วิศวกรรมสังคม
วิศวกรรมสังคมเป็นศิลปะการหลอกลวงคนเพื่อให้พวกเขาเปิดเผยข้อมูลที่เป็นความลับ อาชญากรรมไซเบอร์ทั้งหมดเริ่มต้นด้วยการโจมตีทางวิศวกรรมสังคม มาดูกันว่ามันทำงานอย่างไรและจะป้องกันตนเองจากสิ่งนี้ได้อย่างไร
Developer
บทนำ
เมื่อพูดถึงความปลอดภัยทางไซเบอร์ คนส่วนใหญ่มักนึกถึงการโจมตีทางเทคนิค เช่น การฉีด SQL การสคริปต์ข้ามไซต์ การโจมตีแบบคนกลาง หรือมัลแวร์ อย่างไรก็ตาม การโจมตีที่พบบ่อยและได้ผลมากที่สุดมักไม่ใช่ทางเทคนิคเลย วิศวกรรมสังคมเป็นศิลปะการหลอกลวงคนเพื่อให้พวกเขาเปิดเผยข้อมูลที่เป็นความลับ อาชญากรรมไซเบอร์ทั้งหมดเริ่มต้นด้วยการโจมตีทางวิศวกรรมสังคม
ต่อไปนี้คือคำจำกัดความจาก Wikipedia:
ในบริบทของการรักษาความปลอดภัยของข้อมูล วิศวกรรมสังคมคือการจัดการทางจิตวิทยาให้คนทำสิ่งต่าง ๆ หรือเปิดเผยข้อมูลลับ เป็นการหลอกลวงเพื่อรวบรวมข้อมูล การฉ้อโกง หรือการเข้าถึงระบบ ซึ่งแตกต่างจาก "การโกง" แบบดั้งเด�ิมเนื่องจากมักเป็นหนึ่งในหลายขั้นตอนในโครงการฉ้อโกงที่ซับซ้อนกว่า[1] ยังถูกกำหนดว่าเป็น "การกระทำใด ๆ ที่มีอิทธิพลต่อคนให้ทำการกระทำที่อาจจะหรืออาจไม่เป็นประโยชน์ต่อพวกเขาเอง"
ประเภทของข้อมูลที่อาชญากรเหล่านี้ค้นหาอาจแตกต่างกันไป แต่เมื่อบุคคลถูกกำหนดเป้าหมาย อาชญากรมักจะพยายามหลอกล่อให้คุณให้พวกเขาเข้าถึงรหัสผ่าน ข้อมูลส่วนบุคคล หรือเข้าถึงคอมพิวเตอร์ของคุณเพื่อติดตั้งซอฟต์แวร์ที่เป็นอันตรายอย่างลับ ๆ ที่จะสามารถให้พวกเขาเข้าถึงรหัสผ่านและข้อมูลธนาคารของคุณรวมถึงการควบคุมคอมพิวเตอร์ของคุณ
วิศวกรรมสังคมทำงานอย่างไร?
การโจมตีทางวิศวกรรมสังคมเกิดขึ้นในหนึ่งขั้นตอนได้มากกว่านั้น การโจมตีทางวิศวกรรมสังคม�ส่วนใหญ่พึ่งพาการสื่อสารที่เกิดขึ้นจริงระหว่างผู้โจมตีและเหยื่อ โดยมักเกิดขึ้นที่เหยื่อถูกกำหนดเป้าหมายโดยผู้โจมตีกลุ่มหลายคนในช่วงเวลาหนึ่ง และการโจมตีนั้นถูกวางแผนมาอย่างละเอียดเพื่อหลีกเลี่ยงการตรวจพบ การโจมตีที่ประสบความสำเร็จประกอบด้วยขั้นตอนดังต่อไปนี้:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M129.744%2c62L124.681%2c66.167C119.618%2c70.333%2c109.493%2c78.667%2c104.43%2c86.333C99.367%2c94%2c99.367%2c101%2c99.367%2c104.5L99.367%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M99.367%2c166L99.367%2c170.167C99.367%2c174.333%2c99.367%2c182.667%2c99.367%2c190.333C99.367%2c198%2c99.367%2c205%2c99.367%2c208.5L99.367%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M99.367%2c270L99.367%2c274.167C99.367%2c278.333%2c99.367%2c286.667%2c103.915%2c294.576C108.463%2c302.486%2c117.559%2c309.972%2c122.107%2c313.715L126.655%2c317.458'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