Social Engineering ในโลกดิจิทัลคืออะไร?

เผยแพร่แล้ว: 2023-07-28

ในโลกดิจิทัลที่เชื่อมต่อถึงกันในปัจจุบัน ซึ่งข้อมูลส่วนบุคคลสามารถหาดูได้ทางออนไลน์ ภัยคุกคามจากวิศวกรรมสังคมก็ดูเหมือนจะมีมาก

วิศวกรรมสังคมเป็นรูปแบบการโจมตีที่ร้ายกาจซึ่งใช้ประโยชน์จากจิตวิทยาของมนุษย์มากกว่าช่องโหว่ทางเทคนิค เป็นเครื่องมือที่มีศักยภาพที่อาชญากรไซเบอร์และผู้ประสงค์ร้ายใช้เพื่อหลอกลวงบุคคล ได้รับความไว้วางใจ และควบคุมพวกเขาให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่เป็นอันตราย

ทำความเข้าใจเกี่ยวกับวิศวกรรมสังคม

วิศวกรรมสังคมนั้นเกี่ยวกับการใช้ประโยชน์จากความเปราะบางของมนุษย์ มันเล่นกับความไว้วางใจที่มีมาแต่กำเนิด ความอยากรู้อยากเห็น ความกลัว และความปรารถนาที่จะช่วยเหลือผู้อื่น

ผู้โจมตีจะหลอกลวงบุคคลให้เปิดเผยข้อมูลที่เป็นความลับ อนุญาตการเข้าถึงโดยไม่ได้รับอนุญาต หรือมีส่วนร่วมในกิจกรรมที่เป็นอันตรายโดยใช้การบงการทางจิตวิทยา ความสำเร็จของวิศวกรรมสังคมมักจะอาศัยการวิจัยและการสังเกตอย่างระมัดระวัง เช่นเดียวกับความสามารถในการปรับตัวให้เข้ากับสถานการณ์และบุคลิกต่างๆ

วิศวกรรมสังคมเป็นเทคนิคที่ใช้โดยบุคคลหรือกลุ่มเพื่อจัดการและหลอกลวงผู้อื่นให้เปิดเผยข้อมูลที่ละเอียดอ่อน ดำเนินการบางอย่าง หรือให้สิทธิ์การเข้าถึงระบบหรือข้อมูลโดยไม่ได้รับอนุญาต

มันใช้ประโยชน์จากจิตวิทยาของมนุษย์และแนวโน้มที่จะไว้วางใจผู้อื่น โดยมักจะใช้กลวิธีบิดเบือนและกลอุบายทางจิตวิทยาต่างๆ แตกต่างจากวิธีการแฮ็กแบบดั้งเดิมที่อาศัยการใช้ประโยชน์จากช่องโหว่ทางเทคนิค วิศวกรรมสังคมมุ่งเป้าไปที่องค์ประกอบของมนุษย์ โดยใช้ประโยชน์จากความชอบตามธรรมชาติของผู้คนที่จะช่วยเหลือ อยากรู้อยากเห็น หรือไว้วางใจ

เป้าหมายสูงสุดของวิศวกรรมสังคมคือการใช้ประโยชน์จากจุดอ่อนของมนุษย์เพื่อเข้าถึงโดยไม่ได้รับอนุญาตหรือรวบรวมข้อมูลที่เป็นความลับเพื่อวัตถุประสงค์ที่เป็นอันตราย

เทคนิคทั่วไปและตัวอย่าง

Social-engineering-1.jpg

ฟิชชิ่ง

ฟิชชิงเป็นหนึ่งในเทคนิควิศวกรรมสังคมที่แพร่หลายที่สุด

ผู้โจมตีส่งอีเมลปลอม ข้อความ หรือโทรศัพท์ปลอมแปลงเป็นองค์กรหรือบุคคลที่มีชื่อเสียงเพื่อหลอกลวงให้ผู้รับเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน รายละเอียดบัตรเครดิต หรือข้อมูลรับรองการเข้าสู่ระบบ

