วิศวกรรมสังคมคืออะไรและคุณจะหลีกเลี่ยงได้อย่างไร
มัลแวร์ไม่ได้เป็นภัยคุกคามออนไลน์เท่านั้นที่ต้องกังวล วิศวกรรมสังคมเป็นภัยคุกคามครั้งใหญ่และสามารถโจมตีคุณในทุกระบบปฏิบัติการ ในความเป็นจริงวิศวกรรมทางสังคมสามารถเกิดขึ้นได้ทางโทรศัพท์และในสถานการณ์แบบตัวต่อตัว.
มันเป็นสิ่งสำคัญที่จะต้องตระหนักถึงวิศวกรรมสังคมและระวัง โปรแกรมความปลอดภัยจะไม่ปกป้องคุณจากภัยคุกคามทางวิศวกรรมสังคมส่วนใหญ่ดังนั้นคุณต้องปกป้องตนเอง.
วิศวกรรมสังคมอธิบาย
การโจมตีด้วยคอมพิวเตอร์แบบดั้งเดิมมักขึ้นอยู่กับการค้นหาช่องโหว่ในรหัสของคอมพิวเตอร์ ตัวอย่างเช่นหากคุณกำลังใช้ Adobe Flash รุ่นล้าสมัยหรือพระเจ้าห้าม Java ซึ่งเป็นสาเหตุของการโจมตี 91% ในปี 2013 ตามซิสโก้คุณสามารถเยี่ยมชมเว็บไซต์ที่เป็นอันตรายและเว็บไซต์นั้น จะใช้ช่องโหว่ในซอฟต์แวร์ของคุณเพื่อเข้าถึงคอมพิวเตอร์ของคุณ ผู้โจมตีกำลังจัดการกับข้อบกพร่องในซอฟต์แวร์เพื่อเข้าถึงและรวบรวมข้อมูลส่วนตัวอาจมีคีย์ล็อกเกอร์ที่ติดตั้ง.
เทคนิควิศวกรรมสังคมแตกต่างกันเพราะเกี่ยวข้องกับการจัดการทางจิตวิทยาแทน กล่าวอีกนัยหนึ่งพวกเขาใช้ประโยชน์จากคนไม่ใช่ซอฟต์แวร์.
คุณอาจเคยได้ยินเกี่ยวกับฟิชชิงซึ่งเป็นรูปแบบของวิศวกรรมทางสังคม คุณอาจได้รับอีเมลที่อ้างว่ามาจากธนาคาร บริษัท บัตรเครดิตหรือธุรกิจอื่นที่เชื่อถือได้ พวกเขาอาจนำคุณไปยังเว็บไซต์ปลอมที่ปลอมแปลงให้เหมือนของจริงหรือขอให้คุณดาวน์โหลดและติดตั้งโปรแกรมที่เป็นอันตราย แต่เทคนิคทางสังคมศาสตร์วิศวกรรมดังกล่าวไม่จำเป็นต้องเกี่ยวข้องกับเว็บไซต์ปลอมหรือมัลแวร์ อีเมลหลอกลวงอาจขอให้คุณส่งอีเมลตอบกลับพร้อมข้อมูลส่วนตัว แทนที่จะพยายามใช้ประโยชน์จากข้อบกพร่องในซอฟต์แวร์พวกเขาพยายามใช้ประโยชน์จากการปฏิสัมพันธ์ของมนุษย์ตามปกติ ฟิชชิ่งหอกอาจมีอันตรายมากกว่านี้เนื่องจากเป็นรูปแบบของฟิชชิงที่ออกแบบมาเพื่อกำหนดเป้าหมายเฉพาะบุคคล.
ตัวอย่างของวิศวกรรมสังคม
เคล็ดลับยอดนิยมอย่างหนึ่งในบริการแชทและเกมออนไลน์คือการลงทะเบียนบัญชีด้วยชื่ออย่าง“ ผู้ดูแลระบบ” และส่งข้อความที่น่ากลัวให้กับผู้คนเช่น“ คำเตือน: เราตรวจพบว่ามีใครบางคนกำลังแฮ็คบัญชีของคุณ หากเป้าหมายตอบสนองด้วยรหัสผ่านของพวกเขาพวกเขาตกหลุมกลอุบายและผู้โจมตีมีรหัสผ่านบัญชีของตนแล้ว.
หากใครบางคนมีข้อมูลส่วนบุคคลของคุณพวกเขาสามารถใช้เพื่อเข้าถึงบัญชีของคุณ ตัวอย่างเช่นข้อมูลเช่นวันเกิดของคุณหมายเลขประกันสังคมและหมายเลขบัตรเครดิตมักใช้เพื่อระบุตัวคุณ หากใครมีข้อมูลนี้พวกเขาสามารถติดต่อธุรกิจและแกล้งทำเป็นคุณ เคล็ดลับนี้ถูกใช้อย่างมีชื่อเสียงโดยผู้โจมตีเพื่อเข้าถึง Yahoo! บัญชีจดหมายในปี 2008 ส่งรายละเอียดส่วนตัวมากพอที่จะเข้าถึงบัญชีผ่านทางแบบฟอร์มการกู้คืนรหัสผ่านของ Yahoo! สามารถใช้วิธีเดียวกันนี้ทางโทรศัพท์ได้หากคุณมีข้อมูลส่วนบุคคลที่ธุรกิจต้องการเพื่อรับรองความถูกต้องของคุณ ผู้โจมตีที่มีข้อมูลบางอย่างเกี่ยวกับเป้าหมายสามารถแสร้งทำเป็นพวกเขาและเข้าถึงสิ่งต่างๆได้มากขึ้น.
