การอ้างสิทธิ์ ความหมายตัวอย่างและการป้องกัน การอวดอ้างคืออะไร ?

การอ้างสิทธิ์ การอวดอ้างคืออะไร คำจำกัดความของการอ้างสิทธิ์
การอวดอ้างเป็นรูปแบบของวิศวกรรมสังคมที่ผู้โจมตีพยายามโน้มน้าวให้เหยื่อยอมทิ้งข้อมูลที่มีค่าหรือเข้าถึงบริการหรือระบบ ลักษณะเด่นของการโจมตีแบบนี้คือศิลปินหลอกลวงจะสร้างเรื่องราวหรือข้ออ้างเพื่อหลอกเหยื่อ โดยทั่วไปข้ออ้างดังกล่าวจะโยนผู้โจมตีในบทบาทของบุคคลที่มีอำนาจซึ่งมีสิทธิ์ในการเข้าถึงข้อมูลที่ต้องการหรือผู้ที่สามารถใช้ข้อมูลเพื่อช่วยเหลือเหยื่อได้

การอวดอ้างสรรพคุณมีประวัติยาวนานพอสมควร ในสหราชอาณาจักรซึ่งเป็นที่รู้จักกันในชื่อblaggingเป็นเครื่องมือที่นักข่าวแท็บลอยด์ใช้มานานหลายปีเพื่อเข้าถึงสิ่งสกปรกที่น่ารังเกียจของคนดังและนักการเมือง แต่ปัจจุบันมักใช้โดยศิลปินหลอกลวงที่กำหนดเป้าหมายบุคคลและ บริษัท เอกชนเพื่อพยายามเข้าถึงบัญชีการเงินและข้อมูลส่วนตัวของตน และผู้อ้างสิทธิ์สามารถใช้การสื่อสารในรูปแบบใดก็ได้รวมถึงอีเมลข้อความและการโทรศัพท์ด้วยเสียงเพื่อซื้อขายแลกเปลี่ยน

[เรียนรู้สิ่งที่ทำให้เหล่านี้ 6 เทคนิควิศวกรรมทางสังคมเพื่อให้มีประสิทธิภาพ | ได้รับล่าสุดจาก CSO โดยการลงทะเบียนสำหรับจดหมายข่าวของเรา ]

เทคนิคการอวดอ้าง
ในการทดสอบการเจาะทางวิศวกรรมสังคม Gavin Watson วิศวกรด้านความปลอดภัยได้วางเทคนิคที่แฝงอยู่ในทุกการกระทำของข้ออ้าง : “ส่วนสำคัญ … [คือ] การสร้างสถานการณ์ซึ่งเป็นข้ออ้างที่ใช้ในการมีส่วนร่วมกับเหยื่อข้ออ้างที่กำหนดไว้ ฉากสำหรับการโจมตีพร้อมกับตัวละครและพล็อตมันเป็นพื้นฐานในการใช้เทคนิคอื่น ๆ อีกมากมายเพื่อให้บรรลุวัตถุประสงค์โดยรวม ”

