สารบัญ[ซ่อน][แสดง]
แม้ว่าอาชญากรไซเบอร์ส่วนใหญ่จะเป็นนักบงการที่มีทักษะ แต่ก็ไม่ได้หมายความว่าพวกเขาเป็นผู้ควบคุมเทคโนโลยีที่มีทักษะเสมอไป อาชญากรไซเบอร์คนอื่นชอบที่จะจัดการกับผู้คน
กล่าวอีกนัยหนึ่งพวกเขายอมรับวิศวกรรมสังคมซึ่งเป็นแนวทางปฏิบัติในการโจมตีทางไซเบอร์โดยใช้ประโยชน์จากข้อบกพร่องในธรรมชาติของมนุษย์
ในกรณีของวิศวกรรมสังคมที่ตรงไปตรงมา สิ่งนี้อาจเกิดขึ้นได้หากอาชญากรไซเบอร์แอบอ้างเป็นผู้เชี่ยวชาญด้านไอทีและขอรายละเอียดการเข้าสู่ระบบของคุณเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในระบบของคุณ
หากคุณให้ข้อมูล แสดงว่าคุณให้สิทธิ์ผู้ไม่ประสงค์ดีเข้าถึงบัญชีของคุณโดยที่พวกเขาไม่ต้องกังวลเรื่องการเข้าถึงอีเมลหรือคอมพิวเตอร์ของคุณ
ในทุกห่วงโซ่การรักษาความปลอดภัย โดยปกติแล้ว เรามักจะเป็นจุดอ่อนที่สุดเนื่องจากเราอ่อนไหวต่อกลอุบายต่างๆ เทคนิควิศวกรรมสังคมใช้ประโยชน์จากช่องโหว่นี้ในผู้คนเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลส่วนตัว
วิศวกรรมสังคมมีการพัฒนาอยู่เสมอ เช่นเดียวกับภัยคุกคามทางไซเบอร์ส่วนใหญ่
ในบทความนี้ เราจะพูดถึงสถานะปัจจุบันของวิศวกรรมสังคม การโจมตีประเภทต่างๆ ที่ควรระวัง และสัญญาณเตือนที่ควรระวัง
มาเริ่มการแนะนำวิศวกรรมสังคมกัน
วิศวกรรมสังคมคืออะไร?
วิศวกรรมสังคมในการคำนวณหมายถึงเทคนิคที่อาชญากรไซเบอร์ใช้ในการเกลี้ยกล่อมให้เหยื่อกระทำการที่น่าสงสัย ซึ่งมักก่อให้เกิดการละเมิดความปลอดภัย การส่งเงิน หรือการเปิดเผยข้อมูลส่วนบุคคล
กิจกรรมเหล่านี้มักท้าทายตรรกะและขัดกับวิจารณญาณที่ดีกว่าของเรา
อย่างไรก็ตาม นักต้มตุ๋นสามารถโน้มน้าวให้เราหยุดคิดอย่างมีเหตุมีผล และเริ่มดำเนินการตามสัญชาตญาณโดยไม่ต้องนึกถึงสิ่งที่เรากำลังทำอยู่จริงโดยควบคุมอารมณ์ของเรา ทั้งด้านบวกและด้านลบ เช่น ความโกรธ ความกลัว และความรัก
นิยามง่ายๆ ก็คือ วิศวกรรมสังคมคือวิธีที่แฮ็กเกอร์ประนีประนอมสมองของเรา เช่นเดียวกับที่พวกเขาทำกับมัลแวร์และไวรัสเพื่อประนีประนอมเครื่องของเรา
ผู้โจมตีมักใช้วิศวกรรมสังคมเพราะมักจะง่ายกว่าที่จะใช้ประโยชน์จากบุคคลมากกว่าที่จะระบุเครือข่ายหรือจุดอ่อนของซอฟต์แวร์
เนื่องจากอาชญากรและเหยื่อของพวกเขาไม่จำเป็นต้องมีปฏิสัมพันธ์กันโดยตรง วิศวกรรมทางสังคมจึงเป็นองค์ประกอบหนึ่งของการหลอกลวงในวงกว้างเสมอ