M195.358%2c320L200.42%2c315.833C205.483%2c311.667%2c215.609%2c303.333%2c220.672%2c290.5C225.734%2c277.667%2c225.734%2c260.333%2c225.734%2c243C225.734%2c225.667%2c225.734%2c208.333%2c225.734%2c191C225.734%2c173.667%2c225.734%2c156.333%2c225.734%2c139C225.734%2c121.667%2c225.734%2c104.333%2c221.186%2c91.924C216.638%2c79.514%2c207.542%2c72.028%2c202.994%2c68.285L198.446%2c64.542'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(162.55078125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='128.484375' y='-27' x='-64.2421875' style='' class='basic label-container'/%3e%3cg transform='translate(-34.2421875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='68.484375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eResearch%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(99.3671875%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='97.359375' y='-27' x='-48.6796875' style='' class='basic label-container'/%3e%3cg transform='translate(-18.6796875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='37.359375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eHook%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(99.3671875%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='182.734375' y='-27' x='-91.3671875' style='' class='basic label-container'/%3e%3cg transform='translate(-61.3671875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='122.734375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3ePlay on emotions%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(162.55078125%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='117.8125' y='-27' x='-58.90625' style='' class='basic label-container'/%3e%3cg transform='translate(-28.90625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='57.8125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eExecute%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Research: ผู้โจมตีรวบรวมข้อมูลเกี่ยวกับเป้าหมาย เช่น จุดเข้าสู่ระบบที่เป็นไปได้และโปรโตคอลความปลอดภัยที่อ่อนแอที่จำเป็นในการดำเนินการโจมตี ในโลกปัจจุบันการค้นหาข้อมูลเกี่ยวกับบุคคลออนไลน์นั้นง่ายมาก คุณสามารถหาอีเมลของคน เบอร์โทรศัพท์ และแม้แต่ที่อยู่บ้านของพวกเขาในโปรไฟล์โซเชียลมีเดีย คุณยังสามารถทราบได้ว่าพวกเขาทำงานที่ไหน ทำอะไร และทำงานร่วมกับใคร ข้อมูลนี้สามารถใช้เพื่อสร้างอีเมลฟิชชิ่งที่น่าเชื่อถือมากหรือโทรศัพท์เพื่อเตรียมขั้นตอนต่อไป