ข้ออ้าง

การกล่าวอ้างเกี่ยวข้องกับการสร้างสถานการณ์สมมติหรือข้ออ้างเพื่อชักใยให้ผู้อื่นแบ่งปันข้อมูล

ตัวอย่างเช่น ผู้โจมตีอาจปลอมตัวเป็นผู้สนับสนุนด้านไอทีของบริษัทและขอข้อมูลรับรองการเข้าสู่ระบบภายใต้หน้ากากของการอัปเกรดระบบ

เหยื่อล่อ

การล่อลวงเกี่ยวข้องกับการล่อลวงบุคคลด้วยข้อเสนอหรือรางวัลที่ดึงดูดใจเพื่อหลอกล่อให้เปิดเผยข้อมูลส่วนบุคคลหรือดำเนินการบางอย่าง

ซึ่งอาจรวมถึงการทิ้งไดรฟ์ USB ที่ติดไวรัสไว้ในที่สาธารณะ โดยหวังว่าจะมีคนเสียบเข้ากับคอมพิวเตอร์ด้วยความอยากรู้อยากเห็น

รถกระบะ

Tailgating เกิดขึ้นเมื่อบุคคลที่ไม่ได้รับอนุญาตติดตามอย่างใกล้ชิดหลังบุคคลที่ได้รับอนุญาตเพื่อเข้าสู่พื้นที่หวงห้าม

ด้วยการใช้ประโยชน์จากแนวโน้มตามธรรมชาติที่จะเปิดประตูให้ผู้อื่น ผู้โจมตีจะข้ามมาตรการรักษาความปลอดภัย

การป้องกันตัวเอง

การศึกษาและการรับรู้เป็นเรื่องเกี่ยวกับเทคนิคและแนวโน้มวิศวกรรมทางสังคมล่าสุด

สังเกตสัญญาณเตือนของการโจมตีที่อาจเกิดขึ้น เช่น คำขอข้อมูลที่ละเอียดอ่อนที่ไม่ได้ร้องขอ กำหนดเวลาเร่งด่วน หรือช่องทางการสื่อสารที่ผิดปกติ

ตรวจสอบคำขอ

ตรวจสอบความถูกต้องของคำขอข้อมูลหรือการกระทำที่ละเอียดอ่อนโดยอิสระ โดยเฉพาะอย่างยิ่งหากมาจากแหล่งที่มาที่ไม่คาดคิด

ใช้รายละเอียดการติดต่อที่ได้รับจากแหล่งข้อมูลที่เป็นทางการ แทนที่จะเป็นรายละเอียดที่ให้ไว้ในข้อความที่น่าสงสัย

ระวังตัวออนไลน์

ระวังข้อมูลที่คุณแชร์บนแพลตฟอร์มโซเชียลมีเดีย

จำกัดการมองเห็นรายละเอียดส่วนบุคคลและระมัดระวังเมื่อรับคำขอเป็นเพื่อนหรือคนรู้จักจากบุคคลที่ไม่รู้จัก

รหัสผ่านที่รัดกุมและการยืนยันตัวตนแบบสองปัจจัย

ใช้รหัสผ่านที่คาดเดายากและเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA) ทุกครั้งที่ทำได้

สิ่งนี้จะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่ง ทำให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตได้ยาก

อัปเดตซอฟต์แวร์เป็นประจำ

อัปเดตอุปกรณ์และแอปพลิเคชันของคุณให้ทันสมัยอยู่เสมอด้วยแพตช์ความปลอดภัยล่าสุด การอัปเดตซอฟต์แวร์มักจะรวมถึงการแก้ไขข้อบกพร่องและแพตช์ช่องโหว่ที่สามารถช่วยป้องกันการโจมตีทางวิศวกรรมสังคมได้

วิศวกรรมสังคมมีบทบาทสำคัญในสังคมที่เชื่อมต่อทางดิจิทัลของเรา โดยทำความเข้าใจเทคนิค สังเกตสัญญาณเตือน และดำเนินมาตรการป้องกัน

