ทางลัดไปอ่าน
Toggle5 เทคนิคจิตวิทยาด้านมืด ที่ทำให้การหลอกแบบ Social Engineering ได้ผล
"CEO Fraud" เมื่อหัวหน้าเรากลายเป็นตัวปลอม
บริษัทการเงินขนาดกลางแห่งหนึ่งตกเป็นเหยื่อของการหลอกลวงแบบ “CEO Fraud” อย่างแยบยล แฮกเกอร์ใช้เทคโนโลยี Deepfake สร้างวิดีโอคอลปลอมของ CEO ติดต่อกับฝ่ายการเงิน ขอให้โอนเงิน 5 ล้านยูโรไปยังบัญชีในต่างประเทศ อ้างว่าเป็นส่วนหนึ่งของการเข้าซื้อกิจการลับรู้กันเฉพาะบอร์ดบริหาร ฝ่ายการเงินหลงเชื่อเพราะเห็นภาพและได้ยินเสียงของ CEO ชัดเจน จึงอนุมัติการโอนเงินทันที
ผลจากเหตุการณ์นี้พบว่า: เงิน 5 ล้านยูโรถูกโอนออกไปยังบัญชีของแฮกเกอร์และกระจายไปยังหลายประเทศ ทำให้ติดตามคืนได้ยาก บริษัทสูญเสียเงินจำนวนมาก รวมถึงความเชื่อมั่นจากนักลงทุนก็ลดลง
"Phishing" เมื่อความปลอดภัยทางไซเบอร์ถูกใช้เป็นแผนซ้อนกลสร้างเครื่องมือหลอกลวง
บริษัทเทคโนโลยีชั้นนำแห่งหนึ่งตกเป็นเหยื่อของการโจมตีแบบ Phishing แฮกเกอร์สร้างอีเมลปลอมที่ดูเหมือนมาจากหน่วยงานไอที ที่ดูแลด้านความปลอดภัยทางไซเบอร์ของบริษัท แจ้งเตือนพนักงานว่ามีการโจมตีเกิดขึ้นและต้องเปลี่ยนพาสเวิร์ดโดยทันที พร้อมแนบลิงก์ที่ดูเหมือนเป็นเมลภายในระบบจริงๆ ของบริษัท
พนักงานหลายร้อยคนตกเป็นเหยื่อหลงเชื่อและกรอกข้อมูลลงไปในเว็บไซต์ปลอมนั้น เนื่องจากความตื่นตระหนก บางส่วนทำงานแบบ Hybrid อยู่ข้างนอกบริษัท ทำให้เชื่อว่าตอนนี้กำลังมีมาตรการความปลอดภัยแบบเร่งด่วนเกิดขึ้น ที่ต้องรีบแก้ไขโดยทันที
ผลจากเหตุการณ์นี้พบว่า: แฮกเกอร์ได้รับข้อมูลล็อกอินของพนักงานจำนวนมาก รวมถึงทีมบริหารผู้ที่มีสิทธิ์เข้าถึงระบบสำคัญ นำไปสู่การขโมยข้อมูลลูกค้าและโค้ดต้นฉบับของผลิตภัณฑ์สำคัญ สร้างความเสียหายทางธุรกิจและชื่อเสียงอย่างมหาศาล
"ข้อมูลรั่วไหลจากโซเชียลมีเดีย" เมื่อความสนุกกลายเป็นจุดที่พลาดคาดไม่ถึง
พนักงานบริษัทพลังงานใหญ่แห่งหนึ่งมักแชร์ภาพและข้อความเกี่ยวกับงานของตัวเองลงบนโซเชียลมีเดียส่วนตัว โดยไม่รู้ตัวว่ากำลังเปิดเผยข้อมูลสำคัญ แฮกเกอร์ใช้เวลาตลอดหลายเดือนในการรวบรวมข้อมูลเหล่านี้ ทั้งชื่อพนักงาน ตำแหน่ง โครงสร้างองค์กร และแม้แต่รูปถ่ายภายในสำนักงาน
จากนั้นแฮกเกอร์ใช้ข้อมูลเหล่านี้วางแผนโจมตีแบบ Spear Phishing อย่างแม่นยำ โดยส่งอีเมลหลอกลวงที่ดูสมจริงมากให้กับพนักงานเป้าหมายคนนี้
