สั วิ
ในสังคมที่เป็นยุคไซเบอร์ ที่ไลฟ์สไตล์เกี่ยวข้องกับการใช้งานอินเทอร์เน็ต ทำให้คุณสามารถเข้าถึงข้อมูลได้อย่างรวดเร็ว อย่างไรก็ตาม สิ่งที่หนีไม่พ้น คือ เรื่องความปลอดภัย
ที่นับวันต้องมีการเรียนรู้วิธีการป้องกัน เพื่อไม่ให้ตกเป็นเหยื่อของพวกแฮ็กเกอร์ รวมถึงการสร้างความปลอดภัยเพื่อให้ตัวผู้ใช้และองค์กรรอดพ้นจากภัยอันตรายนี้ได้ การโกงเพื่อให้ได้มาซึ่งข้อมูล ข่าวสาร ฯลฯ นั้นอาจจะกระทําได้หลากหลายวิธี เช่น Hacking, Cracking แต่วิธีอีกวิธีหนึ่งที่เป็นที่นิยมเช่นกันคือวิธีที่เรียกว่า Social Engineering ซึ่ง Social Engineering นั้นมีความเสี่ยงที่สูงมาก เพราะมันคือกลลวงทางสังคม โดยใช้วิธีการหลอกล่อและตามด้วยการโจมตี ซึ่งมีความอันตรายต่อทุกองค์กร และชาวบ้านธรรมดาทั่วไปเป็นอย่างมาก ส่วนสำหรับองค์กร จะมาในรูปแบบการจารกรรมล้วงความลับที่สำคัญที่เกี่ยวกับความมั่นคงโดยใช้วิธีการทางเทคโนโลยีที่ซับซ้อน และทำให้เสียทรัพย์สินหรือข้อมูลทางสารสนเทศได้สำหรับบุคคลทั่วๆไปที่ขาดความรู้และวิธีการป้องกันที่ดีจากการถูกหลอกล่อโดยแฮกเกอร์

....Social Engineering คืออะไร ?....
Social Engineering ในความหมายของแฮกเกอร์ก็คือ การหลอกล่อและลงมือโดยอาศัยหลักการทางจิตวิทยาที่คนหมู่มากในสังคมส่วนใหญ่ให้การยอมรับและไว้วางใจ เมื่อแฮกเกอร์สามารถสร้างแรงจูงใจให้กับเป้าหมายได้ ขั้นต่อไปก็คือ การทำให้เป้าหมายรู้สึกคล้อยตามและเอนเอียง จนในที่สุดก็ยอมรับในข้อเสนอที่อยู่ตรงหน้าอย่างง่ายดาย และวิธีการของแฮกเกอร์ย่อมไม่ทำแบบเปิดเผยอย่างแน่นอน ดังนั้น จึงต้องนำเอาเทคโนโลยีต่างๆเป็นเครื่องมือที่เข้ามาช่วย
ทำไมถึงจำเป็นต้องใช้ระบบตรวจจับการบุกรุก
เมื่อคำนึงถึงเรื่องความปลอดภัยของคอมพิวเตอร์มักเป็นการยากในการมองภาพที่ชัดเจนว่า อะไรที่จะบ่งบอกได้ว่าการใช้งานคอมพิวเตอร์มีความปลอดภัย เนื่องจากความปลอดภัยของคอมพิวเตอร์เป็นสิ่งที่จับต้องไม่ได้และยากต่อการวัด แต่อย่างไรก็ตามเราสามารถเปรียบเทียบความปลอดภัยของคอมพิวเตอร์กับการรักษาความปลอดภัยสถานที่ ในการรักษาความปลอดภัยสถานที่นั้นนั้น นอกจากการ จัดบริเวณที่ให้มีรั้วรอบขอบชิด มีกุญแจที่ใช้ล็อคประตูหรือทางเข้าออก สิ่งหนึ่งที่จะขาดไม่ได้คือการจัดให้มีบุคคลหรืออุปกรณ์ที่คอยตรวจสอบ การละเมิดต่ออุปกรณ์หรือเครื่องกีดขวางที่จัดตั้งเพื่อความปลอดภัย ทั้งนี้เนื่องจากอาจมีผู้ไม่หวังดีพยายามบุกรุกโดยทำลายอุปกรณ์หรือเครื่องกีดขวางดังกล่าวดังนั้นเราจึงต้องอาศัยระบบที่ใช้ตรวจสอบเมื่อมีการทำลายหรือล่วงล้ำต่ออุปกรณ์หรือเครื่องกีดขวางที่ได้ติดตั้งไว้อีกชั้นหนึ่ง ตัวอย่างอุปกรณ์ที่ใช้ตรวจสอบเช่น ระบบสัญญาณเตือนขโมยที่ใช้ควบคู่กับรั้วที่แข็งแรง
Social Engineering คือ เทคนิคการ Hacking ของ Hacker ซึ่งอาศัยช่องโหว่จาก "พฤติกรรมของผู้ใช้" (Human behavior)ลักษณะของวิธีนี้ คือHacker จะปลอมตัวเป็นใครคนใดคนหนึ่งหรือ หน่วยงานอะไรสักอย่าง เพื่อหลอกล่อให้เหยื่อ เปิดเผยข้อมูล ซึ่งอาจจะเป็นในรูปแบบของการสอบถาม password หรือข้อมูลที่ sensitiveอะไรบางอย่าง เพื่อการคาดการณ์ไปสู่ password หรือข้อมูลที่สำคัญได้ง่ายขึ้น ซึ่งจะในหลายๆ รูปแบบ เช่น Phishing e-mail or Pharming sites หรือแม้แต่การปลอมเป็นคนที่น่าเชื่อถือโทรศัพท์เข้ามาสอบถามข้อมูลเกี่ยวกับตัวคุณเอง
กลับสู่ด้านบน

....วิธีการการชักจูงคนอื่นให้คล้อยตามได้นั้นมี ๒ วิธีด้วยกันคือ....
