ຮູ້ຈັກກັບ Social Engineering ສິລະປະການຫຼອກລວງຂອງແຮັກເກີ (Hacker)
ຮູ້ຈັກກັບ Social Engineering ສິລະປະການຫຼອກລວງຂອງແຮັກເກີ (Hacker)
ຫຼາຍທ່ານອາດຈະເຄີຍໄດ້ຍິນຄຳວ່າ Social Engineering ກັນມາແລ້ວ ແຕ່ວ່າໃນບົດຄວາມນີ້ຈະເຮັດໃຫ້ທ່ານເຂົ້າໃຈຄວາມໝາຍ, ຕົວຢ່າງ ແລະ ວິທີປ້ອງກັນໃນຍຸກປັດຈຸບັນ ໄດ້ຫຼາຍຂຶ້ນ.
Social Engineering ເປັນສິລະປະການຫຼອກລວງຜູ້ຄົນ ເພື່ອຫາຜົນປະໂຫຍດຕາມທີ່ແຮັກເກີຕ້ອງການ ໂດຍອາໃສຈຸດອ່ອນ, ຄວາມຮູ້ເທົ່າບໍ່ເຖິງການ ຫຼື ຄວາມປະໝາດ ເຮັດໃຫ້ການໂຈມຕີປະເພດນີ້ເປັນການໂຈມຕີທີໄດ້ຜົນດີີຫຼາຍເມື່ອທຽບກັບການໂຈມຕີທາງໄຊເບີຮູບແບບອື່ນໆ ໂດຍສະເພາະກັບຄົົນທີ່ບໍ່ມີຄວາມຮູ້ທາງດ້ານຄວາມປອດໄພທາງໄຊເບີ.
Social Engineering ເປັນກະແຈສຳຄັນຂອງແຮັກເກີ (Hacker) ໃນການດຳເນີນການແຮັກ ອາດຈະເວົ້້າໄດ້ວ່າເປັນຂັ້ນຕອນແຮັກທີ່ແຮັກເກີໃຊ້ ເພື່ອໂຈມຕີເປົ້າໝາຍ ຊຶ່ງສ່ວນໃຫຍ່ຈະປະກົດໃນຮູບແບບຂອງ Phishing ໂດຍສະເພາະການຫຼອກໃຫ້ເປີດໄຟລ໌ທີ່ແນບມາກັບອີເມວ ຫຼື ເຂົ້າໄປເວັບໄຊທີ່ມີມັລແວ (Malware) ແຝງຕົວຢູ່.
ສິລະປະການໃຊ້ Social Engineering ເພື່ອຫຼອກໃຫ້ເຫຍື່ອເຮັດຕາມທີ່ຕົນເອງຕ້ອງການ
- ສ້າງສະຖານະການສຸກເສີນ ເຊັ່ນ: ການກຳນົດເວລາສຳລັບດຳເນີນການບາງຢ່າງ;
- ປອມເປັນຜູ້ອື່ນທີ່ມີຄວາມສຳຄັນຫຼາຍ ເຊັ່ນ: CEO ຂອງບໍລິສັດ;
- ກ່າວເຖິງເຫດການ ຫຼື ສະຖານະການໃນປັດຈຸບັນເພື່ອໃຫ້ສົມຈິງ;
- ປິດບັງ URL ອັນຕະລາຍໃຫ້ຄ້າຍຄືກັບ URL ທົ່ວໆໄປ;
- ສະເໜີຜົນຕອບແທນ ຫຼື ໂປຣໂມຊັ່ນເພື່ອສ້າງແຮງຈູງໃຈ.
Phishing ຈະບໍ່ມີທາງປະສົບຄວາມສຳເລັດໄດ້ ຖ້າແຮັກເກີບໍ່ສາມາດເຮັດ Social Engineering ເພື່ອໂນ້ມນ້າວເຫຍື່ອໃຫ້ກະທຳຕາມທີ່ຕົນຕ້ອງການໄດ້. ຢ່າງໃດກໍ່ຕາມ, ປັດຈຸບັນນີ້ແຮັກເກີມີເທັກນິກການຫຼອກລວງຜູ້ຄົນໄດ້ຢ່າງແນບນຽນ ແລະ ຖືກກຸ່ມເປົ້າໝາຍຫຼາຍກວ່າໃນອະດີດ.
