ความหมายของ วิศวกรรมทางสังคม? 11 ตัวอย่างที่ต้องระวัง
สารบัญ
Social Engineering คืออะไรกันแน่?
วิศวกรรมสังคม หมายถึง การชักใยผู้คนเพื่อดึงข้อมูลที่เป็นความลับของพวกเขา ประเภทของข้อมูลที่อาชญากรค้นหาอาจแตกต่างกันไป โดยปกติแล้ว บุคคลจะถูกกำหนดเป้าหมายสำหรับรายละเอียดธนาคารหรือรหัสผ่านบัญชีของพวกเขา อาชญากรยังพยายามเข้าถึงคอมพิวเตอร์ของเหยื่อเพื่อติดตั้งซอฟต์แวร์ที่เป็นอันตราย จากนั้นซอฟต์แวร์นี้จะช่วยให้พวกเขาดึงข้อมูลใด ๆ ที่พวกเขาอาจต้องการ
อาชญากรใช้กลวิธีทางวิศวกรรมสังคมเพราะมักจะง่ายต่อการแสวงประโยชน์จากบุคคลโดยได้รับความไว้วางใจและโน้มน้าวให้พวกเขาเปิดเผยข้อมูลส่วนตัว เป็นวิธีที่สะดวกกว่าการเจาะเข้าคอมพิวเตอร์ของผู้อื่นโดยตรงโดยที่พวกเขาไม่รู้
ตัวอย่างวิศวกรรมสังคม
คุณจะสามารถป้องกันตัวเองได้ดีขึ้นโดยได้รับแจ้งเกี่ยวกับวิธีต่างๆ ในการทำวิศวกรรมทางสังคม
1. การกล่าวอ้าง
การแอบอ้างจะใช้เมื่ออาชญากรต้องการเข้าถึงข้อมูลที่ละเอียดอ่อนจากเหยื่อเพื่อปฏิบัติงานที่สำคัญ ผู้โจมตีพยายามที่จะได้รับข้อมูลผ่านการโกหกที่สร้างขึ้นอย่างรอบคอบ
อาชญากรเริ่มต้นด้วยการสร้างความไว้วางใจกับเหยื่อ ซึ่งอาจทำได้โดยการปลอมตัวเป็นเพื่อน เพื่อนร่วมงาน เจ้าหน้าที่ธนาคาร ตำรวจ หรือหน่วยงานอื่นๆ ซึ่งอาจขอข้อมูลที่ละเอียดอ่อนดังกล่าว ผู้โจมตีถามคำถามจำนวนหนึ่งโดยอ้างว่าเป็นการยืนยันตัวตนและรวบรวมข้อมูลส่วนบุคคลในกระบวนการนี้
วิธีนี้ใช้เพื่อแยกรายละเอียดส่วนตัวและข้อมูลทางการทุกประเภทจากบุคคล ข้อมูลดังกล่าวอาจรวมถึงที่อยู่ส่วนบุคคล หมายเลขประกันสังคม หมายเลขโทรศัพท์ บันทึกการใช้โทรศัพท์ รายละเอียดธนาคาร วันลาพักร้อนของพนักงาน ข้อมูลความปลอดภัยที่เกี่ยวข้องกับธุรกิจ และอื่นๆ
2. การโจรกรรมทางเบี่ยง
นี่คือกลโกงประเภทหนึ่งที่โดยทั่วไปมีเป้าหมายไปที่บริษัทขนส่งและขนส่ง อาชญากรพยายามหลอกล่อบริษัทเป้าหมายโดยให้พวกเขาส่งพัสดุไปยังสถานที่จัดส่งที่แตกต่างจากที่ตั้งใจไว้ในตอนแรก เทคนิคนี้ใช้เพื่อขโมยสินค้าล้ำค่าที่ส่งผ่านไปรษณีย์
การหลอกลวงนี้อาจดำเนินการได้ทั้งแบบออฟไลน์และออนไลน์ พนักงานที่ถือพัสดุอาจได้รับการติดต่อและโน้มน้าวให้ส่งของที่สถานที่อื่น ผู้โจมตีอาจเข้าถึงระบบจัดส่งออนไลน์ได้เช่นกัน จากนั้นพวกเขาสามารถสกัดกั้นกำหนดการส่งมอบและทำการเปลี่ยนแปลงได้
