จิตวิทยา หลอกลวง และนักต้มตุ๋น

หลังเลิกงานช่วงเย็นวันหนึ่ง ระหว่างที่อยู่บนรถไฟฟ้าใต้ดินเพื่อเดินทางกลับที่พัก ในขณะที่นั่งเล่นโทรศัพท์ไปเรื่อย ๆ และกำลังจะหาหัวข้อเขียนบทความ ผมก็ได้ไปเห็นภาพ “มีม” (Meme) ภาพหนึ่ง

http://www.quickmeme.com/catch-me-if-you-can

ซึ่งเป็นหนังเก่าเรื่องหนึ่งที่ฉายนานมาแล้ว และก็ได้อุทานในใจว่า “เชี่ย…ความสามารถของพระเอกนี่มันทักษะของ Social Engineering ชัด ๆ เลยนี่หว่า” แล้วผมจึงได้สงสัยว่าแท้จริงแล้ว Social Engineering คืออะไร ?

“Social Engineering, in the context of cybersecurity, is the process of tricking people into divulging private information that can be useful in a cyberattack.”

หมายความว่า Social Engineering ในบริบทของการรักษาความปลอดภัยในโลกไซเบอร์ คือกระบวนการ “หลอกล่อ” ให้ผู้คนเปิดเผยข้อมูลส่วนตัวที่อาจเป็นประโยชน์ในการโจมตีทางไซเบอร์

แล้วรูปแบบในการโจมตีของ Social Engineering เนี่ยมีอะไรกันบ้างล่ะ ?

เท่าที่ผมเองได้หาข้อมูลในอินเทอร์เน็ทพบท่าโจมตีต่าง ๆ มากมาย แต่ในที่นี้ผมจะยกตัวอย่างมาบางส่วนเท่านั้น ไม่ว่าจะเป็น

เหยื่อล่อ (Baiting)

โดยผู้โจมตีปล่อยให้อุปกรณ์ทางกายภาพ เช่น USB ที่ติดมัลแวร์ประเภทหนึ่ง เมื่อเหยื่อเสียบ USB เข้ากับคอมพิวเตอร์ กระบวนการติดตั้งมัลแวร์ก็เริ่มต้นขึ้น ถ้าจะให้เห็นภาพง่าย ๆ ก็คงย้อนกลับไป 10–20 ปี ก่อนโดยนิสัยของเราถ้าเราเก็บแฟลชไดร์ได้ ส่วนใหญ่เราก็จะนำมาเปิดดูข้างในว่ามีอะไรทำให้เราโดนมัลแวร์ ที่อยู่ในนั้นโจมตีนั่นเอง

กับดักน้ำผึ้ง (Honey Trap)

กับดักน้ำผึ้ง คือ เมื่อนักต้มตุ๋นแสดงตัวเป็นบุคคลที่น่าสนใจทางออนไลน์โดยมีวัตถุประสงค์เพื่อขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เช่น หมายเลขโทรศัพท์ และรายละเอียดบัญชีอีเมล จากบุคคลที่พวกเขาโต้ตอบด้วย ถ้าจะให้เห็นภาพง่าย ๆ ก็เมื่อเราทำการปลอมตัว หรือได้บัญชีของบุคคลที่น่าสนใจทางออนไลน์ ไม่ว่าจะการแฮกหรือวิธีการใด ๆ ก็ตาม เราสามารถนำเอาบัญชีเหล่านี้มาหลอกล่อเพื่อให้โอนเงิน หรือให้ข้อมูลอันมีค่าแก่เราได้

ฟิชชิ่ง (Phishing)

การโจมตีแบบฟิชชิงจะรวบรวมข้อมูลที่ละเอียดอ่อนของเหยื่อ เช่น ข้อมูลการเข้าสู่ระบบ, หมายเลขบัตรเครดิต, รายละเอียดบัญชีธนาคาร, ชื่อ, ที่อยู่, เบอร์โทร โดยนำข้อมูลเหล่านี้มาประกอบเพื่อจะปลอมแปลงเป็นแหล่งที่เชื่อถือได้

การหลอกลวงแบบฟิชชิ่งที่พบบ่อยที่สุดคืออีเมลปลอม ที่ดูเหมือนว่าส่งโดยผู้ส่งที่มีอำนาจ

ต่อไปนี้คือ ตัวอย่างอีเมลฟิชชิ่งที่ดูเหมือนเป็นการสื่อสารที่ถูกต้องตามสถาบันการเงิน

https://www.it.chula.ac.th/how-to-identify-malicious-email/

ลิงก์ในอีเมลฟิชชิ่งถูกฝังด้วยโค๊ดที่เป็นอันตราย เมื่อคลิกลิงก์ เหยื่อมักจะถูกนำไปยังหน้าเว็บที่จำลองมาจากเว็บไซต์ธุรกิจที่อีเมลอ้างว่าเป็นตัวแทน หรือนี่อาจเป็นหน้าเข้าสู่ระบบปลอมของสถาบันการเงินหรือพอร์ทัลเข้าสู่ระบบปลอมในอินทราเน็ตของคุณ

โดยรูปแบบอีเมลฟิชชิ่งมักจะเล่นกับจิตวิทยาในการสร้างความรู้สึกเร่งด่วน เพื่อให้เหยื่อรู้สึกว่าการเปิดเผยข้อมูลอย่างรวดเร็วเป็นสิ่งสำคัญ แม้จะไม่ได้มีการออกแบบที่ซับซ้อนเสมอไป แต่การโจมตีแบบฟิชชิงก็เป็นหนึ่งในความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่สำคัญที่สุด