การโจมตีทางวิศวกรรมสังคม

การโจมตีแบบวิศวกรรมสังคมครอบคลุมกลวิธีและเทคนิคต่างๆ ที่ใช้โดยผู้ประสงค์ร้ายเพื่อใช้ประโยชน์จากช่องโหว่ของมนุษย์และควบคุมบุคคลหรือองค์กร

วิศวกรรมสังคมในโลกดิจิทัลหมายถึงการประยุกต์ใช้เทคนิควิศวกรรมสังคมภายในสภาพแวดล้อมออนไลน์ โดยใช้ประโยชน์จากแพลตฟอร์มและเทคโนโลยีดิจิทัลเพื่อหลอกลวงและชักใยบุคคล

ต่อไปนี้เป็นประเภทการโจมตีทางวิศวกรรมสังคมทั่วไปในโลกดิจิทัล:

Social-engineering-2.jpg

สเปียร์ฟิชชิ่ง

Spear phishing เป็นรูปแบบฟิชชิ่งที่กำหนดเป้าหมายโดยผู้โจมตีปรับแต่งข้อความของตนให้เหมาะกับบุคคลหรือกลุ่มเฉพาะ

พวกเขารวบรวมข้อมูลเกี่ยวกับเป้าหมายจากแหล่งข้อมูลออนไลน์ต่างๆ เพื่อสร้างข้อความที่น่าเชื่อถือและเป็นส่วนตัวมากขึ้น

ฟาร์มมิ่ง

ในการโจมตีทางเภสัชกรรม ผู้โจมตีจะควบคุมระบบชื่อโดเมน (DNS) หรือเราเตอร์ที่บุกรุกเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลอมโดยที่พวกเขาไม่รู้ตัว

ผู้ใช้เยี่ยมชมเว็บไซต์หลอกลวงเหล่านี้โดยไม่รู้ตัวและให้ข้อมูลที่ละเอียดอ่อนซึ่งผู้โจมตีจะเก็บเกี่ยว

การโจมตีหลุมน้ำ

การโจมตีแบบ Watering Hole มีเป้าหมายเฉพาะเว็บไซต์หรือแพลตฟอร์มออนไลน์ที่ผู้ใช้กลุ่มใดกลุ่มหนึ่งเข้าเยี่ยมชมบ่อยครั้ง

ผู้โจมตีบุกรุกเว็บไซต์เหล่านี้โดยการใส่รหัสที่เป็นอันตราย ซึ่งจากนั้นจะติดอุปกรณ์ของผู้เยี่ยมชมที่ไม่สงสัย ทำให้ผู้โจมตีสามารถรวบรวมข้อมูลหรือเข้าถึงโดยไม่ได้รับอนุญาตได้

การแอบอ้างบุคคลอื่นบนโซเชียลมีเดีย

ผู้โจมตีสร้างโปรไฟล์ปลอมบนแพลตฟอร์มโซเชียลมีเดีย ปลอมตัวเป็นบุคคลหรือองค์กรที่เป้าหมายไว้วางใจ

พวกเขาใช้โปรไฟล์เหล่านี้เพื่อสร้างความสัมพันธ์และได้รับความไว้วางใจจากผู้ที่ตกเป็นเหยื่อ ในที่สุดก็หลอกล่อให้พวกเขาแบ่งปันข้อมูลที่ละเอียดอ่อนหรือดำเนินการในนามของพวกเขา

การอัปเดตซอฟต์แวร์/บริการปลอม

ผู้โจมตีใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในซอฟต์แวร์หรือผู้ให้บริการโดยสร้างการแจ้งเตือนการอัปเดตปลอม

การแจ้งเตือนเหล่านี้แจ้งให้ผู้ใช้ดาวน์โหลดและติดตั้งซอฟต์แวร์ที่เป็นอันตรายซึ่งปลอมแปลงเป็นการอัปเดตที่ถูกต้อง ซึ่งนำไปสู่การละเมิดข้อมูลที่อาจเกิดขึ้นหรือการติดมัลแวร์