วัตสันกล่าวว่ามีองค์ประกอบหลักสองประการสำหรับข้ออ้าง: ตัวละครที่เล่นโดยศิลปินหลอกลวงและสถานการณ์ที่เป็นไปได้ซึ่งตัวละครนั้นอาจต้องการหรือมีสิทธิ์ในข้อมูลที่พวกเขาต้องการ ตัวอย่างเช่นเราทุกคนทราบดีว่าบางครั้งมีข้อผิดพลาดที่เกิดขึ้นกับระบบการชำระเงินอัตโนมัติ ดังนั้นจึงเป็นไปได้ว่าการเรียกเก็บเงินที่เกิดขึ้นประจำบางรายการที่เราตั้งค่าให้เรียกเก็บจากบัตรเครดิตหรือบัญชีธนาคารของเราโดยอัตโนมัติอาจล้มเหลวอย่างลึกลับและ บริษัท ที่เราตั้งใจจะจ่ายอาจติดต่อเราด้วยผลที่ตามมา ผู้โจมตีอาจรับบทบาทเราคาดหวังว่าจะได้พบในสถานการณ์นั้นตัวอย่างเช่นตัวแทนฝ่ายบริการลูกค้าที่เป็นมิตรและเป็นประโยชน์ติดต่อเราเพื่อช่วยแก้ไขข้อผิดพลาดและตรวจสอบให้แน่ใจว่าการชำระเงินเสร็จสมบูรณ์ก่อนที่บัญชีของเราจะค้างชำระ ในขณะที่สถานการณ์ดำเนินไปผู้โจมตีจะขอข้อมูลธนาคารหรือบัตรเครดิตเพื่อช่วยในการดำเนินการและนั่นคือข้อมูลที่พวกเขาต้องการเพื่อขโมยเงินจากบัญชีของเราทันที

ในสถานการณ์ที่ระบุไว้ข้างต้นกุญแจสำคัญในการทำให้การหลอกลวงได้ผลคือเหยื่อที่เชื่อว่าผู้โจมตีคือคนที่พวกเขาพูด ที่ต้องการให้ตัวละครมีความน่าเชื่อเช่นเดียวกับสถานการณ์ ไม่เพียงพอที่จะพบว่าเป็นไปได้ในนามธรรมที่คุณอาจได้รับโทรศัพท์จาก บริษัท เคเบิลของคุณแจ้งว่าการชำระเงินอัตโนมัติของคุณไม่ผ่าน คุณต้องพบว่ามันน่าเชื่อว่าคนในโทรศัพท์เป็นตัวแทนบริการลูกค้าจาก บริษัท เคเบิลของคุณ ดังนั้นเทคนิคการอ้างสิทธิ์ที่สำคัญที่สุดคือสิ่งที่ศิลปินหลอกลวงนำมาใช้เพื่อให้คุณสบายใจ หากผู้โจมตีได้รับใบเรียกเก็บเงินค่าเคเบิลของคุณตัวอย่างเช่นโดยผ่านขยะพวกเขาจะติดอาวุธชื่อผู้ให้บริการเคเบิลและหมายเลขบัญชีของคุณเมื่อพวกเขาโทรหา

ตัวอย่างนี้แสดงให้เห็นถึงความขัดแย้งในการอวดอ้างสรรพคุณ: ยิ่งข้อมูลที่เฉพาะเจาะจงมากขึ้นที่ผู้ขายฝากรู้เกี่ยวกับคุณก่อนที่พวกเขาจะติดต่อกับคุณข้อมูลที่มีค่าก็จะสามารถโน้มน้าวให้คุณยอมแพ้ได้ นั่นเป็นเหตุผลว่าทำไมการวิจัยอย่างรอบคอบจึงเป็นเทคนิคพื้นฐานสำหรับข้ออ้าง แม้ว่าการดำน้ำในถังขยะอาจเป็นแหล่งข้อมูลที่ดีสำหรับเหยื่อ แต่ก็เห็นได้ชัดว่ามันต้องใช้งานในโลกแห่งความเป็นจริงที่ค่อนข้างยุ่งเหยิงและอาจไม่คุ้มค่าสำหรับเป้าหมายที่มีมูลค่าค่อนข้างต่ำ แต่ข้ออ้างมีเทคนิคการวิจัยอื่น ๆ ที่มีประสิทธิภาพมากขึ้นมากมายรวมถึงข้อมูลที่เรียกว่าโอเพนซอร์ส- ข้อมูลที่สามารถปะติดปะต่อได้จากข้อมูลที่เปิดเผยต่อสาธารณะตั้งแต่บันทึกของรัฐบาลไปจนถึงโปรไฟล์ LinkedIn นอกจากนี้ยังมีข้อมูลที่ระบุตัวบุคคลจำนวนกิกะไบต์ในเว็บมืดอันเป็นผลมาจากการละเมิดข้อมูลจำนวนนับไม่ถ้วนซึ่งสามารถซื้อได้ในราคาที่ค่อนข้างต่ำเพื่อใช้เป็นโครงกระดูกสำหรับสถานการณ์ที่อ้างสิทธิ์