-
Hook: ผู้โจมตีใช้ข้อมูลนั้นเพื่อสร้างสถานการณ์ที่น่าเชื่อถือเพื่อล่อเหยื่อให้ทำตามที่ผู้โจมตีต้องการ ตัวอย่างเช่น ผู้โจมตีอาจโทรหาเหยื่อและสวมรอยเป็นเจ้าหน้าที่บริการลูกค้าจากธนาคารของพวกเขา ขอให้พวกเขายืนยันข้อมูลบัญชี หรืออาจ�โทรหาพนักงานที่บริษัทและสวมรอยเป็นบุคคลสนับสนุนไอที ขอให้พวกเขาตั้งรหัสผ่านใหม่
-
Play on emotions: ผู้โจมตีเล่นกับอารมณ์เพื่อให้เหยื่อดำเนินการทันทีโดยไม่คิด ตัวอย่างเช่น ผู้โจมตีอาจขู่เหยื่อด้วยค่าปรับ โทษ หรือการดำเนินคดี หากพวกเขาไม่ปฏิบัติตามคำขอในทันที หรืออาจดึงดูดความโลภของเหยื่อ สัญญากับพวกเขาถึงจำนวนเงินมหาศาลหรือรางวัลเป็นการตอบแทนความช่วยเหลือของพวกเขา
-
Execute: ผู้โจมตีดำเนินการโจมตี ซึ่งอาจมีรูปแบบต่าง ๆ มากมาย ตัวอย่างเช่น พวกเขาอาจ:
- หลอกลวงเหยื่อให้ติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของพวกเขา
- หลอกลวงเหยื่อให้เปิดเผยข้อมูลที่ละเอียดอ่อนในอีเมลหรือโทรศัพท์
- หลอกลวงเหยื่อให้ส่งเงินให้กับผู้โจมตี
- หลอกลวงเหยื่อให้คลิกที่ลิงก์ที่เป็นอันตรายในอีเมลหรือข้อความ
ขั�้นตอนด้านบนนี้อาจเกิดขึ้นในช่วงระยะเวลาสั้น ๆ หรืออาจเกิดขึ้นในช่วงสัปดาห์หรือเดือน ผู้โจมตีอาจกำหนดเป้าหมายที่บุคคลคนหนึ่งหรือกลุ่มคน การเชื่อมต่ออาจเริ่มจากการโทรศัพท์ อีเมล ข้อความ หรือการแชทในโซเชียลมีเดีย แต่สุดท้ายก็สรุปด้วยการกระทำบางอย่างที่คุณทำ เช่น การแชร์ข้อมูลของคุณหรือเปิดเผยตัวเองต่อมัลแวร์
ประเภทของการโจมตีทางวิศวกรรมสังคม
มีหลายประเภทของการโจมตีทางวิศวกรรมสังคม และแต่ละประเภทมีวัตถุประสงค์และเป้าหมายของตนเอง นี่คือบางประเภทการโจมตีทางวิศวกรรมสังคมที่พบบ่อยที่สุด:
Spam Phishing
Spam phishing เป็นประเภทของการโจมตีทางวิศวกรรมสังคมที่พบบ่อยที่สุด เป็นประเภทของกา�รโจมตีฟิชชิ่งที่ผู้โจมตีส่งอีเมลหลายล้านฉบับไปยังคนแบบสุ่ม หวังว่าบางคนจะตกหลุมพราง อีเมลมักจะถูกส่งจากที่อยู่อีเมลปลอม และมักจะมีลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายหรือไฟล์แนบที่เป็นภัยคุกคาม เป้าหมายของการโจมตีคือหลอกลวงเหยื่อให้คลิกที่ลิงก์หรือเปิดไฟล์แนบ ซึ่งจะติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของพวกเขา
ตัวอย่าง
ลองนึกภาพคุณได้รับอีเมลที่ไม่ได้ร้องขอในกล่องจดหมายของคุณพร้อมกับหัวข้ออีเมลที่ดึงดูดใจที่อ้างว่าคุณได้รับรางวัลเงินสดจำนวนมาก หัวข้ออีเมลระบุว่าคุณได้รับรางวัล $1,000,000 และต้องเรียกร้องรางวัลของคุณทันที
เมื่อเปิดอีเมล คุณจะพบข้อความแสดงความยินดีสำหรับการชนะลอตเตอรี่ที่สมมุติขึ้น อาจมีคำมั่นสัญญาที่เกินจริง เช่น เงินจำนวนมากที่จะเปลี่ยนแป��ลงชีวิต อีเมลมักมีลิงก์หรือข้อมูลติดต่อเพื่อให้คุณอ้างสิทธิ์ในการชนะของคุณ