ผลจากเหตุการณ์นี้พบว่า: แฮกเกอร์สามารถเจาะระบบและขโมยข้อมูลสำคัญเกี่ยวกับแผนการสำรวจแหล่งพลังงานใหม่ ส่งผลให้บริษัทสูญเสียความได้เปรียบทางการแข่งขันและมูลค่าหุ้นลดลงอย่างมีนัยสำคัญ
Social Engineering เป็นเทคนิคการโจมตีทางไซเบอร์ที่อาศัยการหลอกลวงโดยอาศัยกลไกด้านจิตวิทยามากกว่าความชำนาญทางเทคนิค ผู้โจมตีจะพยายามสร้างความไว้วางใจหรือหลอกล่อเหยื่อให้เปิดเผยข้อมูลสำคัญ เช่น การปลอมตัวเป็นเจ้าหน้าที่ไอทีเพื่อขอรหัสผ่าน การส่งอีเมลหลอกให้คลิกลิงก์อันตราย หรือการแอบเฝ้าดูพฤติกรรมเราบนโซเซียล เป็นต้น
จิตวิทยาด้านมืด ที่ทำให้ Social Engineering ได้ผล
- ความเร่งรีบ (Urgency)
Social Engineering มักได้ผลเมื่อได้มีการสร้างสถานการณ์แบบเร่งด่วน ต้องรีบตัดสินใจ เพราะมนุษย์มีแนวโน้มที่จะตัดสินใจผิดพลาดเมื่อถูกกดดันด้วยเวลา สมองของเราจะเข้าสู่โหมด “สู้หรือหนี” ซึ่งอยู่ในยีนตั้งแต่ยุคดึกดำบรรพ์ สมัยยังล่าสัตว์หาอาหาร ทำให้การคิดวิเคราะห์อย่างรอบคอบลดลง แฮกเกอร์มักใช้ประโยชน์จากจุดนี้โดยสร้างสถานการณ์ที่ดูเหมือนต้องรีบแก้ไขทันที เช่น Call Center แจ้งว่าบัญชีกำลังจะถูกระงับหากไม่ยืนยันตัวตนภายใน 1 ชั่วโมง ทำให้เหยื่อรีบกรอกข้อมูลสำคัญโดยไม่ทันได้ตรวจสอบความถูกต้องของแหล่งที่มา
- ความกลัว (Fear)
การใช้ความกลัวเป็นเครื่องมือในการทำ Social Engineering ก็เป็นอีกหนึ่งจิตวิทยาที่ถูกใช้บ่อย เพราะเมื่อมนุษย์รู้สึกกลัว สมองส่วนที่ทำหน้าที่คิดวิเคราะห์จะทำงานได้ไม่เต็มที่ แทนที่จะใช้เหตุผล เราจะตอบสนองด้วยสัญชาตญาณเพื่อหลีกเลี่ยงอันตราย แฮกเกอร์มักสร้างสถานการณ์ทำให้เหยื่อเกิดความกลัว เช่น การแจ้งว่าพบการเข้าถึงบัญชีผิดปกติและอาจสูญเสียเงินทั้งหมดหากไม่ดำเนินการทันที การแจ้งว่าตรวจพบการกระทำที่ผิดกฎหมาย ความกลัวที่จะสูญเสียทำให้เหยื่อยอมทำตามคำสั่งโดยไม่คิดตรวจสอบให้รอบคอบก่อน
- ความเห็นอกเห็นใจ (Empathy)
มนุษย์เรามีธรรมชาติที่ต้องการช่วยเหลือผู้อื่น โดยเฉพาะเมื่อเห็นผู้คนต่างๆ ต้องการได้รับความช่วยเหลือ Social Engineering ใช้ประโยชน์จากความเห็นอกเห็นใจนี้โดยสร้างเรื่องราวที่น่าสงสาร เช่น แอบอ้างเป็นเพื่อนร่วมงานที่กำลังประสบปัญหาการเงินและขอยืมเงินด่วน หรือปลอมเป็นองค์กรการกุศลที่กำลังระดมทุนช่วยเหลือผู้ประสบภัย ความปรารถนาที่จะช่วยเหลือของเหยื่อทำให้เหยื่อลดความระวังลง และอาจนำไปสู่การเปิดเผยข้อมูลสำคัญหรือโอนเงินให้กับมิจฉาชีพโดยไม่รู้ตัว