  1. ชักจูงโดยตรง เป็นการชักจูงที่กระทําได้ยาก เพราะต้องคิดก่อนตัดสินใจโดยการถามบุคคลนั้น ๆ เกี่ยว กับข้อมูลโดยตรง อาจจะได้ข้อมูลจากบุคคลแค่คนเดียวหรือข้อมูลจากหลาย ๆ คนแล้วนํามาประกอบเข้าด้วยกัน
  2. ชักจูงทางอ้อมเป็นการชักจูงที่กระทําได้ง่าย เพราะไม่ต้องคิดมาก (การไม่มีข้อขัดแย้งกับผู้ถามเป็นสิ่งที่ ดี การให้ความร่วมมือจะได้รับมากกว่าถ้าการเข้าถึงและการสอบถามไปในทางที่ละมุนละม่อม ) เช่นการชักจูงโดยทำให้เกิดความรู้สึกอย่างมาก เช่น ความรู้สึกดีใจที่ถูกรางวัล
ป้จจัยที่มีผลต่อการชักจูงทางอ้อมมีดังต่อไปนี้
  1. เจ้าหน้าที่ (Officer): บุคคลมักจะตอบสนองอย่างดีต่อบุคคลที่มีอํานาจหน้าที่ ตัวอย่างเช่น การวิจัยถึงการตอบสนอง ของพยาบาล 22 คนใน Ward ต่าง ๆ ต่อคําสั่งของผู้ปลอมตัวเป็นนักกายภาพของโรงพยาบาล ในการให้ยา 20 มิลลิกรัม แก่ผู้ป่วยใน Ward นั้น ๆ องค์ประกอบ 4 อย่างที่พยาบาลควรจะถามบุคคลที่แอบอ้างเป็นนักกายภาพของโรงพยาบาล (แต่ไม่ถาม) คือ
    • มาจากคําสั่งที่พยาบาลไม่เคยเห็นหน้าหรือพูดคุยก่อนเลย
    • การสั่งจ่ายยาทางโทรศัพท์ ผิดนโยบายของพยาบาล
    • ยานั้นไม่ได้อนุญาตให้ใช้ใน Ward นั้นๆ
    • ยาที่ถูกสั่งจ่ายนั้นเป็นยาอันตรายและมีความแรงเป็น ๒ เท่า ของยาที่อนุญาตให้จ่ายในแต่ละวัน ( แต่กระนั้นก็ตาม ๙๕% ของพยาบาลได้ทําตามผู้ที่แอบอ้างว่าเป็นนักกายภาพ )
  2. หายาก (Difficulty) : ผู้คนมักจะตองสนองอย่างดี เช่น มีสิ่งบอกเหตุว่า สิ่งของเฉพาะนั้นๆ ที่เราต้องการมีจํานวนน้อย และจะขายเฉพาะช่วงนั้น ๆ ดอกเตอร์ Jack Brehm อาจารย่อมหาวิทยาลัย สแตนฟอร์ด ได้ชี้ให้เห็นว่าบุคคลมักจะมีความปรารถนามากยิ่งขึ้น เมื่อเข้าใจว่าความอิสระในการได้รับสิ่งของนั้นมีจํากัดยิ่งถ้ารู้ว่ามีบุคคลอื่นจ้องที่จะได้มาซึ่งครอบครองของสิ่งเดียวกัน ก็จะทําให้ปรารถนามากยิ่งขึ้นไปอีก
  3. ความชอบและความคล้าย : มักเป็นธรรมชาติที่มนุษย์มักชอบใครก็ตามที่คล้าย ๆ กับเรา บุคคลที่เกิดความชอบในกีฬา,ดนตรี, ศิลปะ หรือความสนใจอื่นๆ ที่คล้ายกัน ทําให้เราเจรจากับบุคคลนั้น ๆ ง่ายขึ้น และรู้สึกชอบเขาได้อย่างรวดเร็ว
  4. ประโยชน์ซึ่งกันและกัน : เป็นกฎของปฏิกิริยาในสังคมที่รู้กันเป็นอย่างแพร่หลายว่า เมื่อใครก็ตามที่ให้แก่เรา เราก็รู้สึกว่าต้องให้ตอบแทนแก่คน ๆ นั้น ถึงแม้ว่าสิ่งที่เขาให้เรานั้นอาจจะไม่เป็นที่ต้องการของอีกฝ่ายหนึ่งแต่ก็ต้องตอบแทนตรง บางครั้งค่าตอบแทน อาจจะแพงกว่าที่เขาทําให้กับเรา
