Clear
Lead Graphic Papers

Social Engineering

ผู้เขียน: วิศัลย์ ประสงค์สุข เสฏฐวุฒิ แสนนาม และ พรพรหม ประภากิตติกุล
วันที่เผยแพร่: 2 พฤศจิกายน 2555
ปรับปรุงล่าสุด: 8 พฤศจิกายน 2555

Share on Facebook Share on Twitter Share on Google+

Social Engineering เป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย [1] ผู้ที่ตกเป็นเหยื่อของ Social Engineering อาจจะตกเป็นเหยื่อโดยความตั้งใจหรือไม่ตั้งใจของผู้ไม่หวังดีก็ได้ กล่าวคือ ถ้าผู้ไม่หวังดีมีเป้าหมายเฉพาะเจาะจง เช่น ต้องการข้อมูลความลับขององค์กรใดองค์กรหนึ่ง เหยื่อในที่นี้ก็มักจะเป็นผู้ที่มิสิทธิในการเข้าถึงข้อมูลความลับขององค์กรนั้น แต่หากเป้าหมายของผู้ไม่หวังดีเป็นแบบที่ไม่ได้เจาะจงเหยื่อ เช่น ต้องการรหัสบัตรเครดิต หรือบัญชีผู้ใช้และรหัสผ่านของบริการต่าง ๆ ของใครก็ได้ เหยื่อของผู้ไม่หวังดีนี้จะเป็นใครก็ตามซึ่งหลงเชื่อการหลอกลวงนั้น

การที่ผู้ไม่หวังดีจะหลอกลวงเหยื่อให้ได้ข้อมูลที่ต้องการมานั้น ไม่ได้มีวิธีการที่ตายตัว ทำให้หากจะยกตัวอย่างวิธีการของ Social Engineering ในเอกสารนี้ให้ครบถ้วนนั้น จึงแทบจะเป็นไปไม่ได้ ในที่นี้จึงขอกล่าวถึงวิธีการที่ผู้ไม่หวังดีใช้เพื่อให้ได้มาซึ่งข้อมูลที่ต้องการโดยสังเขป ดังนี้ [2] [3]

Telephone เป็นการโทรศัพท์เข้ามาหลอกลวงเหยื่อ เพื่อให้เปิดเผยข้อมูลสำคัญหรือหลอกล่อให้เหยื่อกระทำการตามที่ผู้ไม่หวังดีต้องการ หรือถ้าเป็นในองค์กรต่าง ๆ กลุ่มที่มักจะตกเป็นเหยื่ออาจจะเป็นฝ่ายประสัมพันธ์, HR, หรือฝ่ายบริการลูกค้า เป็นต้น ซึ่งเป็นกลุ่มที่มีหน้าที่คอยให้ข้อมูลกับบุคคลอื่นอยู่แล้ว ดังนั้นกลุ่มคนเหล่านี้จึงมีความเสี่ยงสูงที่อาจจะเผลอเปิดเผยข้อมูลสำคัญบางอย่างออกมา ตัวอย่างของการหลอกลวงในลักษณะนี้เช่น ผู้ไม่หวังดีโทรมาหลอกลวงเหยื่อ ว่าเหยื่อได้รับสิทธิในการลดหย่อนภาษีจากกรมสรรพากรจึงอยากจะโอนเงินภาษีคืนให้ผ่านทางธนาคาร ขอให้เหยื่อแจ้งหมายเลขบัญชีธนาคารให้ทราบ และขอให้ทำการโอนเงินเข้ามายังบัญชีของผู้โจมตีเพื่อเป็นการยืนยันว่า เหยื่อเป็นเจ้าของบัญชีนั้นจริง ซึ่งหากเหยื่อหลงเชื่อก็จะทำการโอนเงินไปให้ผู้โจมตี
Online เป็นการหลอกลวงเหยื่อผ่านทางอินเทอร์เน็ต ไม่ว่าจะผ่านการเข้าใช้งานเว็บไซต์ อีเมล หรือการแชต การหลอกลวงในรูปแบบนี้ผู้ไม่หวังดีมักจะมีเป้าหมายเพื่อขโมยรหัสผ่านของบริการต่าง ๆ ตัวอย่างการหลอกลวงในลักษณะนี้เช่น ผู้ไม่หวังดีส่งอีเมลถึงลูกค้าของธนาคารโดยอ้างว่าธนาคารได้มีการปรับปรุง ระบบรักษาความปลอดภัย จึงอยากให้ลูกค้าเข้าสู่ระบบเพื่อยืนยันข้อมูลส่วนบุคคลโดยคลิกที่ลิงก์ที่ส่งมาในอีเมล หากผู้ใช้คลิกลิงก์เพื่อที่จะเข้าสู่ระบบ ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าใช้งานธนาคารของเหยื่อไป เป็นต้น (การโจมตีในลักษณะนี้เรียกว่า Phishing สามารถศึกษาเพิ่มเติมได้ในบทความ รู้จัก Phishing และการป้องกัน) นอกจากนี้หากเหยื่อใช้งานรหัสผ่านตัวเดียวกันกับบริการอื่น ผู้โจมตีก็อาจจะสามารถเข้าสู่ระบบของบริการอื่นได้อีกด้วย
Dumpster Diving เป็นเทคนิคการค้นหาข้อมูลสำคัญจากถังขยะของบุคคลหรือองค์กรที่เป็นเป้าหมาย เพื่อที่จะได้ข้อมูลสำคัญ เช่น รหัสผ่านที่จดบันทึกไว้ในกระดาษ แผนผังองค์กร หมายเลขโทรศัพท์ รวมถึงข้อมูลสำคัญอื่น ๆ ที่เก็บไว้บนสื่อบันทึกข้อมูลทุกประเภท [4] การทำ Dumpster Diving นี้อาจจะทำให้ผู้โจมตีได้ข้อมูลที่เพียงพอสำหรับนำไปใช้หลอกลวงด้วยวิธีการอื่นต่อไป
Shoulder Surfing เป็นการแอบสังเกตุขณะที่เหยื่อกำลังทำการป้อนข้อมูล หรือเข้าถึงข้อมูลที่ต้องการ ดังรูปที่ 1 ซึ่งวิธีการนี้ไม่ได้จำกัดอยู่เพียงการแอบมองขณะที่เหยื่อใช้งานคอมพิวเตอร์เท่านั้น หากแต่รวมถึงสถานการณ์อื่น เช่นการกดรหัส ATM หรือ การกรอกแบบฟอร์มด้วยปากกา และนอกจากผู้ไม่หวังดีจะแอบสังเกตุเหยื่อในระยะประชิดแล้ว ยังรวมถึงการสังเกตุจากระยะไกลที่ใช้เครื่องมืออย่างกล้องส่องทางไกลด้วย [5]

