fbpx Skip to content

5 เทคนิคจิตวิทยาด้านมืด ที่ทำให้การหลอกแบบ Social Engineering ได้ผล

5 เทคนิคจิตวิทยาด้านมืด ที่ทำให้การหลอกแบบ Social Engineering ได้ผล​

"CEO Fraud" เมื่อหัวหน้าเรากลายเป็นตัวปลอม

บริษัทการเงินขนาดกลางแห่งหนึ่งตกเป็นเหยื่อของการหลอกลวงแบบ “CEO Fraud” อย่างแยบยล แฮกเกอร์ใช้เทคโนโลยี Deepfake สร้างวิดีโอคอลปลอมของ CEO ติดต่อกับฝ่ายการเงิน ขอให้โอนเงิน 5 ล้านยูโรไปยังบัญชีในต่างประเทศ อ้างว่าเป็นส่วนหนึ่งของการเข้าซื้อกิจการลับรู้กันเฉพาะบอร์ดบริหาร ฝ่ายการเงินหลงเชื่อเพราะเห็นภาพและได้ยินเสียงของ CEO ชัดเจน จึงอนุมัติการโอนเงินทันที

ผลจากเหตุการณ์นี้พบว่า: เงิน 5 ล้านยูโรถูกโอนออกไปยังบัญชีของแฮกเกอร์และกระจายไปยังหลายประเทศ ทำให้ติดตามคืนได้ยาก บริษัทสูญเสียเงินจำนวนมาก รวมถึงความเชื่อมั่นจากนักลงทุนก็ลดลง

"Phishing" เมื่อความปลอดภัยทางไซเบอร์ถูกใช้เป็นแผนซ้อนกลสร้างเครื่องมือหลอกลวง

บริษัทเทคโนโลยีชั้นนำแห่งหนึ่งตกเป็นเหยื่อของการโจมตีแบบ Phishing แฮกเกอร์สร้างอีเมลปลอมที่ดูเหมือนมาจากหน่วยงานไอที ที่ดูแลด้านความปลอดภัยทางไซเบอร์ของบริษัท แจ้งเตือนพนักงานว่ามีการโจมตีเกิดขึ้นและต้องเปลี่ยนพาสเวิร์ดโดยทันที พร้อมแนบลิงก์ที่ดูเหมือนเป็นเมลภายในระบบจริงๆ ของบริษัท

พนักงานหลายร้อยคนตกเป็นเหยื่อหลงเชื่อและกรอกข้อมูลลงไปในเว็บไซต์ปลอมนั้น เนื่องจากความตื่นตระหนก บางส่วนทำงานแบบ Hybrid อยู่ข้างนอกบริษัท ทำให้เชื่อว่าตอนนี้กำลังมีมาตรการความปลอดภัยแบบเร่งด่วนเกิดขึ้น ที่ต้องรีบแก้ไขโดยทันที

ผลจากเหตุการณ์นี้พบว่า: แฮกเกอร์ได้รับข้อมูลล็อกอินของพนักงานจำนวนมาก รวมถึงทีมบริหารผู้ที่มีสิทธิ์เข้าถึงระบบสำคัญ นำไปสู่การขโมยข้อมูลลูกค้าและโค้ดต้นฉบับของผลิตภัณฑ์สำคัญ สร้างความเสียหายทางธุรกิจและชื่อเสียงอย่างมหาศาล

"ข้อมูลรั่วไหลจากโซเชียลมีเดีย" เมื่อความสนุกกลายเป็นจุดที่พลาดคาดไม่ถึง

พนักงานบริษัทพลังงานใหญ่แห่งหนึ่งมักแชร์ภาพและข้อความเกี่ยวกับงานของตัวเองลงบนโซเชียลมีเดียส่วนตัว โดยไม่รู้ตัวว่ากำลังเปิดเผยข้อมูลสำคัญ แฮกเกอร์ใช้เวลาตลอดหลายเดือนในการรวบรวมข้อมูลเหล่านี้ ทั้งชื่อพนักงาน ตำแหน่ง โครงสร้างองค์กร และแม้แต่รูปถ่ายภายในสำนักงาน