การนำเหยื่อไป: โดยทั่วไปเป้าหมายหลัก:
- ซอฟต์แวร์ที่เป็นอันตรายบนสมาร์ทโฟน
- สละชื่อผู้ใช้และรหัสผ่านของคุณ
- ให้อนุญาตปลั๊กอิน ส่วนขยาย หรือแอปพลิเคชันของบุคคลที่สามที่เป็นอันตราย
- ส่งเงินผ่านธนาณัติ การโอนเงินทางอิเล็กทรอนิกส์ หรือบัตรของขวัญ
- สวมบทบาทล่อเงินเพื่อส่งและฟอกเงินที่ผิดกฎหมาย
อาชญากรใช้เทคนิควิศวกรรมสังคมเพราะมักจะง่ายกว่าที่จะใช้ประโยชน์จากแนวโน้มที่จะไว้วางใจผู้อื่นมากกว่าที่จะหาวิธีแฮ็คโปรแกรมของคุณ
ตัวอย่างเช่น เว้นแต่ว่ารหัสผ่านจะอ่อนแอจริงๆ การหลอกให้ผู้อื่นบอกรหัสผ่านแก่คุณนั้นง่ายกว่าการพยายามแฮ็ค
วิศวกรรมสังคมทำงานอย่างไร
วิศวกรทางสังคมดำเนินการโจมตีทางไซเบอร์โดยใช้กลยุทธ์ต่างๆ การโจมตีทางวิศวกรรมทางสังคมส่วนใหญ่เริ่มต้นด้วยผู้โจมตีที่ทำการลาดตระเวนและค้นคว้าเกี่ยวกับเหยื่อ
ตัวอย่างเช่น หากเป้าหมายคือองค์กร แฮ็กเกอร์สามารถเรียนรู้เกี่ยวกับโครงสร้างองค์กร กระบวนการภายใน ศัพท์เฉพาะทางอุตสาหกรรม คู่ค้าทางธุรกิจที่มีศักยภาพ และรายละเอียดอื่นๆ
การมุ่งเน้นที่การกระทำและนิสัยของผู้ปฏิบัติงานที่มีการเข้าถึงในระดับต่ำแต่เริ่มแรก เช่น เจ้าหน้าที่รักษาความปลอดภัยหรือพนักงานต้อนรับ เป็นกลยุทธ์หนึ่งที่ใช้โดยวิศวกรสังคม
ผู้โจมตีสามารถค้นหา โซเชียลมีเดีย บัญชีสำหรับข้อมูลส่วนบุคคลและสังเกตพฤติกรรมของพวกเขาทั้งทางออนไลน์และในคน
ต่อไป วิศวกรสังคมสามารถใช้หลักฐานที่รวบรวมมาเพื่อวางแผนการโจมตีและใช้ประโยชน์จากข้อบกพร่องที่ค้นพบระหว่างขั้นตอนการลาดตระเวน
หากการโจมตีเกิดขึ้นจริง ผู้โจมตีอาจได้รับระบบหรือเครือข่ายที่ได้รับการป้องกัน เงินจากเป้าหมาย หรือการเข้าถึงข้อมูลส่วนตัว เช่น หมายเลขประกันสังคม รายละเอียดบัตรเครดิต หรือรายละเอียดธนาคาร
ประเภทของการโจมตีทางวิศวกรรมสังคมทั่วไป
การเรียนรู้เทคนิคทั่วไปที่ใช้ในวิศวกรรมสังคมเป็นหนึ่งในกลยุทธ์ที่ดีที่สุดในการป้องกันตัวเองจากการโจมตีทางวิศวกรรมสังคม
ทุกวันนี้ วิศวกรรมสังคมมักเกิดขึ้นทางออนไลน์ รวมถึงผ่านการหลอกลวงทางโซเชียลมีเดีย เมื่อผู้โจมตีปลอมแปลงเป็นแหล่งข้อมูลที่เชื่อถือได้หรือเจ้าหน้าที่ระดับสูงเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลที่ละเอียดอ่อน
ต่อไปนี้คือการโจมตีทางวิศวกรรมสังคมที่แพร่หลายอื่นๆ:
ฟิชชิ่ง