3. ฟิชชิง
ฟิชชิงเป็นหนึ่งในรูปแบบวิศวกรรมทางสังคมที่ได้รับความนิยมมากที่สุด การหลอกลวงแบบฟิชชิ่งเกี่ยวข้องกับอีเมลและข้อความที่อาจสร้างความรู้สึกอยากรู้อยากเห็น ความกลัว หรือความเร่งด่วนให้กับผู้ที่ตกเป็นเหยื่อ ข้อความหรืออีเมลกระตุ้นให้พวกเขาคลิกลิงก์ที่จะนำไปสู่เว็บไซต์ที่เป็นอันตรายหรือไฟล์แนบที่จะติดตั้งมัลแวร์บนอุปกรณ์ของพวกเขา
ตัวอย่างเช่น ผู้ใช้บริการออนไลน์อาจได้รับอีเมลแจ้งว่ามีการเปลี่ยนแปลงนโยบายที่กำหนดให้เปลี่ยนรหัสผ่านทันที จดหมายจะมีลิงค์ไปยังเว็บไซต์ผิดกฎหมายที่เหมือนกับเว็บไซต์ดั้งเดิม จากนั้นผู้ใช้จะป้อนข้อมูลรับรองบัญชีของตนลงในเว็บไซต์นั้น โดยพิจารณาว่าเป็นเว็บไซต์ที่ถูกต้องตามกฎหมาย เมื่อส่งรายละเอียดแล้ว อาชญากรจะเข้าถึงข้อมูลดังกล่าวได้
4. หอกฟิชชิ่ง
นี่คือการหลอกลวงแบบฟิชชิงประเภทหนึ่งซึ่งมีเป้าหมายไปที่บุคคลหรือองค์กรใดองค์กรหนึ่งโดยเฉพาะ ผู้โจมตีปรับแต่งข้อความของตนตามตำแหน่งงาน ลักษณะเฉพาะ และสัญญาที่เกี่ยวข้องกับเหยื่อ เพื่อให้ดูเหมือนจริงมากขึ้น ฟิชชิงแบบสเปียร์ต้องใช้ความพยายามมากกว่าในส่วนของอาชญากร และอาจใช้เวลานานกว่าฟิชชิงทั่วไป อย่างไรก็ตาม พวกมันยากที่จะระบุและมีอัตราความสำเร็จที่ดีกว่า
ตัวอย่างเช่น ผู้โจมตีที่พยายามสเปียร์ฟิชชิงในองค์กรจะส่งอีเมลไปยังพนักงานที่แอบอ้างเป็นที่ปรึกษาด้านไอทีของบริษัท อีเมลจะถูกจัดกรอบในลักษณะที่คล้ายกับวิธีที่ที่ปรึกษาทำ มันจะดูเหมือนจริงพอที่จะหลอกลวงผู้รับ อีเมลจะแจ้งให้พนักงานเปลี่ยนรหัสผ่านโดยให้ลิงก์ไปยังหน้าเว็บที่เป็นอันตรายซึ่งจะบันทึกข้อมูลและส่งไปยังผู้โจมตี
5. การกักเก็บน้ำ
การหลอกลวงทางน้ำใช้ประโยชน์จากเว็บไซต์ที่น่าเชื่อถือซึ่งมีผู้คนจำนวนมากเข้าเยี่ยมชมเป็นประจำ อาชญากรจะรวบรวมข้อมูลเกี่ยวกับกลุ่มเป้าหมายเพื่อพิจารณาว่าพวกเขาเข้าชมเว็บไซต์ใดบ่อย เว็บไซต์เหล่านี้จะได้รับการทดสอบหาช่องโหว่ เมื่อเวลาผ่านไป สมาชิกในกลุ่มนี้อย่างน้อยหนึ่งคนจะติดเชื้อ จากนั้นผู้โจมตีจะสามารถเข้าถึงระบบที่ปลอดภัยของผู้ใช้ที่ติดเชื้อเหล่านี้ได้