การหลอกลวงฝ่ายสนับสนุนด้านเทคนิค

ผู้โจมตีปลอมตัวเป็นตัวแทนฝ่ายสนับสนุนด้านเทคนิค ไม่ว่าจะผ่านทางโทรศัพท์หรือข้อความป๊อปอัป โดยอ้างว่าคอมพิวเตอร์หรืออุปกรณ์ของผู้ใช้มีปัญหาด้านความปลอดภัย

พวกเขาเกลี้ยกล่อมให้เหยื่อเข้าถึงระบบจากระยะไกล ทำให้พวกเขาสามารถติดตั้งมัลแวร์หรือดึงข้อมูลที่ละเอียดอ่อนได้

การหลอกลวงทางโซเชียลมีเดีย

สแกมเมอร์ใช้แพลตฟอร์มโซเชียลมีเดียเพื่อหลอกลวงให้ผู้ใช้แชร์ข้อมูลส่วนบุคคล เข้าร่วมการแข่งขันปลอม หรือคลิกลิงก์ที่เป็นอันตราย กลโกงเหล่านี้มักจะใช้ประโยชน์จากความปรารถนาของผู้ใช้ในการได้รับการยอมรับ ความนิยม หรือข้อตกลงพิเศษ

การตระหนักถึงเทคนิควิศวกรรมสังคมเหล่านี้และการอัปเดตตัวเองอย่างสม่ำเสมอเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่สามารถช่วยบุคคลในการปกป้องข้อมูลส่วนบุคคลและรักษาความปลอดภัยทางออนไลน์ได้

วิธีป้องกันการโจมตีทางวิศวกรรมสังคม

Social-engineering-3.jpg

การป้องกันการโจมตีทางวิศวกรรมสังคมในองค์กรต้องใช้วิธีการแบบหลายแง่มุมที่ผสมผสานเทคโนโลยี นโยบาย และการให้ความรู้แก่พนักงาน

ต่อไปนี้เป็นมาตรการป้องกันที่ควรพิจารณา:

การศึกษาและการรับรู้ของพนักงาน

ใช้โปรแกรมการฝึกอบรมเป็นประจำเพื่อให้ความรู้แก่พนักงานเกี่ยวกับเทคนิควิศวกรรมสังคม ความเสี่ยง และวิธีการระบุและตอบสนองต่อการโจมตีที่อาจเกิดขึ้น

สอนพวกเขาเกี่ยวกับอีเมลฟิชชิง โทรศัพท์ที่น่าสงสัย และกลวิธีทางวิศวกรรมสังคมทั่วไปอื่นๆ กระตุ้นให้พนักงานตั้งคำถามเกี่ยวกับข้อมูลที่ละเอียดอ่อนและรายงานกิจกรรมที่น่าสงสัย

นโยบายรหัสผ่านที่แข็งแกร่ง

บังคับใช้นโยบายรหัสผ่านที่รัดกุมซึ่งกำหนดให้พนักงานใช้รหัสผ่านที่ซับซ้อนและอัปเดตเป็นประจำ

พิจารณาใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) หรือการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เพื่อเพิ่มชั้นความปลอดภัยพิเศษให้กับบัญชี

การกรองอีเมลและโซลูชันป้องกันมัลแวร์

ใช้โซลูชันการกรองอีเมลเพื่อตรวจจับและบล็อกอีเมลฟิชชิง

โซลูชันเหล่านี้สามารถระบุและกักกันอีเมลที่น่าสงสัย ลดความเสี่ยงที่พนักงานจะถูกโจมตีด้วยฟิชชิง นอกจากนี้ ให้ปรับใช้ซอฟต์แวร์ป้องกันมัลแวร์บนอุปกรณ์ทั้งหมดเพื่อตรวจจับและป้องกันการติดมัลแวร์

โครงสร้างพื้นฐานเครือข่ายที่ปลอดภัย

ติดตั้งไฟร์วอลล์ที่มีประสิทธิภาพ ระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) เพื่อปกป้องเครือข่ายขององค์กร

อัปเดตและแพตช์ซอฟต์แวร์และเฟิร์มแวร์เป็นประจำเพื่อระบุช่องโหว่ที่อาจถูกโจมตีโดยวิศวกรรมสังคม