นอกจากนี้ยังมีข้ออ้างวิธีการทางเทคนิคอื่น ๆ อีกมากมายที่สามารถใช้เพื่อเพิ่มความน่าเชื่อถือให้กับสถานการณ์ที่กำลังปรับใช้ ตัวอย่างเช่นพวกเขาสามารถปลอมแปลงหมายเลขโทรศัพท์หรืออีเมลชื่อโดเมนของสถาบันที่ตนแอบอ้างเพื่อทำให้ตัวเองดูเหมือนถูกกฎหมาย

การปลอมแปลงและฟิชชิง
การปลอมแปลงที่อยู่อีเมลเป็นส่วนสำคัญของฟิชชิงและความพยายามในการฟิชชิงจำนวนมากถูกสร้างขึ้นจากสถานการณ์การแสร้งทำเป็นแม้ว่าอาจไม่ได้เกี่ยวข้องกับการค้นคว้าหรือรายละเอียดมากนัก ตัวอย่างเช่นผู้โจมตีสามารถส่งอีเมลถึงตัวแทนฝ่ายทรัพยากรบุคคลพร้อมแนบมัลแวร์ที่ออกแบบมาให้ดูเหมือนประวัติย่อของผู้หางาน ฟิชชิ่งแบบกำหนดเป้าหมายที่เรียกว่าสเปียร์ฟิชชิ่งซึ่งมีเป้าหมายเพื่อดักจับเหยื่อที่มีมูลค่าสูงโดยเฉพาะโดยทั่วไปจะนำไปสู่การโจมตีแบบแอบอ้างซึ่งผู้บริหารระดับสูงถูกหลอกให้เชื่อว่าพวกเขากำลังสื่อสารกับบุคคลอื่นใน บริษัท หรือ บริษัท คู่ค้าโดยมีเป้าหมายสูงสุดเพื่อโน้มน้าวให้เหยื่อโอนเงินจำนวนมาก

pretexting ยังเป็นส่วนสำคัญของvishing – ระยะที่กระเป๋าเดินทางของ “เสียง” และ “ฟิชชิ่ง” และเป็นในสาระสำคัญฟิชชิ่งทางโทรศัพท์ ผู้อ้างสิทธิ์หลายรายได้รับหมายเลขโทรศัพท์ของเหยื่อซึ่งเป็นส่วนหนึ่งของการรวบรวมข้อมูลที่ระบุตัวบุคคลทางออนไลน์ดังกล่าวข้างต้นและใช้ข้อมูลส่วนที่เหลือของเหยื่อเพื่อสานต่อสถานการณ์ที่เป็นไปได้ซึ่งจะช่วยให้พวกเขาบรรลุเป้าหมาย (โดยทั่วไปรหัสผ่านที่สำคัญหรือหมายเลขบัญชีการเงิน) .

การโจมตีแบบปรับลด
มีอีกหนึ่งเทคนิคในการพูดคุยที่มักจะรวมกันเป็นก้อนภายใต้หมวดหมู่ของการอ้างสิทธิ์: tailgating Tailgating เป็นเทคนิคทั่วไปในการผ่านประตูที่ล็อกโดยเดินตามคนที่สามารถเปิดเข้าไปข้างในได้ก่อนที่จะปิด ถือได้ว่าเป็นการอวดอ้างประเภทหนึ่งเพราะหางเครื่องมักจะใส่ตัวตนที่กระตุ้นให้คนที่มีกุญแจปล่อยพวกเขาเข้าไปในอาคารตัวอย่างเช่นพวกเขาสามารถแต่งตัวด้วยชุดจั๊มสูทและอ้างว่าพวกเขาอยู่ที่นั่นเพื่อแก้ไข ท่อประปาหรือ HVAC หรือมีกล่องพิซซ่าและบอกว่าพวกเขากำลังส่งอาหารกลางวันไปที่ชั้นอื่น เช่นเดียวกับเทคนิควิศวกรรมสังคมหลาย ๆ เทคนิคนี้ขึ้นอยู่กับความปรารถนาโดยธรรมชาติของผู้คนที่จะเป็นประโยชน์หรือเป็นมิตร ตราบใดที่มีเหตุผลที่ดีที่จะปล่อยให้ใครบางคนเข้ามาคนมักจะทำมากกว่าเผชิญหน้ากับหางเครื่อง