จากนั้นแฮกเกอร์ใช้ข้อมูลเหล่านี้วางแผนโจมตีแบบ Spear Phishing อย่างแม่นยำ โดยส่งอีเมลหลอกลวงที่ดูสมจริงมากให้กับพนักงานเป้าหมายคนนี้

ผลจากเหตุการณ์นี้พบว่า: แฮกเกอร์สามารถเจาะระบบและขโมยข้อมูลสำคัญเกี่ยวกับแผนการสำรวจแหล่งพลังงานใหม่ ส่งผลให้บริษัทสูญเสียความได้เปรียบทางการแข่งขันและมูลค่าหุ้นลดลงอย่างมีนัยสำคัญ

Social Engineering เป็นเทคนิคการโจมตีทางไซเบอร์ที่อาศัยการหลอกลวงโดยอาศัยกลไกด้านจิตวิทยามากกว่าความชำนาญทางเทคนิค ผู้โจมตีจะพยายามสร้างความไว้วางใจหรือหลอกล่อเหยื่อให้เปิดเผยข้อมูลสำคัญ เช่น การปลอมตัวเป็นเจ้าหน้าที่ไอทีเพื่อขอรหัสผ่าน การส่งอีเมลหลอกให้คลิกลิงก์อันตราย หรือการแอบเฝ้าดูพฤติกรรมเราบนโซเซียล เป็นต้น

จิตวิทยาด้านมืด ที่ทำให้ Social Engineering ได้ผล

  1. ความเร่งรีบ (Urgency)

Social Engineering มักได้ผลเมื่อได้มีการสร้างสถานการณ์แบบเร่งด่วน ต้องรีบตัดสินใจ เพราะมนุษย์มีแนวโน้มที่จะตัดสินใจผิดพลาดเมื่อถูกกดดันด้วยเวลา สมองของเราจะเข้าสู่โหมด “สู้หรือหนี” ซึ่งอยู่ในยีนตั้งแต่ยุคดึกดำบรรพ์ สมัยยังล่าสัตว์หาอาหาร ทำให้การคิดวิเคราะห์อย่างรอบคอบลดลง แฮกเกอร์มักใช้ประโยชน์จากจุดนี้โดยสร้างสถานการณ์ที่ดูเหมือนต้องรีบแก้ไขทันที เช่น Call Center แจ้งว่าบัญชีกำลังจะถูกระงับหากไม่ยืนยันตัวตนภายใน 1 ชั่วโมง ทำให้เหยื่อรีบกรอกข้อมูลสำคัญโดยไม่ทันได้ตรวจสอบความถูกต้องของแหล่งที่มา

  1. ความกลัว (Fear)

การใช้ความกลัวเป็นเครื่องมือในการทำ Social Engineering ก็เป็นอีกหนึ่งจิตวิทยาที่ถูกใช้บ่อย เพราะเมื่อมนุษย์รู้สึกกลัว สมองส่วนที่ทำหน้าที่คิดวิเคราะห์จะทำงานได้ไม่เต็มที่ แทนที่จะใช้เหตุผล เราจะตอบสนองด้วยสัญชาตญาณเพื่อหลีกเลี่ยงอันตราย แฮกเกอร์มักสร้างสถานการณ์ทำให้เหยื่อเกิดความกลัว เช่น การแจ้งว่าพบการเข้าถึงบัญชีผิดปกติและอาจสูญเสียเงินทั้งหมดหากไม่ดำเนินการทันที การแจ้งว่าตรวจพบการกระทำที่ผิดกฎหมาย ความกลัวที่จะสูญเสียทำให้เหยื่อยอมทำตามคำสั่งโดยไม่คิดตรวจสอบให้รอบคอบก่อน

  1. ความเห็นอกเห็นใจ (Empathy)

