วิศวกรรมสังคม (Social Engineering) ศึกษาพฤติกรรม และการค้นหาข้อมูลบน Social Network แบบง่ายๆ
ถ้าหากเคยศึกษากลไกการเจาะระบบขั้นพื้นฐานมาบ้าง หนึ่งในสิ่งที่จำเป็นต้องรู้คือ การโจมตีด้วย Social Engineering
ใช่แล้วมันคือการค้นหาด้วย Search Engine Google ถ้าใครที่เคยใช้วิธีนี้ในการติดตามใครสักคน จะพบว่าข้อมูล ไม่ว่าจะเป็น ไอดี อีเมล ยูสเซอร์เนม ชื่อ-นามสกุล โรงเรียน ที่อยู่ และอื่นๆ ล้วนสัมพันธ์กัน เพราะคนส่วนใหญ่มักใช้ อีเมล หรือ ยูสเซอร์เนม เพียงอันเดียวเพื่อให้ง่ายต่อการจดจำ ดังนั้น Stalker จึงสามารถใช้ Social Network แกะรอยความเชื่อมโยงไปที่จุดต่างๆได้โดยง่าย (ดูตัวอย่างจากนักสืบพันทิปก็ได้ครับ)
ทีนี้มาพูดถึงเทคนิคอีกอย่างของการติดตามเป้าหมาย คือการใช้ Social Network ตรวจสอบสถานะการ Check-in ในสถานที่ต่างๆ ถามว่าถ้าคนอื่นรู้ว่าเราอยู่ที่ไหนจะส่งผลเสียอย่างไร ยกตัวอย่าง ถ้าโจรรู้ว่าคุณอยู่คนเดียว และยังรู้อีกว่าคุณไม่อยู่บ้าน โอกาสที่บ้านจะโดนโจรกรรมก็มีสูง และยังมีเคสอื่นๆอีกมากมายที่เกิดจากสถานะ Check-in ใน Social Media
การโพสข้อมูลสำคัญบน Internet ไม่ว่าจะเป็นรูปภาพส่วนตัว อย่างกรณีที่มีภาพหลุดของเหล่าเซเลปจาก iCloud หรือแม้กระทั่งการโพสเอกสารสำคัญ เช่น บัตรประชาชน โดยไม่ได้ปกปิดหมายเลข ก็อาจส่งผลร้ายต่อตัวผู้โพสได้
วิศวกรรมสังคม Social Engineering
การโจมตีหรือการค้นหาข้อมูลโดยไม่พึ่งพาเทคโนโลยี เป็นข้อมูลที่สามารถหาได้ทั่วไป ใครๆก็สามารถทำได้ โดยจะแบ่งรูปแบบการโจมตีออกเป็น 2 ประเภท- Human - Based คือ การใช้ปฎิสัมพันธ์กับผู้ใช้งาน หรือผู้เกี่ยวข้อง อาจเป็นการหลอกถาม ขอคำแนะนำ เพื่อให้ได้มาซึ่งข้อมูลที่ต้องการ
- Computer - Based คือ การหลอกให้ผู้ใช้หลงเชื่อข้อมูล ยกตัวอย่างเช่น การส่งเมลปลอม การส่งเว็บไซท์ปลอม (Phishing) เมื่อผู้ใช้ติดกับ ก็จะทำให้ Hacker ได้ข้อมูลที่สำคัญไปในที่สุด
แต่บล็อกนี้แอดมินจะไม่พูดถึงการโจมตีในระดับองค์กรล่ะกัน แต่จะเป็นการโจมตีหรือค้นหาข้อมูลในระดับจุลภาค เช่น Stalker เป็นต้น
เป็นที่น่าสนใจว่าในปัจจุบัน คนรุ่นใหม่อย่างน้อยจะต้องมี Social Network ไม่หนึ่งก็สองอย่าง เอาไว้ใช้ในการติดต่อสื่อสาร ไม่ว่าจะเป็น Facebook, Twitter, Instagram, Google+ รวมไปถึง Line, What'sApp, We Chat, BeeTalk โอ๊ะเยอะนะ
วิธีการที่ Stalker ชอบใช้คือ
ใช่แล้วมันคือการค้นหาด้วย Search Engine Google ถ้าใครที่เคยใช้วิธีนี้ในการติดตามใครสักคน จะพบว่าข้อมูล ไม่ว่าจะเป็น ไอดี อีเมล ยูสเซอร์เนม ชื่อ-นามสกุล โรงเรียน ที่อยู่ และอื่นๆ ล้วนสัมพันธ์กัน เพราะคนส่วนใหญ่มักใช้ อีเมล หรือ ยูสเซอร์เนม เพียงอันเดียวเพื่อให้ง่ายต่อการจดจำ ดังนั้น Stalker จึงสามารถใช้ Social Network แกะรอยความเชื่อมโยงไปที่จุดต่างๆได้โดยง่าย (ดูตัวอย่างจากนักสืบพันทิปก็ได้ครับ)
การโพสข้อมูลสำคัญบน Internet ไม่ว่าจะเป็นรูปภาพส่วนตัว อย่างกรณีที่มีภาพหลุดของเหล่าเซเลปจาก iCloud หรือแม้กระทั่งการโพสเอกสารสำคัญ เช่น บัตรประชาชน โดยไม่ได้ปกปิดหมายเลข ก็อาจส่งผลร้ายต่อตัวผู้โพสได้
การป้องกันการโจมตีแบบวิศวกรรมสังคม
- ไม่เสี่ยงเข้าเว็ปที่ไม่น่าเชื่อถือ ลองเข้าไปตรวจสอบความปลอดภัยของเว็บได้ที่ www.urlvoid.com
- ข้อมูลที่ควรเก็บเป็นความลับอย่าง Password ไม่ควรเปิดเผย แม้ว่าพาสนั้นก็ไม่สำคัญก็ตาม ควรเก็บความลับให้เป็นนิสัย
- ไม่ควรโพสข้อมูลสำคัญลง Social Media เพราะทุกข้อมูลนั้น ผู้ที่ไม่หวังดีสามารถเอาไปใช้ประโยชน์ได้ทั้งสิ้น
- อย่าเชื่อใจใครง่ายๆ
- ระมัดระวังในการกรอกพาสเวิร์ด ไม่ควรให้ใครเห็น ไม่จดพาสเอาไว้กันลืม และไม่ควรตั้งพาสที่เดาได้ง่าย
ข้อมูลจาก