อีเมลนี้แสดงสัญญาณคลาสสิกของการโจมตีสแปมฟิชชิ่ง:
-
ไม่ได้ร้องขอ: คุณไม่เคยเข้าร่วมลอตเตอรี่หรือประกวดใด ๆ ดังนั้นคุณไม่ควรได้รับรางวัล
-
ดีเกินกว่าความเป็นจริง: คำมั่นที่จะให้เงินจำนวนมากโดยไม่มีเหตุผลเป็นกลยุทธ์ทั่วไปที่ใช้ล่อเหยื่อ
-
ต้องดำเนินการทันที: อีเมลอาจบอกว่าคุณต้องดำเนินการอย่างรวดเร็วเพื่อเรียกร้องรางวัลของคุณ ทำให้เกิดความรู้สึกเร่งรีบ
-
ร้องขอข้อมูลส่วนตัวหรือเงิน: เพื่อ "อ้างสิทธิ์" รางวัลของคุณ คุณอาจถูกขอให้ตอบข้อมูลส่วนตัว จ่ายค่าธรรมเนียมหรือโอนเงินเพื่อครอบคลุมต้นทุนการดำเนินการ
Spear Phishing
Spear phishing เป็นประเภทของการโจมตีฟิ��ชชิ่งที่ผู้โจมตีเป้าหมายบุคคลที่เฉพาะหรือกลุ่มคน ผู้โจมตีจะทำการวิจัยเกี่ยวกับเป้าหมายและส่งอีเมลแบบเฉพาะตัวที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ อีเมลมักจะมีลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายหรือไฟล์แนบที่เป็นภัยคุกคาม เป้าหมายของการโจมตีคือหลอกลวงเหยื่อให้คลิกที่ลิงก์หรือเปิดไฟล์แนบ ซึ่งจะติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของพวกเขา ต่างจากสแปมฟิชชิ่ง การโจมตีแบบสเปียฟิชชิ่งมีการกำหนดเป้าหมายที่สูงและมีความเฉพาะตัวมากกว่า และมีโอกาสประสบความสำเร็จมากกว่า
ตัวอย่าง
ในสถานการณ์สเปียฟิชชิ่งนี้ คุณได้รับอีเมลที่ดูเหมือนมาจากเพื่อนร่วมงานหรือคนที่คุณรู้จัก อีเมลมีหัวข้อที่บอกว่าเป็นการแจ้งเตือนสำคัญทางความปลอดภัย สิ่งที่ทำให้สเปียฟิชชิ่งต่างจากฟิชชิ่งทั่วไปคือผู้โจมตีเป้าหมายบุคคลเฉพาะและมักมีความรู้บางส่วนเกี่ยวกับเป้าหมาย
เมื่อเปิดอีเมล คุณพบข้อความที่อ้างว่าเป็นจากที่ปรึกษาไอทีของคุณ ชาร์ลส์ มันเรียกชื่อคุณเต็ม ๆ และกล่าวถึงการละเมิดความปลอดภัยที่ถูกกล่าวว่าบนบัญชีงานของคุณ อีเมลขอให้คุณคลิกที่ลิงก์หรือติดตั้งไฟล์แนบเพื่อความปลอดภัยของบัญชีคุณ คุณคลิกลิงก์และถูกนำไปยังเว็บไซต์ที่ดูเหมือนหน้าเข้าสู่ระบบของบริษัทคุณทุกประการ คุณป้อนชื่อผู้ใช้และรหัสผ่าน และผู้โจมตีได้เข้าใช้บัญชีของคุณ
อีเมลนี้แสดงสัญญาณคลาสสิกของการโจมตีสเปียฟิชชิ่ง:
-
ความเฉพาะตัว: อีเมลระบุชื่อคุณเต็ม ทำให้ดูเหมือนเป็นของแท้
-
เร่งด่วน: ข้อความบ่งบอกถึงความเร่งด่วน โดยชี้ให้คุณดำเนินการทันทีเพื่อแก้ไขปัญหาทางความปลอดภัย
-
ร้องขอกา�รดำเนินการ: อีเมลขอให้คุณคลิกที่ลิงก์หรือติดตั้งไฟล์แนบ ซึ่งลิงก์หรือไฟล์แนบเหล่านี้มักมีมัลแวร์หรือไซต์ฟิชชิ่ง
Baiting
Baiting เป็นประเภทของการโจมตีทางวิศวกรรมสังคมที่ผู้โจมตีเสนอสิ่งล่อลวงให้กับเหยื่อเพื่อแลกกับข้อมูลส่วนตัว เช่น ผู้โจมตีอาจเสนอการ์ดของขวัญฟรีหรือการดาวน์โหลดภาพยนตร์ฟรีเพื่อแลกกับที่อยู่อีเมลของเหยื่อ เป้าหมายของการโจมตีคือล่อเหยื่อให้เปิดเผยข้อมูลส่วนตัวที่ผู้โจมตีสามารถใช้ขโมยตัวตนหรือกระทำการฉ้อโกง มันใช้ประโยชน์จากความอยากรู้อยากเห็นหรือความโลภของเหยื่อ
