อาชญากรใช้ประโยชน์จากพฤติกรรมของมนุษย์อย่างไร การแฮ็กทางเทคนิค

การแฮ็กทางเทคนิค วิศวกรรมสังคมเป็นศิลปะในการใช้ประโยชน์จากจิตวิทยาของมนุษย์แทนที่จะใช้เทคนิคการแฮ็กทางเทคนิคเพื่อเข้าถึงอาคารระบบหรือข้อมูล

ตัวอย่างเช่นแทนที่จะพยายามหาช่องโหว่ของซอฟต์แวร์วิศวกรโซเชียลอาจเรียกพนักงานและสวมรอยเป็นผู้สนับสนุนด้านไอทีโดยพยายามหลอกให้พนักงานเปิดเผยรหัสผ่าน

Kevin Mitnickแฮ็กเกอร์ชื่อดังช่วยทำให้คำว่า ‘วิศวกรรมสังคม’ เป็นที่นิยมในช่วงทศวรรษที่ 90 แม้ว่าแนวคิดและเทคนิคต่างๆจะมีอยู่มากมายตราบเท่าที่ยังมีศิลปินหลอกลวง

[เรียนรู้สิ่งที่ทำให้เหล่านี้ 6 เทคนิควิศวกรรมทางสังคมเพื่อให้มีประสิทธิภาพ | ได้รับล่าสุดจาก CSO โดยการลงทะเบียนสำหรับจดหมายข่าวของเรา ]

แม้ว่าคุณจะมีเสียงระฆังและเสียงนกหวีดในเรื่องการรักษาความปลอดภัยให้กับศูนย์ข้อมูลการใช้งานระบบคลาวด์การรักษาความปลอดภัยทางกายภาพของอาคารและคุณได้ลงทุนในเทคโนโลยีป้องกัน แต่ก็มีนโยบายและกระบวนการรักษาความปลอดภัยที่เหมาะสมและวัดผล ประสิทธิผลและปรับปรุงอย่างต่อเนื่องวิศวกรสังคมที่มีฝีมือยังคงสามารถทำลายทางของเขาได้ตลอดเวลา (หรือรอบ ๆ )

ในบทความ กายวิภาคของการแฮ็ กผู้ทดสอบการเจาะจะอธิบายถึงวิธีที่เขาใช้เหตุการณ์ปัจจุบันข้อมูลสาธารณะที่มีอยู่ในเว็บไซต์โซเชียลเน็ตเวิร์กและเสื้อเชิ้ต Cisco มูลค่า 4 เหรียญที่เขาซื้อจากร้านค้าที่เจริญเติบโตอย่างรวดเร็วเพื่อเตรียมพร้อมสำหรับการเข้ามาอย่างผิดกฎหมาย เสื้อเชิ้ตช่วยให้เขาโน้มน้าวแผนกต้อนรับอาคารและพนักงานคนอื่น ๆ ว่าเขาเป็นพนักงานของ Cisco ในการเยี่ยมชมการสนับสนุนด้านเทคนิค เมื่อเข้าไปข้างในเขาก็สามารถให้สมาชิกในทีมคนอื่น ๆ เข้ามาได้เช่นกัน นอกจากนี้เขายังจัดการปล่อยมัลแวร์หลายตัว – ปล่อย USB และแฮ็คเข้าสู่เครือข่ายของ บริษัท ทั้งหมดนี้อยู่ในสายตาของพนักงานคนอื่น ๆ

คุณไม่จำเป็นต้องไปซื้อของในร้านค้าที่เจริญเติบโตอย่างรวดเร็วเพื่อดึงการโจมตีทางวิศวกรรมสังคมออกไป พวกเขาทำงานได้ดีผ่านอีเมลโทรศัพท์หรือโซเชียลมีเดีย สิ่งที่การโจมตีทั้งหมดมีเหมือนกันคือพวกมันใช้ธรรมชาติของมนุษย์เพื่อประโยชน์ของพวกเขาการล่าความโลภความกลัวความอยากรู้อยากเห็นของเราและแม้แต่ความปรารถนาของเราที่จะช่วยเหลือผู้อื่น