ฟิชชิ่งเป็นแนวทางวิศวกรรมทางสังคมประเภทหนึ่งที่การสื่อสารถูกปลอมแปลงเพื่อให้ดูเหมือนมาจากแหล่งที่น่าเชื่อถือ
การสื่อสารเหล่านี้ ซึ่งมักเป็นอีเมล มีจุดมุ่งหมายเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน
เพราะเหตุใดเราจึงควรสงสัยในความถูกต้องของอีเมลจากเพื่อน สมาชิกในครอบครัว หรือบริษัทที่เรารู้จัก นักต้มตุ๋นใช้ประโยชน์จากความมั่นใจนี้
Vishing
Vishing เป็นการโจมตีแบบฟิชชิ่งที่ซับซ้อน เรียกอีกอย่างว่า "ฟิชชิงด้วยเสียง" ในการโจมตีเหล่านี้ หมายเลขโทรศัพท์มักปลอมแปลงเพื่อให้ดูเหมือนเป็นของแท้ ผู้โจมตีอาจเป็นเจ้าหน้าที่ไอที เพื่อนร่วมงาน หรือนายธนาคาร
ผู้โจมตีบางคนอาจใช้โปรแกรมเปลี่ยนเสียงเพื่อปกปิดตัวตนของพวกเขามากยิ่งขึ้น
ฟิชชิ่งหอก
บริษัทขนาดใหญ่หรือบุคคลเฉพาะเจาะจงเป็นเป้าหมายของสเปียร์ฟิชชิ่ง ซึ่งเป็นการโจมตีทางวิศวกรรมสังคม เป้าหมายของการโจมตีแบบฟิชชิ่งแบบหอกคือบุคคลหรือกลุ่มเล็กๆ ที่เข้มแข็ง เช่น ผู้นำธุรกิจและบุคคลสาธารณะ
การโจมตีแบบวิศวกรรมสังคมรูปแบบนี้มักได้รับการวิจัยอย่างดีและมีการอำพรางอย่างหลอกลวง ทำให้ยากต่อการตรวจพบ
สมิชชิ่ง
Smishing เป็นการจู่โจมแบบฟิชชิ่งที่ใช้ข้อความ (SMS) เป็นสื่อกลางในการสื่อสาร การแสดง URL ที่เป็นอันตรายสำหรับการคลิกหรือหมายเลขโทรศัพท์เพื่อติดต่อ โดยทั่วไปการจู่โจมเหล่านี้ต้องการการดำเนินการอย่างรวดเร็วจากผู้ที่ตกเป็นเหยื่อ
เหยื่อมักจะได้รับแจ้งให้ให้ข้อมูลส่วนตัวที่ผู้โจมตีสามารถใช้กับพวกเขาได้
เพื่อเกลี้ยกล่อมเหยื่อให้ลงมืออย่างรวดเร็วและตกเป็นเหยื่อการโจมตี การโจมตีด้วยรอยยิ้มมักจะแสดงถึงความรู้สึกเร่งด่วน
Scareware
การใช้วิศวกรรมโซเชียลเพื่อทำให้บุคคลหวาดกลัวในการติดตั้งซอฟต์แวร์รักษาความปลอดภัยปลอมหรือการเข้าถึงเว็บไซต์ที่ติดมัลแวร์เรียกว่าสแกร์แวร์
Scareware มักจะปรากฏเป็นหน้าต่างแบบผุดขึ้นที่เสนอเพื่อช่วยคุณในการกำจัดการติดไวรัสคอมพิวเตอร์โดยอ้างว่ามาจากแล็ปท็อปของคุณ การคลิกป๊อปอัปอาจทำให้คุณติดตั้งมัลแวร์เพิ่มเติมโดยไม่ได้ตั้งใจหรือถูกส่งไปยังเว็บไซต์อันตราย
ใช้โปรแกรมกำจัดไวรัสที่เชื่อถือได้เพื่อสแกนคอมพิวเตอร์ของคุณบ่อยๆ หากคุณคิดว่าคุณมีสแกร์แวร์หรือป๊อปอัปอื่นที่รบกวน เป็นเรื่องสำคัญสำหรับสุขอนามัยดิจิทัลที่จะต้องตรวจสอบความเสี่ยงของอุปกรณ์เป็นระยะ