ชื่อนี้มาจากการเปรียบเทียบว่าสัตว์ต่างๆ ดื่มน้ำอย่างไรโดยรวมตัวกันในสถานที่ที่เชื่อถือได้เมื่อพวกมันกระหายน้ำ พวกเขาไม่คิดสองครั้งเกี่ยวกับการระมัดระวัง พวกสัตว์นักล่ารู้เรื่องนี้ดี ดังนั้นพวกมันจึงคอยอยู่ใกล้ๆ พร้อมที่จะโจมตีพวกมันเมื่อยามของพวกมันหมดลง Water-holing ในภูมิทัศน์ดิจิทัลสามารถใช้เพื่อทำการโจมตีที่รุนแรงที่สุดกับกลุ่มผู้ใช้ที่เปราะบางได้ในเวลาเดียวกัน
6. การล่อลวง
ดังที่เห็นได้ชัดจากชื่อ การล่อลวงเกี่ยวข้องกับการใช้สัญญาเท็จเพื่อกระตุ้นความอยากรู้อยากเห็นหรือความโลภของเหยื่อ เหยื่อถูกล่อให้ติดกับดักดิจิทัลที่จะช่วยให้อาชญากรขโมยข้อมูลส่วนตัวหรือติดตั้งมัลแวร์ในระบบของพวกเขา
การล่อสามารถทำได้ทั้งผ่านสื่อออนไลน์และออฟไลน์ ตามตัวอย่างออฟไลน์ อาชญากรอาจทิ้งเหยื่อไว้ในรูปแบบของแฟลชไดรฟ์ที่ติดมัลแวร์ในตำแหน่งที่เห็นได้ชัดเจน อาจเป็นลิฟต์ ห้องน้ำ ลานจอดรถ ฯลฯ ของบริษัทเป้าหมาย แฟลชไดรฟ์จะมีลักษณะเหมือนของจริง ซึ่งจะทำให้เหยื่อนำมันไปใส่ในคอมพิวเตอร์ที่ทำงานหรือที่บ้าน แฟลชไดรฟ์จะส่งมัลแวร์เข้าสู่ระบบโดยอัตโนมัติ
รูปแบบการล่อลวงทางออนไลน์อาจอยู่ในรูปแบบของโฆษณาที่ดึงดูดใจซึ่งจะกระตุ้นให้เหยื่อคลิก ลิงก์อาจดาวน์โหลดโปรแกรมที่เป็นอันตรายซึ่งจะทำให้คอมพิวเตอร์ติดมัลแวร์
7. ควิด โปร โคว
การโจมตีแบบ quid pro quo หมายถึงการโจมตีแบบ “บางอย่างเพื่อบางสิ่ง” เป็นรูปแบบหนึ่งของเทคนิคการใช้เหยื่อ แทนที่จะหลอกล่อเหยื่อด้วยคำสัญญาถึงผลประโยชน์ การโจมตีแบบ quid pro quo สัญญาว่าจะให้บริการหากมีการดำเนินการบางอย่าง ผู้โจมตีเสนอผลประโยชน์ปลอมให้กับเหยื่อเพื่อแลกกับการเข้าถึงหรือข้อมูล
รูปแบบการโจมตีที่พบบ่อยที่สุดคือเมื่ออาชญากรแอบอ้างเป็นเจ้าหน้าที่ไอทีของบริษัท จากนั้นอาชญากรจะติดต่อพนักงานของบริษัทและเสนอซอฟต์แวร์ใหม่หรืออัปเกรดระบบให้พวกเขา พนักงานจะถูกขอให้ปิดการใช้งานซอฟต์แวร์ป้องกันไวรัสหรือติดตั้งซอฟต์แวร์ที่เป็นอันตรายหากต้องการอัปเกรด
8. หางปลา
การโจมตีแบบ tailgating เรียกอีกอย่างว่า piggybacking มันเกี่ยวข้องกับอาชญากรที่พยายามเข้าไปในสถานที่ที่ถูกจำกัดซึ่งไม่มีมาตรการตรวจสอบที่เหมาะสม คนร้ายสามารถเข้าไปได้โดยเดินตามหลังบุคคลอื่นที่ได้รับอนุญาตให้เข้ามาในพื้นที่
