกลิงก์จากข้อความแปลกๆ ในโซเชียลมีเดียก็มีความเสี่ยงเช่นกัน เพราะข้อมูลส่วนตัวของเราเป็นขุมทรัพย์มหาศาลที่แฮกเกอร์ต้องการ

การป้องกันการถูก Social Engineering

การหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อของการโจมตีแบบ Social Engineer นั้นเป็นไปได้ยาก เนื่องจากเราต้องใช้บริการต่าง ๆ จาก บริษัทหรือธนาคาร ที่จำเป็นต้องมีข้อมูลส่วนตัวของเราอยู่เสมอ แต่หากต้องการป้องกันเบื้องต้น จะสามารถทำได้ดังนี้

  1. เอ๊ะอยู่เสมอ หรือเชื่อในสัญชาตญาณของเรา คิดวิเคราะห์อย่างใจเย็น ควรจะต้องยืนยันสถานการณ์ให้ชัดเจน เช่น การได้รับอีเมลจากธนาคาร หรือ อีเมลแจ้งสถานะโอนเงิน เป็นของจริงหรือไม่ อาจจะใช้ข้อมูลหลาย ๆ อย่างมาประกอบกัน เช่น เช็คในเว็บไซต์ธนาคารเกี่ยวกับ นโยบายการขอข้อมูลส่วนบุคคลผ่านทางอีเมล หรือ ข้อมูลการโอนเงินจากแอปฯ ธนาคาร เราได้โอนเงินหรือมีเงินเข้าบัญชี จริงหรือไม่
  2. ไม่กรอก Password หากไม่แน่ใจ ในบางครั้งมี Email ส่งลิงก์มาให้คลิกเพื่อทำการยืนยันบัญชี หรืออื่น ๆ โดยเมื่อคลิกไปแล้ว ให้ทำการกรอก Username หรือ Password ในกรณีที่ไม่แน่ใจห้ามกรอกข้อมูลเด็ดขาด โดยเฉพาะเกี่ยวกับบัญชีธนาคาร ให้ถือซะว่าเป็นข้อมูลเท็จ เพราะธนาคารไม่มีนโยบายสอบถามข้อมูลเช่นนี้กับผู้ใช้งาน
  3. หลีกเลี่ยงการคลิกลิงก์ ที่ไม่แน่ใจ หรือ ลิงก์ ที่แนบมากับอีเมลที่ไม่รู้จักเป็นอันขาด หากเป็นคนที่รู้จักส่งมา ก็ต้องมีการตรวจสอบเพื่อยืนยันความชัดเจนให้แน่ใจก่อน ต้องคิดไว้เสมอว่าแฮกเกอร์สามารถที่จะปลอมแปลงเป็นคนที่เรารู้จักได้เสมอ
  4. ตรึกตรองเสมอว่า คุณต้องเป็นคนที่ควบคุมทุกอย่าง อย่าให้สิ่งอื่นมาสั่งให้คุณต้องทำตาม หรือหากไม่แน่ใจในการตัดสินใจก็ต้อง คิดพิจารณาอย่างถี่ถ้วน อย่าตัดสินใจภายใต้แรงกดดัน เพราะอาจจะทำให้ตัดสินใจผิดได้
  5. ต้องระแวดระวังตัวอยู่เสมอ ภัยทางไซเบอร์ มีอยู่มากมาย เมื่อใช้งานระบบ IT ต่าง ๆ หรือข้อมูลส่วนบุคคลที่สามารถยืนยันตัวตนของเราได้ ของฟรีไม่มีในโลก และอะไรที่ดูดี ดึงดูด อาจจะนำเราไปสู่อันตรายโดยที่เราไม่รู้ตัว

เรียบเรียบโดย : นายบรรณศักดิ์ ยุวมิตร

ข้อมูลจาก :

https://news.sophos.com/en-us/2016/08/08/what-is-social-engineering/
https://www.techtalkthai.com/what-is-social-engineering-by-sophos/

เขียนโดย : บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security



เนื้อหาที่เกี่ยวข้อง

1. 12 วิธีการสร้างและวิเคราะห์ Threat Modeling

2. 5 เหตุผลทำไมคุณควรใช้ Firewall

3. เจาะลึกช่องโหว่ที่เกี่ยวข้องกับ Kerberos Authentication

4. 5 โปรแกรมแอนตี้ไวรัส เน้นป้องกัน Spyware ที่ดีที่สุดในปี 2020

5. แค่ไหนถึง “น่าเชื่อถือ” เมื่อคุณใช้งานลายเซ็นอิเล็กทรอนิกส์