ตัวอย่างวิศวกรรมสังคม
อาชญากรมักจะใช้เวลาหลายสัปดาห์และเป็นเดือนในการทำความรู้จักกับสถานที่ก่อนที่จะเข้ามาที่ประตูบ้านหรือโทรศัพท์ การเตรียมการของพวกเขาอาจรวมถึงการค้นหารายชื่อโทรศัพท์ของ บริษัท หรือแผนผังองค์กรและการหาข้อมูลพนักงานบนเว็บไซต์เครือข่ายสังคมเช่น LinkedIn หรือ Facebook

1. ทางโทรศัพท์
วิศวกรสังคมอาจโทรหาและแสร้งทำเป็นว่าเป็นเพื่อนพนักงานหรือหน่วยงานภายนอกที่เชื่อถือได้ (เช่นผู้บังคับใช้กฎหมายหรือผู้ตรวจสอบบัญชี)

2. ในสำนักงาน
“คุณช่วยเปิดประตูให้ฉันหน่อยได้ไหมฉันไม่มีกุญแจ / บัตรเข้าออก” คุณเคยได้ยินเรื่องนี้ในอาคารของคุณบ่อยแค่ไหน? แม้ว่าคนที่ถามอาจดูไม่น่าสงสัย แต่นี่เป็นกลวิธีที่วิศวกรโซเชียลใช้กันทั่วไป

3.
ไซต์เครือข่ายสังคมออนไลน์ทำให้การโจมตีทางวิศวกรรมสังคมง่ายขึ้น ผู้โจมตีในปัจจุบันสามารถไปที่ไซต์ต่างๆเช่น LinkedIn และค้นหาผู้ใช้ทั้งหมดที่ทำงานใน บริษัท และรวบรวมข้อมูลรายละเอียดมากมายที่สามารถใช้ในการโจมตีเพิ่มเติมได้

วิศวกรโซเชียลยังใช้ประโยชน์จากเหตุการณ์ข่าวด่วนวันหยุดวัฒนธรรมป๊อปและอุปกรณ์อื่น ๆ เพื่อล่อเหยื่อ In Woman สูญเสียเงิน 1,825 เหรียญสหรัฐให้กับการหลอกลวงการช็อปปิ้งอย่างลึกลับที่สวมรอยเป็น BestMark, Inc.คุณจะเห็นว่าอาชญากรใช้ประโยชน์จากชื่อของ บริษัท ช้อปปิ้งลึกลับที่เป็นที่รู้จักเพื่อดำเนินการหลอกลวงได้อย่างไร นักต้มตุ๋นมักใช้องค์กรการกุศลปลอมเพื่อขยายเป้าหมายทางอาญาในช่วงวันหยุด

นอกจากนี้ผู้โจมตีจะปรับแต่งการโจมตีแบบฟิชชิงเพื่อกำหนดเป้าหมายตามความสนใจ (เช่นศิลปินนักแสดงเพลงการเมืองการกุศล) ที่ชื่นชอบซึ่งสามารถใช้ประโยชน์ได้เพื่อดึงดูดให้ผู้ใช้คลิกที่ไฟล์แนบที่มีมัลแวร์

การโจมตีทางวิศวกรรมสังคมที่มีชื่อเสียง
วิธีที่ดีในการทำความเข้าใจเกี่ยวกับกลยุทธ์ทางวิศวกรรมสังคมที่คุณควรระวังคือการรู้ว่ามีการใช้อะไรในอดีต เรามีรายละเอียดทั้งหมดในบทความมากมายเกี่ยวกับเรื่องนี้ แต่ในขณะนี้เราจะมุ่งเน้นไปที่เทคนิควิศวกรรมสังคมสามประการโดยไม่ขึ้นอยู่กับแพลตฟอร์มทางเทคโนโลยีซึ่งประสบความสำเร็จสำหรับนักต้มตุ๋นอย่างมาก