ตัวอย่างเช่น อาชญากรอาจปลอมตัวเป็นคนขับรถส่งของที่มีพัสดุเต็มมือ เขารอให้พนักงานที่ได้รับอนุญาตเข้ามาที่ประตู พนักงานส่งของแอบอ้างจึงขอให้พนักงานเปิดประตูให้เขา จึงปล่อยให้เข้าไปโดยไม่ได้รับอนุญาต
9. กับดักน้ำผึ้ง
เคล็ดลับนี้เกี่ยวข้องกับอาชญากรที่แสร้งทำเป็นบุคคลที่น่าสนใจทางออนไลน์ บุคคลนั้นผูกมิตรกับเป้าหมายและปลอมแปลงความสัมพันธ์ทางออนไลน์กับพวกเขา อาชญากรใช้ประโยชน์จากความสัมพันธ์นี้เพื่อดึงรายละเอียดส่วนตัวของเหยื่อ ยืมเงินจากพวกเขา หรือทำให้พวกเขาติดตั้งมัลแวร์ในคอมพิวเตอร์
ชื่อ 'honeytrap' มาจากกลยุทธ์สายลับแบบเก่าที่ใช้ผู้หญิงเป็นเป้าหมายของผู้ชาย
10. รู้ก
ซอฟต์แวร์ปลอมอาจปรากฏในรูปแบบของโปรแกรมป้องกันมัลแวร์ปลอม โปรแกรมสแกนโปรแกรมปลอม โปรแกรมสแกนโปรแกรมโกง โปรแกรมป้องกันสปายแวร์ และอื่นๆ มัลแวร์คอมพิวเตอร์ประเภทนี้ทำให้ผู้ใช้เข้าใจผิดในการจ่ายเงินสำหรับซอฟต์แวร์จำลองหรือซอฟต์แวร์ปลอมที่สัญญาว่าจะลบมัลแวร์ ซอฟต์แวร์รักษาความปลอดภัย Rogue ได้กลายเป็นข้อกังวลที่เพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา ผู้ใช้ที่ไม่สงสัยอาจตกเป็นเหยื่อของซอฟต์แวร์ดังกล่าวซึ่งมีอยู่มากมาย
11 มัลแวร์
เป้าหมายของการโจมตีด้วยมัลแวร์คือการให้เหยื่อติดตั้งมัลแวร์ในระบบของพวกเขา ผู้โจมตีใช้อารมณ์ของมนุษย์เพื่อทำให้เหยื่อยอมให้มัลแวร์เข้าสู่คอมพิวเตอร์ของพวกเขา เทคนิคนี้เกี่ยวข้องกับการใช้ข้อความโต้ตอบแบบทันที ข้อความตัวอักษร โซเชียลมีเดีย อีเมล ฯลฯ เพื่อส่งข้อความฟิชชิง ข้อความเหล่านี้หลอกลวงให้เหยื่อคลิกลิงก์ที่จะเปิดเว็บไซต์ที่มีมัลแวร์
มักใช้กลวิธีทำให้ตกใจกับข้อความ พวกเขาอาจบอกว่ามีบางอย่างผิดปกติกับบัญชีของคุณ และคุณต้องคลิกลิงก์ที่ให้มาทันทีเพื่อเข้าสู่บัญชีของคุณ จากนั้นลิงค์จะทำให้คุณดาวน์โหลดไฟล์ที่จะติดตั้งมัลแวร์ในคอมพิวเตอร์ของคุณ
รับทราบ อยู่อย่างปลอดภัย
การแจ้งข้อมูลให้ทราบเป็นขั้นตอนแรกในการป้องกันตัวเองจาก การโจมตีทางวิศวกรรมสังคม. เคล็ดลับพื้นฐานคือการเพิกเฉยต่อข้อความที่ขอรหัสผ่านหรือข้อมูลทางการเงินของคุณ คุณสามารถใช้ตัวกรองสแปมที่มาพร้อมกับบริการอีเมลของคุณเพื่อตั้งค่าสถานะอีเมลดังกล่าว การได้รับซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้จะช่วยให้ระบบของคุณปลอดภัยยิ่งขึ้น