ตัวอย่างการอ้างสิทธิ์
ดังที่เราได้กล่าวไว้ข้างต้นวิธีแรก ๆ วิธีหนึ่งในการอ้างสิทธิ์ในการแจ้งเตือนทั่วโลกคือเรื่องอื้อฉาวเกี่ยวกับแท็บลอยด์ของอังกฤษในช่วงกลางยุค 00 เอกสารเหล่านี้ในการแข่งขันที่สิ้นหวังซึ่งกันและกันสำหรับแม้แต่คนดังและราชวงศ์เล็ก ๆ น้อย ๆ ก็ใช้เทคนิคต่างๆในการสอดแนมข้อความเสียงของเหยื่อ ในบางกรณีวิธีนี้ทำได้ง่ายพอ ๆ กับการทดสอบเพื่อดูว่าเหยื่อเปลี่ยน PIN ข้อความเสียงจากค่าเริ่มต้นหรือไม่ (ไม่ได้มีตัวเลขที่น่าแปลกใจ) แต่พวกเขายังใช้เทคนิคการอ้างสิทธิ์ต่างๆที่เรียกกันภายในว่า “การตำหนิ” เพื่อเข้าถึง ไปยังข้อมูลรวมถึงการดำน้ำในถังขยะและตัวแทนฝ่ายบริการลูกค้าของ บริษัท โทรศัพท์ที่ทำผิดกฎหมายเพื่ออนุญาตให้เข้าถึงกล่องข้อความเสียง

สำหรับชาวอเมริกันจำนวนมากการแนะนำตัวครั้งแรกของพวกเขาเกี่ยวกับข้ออ้างเกิดขึ้นในปี 2549 เมื่อความขัดแย้งภายในที่ Hewlett-Packard กลายเป็นเรื่องอื้อฉาวอย่างเปิดเผย ฝ่ายบริหารของ HP ได้ว่าจ้างนักสืบเอกชนเพื่อตรวจสอบว่าสมาชิกในคณะกรรมการคนใดรั่วไหลข้อมูลไปยังสื่อมวลชนหรือไม่ PI กลับแอบอ้างเป็นสมาชิกคณะกรรมการเหล่านั้นในบางกรณีโดยใช้หมายเลขประกันสังคมซึ่ง HP ให้ไว้เพื่อหลอกลวง บริษัท โทรศัพท์ให้ส่งบันทึกการโทร เรื่องทั้งหมดจบลงด้วยการที่ Patricia Dunn ประธาน HP ของ HP ลาออกด้วยความอับอายขายหน้าและมีการฟ้องคดีอาญา (เพิ่มเติมอีกสักครู่)