ນອກຈາກນີ້ Social Engineering ຍັງບໍ່ຈຳເປັນຕ້ອງເຮັດຜ່ານ Email Phishing ສະເໝີໄປ ແຮັກເກີສາມາດດຳເນີນການຫຼອກລວງຜ່ານທາງ Social media ໂດຍການພົບປະເຊິ່ງໜ້າ ຫຼື ຜ່ານທາງໂທລະສັບ ເຊັ່ນ: ໂທລະສັບໂດຍກົງມາຫາທ່ານໂດຍລະບຸວ່າມາຈາກ “Tech Support” ເພື່ອຫຼອກຖາມຂໍ້ມູນເລັກໆນ້ອຍໆ ກ່ຽວກັບລະບົບຄອມພິວເຕີ ຫຼື ແອັບພິເຄຊັ່ນທີ່ທ່ານໃຊ້ງານ ຂໍ້ມູນທີ່ໄດ້ໄປເຫຼົ່ານີ້ນັບວ່າເປັນຂຸມຊັບສຳຄັນຂອງແຮັກເກີ.
ເປັນເລື່ອງຍາກທີ່ຈະຫຼີກເວັ້ນການຕົກເປັນເຫຍື່ອຂອງ Social Engineering, ຊຶ່ງທາງ Sophos ກໍ່ໄດ້ໃຫ້ຄຳແນະນຳແກ່ຜູ້ທີ່ບໍ່ໄດ້ເຮັດວຽກ IT ໃຫ້ສາມາດປົກປ້ອງຕົວເອງໄດ້ ດັ່ງນີ້:
- ເຊື່ອໝັ້ນໃນສັນຊາດຕະຍານຂອງຕົນເອງ ຖ້າຮູ້ສຶກບໍ່ແນ່ໃຈຫຍັງ ໃຫ້ໃຈເຢັນໆ ແລະ ບໍ່ຕ້ອງເຮັດຫຍັງເທື່ອ,ຄວນຢືນຢັນສະຖານະການໃຫ້ຊັດເຈັນກ່ອນ ຍົກຕົວຢ່າງເຊັ່ນ: ໂທຖາມຫົວໜ້າວ່າອີເມວທີ່ໄດ້ຮັບມານັ້ນ ມາຈາກຫົວໜ້າແທ້ ຫຼື ບໍ່ ເປັນຕົ້ນ;
- ຖ້າຖືກຖາມເຖິງຂໍ້ມູນສຳຄັນ ເຊັ່ນ: ຊື່ຜູ້ໃຊ້ ແລະ ລະຫັດຜ່ານ ຜ່ານທາງໂທລະສັບ ໃຫ້ວາງສາຍໂດຍທັນທີ ບໍ່ວ່າຈະເປັນບໍລິສັດໃດ, ຝ່າຍບໍລິການລູກຄ້າ ຫຼື ທີມງານ Support ຈະບໍ່ຖາມກ່ຽວກັບຂໍ້ມູນເຫຼົ່ານັ້ນໂດຍເດັດຂາດ;
- ຫຼີກເວັ້ນການເປີດ Link ໃນອີເມວ ຫຼື ເປີດໄຟລ໌ທີ່ແນບມາ ຖ້າບໍ່ແນ່ໃຈວ່າຮູ້ຈັກກັບຜູ້ສົ່ງ ແລະ ໝັ້ນໃຈວ່າເປັນອີເມວທີ່ຜູ້ສົ່ງຄົນນັ້ນສົ່ງມາແທ້ໆ ຄວນຈະຈຳໄວ້ສະເໝີວ່າແຮັກເກີສາມາດປອມຕົວເປັນຄົນທີ່ທ່ານຮູ້ຈັກ ຫຼື ໝູ່ເພື່ອນທີ່ເຮັດວຽກໄດ້ຢ່າງງ່າຍດາຍ;
- ຄວນຄຳນຶງໄວ້ສະເໝີວ່າ ທ່ານເປັນຄົນຄວບຄຸມຈັດການທຸກຢ່າງ ຢ່າໃຫ້ຄົນອື່ນໆມາບົງການໃຫ້ເຮັດສິ່ງທີ່ທ່ານບໍ່ແນ່ໃຈ, ບໍ່ຕ້ອງສົນໃຈແຮງກົດດັນ ແຕ່ໃຫ້ໃຈເຢັນໆ ແລະ ພິຈາລະນາສິ່ງຕ່າງໆ ຢ່າງຖີ່ຖ້ວນ;
- ສິ່ງສຳຄັນຄື ຄວນຮັບຮູ້ເຖິງໄພອັນຕະລາຍທາງໄຊເບີ ແລະ ລະມັດລະວັງຕົວຢູ່ສະເໝີ ຂອງຟຣີບໍ່ມີໃນໂລກ ແລະ ສິ່ງທີ່ເບິ່ງດີເກີນໄປມັກນຳອັນຕະລາຍມາສູ່ທ່ານໂດຍບໍ່ຮູ້ຕົວ.
