กลยุทธ์ของแฮกเกอร์ “Social Engineering”

Social Engineering คือ อีกหนึ่งภัยคุกคามทางไซเบอร์ที่พบเห็นได้บ่อยครั้งในปัจจุบัน โดยรูปแบบของภัยคุกคามนี้นั้นมีลักษณะแบบเดียวกับคำว่า Social กล่าวคือเป็นภัยคุกคามที่เกิดขึ้นผ่านการใช้การเข้าสังคมและมีปฏิสัมพันธ์ของมนุษย์เป็นช่องทางหลัก ซึ่งเป็นการใช้หลักจิตวิทยาในการหลอกล่อให้คนเปิดเผยข้อมูลส่วนตัวนั่นเอง โดยแฮกเกอร์จะทำการรวบรวมข้อมูลพื้นเพของเหยื่อ แล้วหาช่องทางหลอกล่อให้เหยื่อเชื่อใจและยอมเปิดเผยข้อมูลในที่สุด

Social Engineering มีลักษณะอย่างไรบ้าง?

การโจมตีทางไซเบอร์แบบ Social Engineering มีหลากหลายรูปแบบ อาทิ การหลอกด้วยการส่งข้อความ SMS หรืออีเมลปลอม ซึ่งเป็นเทคนิคที่เรียกว่า Email Phishing โดยอาจมาในรูปแบบของอีเมลที่ดูน่าเชื่อถือเพื่อหลอกล่อให้เราคลิกลิงก์หรือทำการดาวน์โหลดไฟล์ที่แฝงอันตราย หรือการโพสต์ลิงก์น่าสงสัยในโพสต์หรือช่องคอมเมนต์ในโซเชียลมีเดียพร้อมข้อความที่กระตุ้นให้ผู้ที่เห็นอยากคลิกเข้าไปดู นอกจากนี้การทำ Social Engineering ยังครอบคลุมถึงการเก็บข้อมูลของเหยื่อจากการโพสต์ข้อมูลส่วนตัว (เช่น ข้อมูลวันเกิด, ชื่อสัตว์เลี้ยง, หรือที่อยู่) หรือกิจวัตรประจำวันต่าง ๆ ในโซเชียลมีเดีย เพื่อนำมาใช้สำหรับการโจมตีในขั้นถัด ๆ ไป เช่น การเดารหัสของบัญชีธนาคาร หรือการศึกษากิจวัตรประจำวันเพื่อหาช่วงเวลาที่เหมาะสมในการโจมตี

แล้วเราจะป้องกัน Social Engineering ได้อย่างไร?

ความน่ากลัวของ Social Engineering คือ การอาศัยความผิดพลาดของมนุษย์ (Human errors) ซึ่งต่างจากเทคนิคการโจมตีอื่น ๆ ที่มักจะใช้ช่องโหว่หรือข้อผิดพลาดของระบบเป็นหลัก ทำให้การป้องกันภัยคุกคามประเภทนี้ล่วงหน้านั้นเป็นเรื่องที่ค่อนข้างยาก เนื่องจากขึ้นอยู่กับวิจารณญาณและความรู้เท่าทันของตัวบุคคล

วิธีป้องกันหลัก ๆ ที่สามารถทำได้เบื้องต้นมีดังนี้

1. หลีกเลี่ยงการเปิดไฟล์แนบหรือคลิกลิงก์ที่น่าสงสัย เช่น มาจากผู้ส่งที่ไม่รู้จัก หรือมีรูปแบบอีเมลที่แปลกไปจากปกติ ซึ่งหากเป็นอีเมลหรือข้อความที่ส่งมาจากองค์กรใหญ่และมีลิงก์ให้คลิก ควรตรวจสอบกับองค์กรนั้น ๆ ก่อนว่าอีเมลที่ส่งมานั้นเป็นของจริงหรือไม่

2. เปิดการใช้ Multifactor authentication เพื่อเพิ่มการยืนยันตัวตนอีกขั้นนอกเหนือจากรหัสผ่าน เช่น การยืนยันตัวตนด้วยลายนิ้วมือหรือใบหน้า เพื่อป้องกันหากแฮกเกอร์ได้รหัสผ่านของเราไปแล้ว ก็จะยังไม่สามารถเข้าถึงบัญชีของได้โดยง่าย ถือเป็นการเสริมการป้องกันไว้อีกขั้นหนึ่ง

3. มีสติในการใช้โซเชียลมีเดีย ไม่หลงเชื่อข้อเสนอที่ดูดีเกินความเป็นจริง หรือการได้รับรางวัลใหญ่หรือสิทธิพิเศษ ทั้งที่ไม่เคยมีกิจกรรมใด ๆ กับเว็บไซต์นั้นมาก่อน เป็นต้น

4. ไม่เผยแพร่ข้อมูลส่วนตัวลงในโซเชียลมีเดีย โดยเฉพาะข้อมูลบัตรประจำตัวประชาชน, เลขบัญชีธนาคาร, หรือที่อยู่ เพื่อป้องกันผู้ไม่หวังดีนำไปแอบอ้างหรือนำข้อมูลส่วนตัวเหล่านี้ไปใช้ในการโจมตีอื่น ๆ ได้

Social Engineer เป็นเสมือนประตูขั้นแรกที่จะเปิดช่องทางให้ผู้ไม่หวังดีนำไปสู่การโจมตีทางไซเบอร์วิธีอื่น ๆ ที่สามารถส่งผลกระทบที่เราอาจคาดไม่ถึงได้ เพราะฉะนั้น จึงควรใช้เทคโนโลยีด้วยความระมัดระวังและมีวิจารณญาณเพื่อลดโอกาสในการตกเป็นเหยื่อโดยที่เราอาจไม่รู้ตัว

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

References:

Imperva., 2021. Social Engineering [online] Imperva. Available at <https://www.imperva.com/…/social-engineering-attack/> [Accessed 5 November 2021]

Kaspersky., 2021. What is Social Engineering?. [online] Kaspersky. Available at <https://www.kaspersky.com/…/what-is-social-engineering> [Accessed 5 November 2021]

Webroot., 2021. What is Social Engineering?. [online] Webroot. Available at <https://www.webroot.com/…/what-is-social-engineering> [Accessed 5 November 2021]