จำกัด การเปิดเผยข้อมูล

กำหนดและบังคับใช้นโยบายเกี่ยวกับการแบ่งปันข้อมูลที่ละเอียดอ่อนทั้งภายในและภายนอก

พนักงานควรตระหนักว่าข้อมูลใดบ้างที่ถือว่าละเอียดอ่อนและควรจัดการอย่างไร จำกัดสิทธิ์การเข้าถึงระบบและข้อมูลที่สำคัญตามหลักการสิทธิ์น้อยที่สุด

แผนเผชิญเหตุ

พัฒนาแผนการตอบสนองต่อเหตุการณ์ที่มีขั้นตอนในการจัดการกับเหตุการณ์ทางวิศวกรรมสังคม

แผนนี้ควรระบุขั้นตอนที่ต้องดำเนินการในกรณีที่มีการโจมตีทางวิศวกรรมสังคมที่น่าสงสัยหรือได้รับการยืนยันแล้ว รวมถึงการรายงานเหตุการณ์ การสืบสวน และการกักกัน

มาตรการรักษาความปลอดภัยทางกายภาพ

ใช้มาตรการรักษาความปลอดภัยทางกายภาพ เช่น ระบบควบคุมการเข้าออก กล้องวงจรปิด และโปรโตคอลการจัดการผู้เยี่ยมชม เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงพื้นที่ที่ละเอียดอ่อน

การตรวจสอบและประเมินความปลอดภัยเป็นประจำ

ดำเนินการตรวจสอบและประเมินความปลอดภัยเป็นประจำเพื่อระบุช่องโหว่และช่องว่างในการควบคุมความปลอดภัย

ซึ่งสามารถช่วยระบุส่วนที่อาจอ่อนไหวต่อการโจมตีทางวิศวกรรมสังคมและช่วยให้สามารถแก้ไขเชิงรุกได้

การตรวจสอบอย่างต่อเนื่องและข่าวกรองภัยคุกคาม

อัพเดทอยู่เสมอเกี่ยวกับแนวโน้มและเทคนิคการโจมตีทางวิศวกรรมสังคมล่าสุด สมัครสมาชิกบริการข่าวกรองภัยคุกคามและตรวจสอบฟอรัมความปลอดภัยและแหล่งข่าวที่เกี่ยวข้องเพื่อรับทราบข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่

ข้อมูลนี้สามารถใช้เพื่อเพิ่มประสิทธิภาพการควบคุมความปลอดภัยและให้ความรู้แก่พนักงาน

โปรดจำไว้ว่า การป้องกันการโจมตีทางวิศวกรรมสังคมจำเป็นต้องมีการผสมผสานระหว่างการป้องกันทางเทคโนโลยี นโยบายและระเบียบปฏิบัติ และพนักงานที่รอบรู้

ด้วยการสร้างวัฒนธรรมที่คำนึงถึงความปลอดภัยและใช้มาตรการที่เหมาะสม องค์กรสามารถลดความเสี่ยงของการตกเป็นเหยื่อของการโจมตีทางวิศวกรรมสังคมได้อย่างมาก

กลยุทธ์วิศวกรรมสังคม

Social-engineering-4.jpg

กลยุทธ์วิศวกรรมสังคมเป็นเทคนิคที่ผู้โจมตีใช้เพื่อจัดการกับบุคคลและใช้ประโยชน์จากช่องโหว่ของพวกเขา

กลวิธีเหล่านี้มีจุดมุ่งหมายเพื่อหลอกลวงและโน้มน้าวให้เป้าหมายเปิดเผยข้อมูลที่ละเอียดอ่อน ให้สิทธิ์การเข้าถึง หรือดำเนินการที่เป็นประโยชน์ต่อผู้โจมตี

ต่อไปนี้เป็นกลวิธีทางวิศวกรรมสังคมทั่วไป:

การเอารัดเอาเปรียบของผู้มีอำนาจ

ผู้โจมตีวางตัวเป็นผู้มีอำนาจ เช่น ผู้ดูแลระบบไอที หัวหน้างาน หรือเจ้าหน้าที่บังคับใช้กฎหมาย เพื่อให้ได้รับความไว้วางใจและบีบบังคับบุคคลให้ปฏิบัติตามคำขอของพวกเขา