Pp2012no0017-1.jpg
รูปที่ 1 Shoulder Surfing

Reverse Social Engineering เป็นวิธีการที่ผู้ไม่หวังดีสามารถทำให้เหยื่อติดต่อกลับเข้ามาหาตนเอง โดยอาจจะติดต่อกลับมาเพื่อขอความช่วยเหลือ หรือสอบถามข้อมูลจากผู้โจมตี ซึ่งเหตุการณ์เช่นนี้อาจเป็นผลมาจากการที่ผู้ไม่หวังดีเคยหลอกลวงเหยื่อเอาไว้แล้วในครั้งก่อน ทันทีที่เหยื่อติดต่อมายังผู้โจมตี เหยื่อก็แทบจะไม่มีทางรู้ตัวได้เลยว่าตนกำลังถูกหลอกลวงอยู่ ทั้งนี้ก่อนจะหลอกให้เหยื่อติดต่อกลับมานั้นผู้ไม่หวังดีจะต้องทำการบ้านมาเป็นอย่างดี เพื่อไม่ให้เหยื่อที่ติดต่อกลับมาหานั้น เกิดความสงสัย ตัวอย่างง่าย ๆ ของการหลอกลวงลักษณะนี้เช่น ผู้ไม่หวังดีแนะนำเหยื่อว่าหากมีปัญหากับการใช้งานอินเทอร์เน็ต สามารถปรึกษากับตนได้ ซึ่งเมื่อเวลาผ่านไปเหยื่ออาจจะติดต่อกลับมา ซึ่งจะเป็นโอกาสที่ดีของผู้ไม่หวังดีที่จะหลอกเอาชื่อผู้ใช้ และรหัสผ่านของการเข้าใช้งานอินเทอร์เน็ตของเหยื่อได้

เนื่องจาก Social Engineering มีเหยื่อเป็นบุคคล การให้ความรู้ความเข้าใจในเรื่อง Social Engineering จึงเป็นสิ่งสำคัญ หากมองในมุมขององค์กรแล้ว นอกจากจะให้ความรู้ความเข้าใจกับพนักงาน ยังควรจะต้องมีการกำหนดนโยบาย และขั้นตอนการปฏิบัติงานที่ชัดเจนเพื่อป้องกัน Social Engineering [6] ไม่ว่าจะเป็นการกำหนดขั้นตอนการปฏิบัติงานของแผนกต่าง ๆ เช่น Helpdesk ซึ่งควรจะต้องมีการตรวจสอบข้อมูลของผู้สอบถามก่อนจะให้ข้อมูล การกำหนด Password policy ที่จะกำหนดแนวทางการใช้งานรหัสผ่าน เช่น ห้ามจดบันทึกรหัสผ่าน หรือ ห้ามใช้รหัสผ่านร่วมกับผู้อื่น การกำหนดชั้นความลับของเอกสาร ที่จะทำให้มีการปฏิบัติต่อเอกสารอย่างเหมาะสม ไม่ว่าจะเป็นการเก็บรักษา หรือการทำลายเอกสาร เป็นต้น

สำหรับมุมมองในระดับบุคคลนั้น สามารถระวังตนจากผู้ไม่หวังดีได้ โดยอาศัยการเป็นคนช่างสงสัย และมีสติ เมื่อสื่อสารกับคนแปลกหน้าไม่ว่าจะเป็นทางโทรศัพท์ ทางอีเมล หรือพูดคุยกันซึ่งหน้า ที่ต้องการข้อมูลส่วนบุคคล หรือข้อมูลภายในขององค์กร ซี่งไม่ว่าคนแปลกหน้านั้นจะแสดงตนว่าเป็นบุคคลจากองค์กรใดก็ตาม ก็ควรจะมีการตรวจสอบกับองค์กรนั้นโดยตรงก่อนเสมอ [7]

อ้างอิง

1. https://www.etda.or.th/etda_website/mains/display/747
2. http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-manipulating-source_32914
3. http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics
4. https://www.etda.or.th/etda_website/mains/display/406
5. http://searchsecurity.techtarget.com/definition/shoulder-surfing
6. http://www.sans.org/reading_room/whitepapers/engineering/social-engineering_1365
7. http://www.us-cert.gov/cas/tips/ST04-014.html

Clear