เสนอสิ่งที่หวาน ดังที่นักต้มตุ๋นคนใดคนหนึ่งจะบอกคุณวิธีที่ง่ายที่สุดในการหลอกลวงเครื่องหมายคือการใช้ประโยชน์จากความโลภของพวกเขาเอง นี่คือรากฐานของการหลอกลวงชาวไนจีเรีย 419 แบบคลาสสิกซึ่งผู้หลอกลวงพยายามโน้มน้าวให้เหยื่อช่วยดึงเงินสดที่ไม่ดีออกจากประเทศของตนไปยังธนาคารที่ปลอดภัยโดยเสนอเงินส่วนหนึ่งเพื่อแลกเปลี่ยน อีเมล “เจ้าชายไนจีเรีย” เหล่านี้เป็นเรื่องตลกมานานหลายทศวรรษแล้ว แต่ก็ยังคงเป็นเทคนิคทางวิศวกรรมสังคมที่มีประสิทธิภาพซึ่งผู้คนตกหลุมรัก: ในปี 2550 เหรัญญิกของเขตมิชิแกนที่มีประชากรเบาบางได้มอบเงินสาธารณะ 1.2 ล้านดอลลาร์ให้กับนักต้มตุ๋นคนดังกล่าวใน ความหวังที่จะได้เงินมาเป็นการส่วนตัวสิ่งล่อใจที่พบบ่อยอีกประการหนึ่งคือความคาดหวังของงานใหม่ที่ดีกว่าซึ่งเห็นได้ชัดว่าเป็นสิ่งที่พวกเราหลายคนต้องการมากเกินไป: ในการฝ่าฝืนอย่างมากในปี 2011

ปลอมจนกว่าคุณจะทำมัน หนึ่งในเทคนิควิศวกรรมสังคมที่ง่ายและประสบความสำเร็จมากที่สุดคือการแสร้งทำเป็นเหยื่อของคุณ ในการหลอกลวงในช่วงต้นของ Kevin Mitnick เขาสามารถเข้าถึงเซิร์ฟเวอร์การพัฒนาระบบปฏิบัติการของ Digital Equipment Corporation ได้ง่ายๆเพียงโทรหา บริษัท โดยอ้างว่าเป็นหนึ่งในนักพัฒนาหลักและบอกว่าเขามีปัญหาในการเข้าสู่ระบบ เขาได้รับรางวัลทันทีด้วยการเข้าสู่ระบบและรหัสผ่านใหม่ ทั้งหมดนี้เกิดขึ้นในปี 2522 และคุณคิดว่าสิ่งต่างๆจะดีขึ้นตั้งแต่นั้นมา แต่คุณคิดผิด: ในปี 2559 แฮ็กเกอร์ได้ควบคุมที่อยู่อีเมลของกระทรวงยุติธรรมสหรัฐฯและใช้มันเพื่อแอบอ้างเป็นพนักงาน แผนกช่วยเหลือในการมอบโทเค็นการเข้าถึงสำหรับอินทราเน็ต DoJ โดยกล่าวว่าเป็นสัปดาห์แรกของเขาในการทำงานและเขาก็ทำ

หลายองค์กรมีอุปสรรคในการป้องกันการแอบอ้างบุคคลอื่นแบบหน้าด้านเหล่านี้ แต่มักจะหลีกเลี่ยงได้ง่ายพอสมควร เมื่อ Hewlett-Packard ว่าจ้างนักสืบเอกชนเพื่อค้นหาว่าสมาชิกคณะกรรมการ HP คนใดที่รั่วไหลข้อมูลไปยังสื่อมวลชนในปี 2548 พวกเขาสามารถจัดหา PI ด้วยตัวเลขสี่หลักสุดท้ายของหมายเลขประกันสังคมของเป้าหมายซึ่งฝ่ายสนับสนุนด้านเทคนิคของ AT&T ยอมรับว่า หลักฐาน ID ก่อนส่งมอบบันทึกการโทรโดยละเอียด

