2. ภัยจากการล่อลวง โดยอาศัย เทคนิคทางวิศวกรรมสังคม ( Social Engineering ) การใช้ จิตวิทยา+หลักการสังคม มาประยุกต์ใช้เพื่อ หลอกล่อให้เยื่อ หลงเชื่อ ยอมรับ เชื่อถือ และ คล้อยตาม เพื่อกระทำการตามประสงค์ของคนร้าย โดยในทางคอมพิวเตอร์แล้วอาจเป็นการ ให้ สิทธิ์ , อนุญาต, กระทำการตาม(บุคคลมักจะตอบสนองอย่างดีต่อบุคคลที่มีอํานาจหน้าที่) หรือให้ข้อมูลส่วนบุคคลเป็นต้น ส่วนใหญ่ผลลัพธ์ทีเกิดตามมาทำให้เกิดความเสียหาย ต่อเหยื่อทั้งในด้านทรัพย์สิน การรละเมิดความเป็นส่วนตัว เป็นต้น แก้งค์ ตกทอง รูปแบบ ของ Social ยุคแรกๆ หลัก ทาง social ทุกคนส่วนใหญ่ มี ความโลภ พฤติกรรมคือ จะพุ่งเป้าหมายไปที่เหยื่อที่ใส่ทองแลัวจะ ติดตามแล้วทำที่สร้างสถานการ์ณร่วมกับ เหยื่อว่าเจอทองร่วมกันให้เอาไปขายและแบ่งกัน หากเหยือ ยอมตกลง ก็จะเริ่มเข้าแผน จะอ้างว่ามีธุระด่วนต้องรีบไป ให้เหยือเอาทองไปขายคนเดียวโดยตนเองจะขอส่วนแบ่งเป็นเงินก่อน หากเหยื่อมีเงินไม่พอก็จะขอเอาทองของเหยือมาแลก ซึ่งถ้าดำเนินเรื่องมาถึงขั้นนี้แล้วส่วนใหญ่เสร็จโจรทุกรายไป
ตัวอย่างของ Social engineering ในปัจจุบัน
การโทรไปหาเหยื่อ แล้วทำการ หลอกลวงเหยื่อ เช่น อ้างตัวเป็นเจ้านาย , ธนาคาร , เจ้าหน้าที่รัฐ , บริษัทรถยนต์ ส่วนใหญ่จะหลอกเอาข้อมูลส่วนตัว และตามมาด้วยทรัพย์สิน โดยให้กดโอนเงินผ่านทางATM ตัวอย่าง
โจร โทรไปหานายเอ นายเอรับสาย
นาย เอ : สวัสดีครับ โจร : ผมโทรบริษัท แจกรางวัลครับ คุณเป็นผู้โชคดีได้รับรถจักรยานยนต์ ..โดยไม่ต้องเสียค่าใข้จ่าย
นาย เอ : ครับ แล้วผมต้องทำไงต่อ......<ตามแผน>
โจร : ก่อนอื่นช่วย บอกข้อมูลคุณเพื่อยืนยัน ด้วยครับ ส่วนใหญ่หลอกถามการศึกษา
นาย เอ : เกิดวันที่... จบ ป 6 ......<ตามแผน>
โจร : คุณมีATM ไหมครับ ให้ไปที่ ตู้ ATM กดเปลี่ยนภาษา ทำตามทีผมบอก แล้วกดรหัสลับ xxxxxxxxxxxx หลัก แล้ว กด ok *****เหตุการ์ณนี้ เป็นการโอนเงินให้โจรไปโดยไม่รู้ตัว
เหตุการณ์คล้ายๆกันนี้ สามารถดูวีดีโอแก๊งจีนข้ามชาติ ได้จาก ห้องสืบสวนหมายเลข 9 ทลายแก๊งหลอกเงินข้ามชาติ ใหญ่ที่สุดในประวัติการณ์ ออกอากาศเมื่อ : 2008-09 2.