วิศวกรรมสังคมสามารถนำไปใช้ด้วยตนเอง ผู้โจมตีสามารถเดินเข้าไปในธุรกิจแจ้งให้เลขานุการทราบว่าพวกเขาเป็นคนซ่อมพนักงานใหม่หรือผู้ตรวจการดับเพลิงด้วยน้ำเสียงที่น่าเชื่อถือและน่าเชื่อถือจากนั้นเดินเตร่ไปยังห้องโถงและอาจขโมยข้อมูลลับหรือแมลงโรงงานเพื่อทำการจารกรรมของ บริษัท เคล็ดลับนี้ขึ้นอยู่กับผู้โจมตีที่นำเสนอตัวเองว่าเป็นคนที่พวกเขาไม่ได้ หากเลขานุการคนเฝ้าประตูหรือใครก็ตามที่อยู่ในความดูแลไม่ได้ถามคำถามมากเกินไปหรือมองอย่างใกล้ชิดเกินไปเคล็ดลับจะประสบความสำเร็จ.
การโจมตีทางวิศวกรรมสังคมครอบคลุมเว็บไซต์ปลอมอีเมลหลอกลวงและข้อความแชทที่ไม่ดีตลอดจนการแอบอ้างบุคคลอื่นในโทรศัพท์หรือด้วยตนเอง การโจมตีเหล่านี้มาในรูปแบบที่หลากหลาย แต่พวกเขาทั้งหมดมีสิ่งหนึ่งที่เหมือนกัน - พวกเขาอาศัยกลอุบายทางจิตวิทยา วิศวกรรมสังคมได้รับการขนานนามว่าเป็นศิลปะแห่งการจัดการทางจิตวิทยา นี่เป็นหนึ่งในวิธีหลัก ๆ ที่“ แฮ็กเกอร์” จริง ๆ แล้ว“ แฮ็ค” บัญชีออนไลน์.
วิธีการหลีกเลี่ยงวิศวกรรมสังคม
การรู้วิศวกรรมทางสังคมที่มีอยู่สามารถช่วยคุณต่อสู้ได้ สงสัยอีเมลที่ไม่พึงประสงค์ข้อความแชทและโทรศัพท์ที่ขอข้อมูลส่วนตัว อย่าเปิดเผยข้อมูลทางการเงินหรือข้อมูลส่วนบุคคลที่สำคัญผ่านทางอีเมล อย่าดาวน์โหลดไฟล์แนบอีเมลที่อาจเป็นอันตรายและเรียกใช้ไฟล์เหล่านั้นแม้ว่าอีเมลจะอ้างว่าเป็นไฟล์สำคัญก็ตาม.
คุณไม่ควรติดตามลิงก์ในอีเมลไปยังเว็บไซต์ที่ละเอียดอ่อน ตัวอย่างเช่นอย่าคลิกลิงก์ในอีเมลที่ดูเหมือนว่ามาจากธนาคารของคุณและเข้าสู่ระบบซึ่งอาจนำคุณไปยังไซต์ฟิชชิ่งปลอมซึ่งปลอมตัวเพื่อดูว่าเป็นเว็บไซต์ของธนาคารของคุณ แต่มี URL ที่แตกต่างกันเล็กน้อย เยี่ยมชมเว็บไซต์โดยตรงแทน.
หากคุณได้รับคำขอที่น่าสงสัย - เช่นโทรศัพท์จากธนาคารของคุณขอข้อมูลส่วนบุคคล - ติดต่อแหล่งที่มาของคำขอโดยตรงและขอการยืนยัน ในตัวอย่างนี้คุณจะโทรหาธนาคารของคุณและถามสิ่งที่พวกเขาต้องการแทนที่จะเปิดเผยข้อมูลให้กับคนที่อ้างว่าเป็นธนาคารของคุณ.
โดยทั่วไปโปรแกรมอีเมลเว็บเบราว์เซอร์และชุดรักษาความปลอดภัยจะมีตัวกรองฟิชชิ่งที่จะเตือนคุณเมื่อคุณเยี่ยมชมเว็บไซต์ฟิชชิ่งที่รู้จัก สิ่งที่พวกเขาสามารถทำได้คือเตือนคุณเมื่อคุณเยี่ยมชมไซต์ฟิชชิ่งที่รู้จักหรือรับอีเมลฟิชชิงที่รู้จักและพวกเขาไม่รู้เกี่ยวกับไซต์ฟิชชิ่งหรืออีเมลทั้งหมดที่อยู่ที่นั่น ส่วนใหญ่ขึ้นอยู่กับคุณว่าจะป้องกันตัวเองโปรแกรมความปลอดภัยสามารถช่วยได้เพียงเล็กน้อยเท่านั้น.
เป็นความคิดที่ดีที่จะใช้ความสงสัยที่ดีต่อสุขภาพเมื่อต้องรับมือกับคำขอข้อมูลส่วนตัวและสิ่งอื่นใดที่อาจเป็นการโจมตีทางวิศวกรรมสังคม ความสงสัยและข้อควรระวังจะช่วยปกป้องคุณทั้งทางออนไลน์และออฟไลน์.
เครดิตรูปภาพ: Jeff Turnet บน Flickr