Clear
Lead Graphic Papers

ข่าวสั้น

แนะนำวิธีการป้องกันไม่ให้ถูก social engineering ผ่าน LinkedIn

LinkedIn เป็นโซเชียลเน็ตเวิร์คสำหรับกลุ่มคนทำงาน ซึ่งได้รับความนิยมในการใช้เผยแพร่ข้อมูลด้านการทำงานและเป็นแหล่งที่หลายบริษัทนิยมใช้ค้นหาบุคคลที่มีความสามารถเข้าไปร่วมงานด้วย เนื่องจากความนิยมของ LinkedIn ประกอบกับข้อมูลที่เผยแพร่อยู่ในเว็บไซต์นั้นมีหลายอย่างที่เป็นข้อมูลค่อนข้างส่วนตัว (เช่น ประวัติการทำงาน, ประวัติการศึกษา, ช่องทางการติดต่อ) ซึ่งในบางครั้งผู้ประสงค์ร้ายอาจนำข้อมูลที่ได้ไปใช้ในการสร้างความเสียหายได้ อีกทั้งปัจจุบันเริ่มมีการหลอกลวงขโมยข้อมูลผ่าน LinkedIn ด้วยเทคนิค social engineering มากขึ้น การระมัดระวังป้องกันไม่ให้ตกเป็นเหยื่อจึงเป็นสิ่งที่ผู้ใช้บริการ LinkedIn ควรตระหนัก

ตัวอย่างการโจมตีผ่าน LinkedIn เช่น

  • หลอกให้เข้าไปยังหน้าเว็บไซต์ปลอมหรือหน้าเว็บไซต์ที่มีมัลแวร์ โดยลักษณะอาจจะเป็นการส่งข้อความที่มีเนื้อหาน่าสนใจ เช่น เสนอตำแหน่งที่มีค่าตอบแทนสูงๆ เพื่อหลอกให้ส่ง resume หรือหลอกให้เข้าเว็บไซต์ปลอมที่มีหน้าล็อกอินเพื่อหลอกขโมยข้อมูล
  • สร้างผู้ใช้ที่มีโปรไฟล์ปลอมๆ ขึ้นมา โดยอาจจะแอบอ้างเป็นเจ้าหน้าที่หน่วยงานระดับสูงที่เป้าหมายน่าจะสนใจอยากไปทำงานด้วย จากนั้นส่งข้อความมาสร้างความสนิทสนมแล้วสอบถามเพื่อล้วงข้อมูลความลับภายในของหน่วยงานที่เป้าหมายทำงานอยู่
  • สร้างบัญชีปลอมสวมรอยว่าเป็นเจ้าหน้าที่ในหน่วยงานเดียวกับที่เป้าหมายทำงานอยู่ (ซึ่งเจ้าหน้าที่ตัวจริงที่ถูกสวมรอยอาจไม่ได้ใช้ LinkedIn) จากนั้นติดต่อมายังเป้าหมายเพื่้อหลอกสอบถามข้อมูล
  • หาอีเมลของพนักงานฝ่ายบุคคลหรือ recruiter จากนั้นส่งมัลแวร์มาโจมตี ซึ่งกลุ่มคนเหล่านี้เป็นกลุ่มเป้าหมายที่มีโอกาสถูกโจมตีได้สูงเพราะมักจะมีการเปิดไฟล์แนบจากอีเมลเพื่อดูข้อมูลของผู้สมัครงาน

หน่วยงานที่มีการใช้ LinkedIn ในการติดต่อหรือหาคนเข้าทำงาน ควรมีการอบรมให้พนักงานระมัดระวังการโพสต์ข้อมูลสำคัญของหน่วยงานใน LinkedIn รวมทั้งอบรมความมั่นคงปลอดภัยให้กับเจ้าหน้าที่ฝ่ายบุคคล สำหรับวิธีการสังเกตโปรไฟล์ LinkedIn ปลอม สามารถดูได้หลายวิธี เช่น ข้อมูลประวัติการศึกษาหรือประวัติทำงานไม่สมเหตุสมผล ชื่อหน่วยงานไม่ตรงความเป็นจริง ไม่มีผลงานอ้างอิงอื่นให้ตรวจสอบ เป็นต้น อย่างไรก็ตาม อาจเป็นการยากที่จะแยกแยะว่าโปรไฟล์ใดจริงหรือปลอม ซึ่งผู้ใช้งานอาจต้องใช้วิจารณญาณในการรับเพื่อนหรือเปิดเผยข้อมูลกับบุคคลที่ไม่คุ้นเคย

วันที่: 2017-01-24 | ที่มา: Cylance | Share on Facebook Share on Twitter Share on Google+

Clear