  5. การผูกมัดและความคงที่ : สังคมจะให้ความสําคัญต่อความคงที่ในความประพฤติของบุคคล ถ้าเราสัญญาว่าจะทําสิ่งใดและไม่ได้กระทําตามสัญญา เราก็จะไม่ให้ความเชื่อถือคน ๆ นั้นอีกต่อไป ดังนั้นเราจึงต้องพยายามอย่างมากในการกระทําเพื่อให้คงที่กับการกระทําในอดีตเก่าก่อน ถึงแม้ว่าในอนาคตเราจะมองกลับมาและรู้สึกว่าสิ่งที่เราทํานั้นเป็นสิ่งที่โง่เขลา
  6. การยอมรับของสังคม : ในสถานการณ์หลาย ๆ สถานการณ์ในสังคมไทยนั้น การจะตัดสินใจว่าการกระทําไหนสําคัญที่สุดให้ดูว่าคนอื่นที่อยู่ใกล้เรานั้นทําหรือพูดอย่างไร ซึ่งการกระทําแบบนี้เรียกว่า “Social Proof” ซึ่งเป็นกรรมวิธีที่ทําให้เรากระทําการใด ๆ ถึงแม้อาจจะขัดกับความสนใจของเรา โดยไม่ต้องเสียเวลาในการคิดในเชิงรุก
  7. การตัดสินใจตามกระแส (Go with the flow หรือ Conformity)(Social Proof): บางสถานการณ์ของสังคม การประพฤติปฏิบัติตนก็ต้องกระทําเพื่อไม่ให้คนอื่นเกลียดหรือดูโง่เขลาต่อหน้าฝูงชน โดยทําตามสิ่งที่คนในสังคมส่วนใหญ่กระทํากัน
  8. การกระจายความรับผิดชอบ (Diffusion of Responsibility) : ผู้ให้ข้อมูลจะไม่ลังเลและจะตอบถ้าตนเองรู้สึกว่าความรับผิดชอบของการให้ข้อมูลไม่ได้ตกที่ตนเองคนเดียว ตัวอย่างเช่น การที่ผู้หลอกบอกว่าคนอื่นๆ ได้ให้ข้อมูลที่ต้องการหมดแล้ว ก็จะทําให้ผู้ถูกถามลดความเครียดในการกรอกข้อมูล
  9. โอกาสในการประจบประแจง (Chance for Ingratiation): การได้มีโอกาสได้กระทําการใด ๆ เพื่อให้ได้หน้าหรือผลงานเป็นที่ประจักษ์ต่อหัวหน้าหรือผู้บังคับบัญชาย่อมอยากที่จะกระทําสําหรับคนบางคน
  10. ภาระหน้าที่ทางศีลธรรม : สิ่งนี้เป็นสิ่งที่คนจะปฏิบัติตามเพราะเขารู้ว่าเป็นหน้าที่ทางศีลธรรมที่ต้องกระทําและเป็นส่วนหนึ่งของความรู้ สึ กผิด คนชอบที่จะหลีก เลี่ยงความรู้ สึกผิดและถ้ามีโอกาสที่จะรู้สึกผิด เขาก็ จะหลีกเลี่ยงไม่ให้มันเกิดขึ้นมา
  11. การมีส่วนร่วมแต่เก่าก่อน (Foot in the Door)(Moral Duty) : จากการวิ จัยพบว่าคนจะปฏิบัติตามคํ าขอร้องที่ยิ่งใหญ่ถ้าหากในอดีตคนเคยได้ทําตามคําขอร้องที่เล็ก ๆ น้อย ๆ จากบริษัทเดียวกันนั้นมาก่อน
  12. การมีส่วนเกี่ยวข้องต่อ (Low Involvement) : รปภ. คนทําความสะอาดหรือพนักงานต้อนรับ มักจะมีความเกี่ยวข้องน้อยกับระบบคอมพิวเตอร์ จึงคิดว่าตัวเองไม่ได้มีผลกระทบใด ๆ ต่อการร้องขอข้อมูล เขาจึงไม่วิเคราะห์ข้อดีหรือข้อเสียของการร้องขอข้อมูล ยิ่งไปกว่านั้นถ้า Social Engineer บอกเหตุผลดีๆประกอบเข้าไปด้วยโอกาสที่จะได้ข้อมูลก็มีมากขึ้นไปอีก
    กลับสู่ด้านบน

....จุดอ่อน สิ่งที่เสี่ยงต่อการถูกโจมตี คือ....