แต่อย่างไรก็ตามตัวกรองสแปมบางตัว เช่น ตัวกรองของ Microsoft ได้รับการออกแบบมาเพื่อส่งอีเมลฟิชชิ่งไปยังโฟลเดอร์ขยะโดยตรง แต่ตัวกรองเหล่านี้ไม่ได้แม่นยำเสมอไป ดังนั้นสิ่งสำคัญคือต้องรักษากรอบความคิดที่ไม่ไว้วางใจเสมอ เพื่อตรวจทานอีเมลที่ได้รับ

สเปียร์ฟิชชิ่ง (Spear Phishing)

Spear phishing เป็นการโจมตีเพื่อปลอมแปลงอีเมลโดยเจาะจงไปที่ องค์กร หรือบุคคลใดบุคคลหนึ่งโดยเฉพาะ โดยอีเมลฟิชชิ่งแบบสเปียร์มักมีเป้าหมายเพื่อทำให้เหยื่อติดเชื้อด้วยแรนซัมแวร์ หรือหลอกล่อให้เปิดเผยข้อมูลที่ละเอียดอ่อน

เอสเอ็มเอส ฟิชชิ่ง (SMS Phishing)

SMS phishing เป็นฟิชชิ่งที่ดำเนินการผ่าน SMS แทนที่จะเป็นสื่อดั้งเดิมของอีเมล

Pretexting

Pretexting คือ กระบวนการโกหกเพื่อเข้าถึงข้อมูลส่วนบุคคล หรือข้อมูลพิเศษอื่น ๆ ตัวอย่างเช่น นักต้มตุ๋นอาจสวมรอยเป็นผู้ให้บริการบุคคลที่สาม โดยบอกว่าพวกเขาว่าเราจำเป็นต้องทราบชื่อและนามสกุลของคุณ เพื่อยืนยันตัวตนของคุณ จากนั้นจะนำข้อมูลที่ได้ไปต่อยอดในการโจมตีถัดไป

ในตอนนี้ขอนำเสนอเทคนิคประมาณนี้ก่อนนะครับ เพื่อไม่ให้เนื้อหายาวเกินไป ถ้าชอบบทความนี้ทางผมจะไปหาข้อมูลเพิ่มเติมให้นะครับ

แล้วทำไมอาชญากรไซเบอร์ จึงใช้ ทักษะ Social Engineering

อาชญากรไซเบอร์ ใช้เทคนิค Social Engineering เพื่อปกปิดตัวตนที่แท้จริง และแสดงตนว่าเป็นตัวแทน หรือบุคคลที่น่าเชื่อถือ โดยมีวัตถุประสงค์เพื่อโน้มน้าว หรือหลอกล่อเหยื่อให้เปิดเผยข้อมูลส่วนบุคคล เพื่อให้สามารถใช้เข้าถึงเครือข่ายเป้าหมายได้

ต้องยอมรับว่าเทคนิคส่วนใหญ่ของ Social Engineering ใช้ประโยชน์จากความเต็มใจของผู้คนที่จะช่วยเหลือ ตัวอย่างเช่น ผู้โจมตีอาจจะสวมรอยเป็นเพื่อนร่วมงานที่มีปัญหาเร่งด่วน เช่น ไม่สามารถใช้งานระบบได้ หรือเกิดอุบัติเหตุต่าง ๆ จำเป็นต้องใช้ข้อมูลหรือเงินอย่างเร่งด่วน ทำให้สามารถหลอกล่อเหยื่อได้

แล้ววิธีการลดการตกเป็นเหยื่อของอาชญากรไซเบอร์ จาก “Social Engineering” ล่ะ ?

1. ให้ความรู้แก่พนักงาน โดยมีการอบรมเกี่ยวกับ Security ต่าง ๆ ภายในองค์กร
2. กำหนดนโยบายความปลอดภัย
3. ควรมีการกลั่นกรองข้อมูลทั้งหมด เช่น ตรวจสอบอีเมลทุกฉบับที่ได้รับ และทุกอุปกรณ์ที่จะเสียบเข้ากับคอมพิวเตอร์ นั้นปลอดภัยหรือไม่
4. มีการทดสอบการโจมตีของ Social Engineering ในองค์กรเป็นระยะ ๆ เพื่อเพิ่มความระมัดระวังในการกรอกข้อมูล
5. ทำการกำจัดเอกสารที่ไม่ได้ใช้งาน และไม่นำมาใช้ซ้ำ โดยเอกสารเหล่าอาจจะมีข้อมูลที่ละเอียดอ่อนขององค์กรหรือพนักงาน
6. ใช้งาน Multi-Factor Authentication ในการเข้าสู่ระบบต่าง ๆ เช่น อีเมล เป็นต้น
7. หมั่นตรวจสอบการรั่วไหลของข้อมูลช่วงเป็น ๆ

จากเนื้อหาข้างต้นผมหวังว่าผู้อ่านทุกท่านจะได้นำเนื้อหาที่ได้อ่านไปใช้เพิ่มในการป้องกันตัวไม่มากก็น้อยนี้ครับ หากมีข้อผิดพลาดประการใดทางผู้เขียนก็ขออภัยมา ณ ที่นี้ครับ (กราบ)

และสุดท้ายนี้ผมอยากแนะนำหนังเพื่อเป็นกรณีศึกษาเกี่ยวกับ Social Engineering กันครับ

Catch Me If You Can (2002)

https://kodungmovie.com/movies/catch-me-if-you-can-2002/

The Wolf of Wall Street (2013)

https://movie.kapook.com/view64774.html

The Social Network (2010)

https://kodungmovie.com/movies/the-social-network-2010/

ขอบคุณครับ :D

Ref.

• https://www.upguard.com/blog/social-engineering