ตัวอย่าง
ในสถานการณ์ baiting นี้ ผู้โจมตีวางแฟลชไดรฟ์ USB ในที่สาธารณะ เช่น ร้านกาแฟหรือที่จอดรถ แฟลชไดรฟ์ถูกปิดป้ายว่า "Confidential" หรือ "Private" และมีโ��ปรแกรมอันตรายที่จะติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของเหยื่อเมื่อพวกเขาเสียบเข้าไป เป้าหมายของการโจมตีคือล่อเหยื่อให้เสียบแฟลชไดรฟ์ USB เข้าคอมพิวเตอร์ซึ่งจะติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของพวกเขา
คุณเสียบแฟลชไดรฟ์ USB เข้าคอมพิวเตอร์ของคุณ โดยหวังว่าจะพบข้อมูลมีค่า มันดูเหมือนมีไฟล์ชื่อ "Confidential_Project_Data.csv" ขณะที่คุณพยายามเปิดไฟล์ มันจะเปิดสคริปต์ซ่อนที่ติดเชื้อมัลแวร์เข้าสู่คอมพิวเตอร์ของคุณ
ในการโจมตี baiting นี้:
- เหยื่อ คือแฟลชไดรฟ์ USB ที่ถูกปิดป้ายว่า "Confidential" หรือ "Private" ทำให้น่าสนใจต่อใครก็ตามที่ผ่านไปเจอ โดยเฉพาะในสภาพแวดล้อมการทำงานหรือสถานที่มืออาชีพ
- ปัจจัยความอยากรู้อยากเห็น: ความอยากรู้อยากเห็นของมนุษย์ถูกใช้เป็นช่องโหว่ กระตุ้นให้คนทำสิ่งที่พวกเขาอาจหลีกเลี่ยง
Water holing
Water holing เป็นประเภทของการโจมตีทางวิศวกรรมสังคมที่ผู้โจมตีโจมตีกลุ่มคนเฉพาะโดยการติดเชื้อเว็บไซต์ที่พวกเขามีแนวโน้มที่จะเข้าชม ตัวอย่างเช่น ผู้โจมตีอาจติดเชื้อเว็บไซต์ข่าวยอดนิยมหรือเว็บไซต์โซเชียลมีเดียยอดนิยม เป้าหมายของการโจมตีคือหลอกล่อเหยื่อให้เข้าชมเว็บไซต์ที่ติดเชื้อซึ่งจะติดตั้งมัลแวร์ลงบนคอมพิวเตอร์ของพวกเขา
ตัวอย่าง
กลุ่มผู้โจมตีมีเป้าหมายในการเจาะระบบความปลอดภัยของสมาคมอุตสาหกรรมเฉพาะที่แสดงถึงชุมชนของผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์ ผู้โจมตีมีเป้าหมายในการขโมยข้อมูลลับและเข้าแทรกแซงระบบของผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์
ผู้โจมตีเลือกใช้เว็บไซต์ที่มีชื่อเสียงและเป็นที่นับถือซึ่งใช้โดยชุมชนนี้ ในกรณีนี้พวกเขาเลือกเว็บไซต์ทางการของสมาคมอุตสาหกรรมความปลอดภัยไซเบอร์ ผู้โจมตีค้นหาและใช้ประโยชน์จากช่องโหว่ในเว็บไซต์ของสมาคมอุตสาหกรรม พวกเขาอาจใช้วิธีการทางเทคนิค เช่น การฉีด SQL หรือการข้ามไซต์ (XSS) เพื่อเข้าถึงระบบจัดการเนื้อหาของเว็บไซต์โดยไม่ได้รับอนุญาต เมื่อพวกเขาเข้าถึงเว็บไซต์ได้แล้ว ผู้โจมตีจะฉีดรหัสที่อันตรายเข้าไปในหน้าของเว็บไซต์ รหัสนี้ถูกออกแบบมาเพื่อนำมัลแวร์เข้าสู่ผู้ที่เข้าชมหน้าที่ถูกโจมตี
จากนั้นผู้โจมตีรอให้ผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์เข้าชมเว็บไซต์ พวกเขารู้ว่าผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์หลายคนเข้าชมเว็บไซต์เป็นประจำเพื่อตรวจสอบการอัปเดต ข่าวสาร และแหล่งข้อมูล