  1. สมุดโทรศัพท์ เพราะสมุดโทรศัพท์ จะให้ชื่อ เบอร์โทรของคนที่เราจะปลอมเป็นคนนั้น ๆ
  2. แผนผังการทํางาน แผนผังการทํางานจะทําให้เราทราบว่า ใครอยู่ในตําแหน่งใดของ บริษัทนั้น ๆ
  3. บันทึกช่วยจํา บันทึกช่วยจําจะให้ข่าวสารเกี่ยวกับการแสดงความเป็นตัวตนของผู้เขียน
  4. คู่มือของนโยบายบริษัท คู่มือนโยบายแสดงว่าบริษทนั้นๆ มีความปลอดภัยหรือไม่
  5. ตารางการนัดหมาย ตารางการนัดหมายจะบอกว่า ลูกจ้างคนไหนจะอยู่หรือไม่อยู่ที่ ทํางานในเวลา
  6. เหตุการณ์
  7. วันหยุดพักผ่อน
  8. ข่าวสาร ข่าวสารของข้อมูลที่สำคัญ เช่น Login, Password, Source code
  9. Hardware ที่ควรระวังเช่น Hard Drive เก่าๆ ไม่ใช้งานอาจจะถูกนำมา Restore เมื่อได้มาซึ่ ข่าวสารที่มีประโยชน์ก็ได้

    กลับสู่ด้านบน
....เครื่องมือที่ใช้ในการทํา Social Engineering มีดังนี้....
  1. โทรศัพท์ เป็นเทคนิคที่ง่ายที่สุดของ Social Engineering มันจะเร็ว ไม่มีความเจ็บปวดและบุคคลที่ขี้เกียจ ก็สามารถกระทําได้ แค่โทรศัพท์ไปหาก็สามารถกระทําได้
    1) อุปกรณ์มีข้อควรพิจารณา ดังนี้
    a) อุปกรณ์ Hardware คือโทรศัพท์ ซึ่งโทรศัพท์ที่ดีนั้นไม่ควรมี Call Waiting เพราะทําให้ดูไม่น่าเชื่อถือ โทรศัพท์ควรมีคุณภาพที่ดี Call ID ควรมี เพื่อที่จะโทรศัพท์กลับไปเบอร์ที่โทรมานั้น ๆ ได้
    b) Voice Changer ก็มีประโยชน์ เพราะการมีเสียงออกเด็ก ๆ ก็ฟังดูไม่น่าเชื่อถือ

    a) ค้นหาเป้าหมาย เช่นต้องการหา Password เข้าสู่โครงข่ายของโรงเรียนเราก็โทรเข้า ไปที่ศูนย์คอมพิวเตอร์ เราก็บอกว่า Account (ทราบมาก่อนแล้วหน้านี้) เราไม่สามารถเข้าไปได้เพราะลืม Password ก็ขอ Password ใหม่ ใช้ Voice Changer เป็นผู้หญิงก็ดี เพราะผู้ที่ทําหน้าที่ในการรับโทรศัพท์โดยส่วนใหญ่เป็นผู้ชาย
    b) โดยปกติก่อนที่เราจะโทรไปหลอกใคร ๆ นั้น เราต้องมีข้อมูลของคนที่เราจะสวม รอย เช่น มีเลขที่บัตรประจําตัว วันเดือนปีเกิด c) เมื่อเราปลอมสําเร็จแล้ว ให้ถามคําถามมากที่สุดเท่าที่จะหาได้ แต่ไม่ควรมาก เกินไปเพราะอาจจะนําให้ถูกสงสัยได้
    d) เมื่อเราปลอมมาเป็นใครก็แล้วแต่ ให้พยายามฝึกพูดให้เหมือน เขา/เธอ ให้ มากที่สุดเท่าที่จะมากได่ เช่น ถ้าเขา/เธอ พูดเสียงเหน่อ หรือคิดคําพูดใหม่ๆ ก็พยายามเลียนให้เหมือนวิธีดีที่สุด คือ โทรไปหาคนที่เราจะปลอมเป็นบุคคลนั้น ๆ เพื่อฟังเสียงและสไตล์การพูดของเขา
    3) ตัวอย่างในการหลอกล่อในการสนทนา เช่น