นอกจากนี้ยังอาจช่วยในการปกป้องข้อมูลส่วนบุคคลของคุณด้วยการป้องกันการโจมตีทางวิศวกรรมสังคมในอนาคต
การหลอกลวง
การโจมตีทางวิศวกรรมสังคมสามารถเริ่มต้นแบบออฟไลน์ได้เช่นกัน ไม่จำเป็นต้องเปิดตัวทางออนไลน์
Baiting เป็นแนวทางปฏิบัติของผู้โจมตีโดยทิ้งวัตถุที่ติดมัลแวร์ เช่น ไดรฟ์ USB ไว้ที่ใดที่หนึ่งซึ่งมีแนวโน้มที่จะถูกค้นพบ อุปกรณ์เหล่านี้มักมีตราสินค้าโดยมีวัตถุประสงค์เพื่อจุดประกายความสนใจ
ผู้ใช้ที่หยิบแกดเจ็ตและใส่ลงในคอมพิวเตอร์ของตนเองเนื่องจากความอยากรู้หรือความโลภมีความเสี่ยงที่จะติดไวรัสเครื่องนั้นโดยไม่ได้ตั้งใจ
การล่าปลาวาฬ
หนึ่งในความพยายามฟิชชิ่งที่กล้าหาญที่สุดซึ่งมีผลร้ายคือการล่าวาฬ เป้าหมายทั่วไปของการโจมตีแบบวิศวกรรมสังคมประเภทนี้คือบุคคลเพียงคนเดียวที่มีมูลค่าสูง
คำว่า "การฉ้อโกงของ CEO" ในบางครั้งใช้เพื่ออธิบายการล่าวาฬ ซึ่งทำให้คุณสามารถระบุเป้าหมายได้
เนื่องจากพวกเขาใช้เสียงพูดเชิงธุรกิจอย่างเหมาะสมและใช้ความรู้ภายในอุตสาหกรรมให้เกิดประโยชน์ การโจมตีด้วยการล่าวาฬจึงยากต่อการสังเกตมากกว่าการโจมตีแบบฟิชชิงอื่นๆ
ส่งข้อความล่วงหน้า
การอ้างสิทธิ์เป็นกระบวนการสร้างสถานการณ์เท็จหรือ "ข้ออ้าง" ที่นักต้มตุ๋นใช้ในการหลอกลวงเหยื่อของพวกเขา
การแกล้งทำเป็นว่าทำร้ายร่างกาย ซึ่งอาจเกิดขึ้นได้ทั้งแบบออฟไลน์และออนไลน์ เป็นหนึ่งในเทคนิควิศวกรรมสังคมที่ประสบความสำเร็จมากที่สุด เนื่องจากผู้โจมตีใช้ความพยายามอย่างมากในการทำให้ตัวเองดูน่าเชื่อถือ
โปรดใช้ความระมัดระวังเมื่อเปิดเผยข้อมูลส่วนตัวแก่คนแปลกหน้า เนื่องจากอาจเป็นเรื่องยากที่จะระบุข้ออ้างที่เป็นการหลอกลวง
หากต้องการแยกแยะความพยายามด้านวิศวกรรมสังคม โปรดติดต่อบริษัทโดยตรงหากมีคนโทรหาคุณเกี่ยวกับความจำเป็นเร่งด่วน
กับดักน้ำผึ้ง
กับดักน้ำผึ้งเป็นวิธีวิศวกรรมทางสังคมชนิดหนึ่งที่ผู้โจมตีล่อลวงเหยื่อให้เข้าสู่สถานที่ทางเพศที่ไม่ปลอดภัย
จากนั้นผู้โจมตีจะฉวยโอกาสจากสถานการณ์ดังกล่าวเพื่อขู่กรรโชกหรือล่วงละเมิดทางเพศ โดยการส่งอีเมลสแปมโดยแอบอ้างว่าพวกเขากำลัง “เห็นคุณผ่านกล้องของคุณ” หรืออะไรที่เลวร้ายพอๆ กัน วิศวกรสังคมมักจะวางกับดักน้ำผึ้ง
หากคุณได้รับข้อความเช่นนี้ ตรวจสอบให้แน่ใจว่าเว็บแคมของคุณได้รับการปกป้อง
จากนั้นให้สงบสติอารมณ์และอย่าตอบกลับ เนื่องจากอีเมลเหล่านี้ไม่มีอะไรมากไปกว่าสแปม
Quid Pro Quo