การส่ง SMS เพื่อให้เหยื่อโทรกลับ , กดรับ เพื่อขโมยข้อมูล ในโทรศัพท์ เช่น SMS ผู้โชคดี ถูกรางวัล หรือ เหงาหาแฟน แล้วนำข้อมูลไปทำการต่อ
ตัวอย่าง ได้รายชื่อเพื่อนเหยื่อแล้วโทรไปหาเพื่อนเหยื่อ
โจร : สวัสดี สมศรี
สมศรี : ค่ะ
โจร : จำเราได้ไหม
สมศรี : ….!! _??? เสียงแบบนี้ อ้อ ยายแจง
โจร : แหมนึกว่าจะจำเราไม่ได้ไม่ได้โทรมาหานาน เรามีเรื่องเดือนร้อน ขอยืมตังค์เธอสองพันได้ไหม
สมศรี :ได้สิ ว่าแต่จะให้โอนไปที่บัญชีไหนล่ะ เหตุการ์ณนี้ เป็นการโอนเงินให้โจรไปโดยไม่รู้ตัว ภัยที่มาจากอีเมล์ มาจากการได้รับอีเมล์จากคนแปลกหน้าหรือเพื่อนของเรา
ประเภทสร้างความเดือนร้อนให้คนอื่น โดยอาศัยหลักจริยธรรม ความสงสารเห็นใจผู้อื่น โดยการสร้าง Hoax(อีเมล์เรื่อง โกหกหลอกลวง)
ตัวอย่าง
o เมล์ขอบริจาค เลือด ให้แก่ ......ที่โรงพยาบาล
o เมล์แจ้งปรับเวลาทั่วประเทศให้เร็วขึ้น 30 นาที
o เมล์แจ้งว่าได้รับไวรัสแล้ว เครื่องคอมจะพัง
o เมล์ ต่อว่าธุรกิจใส่ร้าย ป้ายสี
o เมล์ หนูเหงา โทร มาสิค่ะ (Bomb Telephone)
ประเภทหลอกลวงเพื่อขโมยข้อมูลส่วนบุคคลนำไปสู่ การเสียทรัพย์
o เมล์แจ้งให้เปลี่ยนพาสเวิร์ดโดยปลอมเว็บให้มีหน้าเหมือนธนาคาร
o เมล์แจ้งว่าเป็นผู้โชคดีให้ กรอกข้อมูลส่วนบุคคลเพื่อยืนยัน
o เมล์แจ้งว่าเครื่องติดไวรัส ให้ทำการDown load Program ตาม link เพื่อกำจัดไวรัส
o เมล์ ปลอมตัวเป็น หัวหน้างาน อ้างaccount log เพื่อขอข้อมูล รายชื่อผู้ใช้ รหัสผ่าน เพื่อ ประสงค์ทรัพย์ หรือ แก้ไข โยกย้าย ข้อมูลทางการเงิน
***การป้องกัน Social ที่ดี ที่สุดคือ การไม่โลภและ ไม่ให้ข้อมูลใดๆทั้งสิ้นจนกว่าคุณจะพิสูจน์ได้ว่า เขาคือ ผู้ที่สามารถล่วงรู้ข้อมูลนั้นได้ ภัยบนอินเตอร์เนต
ประเภทการปลอมตัวเป็น ผู้มีหน้าที่รับผิดชอบ/เจ้าของ/ผู้ดูแล ในเว็บไซด์หรือ Chat room
o การกระทำซึ่งหน้าเป็นในลักษณะของการ Chat
o การส่งEmail หลอกล่อ · การปลอมหน้า web site (Frame – Spooting) เพื่อหลอกเอาข้อมูล ชื่อผู้ใช้ รหัสผ่าน รหัสบัตรเคดิต
o การใช้ข่าวสารหน้าเว็บเพื่อสร้างความเชื่อถือ
o การปั่นราคาหุ้น (Pump and Pump)
o การให้บริการ Download program Crack เพื่อฝังโทรจัน
o สมัครสมาชิกเพื่อหวังขโมยข้อมูลส่วนบุคคล
แหล่งที่มาของข้อมูล ในการทำ Social
o เหยื่อที่โดน Social แล้ว
o สมุดโน็ต
o การแอบมอง password
o Held desk , Staff , guard
o ถังขยะ
o โทรศัพท์ , ข้อมูล sim card
o สื่อบันทึกข้อมูลอิเล็กทรอนิกส์
o Home , office
o ตารางนัดหมาย