    “คุณได้โทรไปประเทศอียิปต์ ในช่วงหกชั่วโมงที่ผ่านมาไหม” ผู้หลอก ถาม “ไม่” ชาวบ้านตอบ “แต่เราตรวจพบว่าท่านใช้ไป ๒,๐๐๐ บาท ในการโทรนะครับและคุณก็ต้องจ่ายด้วยนะครับ” “OK ผมจะช่วยคุณ โดยคุณบอกเบอร์สมาชิกของการโทรมานะครับ แล้วผมจะลบบัญชีหนี้ให้”
  2. ไปรษณีย์ ผู้คนมักไม่ค่อยเชื่อถือใครก็ตามที่พูดคุยชักชวนตัวเราในการกระทําอะไรก็ตามทางโทรศัพท์ แต่ผู้คนจะเชื่อถือคําเขียนมากกว่า โดยมีข้อควรพิจารณาดังนี้
    1) อุปกรณ์แสตมป์ ซองจดหมาย แต่ถ้าจะดูให้น่าเชื่อถือ ต้องมีที่อยู่ให้สงกลับ 2) วิธีการปฏิบัติเอาที่อยู่ของผู้คนที่เราต้องการมาเพื่อใช้ส่งจดหมายไปให้โ ดยในจดหมายนั้ น ๆพยายามให้กรอกข่าวสารที่เราต้องการ เช่น เลขที่บัตรประจําตัวประชาชน โดยการกรอกพยายามทําให้อยู่ในรูปที่ง่าย
  3. อินเทอร์เน็ต การ Hacking ต่างกับ Social Engineering ก็คือ Hacking จะใช้ข้อได้เปรียบใน จุดอ่อนทางความปลอดภัย ส่วน Social Engineering จะใช้ข้อได้เปรียบในความจุดอ่อนของความรู้สึกนึกคิดของมนุษย์ และการเชื่อง่าย
  4. อินเทอร์เน็ต การ Hacking ต่างกับ Social Engineeing ก็คือ Hacking จะใช้ข้อได้เปรียบในจุดอ่อนทาง ความปลอดภัย ส่วน Social Engineering จะใช้ข้อได้เปรียบในความจุดอ่อนของความรู้สึกนึกคิดของมนุษย์และการเชื่อง่าย
    1) การปฏิบัติ
    a) เช่นการปลอมตัวเป็นผู้มีหน้าที่รับผิดชอบใน Chatroom ต่างๆ เพื่อให้ผู้คนมอบข้อมูลที่เราต้องการได้เช่น ปลอมตัวเป็นผู้ที่มีหน้าที่รับผิดชอบใน Chatroom ต่างๆ เพื่อให้ผู้คนมอบข้อมูลที่เราต้องการได้
    b) ส่ง E – mail ออกไปให้ผู้ใช้งานทุกๆ คน ( โดยหวังไว้ว่าคนใดคนหนึ่งของผู้ใช้งานจะตอบกลับมา ) โดยบอกว่าเป็น System Administrator และต้องการ Password จากผู้ใช้งานโดยโกหกว่าจะใช้ในการทำงาน Admin ซึ่งบุคคลที่ง่ายต่อการถูกหลอกก็คือ บุคคลที่เล่น Internet ใหม่ๆ ที่ยังไม่รู้เล่ห์เหลี่ยมของบุคคลเหล่านี้ บางครั้งก็อาจใส่ Viruses, Worm, หรือ Trojan Horse ลงไปใน Attachment ของ E-mail เพื่อทำหน้าที่เป็น Backdoor ให้ผู้ประสงค์ร้ายเข้าไปในระบบภายหลัง
    c) วิธี “Frame – Spooting” คือการที่บุคคลสามารถใส่หน้า Website ลงไปในหน้า Web Site โดยไม่ได้รับอนุญาต คนที่เข้าไปเยี่ยม Web Site ที่ถูกใส่ Web Site ปลอม ก็อาจจะคัดลอกข้อมูลที่ถูกถามในหน้า Web Site นั้นๆ
    d) วิธี “ Pump and Pump” คือ บุคคลในหน่วยงานที่ใช้วิธีหลายหลายเพื่อให้ผู้ลงทุนในเน็ตเกิดความสนใจในบริษัทและทำให้เกิดการ Pump หรือเรียกอีกอย่างว่าเพิ่มค่าของราคาหุ้น จนกระทั่งสูงได้ระดับ บริษัทจึงขายหุ้นเพื่อให้ได้กำไร ซึ่งวิธี Pump and Pump จะใช้เทคนิคการอ้างสิทธิและวิธี Social Proof กล่าวคือ การที่ผู้ส่งเสริมมูลค่าหุ้นร่วมมือกับบุคลากรในบริษัทจ่ายเงินให้นักเขียนในจดหมายแจ้งข่าวในอินเตอร์เน็ต เพื่อเขียนข่าวที่ดีในเชิงสร้างสรรค์หรือบางครั้งก็ทำถึงขึ้นปล่อยข่าวลวงให้แก่บริษัท ทำให้ผู้ลงทุนเข้ามาอ่านและเข้าถึงข่าวสารนั้นๆ