ເອກະສານອ້າງອີງ:
1. https://blogs.sophos.com/what-is/social-engineering/
2. https://www.techtalkthai.com/what-is-social-engineering-by-sophos/
Porher 10 March 2020 1098 reads
Print
ຮູ້ຈັກກັບ Social Engineering ສິລະປະການຫຼອກລວງຂອງແຮັກເກີ (Hacker)
ຫຼາຍທ່ານອາດຈະເຄີຍໄດ້ຍິນຄຳວ່າ Social Engineering ກັນມາແລ້ວ ແຕ່ວ່າໃນບົດຄວາມນີ້ຈະເຮັດໃຫ້ທ່ານເຂົ້າໃຈຄວາມໝາຍ, ຕົວຢ່າງ ແລະ ວິທີປ້ອງກັນໃນຍຸກປັດຈຸບັນ ໄດ້ຫຼາຍຂຶ້ນ.
Social Engineering ເປັນສິລະປະການຫຼອກລວງຜູ້ຄົນ ເພື່ອຫາຜົນປະໂຫຍດຕາມທີ່ແຮັກເກີຕ້ອງການ ໂດຍອາໃສຈຸດອ່ອນ, ຄວາມຮູ້ເທົ່າບໍ່ເຖິງການ ຫຼື ຄວາມປະໝາດ ເຮັດໃຫ້ການໂຈມຕີປະເພດນີ້ເປັນການໂຈມຕີທີໄດ້ຜົນດີີຫຼາຍເມື່ອທຽບກັບການໂຈມຕີທາງໄຊເບີຮູບແບບອື່ນໆ ໂດຍສະເພາະກັບຄົົນທີ່ບໍ່ມີຄວາມຮູ້ທາງດ້ານຄວາມປອດໄພທາງໄຊເບີ.
Social Engineering ເປັນກະແຈສຳຄັນຂອງແຮັກເກີ (Hacker) ໃນການດຳເນີນການແຮັກ ອາດຈະເວົ້້າໄດ້ວ່າເປັນຂັ້ນຕອນແຮັກທີ່ແຮັກເກີໃຊ້ ເພື່ອໂຈມຕີເປົ້າໝາຍ ຊຶ່ງສ່ວນໃຫຍ່ຈະປະກົດໃນຮູບແບບຂອງ Phishing ໂດຍສະເພາະການຫຼອກໃຫ້ເປີດໄຟລ໌ທີ່ແນບມາກັບອີເມວ ຫຼື ເຂົ້າໄປເວັບໄຊທີ່ມີມັລແວ (Malware) ແຝງຕົວຢູ່.
ສິລະປະການໃຊ້ Social Engineering ເພື່ອຫຼອກໃຫ້ເຫຍື່ອເຮັດຕາມທີ່ຕົນເອງຕ້ອງການ
- ສ້າງສະຖານະການສຸກເສີນ ເຊັ່ນ: ການກຳນົດເວລາສຳລັບດຳເນີນການບາງຢ່າງ;
- ປອມເປັນຜູ້ອື່ນທີ່ມີຄວາມສຳຄັນຫຼາຍ ເຊັ່ນ: CEO ຂອງບໍລິສັດ;
- ກ່າວເຖິງເຫດການ ຫຼື ສະຖານະການໃນປັດຈຸບັນເພື່ອໃຫ້ສົມຈິງ;
- ປິດບັງ URL ອັນຕະລາຍໃຫ້ຄ້າຍຄືກັບ URL ທົ່ວໆໄປ;
- ສະເໜີຜົນຕອບແທນ ຫຼື ໂປຣໂມຊັ່ນເພື່ອສ້າງແຮງຈູງໃຈ.
Phishing ຈະບໍ່ມີທາງປະສົບຄວາມສຳເລັດໄດ້ ຖ້າແຮັກເກີບໍ່ສາມາດເຮັດ Social Engineering ເພື່ອໂນ້ມນ້າວເຫຍື່ອໃຫ້ກະທຳຕາມທີ່ຕົນຕ້ອງການໄດ້. ຢ່າງໃດກໍ່ຕາມ, ປັດຈຸບັນນີ້ແຮັກເກີມີເທັກນິກການຫຼອກລວງຜູ້ຄົນໄດ້ຢ່າງແນບນຽນ ແລະ ຖືກກຸ່ມເປົ້າໝາຍຫຼາຍກວ່າໃນອະດີດ.