ในขณะที่ผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์เข้าชมเว็บไซต์ของสมาคมอุตสาหกรรมเพื่ออ่านบทความ เข้าร่วม��การประชุมทางเว็บ หรือดาวน์โหลดแหล่งข้อมูล พวกเขาจะเปิดเผยอุปกรณ์ของตนต่อมัลแวร์ที่ฉีดเข้าไปโดยไม่รู้ตัว มัลแวร์อาจขโมยข้อมูลลับ เช่น ข้อมูลการเข้าสู่ระบบหรือข้อมูลส่วนตัว นอกจากนี้ยังสามารถให้ผู้โจมตีสามารถเจาะเข้าระบบเพื่อดำเนินการโจมตีเพิ่มเติม รวมถึงสเปียฟิชชิ่งหรือการใช้ประโยชน์จากช่องโหว่ที่รู้บนระบบของเหยื่อ
ในการโจมตี water holing นี้:
- บ่อน้ำ คือเว็บไซต์ของสมาคมอุตสาหกรรมที่เป็นที่นิยมในหมู่ผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์
- กลุ่มเป้าหมาย: ผู้โจมตีมีเป้าหมายกลุ่มคนเฉพาะ ในกรณีนี้คือผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์
- ใช้ประโยชน์จากความไว้วางใจ: ผู้โจมตีใช้ประโยชน์จากความไว้วางใจที่ผู้เชี่ยวชาญทางความปลอดภัยไซเบอร์มีต่อเว็บไซต์ของสมาคมอุตสาหกรรม
- ใช้ประโยชน์จ�ากช่องโหว่: ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในระบบจัดการเนื้อหาของเว็บไซต์เพื่อฉีดรหัสที่อันตรายเข้าไปในหน้าของเว็บไซต์
ป้องกันตนเองจากการโจมตีทางวิศวกรรมสังคม
การป้องกันตนเองจากการโจมตีทางวิศวกรรมสังคมต้องอาศัยการผสมผสานระหว่างการตื่นตัว ความสงสัย และแนวปฏิบัติที่ดีที่สุด นี่คือขั้นตอนสำคัญในการปกป้องตนเองจากการโจมตีทางวิศวกรรมสังคม:
-
ศึกษาความรู้: เรียนรู้เกี่ยวกับเทคนิควิศวกรรมสังคมที่พบได้บ่อย เช่น ฟิชชิ่ง การแกล้งตัวเอง baiting และ tailgating ติดตามความรู้เกี่ยวกับเทคนิคและแนวโน้มทางวิศวกรรมสังคมที่เกิดขึ้นใหม่
-
ยืนยันตัวตน: ตรวจสอบตัวตนของบุคคลหรือองค์กรที่ขอข้อมูลส่วนตัวหรือ��ข้อมูลลับจากคุณเสมอ อย่าพึ่งพาเพียงแค่หมายเลขโทรศัพท์ อีเมล หรือเว็บไซต์ที่บุคคลที่ติดต่อคุณให้ ให้ใช้ข้อมูลติดต่อที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือที่คุณหามาได้เอง
-
ตั้งข้อสงสัยในคำขอ: ระแวงคำขอที่ไม่ได้ร้องขอเพื่อขอข้อมูลส่วนตัว ข้อมูลการเงิน หรือข้อมูลที่ลับ องค์กรที่ถูกต้องส่วนใหญ่มักไม่ขอข้อมูลเช่นนี้ผ่านอีเมลหรือโทรศัพท์ หากมีคนขอข้อมูลลับ ให้สอบถามว่าทำไมถึงจำเป็นและจะใช้อย่างไร
-
ระวังความเร่งรัดและแรงกดดัน: นักสังเคราะห์สังคมมักสร้างความรู้สึกเร่งรัดเพื่อให้คุณตัดสินใจโดยไม่คิด นึกถึงข้อเสนอก่อนที่จะตัดสินใจและตรวจสอบความถูกต้องของสถานการณ์
-
ปกป้องการเข้าถึงทางกายภาพ: ปกป้องพื้นที่ทำงานของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาต ล็อคคอมพิวเตอร์และอุปกรณ์ของคุณเมื่อไม่ได้ใช้งาน ระมัดระวังเมื่ออนุญาตให้บุคคลที่ไม่คุ้นเคยเข้าสู่พื้นที่ที่มีความปลอดภัย
-