ภาษาละตินหมายถึง "บางสิ่งบางอย่างสำหรับบางสิ่งบางอย่าง" ในกรณีนี้หมายถึงเหยื่อที่ได้รับรางวัลตอบแทนสำหรับความร่วมมือของพวกเขา
ภาพประกอบที่ยอดเยี่ยมคือเมื่อแฮ็กเกอร์ทำหน้าที่เป็นผู้ช่วยด้านไอที พวกเขาจะโทรหาพนักงานในบริษัทให้ได้มากที่สุดและอ้างว่ามีวิธีแก้ไขปัญหาง่ายๆ โดยเสริมว่า “คุณต้องปิดการใช้งาน AV ของคุณเท่านั้น”
ใครก็ตามที่ยอมจำนนต่อมันมี ransomware หรือไวรัสอื่น ๆ ติดตั้งอยู่ในคอมพิวเตอร์ของพวกเขา
tailgating
Tailgating หรือที่เรียกว่า piggybacking เกิดขึ้นเมื่อแฮ็กเกอร์ติดตามบุคคลโดยใช้บัตรเข้าใช้ที่ถูกต้องเข้าไปในอาคารที่ปลอดภัย
เพื่อที่จะดำเนินการโจมตีนี้ สันนิษฐานว่าผู้ที่ได้รับอนุญาตให้เข้าไปในอาคารจะต้องเกรงใจพอที่จะเปิดประตูให้คนที่มาข้างหลังพวกเขา
คุณจะป้องกันการโจมตี Social Engineering ได้อย่างไร?
ด้วยการใช้มาตรการป้องกันเหล่านี้ คุณและพนักงานของคุณจะมีโอกาสสูงสุดในการหลีกเลี่ยงการถูกโจมตีทางวิศวกรรมสังคม
ให้ความรู้พนักงาน
สาเหตุหลักของความผิดพลาดของพนักงานต่อการโจมตีทางวิศวกรรมสังคมคือความไม่รู้ เพื่อสอนบุคลากรถึงวิธีการตอบสนองต่อความพยายามในการฝ่าฝืนโดยทั่วไป องค์กรควรจัดฝึกอบรมความตระหนักด้านความปลอดภัย
ตัวอย่างเช่น จะทำอย่างไรถ้ามีคนพยายามส่งพนักงานมาที่ที่ทำงานหรือขอข้อมูลที่ละเอียดอ่อน
การโจมตีทางไซเบอร์ที่พบบ่อยที่สุดบางส่วนได้อธิบายไว้ในรายการด้านล่าง:
- การโจมตี DDoS
- การโจมตีแบบฟิชชิ่ง
- Clickjacking โจมตี
- การโจมตี Ransomware
- การโจมตีของมัลแวร์
- วิธีตอบสนองต่อ tailgating
ตรวจสอบความต้านทานการโจมตี
ดำเนินการควบคุมการโจมตีทางวิศวกรรมสังคมในบริษัทของคุณเพื่อทดสอบ ส่งอีเมลฟิชชิ่งปลอม และตำหนิพนักงานที่เปิดไฟล์แนบอย่างนุ่มนวล คลิกลิงก์ที่เป็นอันตราย หรือตอบโต้
แทนที่จะถูกมองว่าเป็นความล้มเหลวด้านความปลอดภัยทางไซเบอร์ อินสแตนซ์เหล่านี้ควรถูกมองว่าเป็นสถานการณ์ที่มีการศึกษาสูง
ความปลอดภัยในการทำงาน
OPSEC เป็นวิธีการระบุพฤติกรรมที่เป็นมิตรที่อาจเป็นประโยชน์ต่อผู้โจมตีในอนาคต OPSEC สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนหรือสำคัญได้หากมีการประมวลผลและจัดกลุ่มอย่างเหมาะสมกับข้อมูลอื่นๆ
คุณสามารถจำกัดจำนวนข้อมูลที่วิศวกรโซเชียลสามารถรับได้โดยใช้ขั้นตอนของ OPSEC
ค้นหาการรั่วไหลของข้อมูล