    2) วิธี “Running Program” เป็นวิธีที่ผู้ประสงค์ร้ายส่ง Program มาให้ Run ทางอินเทอร์เน็ต ( โดยอาจปลอมเป็น Admin ) โดยหลังจาก Run โปรแกรมนี้แล้ว Username and Password ของผู้ใช้จะถูกส่งกลับไปให้ผู้ประสงค์ร้ายโดยอัตโนมัติ
  5. ด้วยตนเอง
    1) อุปกรณ์ : การแต่งกายจะต้องดูดี หวีผมให้เรียบร้อย สุภาพเรียบร้อย ติดบัตรประจำตัว ก็จะดูน่าเชื่อถือมากยิ่งขึ้น หรือไม่ก็บัตร Vision Pass
    2) วิธีการปฏิบัติ :
    a) เดินดูรอบ ๆ Office เพื่อหาข้อมูลตามโต๊ะทำงานต่างๆ
    b) ใช้วิธีทำเร็วกว่า “Shoulder Surfing” นั่นคือการมอง Password ผ่านไหล่ขณะที่คนๆนั้นพิมพ์ Password
    c) ขอใช้ Account ผู้อื่น
    d) ถาม Help Desk เพราะบุคลากรที่มาทำงานที่ Help Desk นั้น จะไม่ค่อยมีความรู้เรื่องการรักษาความปลอดภัยของข่าวสารข้อมูลมากนัก ดังนี้นเมื่อมีใครก็ตามถามเรื่องข้อมูล บุคคลากร Help Desk ก็มักจะตอบหรือไม่ก็จะให้ข่าวสารนั้นๆ ไปอย่างง่ายดาย นอกจากนั้น Help Desk ยังถูกฝึกฝนมาให้เป็นมิตรไมตรีกับผู้คนอื่นๆและให้ข่าวสารต่างๆ แก่บุคคลที่เข้ามาทำการสอบถามตน
    e) ปลอมเป็นบุคคลอื่น เช่น ช่างซ่อม, หน่วยสนับสนุนสารสนเทศ, ผู้จัดการ , เพื่อนร่วมงาน เพราะในบริษัทใหญ่ๆ นั้น ลูกจ้างจะไม่รู้จักทุกคน บัตรประจำตัวก็สามารถปลอมได้แล้ว
    f) Reverse Social Engineering (RSE) คือการปลอมเป็นบุคคลที่มีอำนาจหน้าที่และลูกจ้างจะต้องการข่าวสารจากเขา แต่วิธีการแบบนี้ต้องจำเป็นที่ต้องใช้เวลาในการเตรียมตัวเป็นอย่างมาก เช่น RSE ประกอบด้วยการโจมตี (Sabotage), การโฆษณา (Advertising), การช่วยเหลือ (Assisting), ทำให้โครงข่ายมีปัญหาและโฆษณว่าตัวเองคือผู้ที่สามารถช่วยเหลือได้ ขณะที่ช่วยเหลือก็จะทำการขโมยข่าวสารจากสถานที่ทำงานนั้นๆ
    g) Dumpster Diving หรือ Trashing นั่นคือการหาข่าวสารในถังขยะ ซึ่งบริษัทมักจะทิ้งข้อมูลต่างๆ ลงไป ในถังขยะ เช่น สมุดโทรศัพท์ของพนักงานในแผนกต่างๆ แผนภูมิแสดงการจัดองค์กร บันทึกข้อความ คู่มือนโยบายบริษัท ปฏิทินการนัดหมาย เหตุการณ์ที่เกิดขึ้นและวันหยุด คู่มือของระบบต่างๆ Source Code ฮาร์ดแวร์ที่ไม่ต้องการใช้ รายชื่อ Login and Password
    กลับสู่ด้านบน
....วิธีการป้องกันการ Social Engineering มีหลักการ ดังต่อไปนี้....