พวกเขาใช้ประโยชน์จากการรับรู้ของผู้มีอำนาจเพื่อสร้างความรู้สึกเร่งด่วนหรือความกลัว

ความขาดแคลนและความเร่งด่วน

ผู้โจมตีสร้างความรู้สึกขาดแคลนหรือเร่งด่วนเพื่อกระตุ้นให้ดำเนินการทันทีโดยไม่ต้องพิจารณาอย่างถี่ถ้วน

พวกเขาอาจเรียกร้องความพร้อมใช้งานที่จำกัด ข้อเสนอที่มีเวลาจำกัด หรือผลที่ตามมาที่จะเกิดขึ้นเพื่อควบคุมเป้าหมายในการให้ข้อมูลหรือดำเนินการอย่างรวดเร็ว

ฟิชชิ่ง

ฟิชชิงเป็นกลวิธีที่ใช้กันอย่างแพร่หลายโดยผู้โจมตีจะส่งอีเมลหลอกลวง ข้อความ หรือข้อความโต้ตอบแบบทันทีที่ดูเหมือนว่ามาจากองค์กรที่ถูกต้องตามกฎหมาย

ข้อความเหล่านี้มักขอให้ผู้รับแจ้งข้อมูลส่วนบุคคล คลิกลิงก์ที่เป็นอันตราย หรือดาวน์โหลดไฟล์แนบที่มีมัลแวร์

เหยื่อล่อ

การล่อลวงเกี่ยวข้องกับการเสนอสิ่งล่อใจ เช่น ไดรฟ์ USB ฟรี บัตรของขวัญ หรือเนื้อหาพิเศษ เพื่อหลอกล่อบุคคลให้ดำเนินการบางอย่าง

"เหยื่อ" ทางกายภาพหรือดิจิทัลเหล่านี้ออกแบบมาเพื่อใช้ประโยชน์จากความอยากรู้อยากเห็นหรือความโลภ และมักมีมัลแวร์หรือนำไปสู่การเปิดเผยข้อมูล

การเลียนแบบ

ผู้โจมตีปลอมตัวเป็นบุคคลที่เชื่อถือได้หรือคุ้นเคยกับเป้าหมาย เช่น เพื่อนร่วมงาน เพื่อน หรือลูกค้า

พวกเขาใช้ประโยชน์จากความสัมพันธ์ที่จัดตั้งขึ้นเพื่อชักใยเป้าหมายให้แบ่งปันข้อมูลที่ละเอียดอ่อนหรือดำเนินการในนามของพวกเขาโดยการสันนิษฐานว่าเป็นตัวตนปลอม

วิศวกรรมสังคมย้อนกลับ

ในการทำวิศวกรรมสังคมแบบย้อนกลับ ผู้โจมตีจะทำการติดต่อกับเป้าหมายและสร้างความสัมพันธ์ก่อนที่จะโจมตี

พวกเขาอาจเข้าหาบุคคลทางออนไลน์ สวมรอยเป็นนายหน้าหางาน หุ้นส่วนธุรกิจ หรือคนรู้จัก และค่อยๆ ชักใยพวกเขาเมื่อเวลาผ่านไป

ประวัติผู้แต่ง

Shikha Sharma เป็นผู้สร้างเนื้อหา เธอเป็นนักเขียนคำโฆษณา SEO ที่ได้รับการรับรองซึ่งเขียนเนื้อหารูปแบบยาวที่น่าเบื่อซึ่งจัดอันดับ เพิ่มปริมาณการเข้าชม และเป็นผู้นำสำหรับบริษัท B2B

เธอมีส่วนร่วมในบล็อกที่มีชื่อเสียง เช่น เทคโนโลยี เสิร์ชเอ็นจิ้น บล็อกเกอร์อัจฉริยะ และเว็บไซต์ทำเงินที่ดีที่สุด เป็นต้น ในเวลาว่าง เธอชอบดูซีรีส์ทางเว็บและใช้เวลากับครอบครัว