- ความอยากรู้อยากเห็น (Curiosity)
ธรรมชาติของมนุษย์มักมีสิ่งที่เรียกว่าอยากรู้อยากเห็นเป็นจุดอ่อนสำคัญที่ Social Engineering นำมาใช้ประโยชน์ได้อย่างมาก แฮกเกอร์มักสร้างเนื้อหาหรือหัวข้อที่กระตุ้นความสนใจ เช่น ข่าวแฉคนดัง ภาพหลุด หรือโปรโมชั่นพิเศษสุดๆ เพื่อล่อให้เหยื่อคลิกลิงก์หรือเปิดไฟล์แนบ ความอยากรู้อยากเห็นของเหยื่อทำให้เราละเลยการระมัดระวังและอาจนำไปสู่การติดมัลแวร์หรือการเปิดเผยข้อมูลส่วนตัวโดยไม่ตั้งใจ ยิ่งเนื้อหานั้นดูเหมือนจะเป็นข้อมูลเฉพาะกลุ่มหรือกลุ่มลับ ก็ยิ่งกระตุ้นให้อยากรู้มากขึ้น
- ความไว้ใจ (Trust)
การแอบอ้างเป็นบุคคลที่น่าเชื่อถือเป็นเทคนิค Social Engineering ที่ได้ผลดีมาก เพราะเมื่อเราเชื่อว่ากำลังติดต่อกับคนที่น่าเชื่อถือ เช่น ผู้บริหารบริษัท เจ้าหน้าที่รัฐ หรือเพื่อนสนิท เราจะลดความระมัดระวังลงอย่างมาก แฮกเกอร์ใช้ข้อมูลที่หาได้จากโซเชียลมีเดียหรือแหล่งสาธารณะอื่นๆ รวมถึงเทคโนโลยี AI สมัยใหม่เพื่อสร้างบทสนทนาที่สมจริง ทำให้เหยื่อหลงเชื่อและยินดีให้ข้อมูลหรือดำเนินการตามคำขอโดยไม่สงสัย ความไว้ใจนี้อาจนำไปสู่การเปิดเผยข้อมูลสำคัญขององค์กรหรือการโอนเงินให้กับบัญชีปลอมได้
การป้องกันภัยจากจิตวิทยาด้านมืด Social Engineering
- สร้างวัฒนธรรมความปลอดภัยในองค์กร ผ่านการส่งเสริมให้พนักงานตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์ และกล้าที่จะรายงานเหตุการณ์น่าสงสัย โดยไม่กลัวว่าจะถูกตำหนิหากเป็นการแจ้งเตือนที่ผิดพลาด
- ใช้ระบบยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication) โดบเพิ่มระบบความปลอดภัยในการเข้าถึงระบบสำคัญด้วยการใช้ MFA ซึ่งช่วยป้องกันกรณีที่รหัสผ่านถูกขโมยหรือหลอกเอาไป
- นโยบายการตรวจสอบคำขอที่ผิดปกติ โดยต้องมีมาตราฐานการกำหนดขั้นตอนการตรวจสอบเพิ่มเติมสำหรับคำขอที่ผิดปกติ เช่น การโอนเงินจำนวนมาก หรือการขอข้อมูลสำคัญ โดยต้องมีการยืนยันผ่านช่องทางอื่นเพิ่มเติมด้วยเสมอ
- ใช้เทคโนโลยีป้องกันการโจมตีทางอีเมล ผ่านการติดตั้งระบบกรองสแปมและมัลแวร์ที่ทันสมัย รวมถึงเทคโนโลยีตรวจจับฟิชชิ่งขั้นสูง เพื่อลดโอกาสที่อีเมลหลอกลวงจะส่งถึงมือพนักงาน
- อัพเดทซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ โดยทีมไอทีจะต้องดูแลให้ระบบทั้งหมดได้รับการอัพเดท Patch ล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี
- สร้างแผนรับมือเหตุการณ์ โดยเตรียมแผนและขั้นตอนการรับมือหากเกิดการโจมตีทาง Social Engineering ขึ้น เพื่อให้สามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพ
อย่างไรก็ตาม การป้องกัน Social Engineering นั้นเป็นงานที่ต้องอาศัยความเชี่ยวชาญและการดูแลอย่างต่อเนื่อง ซึ่งอาจเป็นภาระที่หนักเกินไปสำหรับหลายองค์กร ดังนั้น การใช้บริการ Business Solution: Firewall as a Services จากทีมงาน ProSpace จึงเป็นทางเลือกที่น่าสนใจอย่างยิ่ง
ProSpace นำเสนอการดูแลและจัดการความปลอดภัยของระบบสารสนเทศทั้งหมดให้กับองค์กรธุรกิจแบบเอาท์ซอร์ซ (Outsource) ครอบคลุมทั้งการติดตั้งระบบรักษาความปลอดภัย การตรวจจับและป้องกันภัยคุกคามไซเบอร์ รวมถึง Social Engineering ด้วยทีมงานมืออาชีพที่คอยตอบสนองต่อเหตุการณ์ด้านความปลอดภัยแบบมืออาชีพ มีประสบการณ์ในอุตสาหกรรมไอทีซิเคียวริตี้มามากกว่า 20 ปี
นอกจากนี้ ProSpace ยังให้บริการประเมินช่องโหว่และเตรียมความพร้อมรับมือกับความเสี่ยงต่างๆ ที่อาจเกิดขึ้น ซึ่งรวมถึงการฝึกอบรมพนักงานให้รู้เท่าทัน Social Engineering และการสร้างวัฒนธรรมความปลอดภัยในองค์กร
ด้วยบริการครบวงจรนี้ องค์กรสามารถมั่นใจได้ว่าจะได้รับการปกป้องจากภัยคุกคามทาง Social Engineering และภัยคุกคามไซเบอร์อื่นๆ อย่างมีประสิทธิภาพ โดยไม่ต้องกังวลกับการจัดการระบบความปลอดภัยที่ซับซ้อนด้วยตนเอง ทำให้สามารถมุ่งเน้นไปที่การดำเนินธุรกิจหลักได้อย่างเต็มที่
การเลือกใช้บริการ Business Soluiton: Firewall as a Services จาก ProSpace จึงไม่เพียงแต่เป็นการลงทุนด้านความปลอดภัย แต่ยังเป็นการเพิ่มประสิทธิภาพการทำงานและลดความเสี่ยงทางธุรกิจในระยะยาวอีกด้วย สนใจหรือต้องการข้อมูลเพิ่มเติม ติดต่อ โทร : 085-449-7373 หรือ Email : SALES@PROSPACE.SERVICE
บทความที่เกี่ยวข้อง : Dark Web
Firewall as a Service
ช่วยออกแบบความปลอดภัยเน็ตเวิร์ค พร้อมกับทีมผู้เชี่ยวชาญดูแล
- Firewall subscription model
- พร้อมพนักงานบริหารจัดการระบบหลังบ้าน
- มีการตั้งค่า configuration ตามนโยบายบริษัท
- มีที่ปรึกษาดูแลระบบตลอดอายุสัญญา