  1. ควรตรวจสอบเบอร์โทรศัพท์ที่ไม่คุ้นเคยมาก่อน ซึ่งอาจจะโดนถามถึงเรื่องราวข่าวสารเกี่ยวกับข้อมูล ภายในองค์กรหรือข้อมูลส่วนบุคคลของพนักงานในบริษัท ให้เราสอบถามให้ละเอียดว่าโทรมาจากบริษัทหรือองค์กรไหน ชื่อผู้ที่โทรมาว่าชื่ออะไร แล้วทำการตรวจสอบว่ามีข้อมูลของบุคคลนั้นอยู่จริงหรือไม่
  2. ห้ามให้ข่าวสารส่วนตัวหรือข่าวสารเกี่ยวกับองค์กรเด็ดขาดจนกว่าคุณจะได้รับรู้ตัวตนที่แท้จริงของ บุคคลที่ต้องการข่าวสารนั้น
  3. ไม่บอกข่าวสารส่วนตัวหรือข่าวสารทางการเงินในอีเมล์และไม่ตอบอีเมล์ที่ถาม
  4. ไม่ส่งข่าวสารที่สำคัญไปทางอินเทอร์เน็ตโดยปราศจากการตรวจสอบระดับของความปลอดภัยในการ ส่งข่าวสารของเว็บไซด์นั้น ๆ
  5. พยายามสังเกต URL ของ Web site ให้ดีเพราะ Web site ที่ประสงค์ร้ายมักจะมี URL คล้ายกันมากกับ Web site ที่มันจะหลอกลวงให้เหมือนจริง
  6. ถ้าเราไม่แน่ใจว่าอีเมล์ที่ได้รับนั้นถูกต้องตามความเป็นจริงหรือไม่ ให้ทำการตรวจสอบโดยการติดต่อ กับบริษัทที่อีเมล์นั้นกล่าวอ้างถึงโดยตรง ไม่ใช่ข่าวสารที่แสดงในอีเมล์เพื่อการติดต่อ
  7. ติดตั้งซอฟต์แวร์ไฟล์วอล์ ตัวกรองอีเมล์ให้กับระบบคอมพิวเตอร์เพื่อป้องกันอีเมล์ที่เข้ามาด้วยจุดประสงค์ร้าย
  8. System Admin. ต้องอบรมให้ความรู้แก่ User ของตัวเองเกี่ยวกับ Social Engineering
  9. พยายามทำให้ระบบคอมพิวเตอร์เป็นส่วนหนึ่งของงานทุกๆ คนไม่ว่าเขาจะใช้คอมพิวเตอร์หรือไม่ก็ตาม
ประเภทของการหลอกลวงเพื่อขโมยข้อมูลส่วนบุคคลซึ่งนำไปสู่การสูญเสียในหลายๆด้าน
  1. อีเมล์แจ้งให้เปลี่ยนพาสเวิร์ดโดยปลอมเว็บให้มีหน้าเว็บไซต์เหมือนกับธนาคาร
  2. อีเมล์แจ้งว่าเป็นผู้โชคดีได้รับรางวัลให้ กรอกข้อมูลส่วนบุคคลเพื่อยืนยัน
  3. อีเมล์แจ้งว่าเครื่องติดไวรัส ให้ทำการ Down load Program ตาม link เพื่อกำจัดไวรัส
  4. อีเมล์ ปลอมตัวเป็น หัวหน้างานอ้างว่าข้อมูลหรือบัญชีโดนล็อค เพื่อขอข้อมูล รายชื่อผู้ใช้ รหัสผ่าน เพื่อ ประสงค์ข้อมูลสารสนเทศหรือทรัพย์สิน หรือ แก้ไข โยกย้าย ข้อมูล
ประเภทการปลอมตัวเป็น ผู้มีหน้าที่รับผิดชอบ/เจ้าของ/ผู้ดูแล ในเว็บไซด์หรือ Chat room
  1. การกระทำซึ่งๆ หน้าเป็นในลักษณะของการ Chat Online
  2. การส่ง Email หลอกล่อหรือการปลอมแปลงหน้า web site (Frame – Spoofing) เพื่อหลอกเอาข้อมูล ชื่อ ผู้ใช้ รหัสผ่าน รหัสบัตรเครดิต รหัสการเข้าถึงข้อมูลที่เป็นความลับ
  3. การใช้ข่าวสารหน้าเว็บเพื่อสร้างความเชื่อถือให้กับบุคคลที่เข้ามาทำการติดต่อสื่อสาร
  4. การปั่นราคาหุ้น (Pump and Pump)