การฝึกอบรมพนักงาน: หากคุณทำงานส่วนหนึ่งในองค์กร ให้จัดการฝึกอบรมความรู้เกี่ยวกับวิศวกรรมสังคมแก่พนักงาน สอนให้พนักงานรับรู้และรายงานกิจกรรมที่น่าสงสัย
-
ใช้แหล่งข้อมูลที่เชื่อถือได้: รับข้อมูลจากแหล่งที่เชื่อถือได้และได้รับการยืนยัน เชื่อถือเฉพาะเว็บไซต์ทางการหรือนโยบายข่าวที่ผ่านการยืนยัน
-
การเข้ารหัสข้อมูล: เข้ารหัสข้อมูลที่ละเอียดอ่อนทั้งขณะที่พักและระหว่างการส่งเพื่อปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต
ปฏิบัติตัวออนไลน์อย่างปลอดภัย
สำหรับนักพัฒนาและเจ้าของธุรกิจ หากคุณกำลังพัฒนาแอปพลิเคชันเว็บ คุณค��วรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการปกป้องผู้ใช้ของคุณจากการโจมตีทางวิศวกรรมสังคม มีวิธีมากมายในการเสริมความปลอดภัยให้แอปพลิเคชันของคุณ:
- ใช้รหัสผ่านที่แข็งแกร่ง คนส่วนใหญ่ใช้รหัสผ่านที่อ่อนแอที่สามารถเดาได้ง่ายจากข้อมูลส่วนตัวของพวกเขา เพื่อสร้างระบบการจัดการตัวตนของผู้ใช้ที่ปลอดภัยและน่าเชื่อถือ คุณควรกำหนดนโยบายรหัสผ่านที่แข็งแกร่ง นี้จะป้องกันไม่ให้ผู้ใช้ใช้รหัสผ่านที่อ่อนแอโดยไม่มีมาตรการความปลอดภัยที่เหมาะสม
- เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน การยืนยันตัวตนหลายขั้นตอน (MFA) เพิ่มระดับความปลอดภัยเพิ่มเติมให้กับบัญชีของผู้ใช้โดยการบังคับให้พวกเขาป้อนรหัสจากโทรศัพท์หรืออุปกรณ์อื่นนอกเหนือจากรหัสผ่าน นี้ทำให้ยากมากขึ้นที่ผู้โจมตีจะเข้าถึงบัญชีลูกค้าของคุณ ถึงแม้ว่ารหัสผ่านของลูกค้าถูกละเมิด ผู้โจมตีจะไม่สามารถเข้าถึงบัญชีของพวกเขาได้โดยไม่มีปัจจัยที่สอง
- เข้ารหัสข้อมูลของผู้ใช้ การเข้ารหัสข้อมูลของผู้ใช้เป็นวิธีที่ดีในการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต หากผู้โจมตีเข้าถึงฐานข้อมูลของคุณ พวกเขาจะไม่สามารถอ่านข้อมูลได้โดยไม่มีกุญแจเข้ารหัส ซึ่งจะป้องกันไม่ให้พวกเขาขโมยข้อมูลส่วนตัวของลูกค้าคุณ
- หมุนเวียนคีย์การเข้าถึงบ่อย ๆ คีย์การเข้าถึงถูกใช้เพื่อเข้าถึงทรัพยากรของแอปพลิเคชันของคุณ หากผู้โจมตีเข้าถึงคีย์การเข้าถึงของคุณ พวกเขาจะสามารถเข้าถึงทรัพยากรของแอปพลิเคชันของคุณโดยไม่ได้รับอนุญาต เพื่อป้องกันสิ่งนี้ คุณควรหมุนเวียนคีย์การเข้าถึงบ่อย ๆ
- ใช้ระบบการยืนยันตัวตนสมัยใหม่ โปรโตคอลการยืนยันตัวตนสมัยใหม่เช่น OAuth 2.0 และ OpenID Connect มีความปลอดภัยมากกว่ารุ่นเก่าเช่น SAML และ WS-Federation พวกเขาใช้อัลกอริธึมการเข้ารหัสสมัยใหม่และยากที่จะโจมตี
- ลงทะเบียนล่วงหน้าการเปลี่ยนเส้นทางการลงชื่อเข้าใช้และอุปกรณ์ หากคุณใช้ OAuth 2.0 หรือ OpenID Connect สำหรับการยืนยันตัวตน คุณควรลงทะเบียนล่วงหน้าสำหรับการเปลี่ยนเส้นทางการลงชื่อเข้าใช้และอุปกรณ์ นี้จะป้องกันไม่ให้ผู้โจมตีใช้บัญชีของลูกค้าของคุณเพื่อเข้าสู่แอปพลิเคชันของคุณจากอุปกรณ์ของเขาเอง