ถึงกระนั้นประเภทของการโจมตีที่อ้างว่ามีแนวโน้มที่จะส่งผลกระทบต่อชีวิตของคุณมากที่สุดจะอยู่ที่เทคนิคเหล่านี้จะเปิดใช้กับคุณเป็นการส่วนตัว บล็อก KnowBe4 ให้เป็นตัวอย่างที่ดีของวิธีการ scammer pretexting การจัดการเพื่อความพ่ายแพ้ตรวจสอบสองปัจจัยจะตัดเข้าสู่บัญชีธนาคารของเหยื่อ เหยื่อควรจะยืนยันด้วยรหัสหกหลักโดยส่งข้อความถึงเขาทางธนาคารหากเขาเคยพยายามรีเซ็ตชื่อผู้ใช้และรหัสผ่าน นักต้มตุ๋นโทรหาเขาในขณะที่พวกเขากำลังรีเซ็ตข้อมูลนี้โดยแสร้งทำเป็นว่าเป็นธนาคารของเขาเพื่อยืนยันการเรียกเก็บเงินที่ผิดปกติและขอให้เขาอ่านรหัสที่ธนาคารส่งให้เขาโดยอ้างว่าพวกเขาต้องการให้พวกเขายืนยันตัวตน ด้วยรหัสเหล่านี้พวกเขาสามารถแฮ็คเข้าสู่บัญชีของเขาได้อย่างง่ายดาย

แต่ข้ออ้างมักมีแนวโน้มที่จะกำหนดเป้าหมายไปที่ บริษัท มากกว่าบุคคลทั่วไปเนื่องจากโดยทั่วไปแล้ว บริษัท ต่างๆจะมีบัญชีธนาคารขนาดใหญ่และดึงดูดมากกว่า บ่อยครั้งที่จะหารายละเอียดของการโจมตีที่ประสบความสำเร็จได้ยากกว่าเนื่องจาก บริษัท ต่างๆไม่น่าจะยอมรับว่าพวกเขาถูกหลอกลวง Chris Tappin และ Simon Ezard จาก VTRAC ซึ่งเขียนถึง CSO Australia อธิบายถึงเทคนิคการแอบอ้างที่พวกเขาเรียกว่า Spiked Punchซึ่งผู้หลอกลวงแอบอ้างเป็นผู้ขายที่ บริษัท ส่งการชำระเงินให้เป็นประจำ ด้วยการใช้ข้อมูลที่รวบรวมจากแหล่งข้อมูลสาธารณะและโปรไฟล์โซเชียลมีเดียพวกเขาสามารถโน้มน้าวให้พนักงานบัญชีเจ้าหนี้ของ บริษัท เป้าหมายเปลี่ยนข้อมูลบัญชีธนาคารสำหรับผู้ขายในไฟล์ของพวกเขาและจัดการเพื่อแย่งชิงเงินสดจำนวนเล็กน้อยก่อนที่ใครจะรู้ตัว การอวดอ้างคืออะไร

ในอีกตัวอย่างหนึ่ง Ubiquiti Networks ซึ่งเป็นผู้ผลิตอุปกรณ์เครือข่ายสูญเสียเงินเกือบ 40 ล้านดอลลาร์จากการหลอกลวงแอบอ้างบุคคลอื่น ข้ออ้างดังกล่าวส่งข้อความถึงพนักงานของ Ubiquiti ที่แอบอ้างเป็นผู้บริหารขององค์กรและขอให้ส่งเงินหลายล้านดอลลาร์ไปยังบัญชีธนาคารต่างๆ หนึ่งในเทคนิคที่ใช้คือ “URL ที่เหมือนกัน” – ผู้หลอกลวงได้ลงทะเบียน URL ที่แตกต่างจากของ Ubiquiti เพียงตัวเดียวและส่งอีเมลจากโดเมนนั้น

กฎหมายอวดอ้าง
การอวดอ้างสรรพคุณเป็นเรื่องใหญ่และผิดกฎหมายในสหรัฐอเมริกา สำหรับสถาบันการเงินที่อยู่ภายใต้กฎหมาย Gramm-Leach-Bliley Act of 1999 (GLBA) ซึ่งเป็นการพูดถึงสถาบันการเงินทั้งหมดเท่านั้นการที่บุคคลใด ๆ จะได้รับหรือพยายามที่จะได้มานั้นเป็นเรื่องผิดกฎหมายที่จะพยายามเปิดเผยหรือทำให้เกิดการเปิดเผยลูกค้า ข้อมูลของสถาบันการเงินโดยเสแสร้งหรือหลอกลวง สถาบันที่อยู่ภายใต้การกำกับดูแลของ GLBA จำเป็นต้องวางมาตรฐานเพื่อให้ความรู้แก่พนักงานของตนเองเพื่อรับรู้ถึงความพยายามในการแอบอ้าง