มนุษย์เรามีธรรมชาติที่ต้องการช่วยเหลือผู้อื่น โดยเฉพาะเมื่อเห็นผู้คนต่างๆ ต้องการได้รับความช่วยเหลือ Social Engineering ใช้ประโยชน์จากความเห็นอกเห็นใจนี้โดยสร้างเรื่องราวที่น่าสงสาร เช่น แอบอ้างเป็นเพื่อนร่วมงานที่กำลังประสบปัญหาการเงินและขอยืมเงินด่วน หรือปลอมเป็นองค์กรการกุศลที่กำลังระดมทุนช่วยเหลือผู้ประสบภัย ความปรารถนาที่จะช่วยเหลือของเหยื่อทำให้เหยื่อลดความระวังลง และอาจนำไปสู่การเปิดเผยข้อมูลสำคัญหรือโอนเงินให้กับมิจฉาชีพโดยไม่รู้ตัว

  1. ความอยากรู้อยากเห็น (Curiosity)

ธรรมชาติของมนุษย์มักมีสิ่งที่เรียกว่าอยากรู้อยากเห็นเป็นจุดอ่อนสำคัญที่ Social Engineering นำมาใช้ประโยชน์ได้อย่างมาก แฮกเกอร์มักสร้างเนื้อหาหรือหัวข้อที่กระตุ้นความสนใจ เช่น ข่าวแฉคนดัง ภาพหลุด หรือโปรโมชั่นพิเศษสุดๆ เพื่อล่อให้เหยื่อคลิกลิงก์หรือเปิดไฟล์แนบ ความอยากรู้อยากเห็นของเหยื่อทำให้เราละเลยการระมัดระวังและอาจนำไปสู่การติดมัลแวร์หรือการเปิดเผยข้อมูลส่วนตัวโดยไม่ตั้งใจ ยิ่งเนื้อหานั้นดูเหมือนจะเป็นข้อมูลเฉพาะกลุ่มหรือกลุ่มลับ ก็ยิ่งกระตุ้นให้อยากรู้มากขึ้น

  1. ความไว้ใจ (Trust)

การแอบอ้างเป็นบุคคลที่น่าเชื่อถือเป็นเทคนิค Social Engineering ที่ได้ผลดีมาก เพราะเมื่อเราเชื่อว่ากำลังติดต่อกับคนที่น่าเชื่อถือ เช่น ผู้บริหารบริษัท เจ้าหน้าที่รัฐ หรือเพื่อนสนิท เราจะลดความระมัดระวังลงอย่างมาก แฮกเกอร์ใช้ข้อมูลที่หาได้จากโซเชียลมีเดียหรือแหล่งสาธารณะอื่นๆ รวมถึงเทคโนโลยี AI สมัยใหม่เพื่อสร้างบทสนทนาที่สมจริง ทำให้เหยื่อหลงเชื่อและยินดีให้ข้อมูลหรือดำเนินการตามคำขอโดยไม่สงสัย ความไว้ใจนี้อาจนำไปสู่การเปิดเผยข้อมูลสำคัญขององค์กรหรือการโอนเงินให้กับบัญชีปลอมได้

การป้องกันภัยจากจิตวิทยาด้านมืด Social Engineering

  • สร้างวัฒนธรรมความปลอดภัยในองค์กร ผ่านการส่งเสริมให้พนักงานตระหนักถึงความสำคัญของความปลอดภัยทางไซเบอร์ และกล้าที่จะรายงานเหตุการณ์น่าสงสัย โดยไม่กลัวว่าจะถูกตำหนิหากเป็นการแจ้งเตือนที่ผิดพลาด
  • ใช้ระบบยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication) โดบเพิ่มระบบความปลอดภัยในการเข้าถึงระบบสำคัญด้วยการใช้ MFA ซึ่งช่วยป้องกันกรณีที่รหัสผ่านถูกขโมยหรือหลอกเอาไป
  • นโยบายการตรวจสอบคำขอที่ผิดปกติ โดยต้องมีมาตราฐานการกำหนดขั้นตอนการตรวจสอบเพิ่มเติมสำหรับคำขอที่ผิดปกติ เช่น การโอนเงินจำนวนมาก หรือการขอข้อมูลสำคัญ โดยต้องมีการยืนยันผ่านช่องทางอื่นเพิ่มเติมด้วยเสมอ
  • ใช้เทคโนโลยีป้องกันการโจมตีทางอีเมล ผ่านการติดตั้งระบบกรองสแปมและมัลแวร์ที่ทันสมัย รวมถึงเทคโนโลยีตรวจจับฟิชชิ่งขั้นสูง เพื่อลดโอกาสที่อีเมลหลอกลวงจะส่งถึงมือพนักงาน
  • อัพเดทซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ โดยทีมไอทีจะต้องดูแลให้ระบบทั้งหมดได้รับการอัพเดท Patch ล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี
  • สร้างแผนรับมือเหตุการณ์ โดยเตรียมแผนและขั้นตอนการรับมือหากเกิดการโจมตีทาง Social Engineering ขึ้น เพื่อให้สามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพ

