การตระหนักและการหลีกเลี่ยงแผนวิศวกรรมสังคม

เราทุกคนมีงานต้องทำ และอาชญากรทางไซเบอร์ไม่ได้เป็นสิ่งที่เราให้ความสำคัญเป็นอันดับหนึ่งเสมอไป ในวันที่มีงานยุ่ง เราอาจละเลยและคลิกผิดลิงก์หรือสื่อสารกับอีเมลที่ไม่เหมาะสมได้ง่าย และกลายเป็นเหยื่อของอาชญากรทางไซเบอร์โดยไม่ได้ตั้งใจ

แต่น่าเสียดายที่การละเมิดความปลอดภัยมีราคาสูง การศึกษาวิจัยในปี 2018 ที่ดำเนินการโดย IBM ระบุว่า “ต้นทุนโดยเฉลี่ยของการละเมิดด้านข้อมูลทั่วโลกเพิ่มขึ้นร้อยละ 6.4 จากปีก่อนหน้า เป็น 3.86 ล้านดอลลาร์สหรัฐฯ”

แต่คุณสามารถช่วยหลีกเลี่ยงการละเมิดความปลอดภัยได้ โดยการตระหนักถึงยุทธวิธีในวิศวกรรมสังคมที่อาชญากรทางไซเบอร์ใช้ และโดยการปฏิบัติตามวิธีปฏิบัติที่เป็นเลิศง่าย ๆ

 

ฟิชชิง

การโจมตีแบบฟิชชิงเกิดขึ้นเมื่อมีการปกปิดข้อความที่ไม่ประสงค์ดีที่มักเป็นอีเมลว่าเป็นอีเมลทางการ และผู้ใช้ที่รู้เท่าไม่ถึงการณ์เปิดหรือส่งต่อข้อความนี้ ในการโจมตีประเภทหนึ่งที่พบได้บ่อย อีเมลเหล่านี้ดูเหมือนว่ามาจากธนาคารของคุณหรือจากผู้ค้าปลีกที่เป็นที่นิยม อีเมลอาจพยายามทำให้คุณรู้สึกกลัวว่าบัญชีของคุณถูกละเมิด หรือคุณถูกคิดเงินสำหรับการซื้อที่คุณไม่ได้ซื้อ โดยปกติ เหยื่อมักลงเอยด้วยการคลิกที่ลิงก์ที่ไม่ประสงค์ดีหรือเอกสารแนบในอีเมล ซึ่งทำให้คอมพิวเตอร์ของผู้ใช้ติดไวรัส

วิธีการหลีกเลี่ยงการเป็นเหยื่อนั้นง่ายอย่างไม่น่าเชื่อ: อย่าโต้ตอบกับอีเมลที่ไม่ได้ขอให้มีการส่ง หากคุณเชื่อว่าอีเมลนั้นเชื่อถือได้ ทำให้แน่ใจว่าคุณติดต่อผู้ส่งโดยใช้วิธีการสื่อสารอื่น (ตัวอย่างเช่น โดยใช้หมายเลขโทรศัพท์ที่พบบนเว็บไซต์จริง ๆ ของบริษัทนั้น) หากคุณสงสัยว่าคุณถูกโจมตีแบบ  ฟิชชิง ให้รายงานการโจมตีต่อฝ่ายรักษาความปลอดภัยทางไอทีทันที

 

การโจมตีฟิชชิงแบบมุ่งเป้า

หากคุณทำงานในฝ่ายบริหารระดับสูง หรือหากคุณจัดการการทำธุรกรรมให้กับบริษัทของคุณ คุณอาจมีความเสี่ยงต่อการโจมตีฟิชชิงแบบมุ่งเป้า หรือที่เรียกว่าสเปียร์ฟิชชิง สเปียร์ฟิชชิงมุ่งเป้าหมายที่บุคคลที่เฉพาะเจาะจงหลังจากที่เรียนรู้ว่าบุคคลนั้นทำอะไรและทำธุรกิจกับใคร

จากข้อมูลของ FBI “Business Email Compromise Scams” หรือการหลอกลวงด้วยอีเมลธุรกิจโดยอ้างตัวเป็นบุคคลสำคัญในองค์กร ทำให้เกิดการสูญเงินไปแล้วประมาณ 2.3 พันล้านดอลลาร์สหรัฐฯ ซึ่งในการหลอกลวงประเภทนี้ อาชญากรเจาะเข้ากล่องอีเมลขาเข้าของผู้บริหารระดับสูง และใช้ข้อมูลในกล่องขาเข้าเพื่อโน้มน้าวให้พนักงานอีกคนโอนเงิน