ทำเหมือนว่าคุณเป็นผู้รับผิดชอบ พวกเราส่วนใหญ่ถูกเตรียมไว้ให้เคารพผู้มีอำนาจ – หรือตามที่ปรากฎคือเคารพผู้ที่กระทำการเช่นพวกเขามีอำนาจที่จะทำในสิ่งที่พวกเขากำลังทำ คุณสามารถใช้ประโยชน์จากระดับความรู้ที่แตกต่างกันเกี่ยวกับกระบวนการภายในของ บริษัท เพื่อโน้มน้าวผู้คนว่าคุณมีสิทธิ์เป็นสถานที่หรือเห็นสิ่งที่คุณไม่ควรหรือการสื่อสารที่มาจากคุณนั้นมาจากคนที่พวกเขาเคารพจริงๆ ตัวอย่างเช่นในปี 2015 พนักงานการเงินของ Ubiquiti Networks ได้ใช้เงินของ บริษัท หลายล้านดอลลาร์เพื่อหลอกลวงศิลปินที่แอบอ้างเป็นผู้บริหารของ บริษัท โดยอาจใช้ URL ที่เหมือนกันในที่อยู่อีเมลของพวกเขา ในด้านเทคโนโลยีชั้นล่างนักวิจัยที่ทำงานให้กับแท็บลอยด์ของอังกฤษในช่วงปลายทศวรรษที่ 00 ถึงต้นทศวรรษที่ 10 มักพบวิธีเข้าถึงบัญชีข้อความเสียงของเหยื่อโดยแสร้งทำเป็นว่าเป็นพนักงานคนอื่น ๆ ของ บริษัท โทรศัพท์ผ่านการหลอกลวงอย่างแท้จริง ตัวอย่างเช่น

บางครั้งหน่วยงานภายนอกที่เรียกร้องให้เราปฏิบัติตามโดยไม่ต้องคิดมาก แคมเปญของฮิลลารีคลินตันทำให้จอห์นโพเดสตาแฮ็คอีเมลของเขาโดยสายลับรัสเซียในปี 2559 เมื่อพวกเขาส่งอีเมลฟิชชิ่งที่ปลอมตัวเป็นบันทึกจาก Google เพื่อขอให้เขารีเซ็ตรหัสผ่าน ด้วยการดำเนินการที่เขาคิดว่าจะทำให้บัญชีของเขาปลอดภัยเขาจึงให้ข้อมูลรับรองการเข้าสู่ระบบของเขาไป การแฮ็กทางเทคนิค

การป้องกันวิศวกรรมสังคม
การฝึกอบรมการรับรู้เรื่องความปลอดภัยเป็นวิธีป้องกันวิศวกรรมสังคมอันดับหนึ่ง พนักงานควรตระหนักว่าวิศวกรรมสังคมมีอยู่และคุ้นเคยกับกลวิธีที่ใช้บ่อยที่สุด

โชคดีที่การรับรู้ด้านวิศวกรรมสังคมเอื้อต่อการเล่าเรื่อง และเรื่องราวต่างๆก็เข้าใจง่ายกว่าและน่าสนใจกว่าการอธิบายข้อบกพร่องทางเทคนิค แบบทดสอบและโปสเตอร์ที่ดึงดูดความสนใจหรือตลกขบขันยังเป็นการเตือนความจำที่มีประสิทธิภาพเกี่ยวกับการไม่สมมติว่าทุกคนเป็นอย่างที่พวกเขาพูด

แต่ไม่ใช่แค่พนักงานทั่วไปเท่านั้นที่ต้องตระหนักถึงวิศวกรรมสังคม ความเป็นผู้นำและผู้บริหารระดับสูงเป็นเป้าหมายหลักขององค์กร

5 เคล็ดลับในการป้องกันวิศวกรรมสังคม
ผู้สนับสนุน CSO Dan Lohrmann เสนอคำแนะนำดังต่อไปนี้:

1. ฝึกแล้วฝึกอีกครั้งเมื่อต้องตระหนักถึงความปลอดภัย
ตรวจสอบให้แน่ใจว่าคุณมีโปรแกรมการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยที่ครอบคลุมซึ่งได้รับการอัปเดตเป็นประจำเพื่อจัดการทั้งภัยคุกคามแบบฟิชชิงทั่วไปและภัยคุกคามทางไซเบอร์ใหม่ อย่าลืมว่านี่ไม่ใช่แค่การคลิกลิงก์เท่านั้น