อย่างไรก็ตาม การป้องกัน Social Engineering นั้นเป็นงานที่ต้องอาศัยความเชี่ยวชาญและการดูแลอย่างต่อเนื่อง ซึ่งอาจเป็นภาระที่หนักเกินไปสำหรับหลายองค์กร ดังนั้น การใช้บริการ Business Solution: Firewall as a Services จากทีมงาน ProSpace จึงเป็นทางเลือกที่น่าสนใจอย่างยิ่ง

ProSpace นำเสนอการดูแลและจัดการความปลอดภัยของระบบสารสนเทศทั้งหมดให้กับองค์กรธุรกิจแบบเอาท์ซอร์ซ (Outsource) ครอบคลุมทั้งการติดตั้งระบบรักษาความปลอดภัย การตรวจจับและป้องกันภัยคุกคามไซเบอร์ รวมถึง Social Engineering ด้วยทีมงานมืออาชีพที่คอยตอบสนองต่อเหตุการณ์ด้านความปลอดภัยแบบมืออาชีพ มีประสบการณ์ในอุตสาหกรรมไอทีซิเคียวริตี้มามากกว่า 20 ปี

นอกจากนี้ ProSpace ยังให้บริการประเมินช่องโหว่และเตรียมความพร้อมรับมือกับความเสี่ยงต่างๆ ที่อาจเกิดขึ้น ซึ่งรวมถึงการฝึกอบรมพนักงานให้รู้เท่าทัน Social Engineering และการสร้างวัฒนธรรมความปลอดภัยในองค์กร

ด้วยบริการครบวงจรนี้ องค์กรสามารถมั่นใจได้ว่าจะได้รับการปกป้องจากภัยคุกคามทาง Social Engineering และภัยคุกคามไซเบอร์อื่นๆ อย่างมีประสิทธิภาพ โดยไม่ต้องกังวลกับการจัดการระบบความปลอดภัยที่ซับซ้อนด้วยตนเอง ทำให้สามารถมุ่งเน้นไปที่การดำเนินธุรกิจหลักได้อย่างเต็มที่ 

การเลือกใช้บริการ Business Soluiton: Firewall as a Services จาก ProSpace จึงไม่เพียงแต่เป็นการลงทุนด้านความปลอดภัย แต่ยังเป็นการเพิ่มประสิทธิภาพการทำงานและลดความเสี่ยงทางธุรกิจในระยะยาวอีกด้วย สนใจหรือต้องการข้อมูลเพิ่มเติม ติดต่อ โทร : 085-449-7373 หรือ Email : SALES@PROSPACE.SERVICE

บทความที่เกี่ยวข้อง : Dark Web 

Firewall as a Service

ช่วยออกแบบความปลอดภัยเน็ตเวิร์ค พร้อมกับทีมผู้เชี่ยวชาญดูแล​

  • Firewall subscription model
  • พร้อมพนักงานบริหารจัดการระบบหลังบ้าน
  • มีการตั้งค่า configuration ตามนโยบายบริษัท
  • มีที่ปรึกษาดูแลระบบตลอดอายุสัญญา