ນອກຈາກນີ້ Social Engineering ຍັງບໍ່ຈຳເປັນຕ້ອງເຮັດຜ່ານ Email Phishing ສະເໝີໄປ ແຮັກເກີສາມາດດຳເນີນການຫຼອກລວງຜ່ານທາງ Social media ໂດຍການພົບປະເຊິ່ງໜ້າ ຫຼື ຜ່ານທາງໂທລະສັບ ເຊັ່ນ: ໂທລະສັບໂດຍກົງມາຫາທ່ານໂດຍລະບຸວ່າມາຈາກ “Tech Support” ເພື່ອຫຼອກຖາມຂໍ້ມູນເລັກໆນ້ອຍໆ ກ່ຽວກັບລະບົບຄອມພິວເຕີ ຫຼື ແອັບພິເຄຊັ່ນທີ່ທ່ານໃຊ້ງານ ຂໍ້ມູນທີ່ໄດ້ໄປເຫຼົ່ານີ້ນັບວ່າເປັນຂຸມຊັບສຳຄັນຂອງແຮັກເກີ.
ເປັນເລື່ອງຍາກທີ່ຈະຫຼີກເວັ້ນການຕົກເປັນເຫຍື່ອຂອງ Social Engineering, ຊຶ່ງທາງ Sophos ກໍ່ໄດ້ໃຫ້ຄຳແນະນຳແກ່ຜູ້ທີ່ບໍ່ໄດ້ເຮັດວຽກ IT ໃຫ້ສາມາດປົກປ້ອງຕົວເອງໄດ້ ດັ່ງນີ້:
- ເຊື່ອໝັ້ນໃນສັນຊາດຕະຍານຂອງຕົນເອງ ຖ້າຮູ້ສຶກບໍ່ແນ່ໃຈຫຍັງ ໃຫ້ໃຈເຢັນໆ ແລະ ບໍ່ຕ້ອງເຮັດຫຍັງເທື່ອ,ຄວນຢືນຢັນສະຖານະການໃຫ້ຊັດເຈັນກ່ອນ ຍົກຕົວຢ່າງເຊັ່ນ: ໂທຖາມຫົວໜ້າວ່າອີເມວທີ່ໄດ້ຮັບມານັ້ນ ມາຈາກຫົວໜ້າແທ້ ຫຼື ບໍ່ ເປັນຕົ້ນ;
- ຖ້າຖືກຖາມເຖິງຂໍ້ມູນສຳຄັນ ເຊັ່ນ: ຊື່ຜູ້ໃຊ້ ແລະ ລະຫັດຜ່ານ ຜ່ານທາງໂທລະສັບ ໃຫ້ວາງສາຍໂດຍທັນທີ ບໍ່ວ່າຈະເປັນບໍລິສັດໃດ, ຝ່າຍບໍລິການລູກຄ້າ ຫຼື ທີມງານ Support ຈະບໍ່ຖາມກ່ຽວກັບຂໍ້ມູນເຫຼົ່ານັ້ນໂດຍເດັດຂາດ;
- ຫຼີກເວັ້ນການເປີດ Link ໃນອີເມວ ຫຼື ເປີດໄຟລ໌ທີ່ແນບມາ ຖ້າບໍ່ແນ່ໃຈວ່າຮູ້ຈັກກັບຜູ້ສົ່ງ ແລະ ໝັ້ນໃຈວ່າເປັນອີເມວທີ່ຜູ້ສົ່ງຄົນນັ້ນສົ່ງມາແທ້ໆ ຄວນຈະຈຳໄວ້ສະເໝີວ່າແຮັກເກີສາມາດປອມຕົວເປັນຄົນທີ່ທ່ານຮູ້ຈັກ ຫຼື ໝູ່ເພື່ອນທີ່ເຮັດວຽກໄດ້ຢ່າງງ່າຍດາຍ;
- ຄວນຄຳນຶງໄວ້ສະເໝີວ່າ ທ່ານເປັນຄົນຄວບຄຸມຈັດການທຸກຢ່າງ ຢ່າໃຫ້ຄົນອື່ນໆມາບົງການໃຫ້ເຮັດສິ່ງທີ່ທ່ານບໍ່ແນ່ໃຈ, ບໍ່ຕ້ອງສົນໃຈແຮງກົດດັນ ແຕ່ໃຫ້ໃຈເຢັນໆ ແລະ ພິຈາລະນາສິ່ງຕ່າງໆ ຢ່າງຖີ່ຖ້ວນ;
- ສິ່ງສຳຄັນຄື ຄວນຮັບຮູ້ເຖິງໄພອັນຕະລາຍທາງໄຊເບີ ແລະ ລະມັດລະວັງຕົວຢູ່ສະເໝີ ຂອງຟຣີບໍ່ມີໃນໂລກ ແລະ ສິ່ງທີ່ເບິ່ງດີເກີນໄປມັກນຳອັນຕະລາຍມາສູ່ທ່ານໂດຍບໍ່ຮູ້ຕົວ.
ເອກະສານອ້າງອີງ:
1. https://blogs.sophos.com/what-is/social-engineering/
2. https://www.techtalkthai.com/what-is-social-engineering-by-sophos/