2. ให้รายละเอียดบรรยายสรุป “โรดโชว์” เกี่ยวกับเทคนิคการฉ้อโกงออนไลน์ล่าสุดแก่เจ้าหน้าที่คนสำคัญ
ใช่รวมถึงผู้บริหารระดับสูง แต่อย่าลืมใครก็ตามที่มีอำนาจในการโอนเงินผ่านธนาคารหรือธุรกรรมทางการเงินอื่น ๆ โปรดจำไว้ว่าเรื่องจริงหลายเรื่องที่เกี่ยวข้องกับการฉ้อโกงเกิดขึ้นกับพนักงานระดับล่างที่หลงเชื่อผู้บริหารกำลังขอให้พวกเขาดำเนินการอย่างเร่งด่วนโดยปกติจะข้ามขั้นตอนและ / หรือการควบคุมตามปกติ

3. ทบทวนกระบวนการขั้นตอนและการแบ่งแยกหน้าที่ในการโอนการเงินและธุรกรรมที่สำคัญอื่น ๆ ที่มีอยู่
เพิ่มการควบคุมพิเศษหากจำเป็น โปรดจำไว้ว่าการแบ่งแยกหน้าที่และการป้องกันอื่น ๆ อาจถูกคุกคามจากภัยคุกคามภายในในบางจุดดังนั้นการทบทวนความเสี่ยงอาจต้องได้รับการวิเคราะห์อีกครั้งเนื่องจากภัยคุกคามที่เพิ่มขึ้น

4. พิจารณานโยบายใหม่ที่เกี่ยวข้องกับธุรกรรม“ นอกวง” หรือคำขอจากผู้บริหารเร่งด่วน
อีเมลจากบัญชี Gmail ของ CEO ควรติดธงแดงให้กับพนักงานโดยอัตโนมัติ แต่พวกเขาจำเป็นต้องเข้าใจเทคนิคล่าสุดที่ฝ่ายมืดนำมาใช้ คุณต้องมีขั้นตอนฉุกเฉินที่ได้รับอนุญาตซึ่งทุกคนเข้าใจดี

5. ตรวจสอบปรับแต่งและทดสอบระบบการรายงานการจัดการเหตุการณ์และฟิชชิงของคุณ
ออกกำลังกายบนโต๊ะร่วมกับผู้บริหารและบุคลากรหลักเป็นประจำ ทดสอบการควบคุมและทำวิศวกรรมย้อนกลับพื้นที่ที่เป็นไปได้ของช่องโหว่

ชุดเครื่องมือวิศวกรรมสังคม
ผู้ขายจำนวนมากเสนอเครื่องมือหรือบริการเพื่อช่วยในการฝึกหัดวิศวกรรมสังคมและ / หรือสร้างการรับรู้ของพนักงานด้วยวิธีการต่างๆเช่นโปสเตอร์และจดหมายข่าว

สิ่งที่ควรค่าแก่การตรวจสอบคือSocial Engineering Toolkitของ social-engineer.org ซึ่งดาวน์โหลดได้ฟรี ชุดเครื่องมือช่วยให้ทำการทดสอบการเจาะโดยอัตโนมัติผ่านทางวิศวกรรมโซเชียลรวมถึง การโจมตีแบบฟิชชิงหอกการสร้างเว็บไซต์ที่ดูถูกกฎหมายการโจมตีโดยใช้ไดรฟ์ USB และอื่น ๆ

ทรัพยากรที่ดีก็คือกรอบวิศวกรรมสังคม

ปัจจุบันการป้องกันการโจมตีทางวิศวกรรมสังคมที่ดีที่สุดคือการศึกษาของผู้ใช้และชั้นของการป้องกันทางเทคโนโลยีเพื่อตรวจจับและตอบสนองต่อการโจมตีได้ดีขึ้น การตรวจจับคำสำคัญในอีเมลหรือโทรศัพท์สามารถนำมาใช้เพื่อกำจัดการโจมตีที่อาจเกิดขึ้นได้ แต่ถึงแม้เทคโนโลยีเหล่านั้นจะไม่ได้ผลในการหยุดวิศวกรสังคมที่มีทักษะ

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th