การหลอกลวงแบบมุ่งเป้าหมายดังกล่าวพบได้บ่อยมากขึ้น และแพร่หลายมากกว่าที่คุณคิด ตัวอย่างบางส่วนเมื่อไม่นานมานี้ เช่น:

สำหรับการป้องกัน ให้ใช้กฎเดียวกัน อย่าโต้ตอบกับอีเมลที่ไม่ได้ขอให้มีการส่งโดยไม่หยุดคิดก่อน ไม่ว่าอีเมลนั้นจะฟังดูเร่งด่วนอย่างไรก็ตาม ตรวจสอบความถูกต้องของอีเมลนั้นด้วยตัวเองก่อนดำเนินการใด ๆ เสมอ

 

การโจมตีฟิชชิงทางโทรศัพท์

การโจมตีฟิชชิงทางโทรศัพท์เกี่ยวข้องกับการโทรศัพท์หลอกลวงเหมือนกับชื่อ เช่นเดียวกับอีเมลฟิชชิงแบบมุ่งเป้า อาชญากรจะค้นคว้าเกี่ยวกับเหยื่อ แล้วจากนั้นจะปลอมตัวเป็นพนักงานภายใน พันธมิตรทางธุรกิจ หรือเจ้าหน้าที่รัฐ และโน้มน้าวให้เหยื่อเปิดเผยข้อมูลละเอียดอ่อนหรือชำระเงิน

ระหว่างปี 2012 ถึง 2016 ชาวอเมริกัน 15,000 คนสูญเงินกว่าร้อยดอลลาร์สหรัฐฯ เพราะการหลอกลวงทางโทรศัพท์ ลักษณะที่พบได้บ่อยของโทรศัพท์หลอกหลวงแบบนี้คือการปลอมว่ามาจากสรรพากร (IRS) และทำให้ผู้รับโทรศัพท์ตกใจกลัวว่าต้องจ่าย “ภาษีย้อนหลัง” หรือไม่อย่างนั้นจะมีความเสี่ยงที่จะถูกจับ

หากสายโทรศัพท์ฟังดูน่าสงสัย สายโทรศัพท์นั้นอาจน่าสงสัยจริง ๆ เช่นเดียวกับอีเมลฟิชชิง อย่าเปิดเผยข้อมูลหรือส่งเงินโดยไม่ตรวจสอบความถูกต้องของสายโทรศัพท์

 

การวางเหยื่อล่อ

คุณเคยได้รับธัมบ์ไดรฟ์ฟรีใน “การชิงโชค” หรือเปล่า หรือคุณเคยบังเอิญ “เจอ” การ์ด SD ที่ตกหล่นอยู่หรือไม่ คิดใหม่อีกครั้ง เป็นที่รู้จักว่าอาชญากรพยายามที่จะแทรกซึมเข้าเครือข่ายขององค์กรโดยการล่อเหยื่อด้วยอุปกรณ์ที่ไม่ประสงค์ดีซึ่งสามารถเสียบเขาไปในแล็ปท็อปของบริษัทได้

อย่าเสียบอุปกรณ์ที่ไม่ได้รับอนุญาตเข้าคอมพิวเตอร์ของคุณเป็นอันขาด หากไม่แน่ใจ ให้ติดต่อศูนย์ช่วยเหลือ และส่งมอบอุปกรณ์ที่น่าสงสัยกับฝ่ายไอทีเสมอ

 

การแอบเดินตาม

การแอบเดินตามเกี่ยวข้องกับการแอบเดินตาม (piggybacking) เข้าไปในพื้นที่สำนักงานที่มีการรักษาความปลอดภัยโดยใช้ข้อมูลประจำตัวของบุคคลอื่น อาชญากรอาจติดตามคุณเข้าไปในพื้นที่ที่มีการรักษาความปลอดภัยหลังจากที่คุณรูดบัตรประจำตัวของคุณ หรืออาชญากรอาจพูดคุยกับคุณเพื่อให้คุณพาเขา/เธอเข้าไป

การให้คนอื่นเข้าไปในพื้นที่ที่มีการรักษาความปลอดภัยโดยใช้ข้อมูลประจำตัวของคุณขัดต่อนโยบายของบริษัท หากมีคนขอให้คุณพาพวกเขาเข้าไป ให้นำพวกเขาไปที่ฝ่ายต้อนรับส่วนหน้าอย่างสุภาพ