o ฐานข้อมูลต่างๆ เช่น ทะเบียนราษฏร์ , เว็บไซด์ที่โดน Hack
ลักษณะของผู้กระทำSocial
1. สร้างความเชื่อถือ
a. การแต่งกาย
b. การแสดงสัญลักษณ์ เช่น ติดบัตรผ่าน , ตำแหน่งต่างในสังคม
c. ใช้หน้าม้า / นกต่อ
2. การใชัอำนาจ / และ แอบอ้างว่า สามารถ ให้ความช่วยเหลือ
a. การปลอมเป็น เจ้าหน้าที่ เช่น เจ้าหน้าที่รัฐ , บริษัทสถาบันการเงิน , รัฐวิสาหกิจ
b. การแสดงตนว่ามีอำนาจสั่งการ ได้ และเหยือ อาจได้รับความเดือดร้อนหากไม่ให้ความร่วมมือ
3. การแฝงตัว
a. แฝงเข้าไปในสถานที่จะทำการ Social เพื่อ ขโมยข้อมูล
b. ปลอมเป็นผู้เข้ามาซื้อบริการหรือสินค้า จำนวนมาก เพื่อหลอกทรัพย์สิน หรือข้อมูล
4. ใช้หลัก จิตวิทยา
a. อ้างความปลอดภัย เพื่อปลดทรัพย์จากเหยื่อหรือขอข้อมูล
b. อ้างคุณธรรม ความเห็นใจ เพื่อแสร้งช่วยเหลือหรือขอความช่วยเหลือเหยื่อ
c. ตีสนิทโดยพูดเรื่องที่เหยื่อสนใจ
d. ใช้ความโลภเป็นเหยื่อล่อ
5. พยายามสอบถามข้อมูล เหยื่อ เพื่อเก็บข้อมูล
วิธีป้องกันการ Social Engineering มีดังนี้
1. ทางโทรศัพท์พยายามพิสูจน์สิทธิในการเข้าถึงข้อมูล ขอผู้ถาม หรือ ระดับข้อมูลที่สามารถเปิดเผยได้
2. ไม่เปิด /ส่งต่อ /ตอบกลับ อีเมล์ที่ไม่รู้จัก
3. ไม่ กรอกข้อมูลส่วนตัว / สมัครสมาชิก เว็บไซด์ที่เราไม่รู้จักหรือต้องการเพื่อแลกกับข้อเสนอต่างๆ
4. ไม่ใช้ user name หรือ password ซ้ำๆกัน ในการสมัครสมาชิกในแต่ละเว็บ
5. ไม่จดหรือบันทึกข้อมูล ส่วนต้ว รหัสผ่านไว้ ในที่ง่ายต่อการสูญหายหรือ จดจำ
6. ไม่บอกข่าวสารส่วนตัวใดๆแก่บุคคลที่เราไม่แน่ใจหรือสงสัย จนกระทั่งเราสามารถตรวจสอบได้
7. ไม่ส่งข่างสาระสำคัญ หรือ เผยแพร่ ออกไปทาง Internet หรือ เครือข่ายที่ปราศจากระบบป้องกันการเข้าถึง
8. สังเกต URL ที่เราเข้าทุกครั้งสำหรับการทำ ธุรกรรมใดๆทางอินเตอร์เนต
9. ติดตั้ง antivirus , anti spyware / adware ในเครื่องคอมพิวเตอร์ และเปิด ไฟล์วอลล์
10. ให้ความรู้แก่บุคคลที่สอง/อื่นๆ ที่รู้ข้อมูลของเรา ในการโดนกระทำ social
** หากโดนกระทำทางโทรศัพท์ให้ ลองทำการ Social กลับไปโดยปกปิดข้อมูลส่วนตัวแล้วหากเขายังสนทนาอยู่แสดงว่าโดนกระทำ social แล้ว
1. พิจารณาตรวจสอบ ข้อมูล หรือ ทรัพย์สิน ที่สูญหายไป กับการ Social
2. หาวิธีแก้ไข เช่น เปลี่ยน Password , ระงับบัตรเครดิต , อา๊ญัติบัญชี เงินฝาก , แจ้งบริษัทหรือบุคคลทีเกี่ยวข้องกับข้อมูลที่ถูก Social
3. ปรึกษาคนที่มีความรู้ หรือเจ้าหน้าที่ตำรวจ เพื่อแจ้งความ
No comments:
Post a Comment