อย่างไรก็ตามสิ่งหนึ่งที่เรื่องอื้อฉาวของ HP เปิดเผยก็คือไม่ชัดเจนว่าการใช้ข้ออ้างเพื่อรับข้อมูลที่ไม่ใช่ข้อมูลทางการเงินนั้นผิดกฎหมายหรือไม่โปรดจำไว้ว่า HP กำลังดำเนินการตามบันทึกทางโทรศัพท์ของกรรมการไม่ใช่เงินของพวกเขา อัยการต้องเลือกและเลือกระหว่างกฎหมายที่จะฟ้องคดีซึ่งบางส่วนไม่ได้ปรับให้เหมาะกับสถานการณ์เช่นนี้ หลังจากเกิดเรื่องอื้อฉาวสภาคองเกรสได้ผ่านพระราชบัญญัติการบันทึกข้อมูลทางโทรศัพท์และการคุ้มครองความเป็นส่วนตัวของปี 2549 อย่างรวดเร็วซึ่งขยายการคุ้มครองบันทึกที่ บริษัท โทรคมนาคมจัดขึ้น

วิธีป้องกันการอวดอ้าง
วิธีที่ดีที่สุดวิธีหนึ่งในการป้องกันการแอบอ้างคือการตระหนักว่าเป็นไปได้และเทคนิคเช่นการปลอมแปลงอีเมลหรือโทรศัพท์อาจทำให้ไม่ชัดเจนว่าใครติดต่อคุณ การฝึกอบรมความตระหนักด้านความปลอดภัยในระดับองค์กรควรมีข้อมูลเกี่ยวกับการหลอกลวงที่แอบอ้าง (ตามที่ระบุไว้หาก บริษัท ของคุณเป็นสถาบันการเงินในอเมริกากฎหมายกำหนดให้ต้องมีการฝึกอบรมประเภทนี้) และเพื่อหลีกเลี่ยงสถานการณ์เช่น Ubiquiti ควรมีการตรวจสอบภายในและยอดดุลที่เข้มงวดเมื่อต้องมีการโอนเงินจำนวนมากโดยมีผู้บริหารหลายคนต้องการ เพื่อขอคำปรึกษาในการออกจากระบบ

ในระดับส่วนตัวสิ่งสำคัญคือต้องระมัดระวังเป็นพิเศษเมื่อใดก็ตามที่ใครก็ตามที่เริ่มติดต่อกับคุณเริ่มขอข้อมูลส่วนบุคคล โปรดจำไว้ว่าธนาคารของคุณรู้ทุกสิ่งที่จำเป็นต้องรู้เกี่ยวกับคุณอยู่แล้วพวกเขาไม่ควรให้คุณบอกหมายเลขบัญชีของคุณ หากคุณสงสัยเกี่ยวกับการสนทนากับสถาบันให้วางสายและโทรไปยังหมายเลขโทรศัพท์ที่เปิดเผยต่อสาธารณะหรือเขียนไปยังที่อยู่อีเมลจากเว็บไซต์ของพวกเขา

สุดท้ายถ้าคนทำพิซซ่าพยายามตามคุณเข้าไปในอาคารสำนักงานของคุณบอกให้โทรหาคนที่สั่งให้เข้ามาไม่ต้องกังวลถ้าพวกเขาเป็นคนที่ถูกกฎหมายพวกเขาจะมีกล่องพิเศษที่จะเก็บไว้ พิซซ่าจะอุ่นประมาณสองสามนาทีกว่าจะส่งได้

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th

Leave A Comment?