  5. การให้บริการ Download program Crack เพื่อฝังโทรจันเข้าไปในข้อมูลของคุณ
  6. สมัครสมาชิกเพื่อหวังขโมยข้อมูลส่วนบุคคล
วิธีแก้ไขเมื่อถูกกระทำโดย Social Engineering มีดังนี้
  1. ถ้าคุณคิดว่าได้เปิดเผยข้อมูลที่สำคัญเกี่ยวกับองค์กรของคุณ ให้ทำการรายงานเรื่องแก่บุคคลภายในองค์การที่มีหน้าที่จัดการเกี่ยวกับปัญหานี้ทันที
  2. ถ้าคุณคิดว่าบัญชีด้านการเงินอาจถูกเปลี่ยนแปลงหรือแก้ไขให้รีบติดต่อไปยังสถาบันการเงินของคุณและทำการปิดบัญชีนั้น ๆ และคอยสังเกตการณ์คิดค่าต่างๆ ต่อในบัญชีของคุณ
  3. ถ้าเหตุการณ์ที่เกิดขึ้นรุนแรงควรแจ้งให้เจ้าหน้าที่ตำรวจรีบจัดการโดยด่วน
  4. ถ้ารู้ว่าถูก Social Engineering และได้บอก Password ไปแล้วด้วย ให้รีบทำการเปลี่ยน Password ใหม่โดยทันที
กลับสู่ด้านบน
....บทสรุป....

สาเหตุที่ผู้คนใช้วิธี Social Engineering มากกว่าวิธีอื่น เช่น Hack ก็เพราะว่าใช้ Social Engineering จะง่ายกว่าเพราะแค่โทรศัพท์ไปถามก็สามารถลงมือทำได้แล้ว โดยเทคนิคในด้านต่างๆ ของ Social Engineering นั้นไม่ว่าจะเป็นการแอบฟัง การดูเสมือนว่าไม่ทราบอะไร การดูน่าเชื่อถือของเจ้าหน้าที่ Social Engineering จะขึ้นอยู่กับการไม่มีความสามารถในการรู้เท่าทันวัฒนธรรมซึ่งขึ้นอยู่กับเทคโนโลยีสารสนเทศ นั่นคือ ไม่ทราบว่าข่าวสารที่รู้นั้นมีความสำคัญมาก เลยไม่ได้ระมัดระวังในการป้องกันข่าวสารนั้น จุดอ่อนที่เกิดจาก Social Engineering นี้จะเป็นการเกิดขึ้นทั่วไป เมื่อไม่รู้ หรือไม่แน่ใจว่าจะได้ข่าวสารโดยวิธี Social Engineering ก็ให้ทำท่าทางเป็นมิตรที่ดีกับผู้ที่ต้องการข่าวสารนั้นมาเพราะผู้คนทั่วๆไป มักจะเชื่อบุคคลทางโทรศัพท์และต้องการช่วย ถ้าบุคคลที่ถามนั้นทำตัวน่าเชื่อถือ และบุคคลทั่วๆไปก็มักจะตอบสนองด้วยความสุภาพต่อผู้หญิง อาจจะยกย่อง ชมเชยหรือล้อเล่นบ้างก็อาจจะช่วยผู้ถูกถามให้ใจอ่อนลง ไม่ขัดขืน ถ้าจนใจจริงๆ ก็อาจพูดว่า “สับสน ช่วยหน่อยนะ” แต่ Social Engineering ที่ดีก็จะรู้ว่าควรที่จะหยุดถามข่าวสารเมื่อใดก่อนที่ผู้ถูกถามจะรู้ตัว สิ่งที่สำคัญที่สุดในการปกป้องการเกิด Social Engineering คือการไม่ให้ข่าวสารที่สำคัญแก่ใครก็ตามจนกระทั่งคุณแน่ใจแล้วว่าเขาคนนั้นคือใครก็ตามที่เขาบ่งบอกว่าเป็นและมีสิทธิ์หน้าที่ที่สามารถเข้าถึงข่าวสารเหล่านั้นให้พยายามนึกอยู่เสมอว่า “คุณจ่ายเงินมากมายเพื่อซื้อเทคโนโลยีและการบริการ แต่โครงสร้างของโครงข่ายก็ยังมีจุดอ่อนต่อการถูกโจมตีเสมอ”
กลับสู่ด้านบน
ไม่มีบทความ
ไม่มีบทความ