การรู้ว่าข้อมูลประจำตัวถูกเปิดเผยอันเป็นผลมาจากความพยายามฟิชชิงหรือไม่อาจเป็นเรื่องที่ท้าทาย
บริษัทของคุณควรค้นหาการเปิดเผยข้อมูลและข้อมูลประจำตัวที่รั่วไหลอย่างต่อเนื่อง เนื่องจากฟิชเชอร์บางรายอาจใช้เวลาหลายเดือนหรือหลายปีในการใช้ประโยชน์จากข้อมูลประจำตัวที่พวกเขารวบรวม
ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
บังคับใช้วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ต้องการให้ผู้ใช้มีโทเค็น รู้รหัสผ่าน และมีไบโอเมตริกซ์เพื่อเข้าถึงทรัพยากรที่สำคัญ
ใช้ระบบการจัดการความเสี่ยงของบุคคลที่สาม
ก่อนนำผู้ขายรายใหม่หรือทำงานร่วมกับซัพพลายเออร์ปัจจุบันต่อไป ให้สร้างระบบสำหรับจัดการความเสี่ยงของบุคคลที่สาม นโยบายการจัดการผู้ขาย และดำเนินการ ความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การประเมินผล
โดยเฉพาะอย่างยิ่งหลังจากที่ข้อมูลที่ถูกขโมยถูกขายบนเว็บมืด การหลีกเลี่ยงการละเมิดข้อมูลทำได้ง่ายกว่าการล้างข้อมูล
ค้นหาซอฟต์แวร์ที่สามารถจัดการความเสี่ยงของผู้ขายได้โดยอัตโนมัติ และติดตาม จัดอันดับ และประเมินความปลอดภัยทางไซเบอร์ของผู้ขายของคุณเป็นประจำ
แก้ไขการตั้งค่าอีเมลขยะของคุณ
การเปลี่ยนการตั้งค่าอีเมลเป็นวิธีที่ง่ายที่สุดวิธีหนึ่งในการป้องกันตัวเองจากความพยายามด้านวิศวกรรมสังคม คุณสามารถปรับปรุงตัวกรองสแปมเพื่อป้องกันอีเมลหลอกลวงทางวิศวกรรมสังคมออกจากกล่องจดหมายของคุณ
คุณยังสามารถเพิ่มที่อยู่อีเมลของบุคคลและองค์กรที่คุณรู้ว่ามีอยู่จริงลงในรายชื่อผู้ติดต่อดิจิทัลของคุณได้โดยตรง ใครก็ตามที่แอบอ้างเป็นพวกเขา แต่การใช้ที่อยู่อื่นในอนาคตน่าจะเป็นวิศวกรสังคม
สรุป
สุดท้าย วิศวกรรมสังคมเป็นเทคนิคที่ค่อนข้างง่ายที่สามารถใช้ในการฉ้อโกง การฉ้อโกง หรืออาชญากรรมอื่นๆ เกิดขึ้นได้กับทุกคน ทางโทรศัพท์ หรือทางออนไลน์
วิศวกรสังคมไม่จำเป็นต้องมีเทคนิคมาก พวกเขาต้องการเพียงเพื่อหลอกให้คุณให้ข้อมูลส่วนตัวแก่พวกเขา
เป็นการหลอกลวงที่อาจเกิดหายนะเนื่องจากเราทุกคนตกอยู่ในอันตราย โซเชียลมีเดียยังช่วยให้วิศวกรโซเชียลมีเล่ห์เหลี่ยมมากขึ้นโดยทำให้พวกเขาสร้างบัญชีปลอมที่ง่ายต่อการเข้าใจผิดว่าเป็นของจริงหรือแม้แต่ปลอมตัวเป็นบุคคลจริง
ใช้ความระมัดระวังเสมอในขณะที่เห็นโปรไฟล์ที่แปลกหรือไม่คุ้นเคยบนโซเชียลมีเดีย
เขียนความเห็น