กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 2

imageเขียน “กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 1” ไปแล้ว แต่ผมรู้สึกว่ามันจะยังไม่สุดเท่าไหร่ … มันเป็นเทคนิคที่ไม่ต้องอาศัยความรู้ด้านเทคโนโลยีอะไรมากมาย แต่กลับมีประสิทธิภาพในการหลอกล่อให้เหยื่อหลงเชื่อได้อย่างไม่น่าเชื่อ และสามารถใช้ได้ทั้งโลกออฟไลน์ และออนไลน์ หรือจะผสมผสานกันก็ได้

และสำหรับโลกออนไลน์นั้น ก็ไม่เกี่ยวด้วยว่าการป้องกันของเรานั้นดีแค่ไหน หรือใช้ระบบปฏิบัติการอะไร ดังเห็นได้ว่ามีการอาศัยวิธีดังกล่าวในการโจมตีเครื่อง Mac ผ่านทางโปรแกรมแอนตี้ไวรัสปลอมๆ ที่ใช้ชื่อว่า MacDefender และล่าสุด MacGuard ซึ่งในตอนที่แล้วผมก็ได้พูดถึงไปแล้ว ถึงคำพูดที่พวกฝรั่งเขาใช้พูดถึง Social Engineering กันว่า “Because there is no patch for human stupidty (ไม่มีแพตช์ใดๆ มาแก้ไขความโง่ของมนุษย์ได้)” ไปแล้ว และไม่ว่ากุญแจล็อกบ้านจะดีเลิศเลอปานใดก็ตาม หากเจ้าของบ้านเปิดประตูหราให้ขโมยเข้าบ้าน มันก็ไร้ประโยชน์ … วันนี้ผมเลยอยากพาท่านผู้อ่านไปรู้จักกับเทคนิค Social Engineering หรือ วิศวกรรมสังคมให้มากขึ้นไปอีกครับ

——————— พื้นที่โฆษณา ———————

แต่ก่อนที่จะไปอ่านกันต่อ ผมว่าสำหรับท่านผู้อ่านในวัยทำงานหรือใกล้จะวัยทำงาน น่าจะอยากรู้ว่าฐานเงินเดือนโดยเฉลี่ยของตัวเองอยู่ที่เท่าไหร่ในตลาดแรงงานตอนนี้ เลยอยากแนะนำให้ไปดาวน์โหลด Adecco Thailand Salary Guide 2012 ไปดูครับ เป็นข้อมูลจากทาง @AdeccoThailand ผู้ให้บริการโซลูชั่นด้านทรัพยากรบุคคลชั้นแนวหน้าของประเทศไทย … ที่สำคัญคือ ฟรีครับ

———————————————————-

ในภาคที่แล้ว ผมได้เกริ่นนำให้ท่านผู้อ่านได้รู้จักกับเทคนิควิศวกรรมสังคมไปแล้ว และได้พูดถึงวิธีการที่เหล่าผู้ไม่หวังดีจะใช้ไปบ้าง แต่จริงๆ แล้วมันมีรายละเอียดลึกๆ อีกเยอะมากมาย ซึ่งผมรู้สึกว่าควรจะเอามาให้พวกท่านได้อ่านกันครับ

 

การแอบอ้าง (Pretexting)

imageผมเพิ่งทวีตเกี่ยวกับเรื่องคล้ายๆ กันนี้ไปหมาดๆ เมื่อวันที่ 28 พ.ค. ที่ผ่านมา … หากคุณอ่านทวีตในรูปที่อยู่ด้านข้างของผมนี่แล้ว อาจจะนึกว่ามันเวอร์มากๆ แต่นี่คือเรื่องจริงครับ มันเป็นความเชื่อหนึ่งที่ฝังหัวเรามานานจริงๆ ว่า หากเราเจอปัญหากับการใช้งานบริการใดๆ ก็ตาม เวลาที่เราจะติดต่อกับผู้ดูแลระบบ หรือที่เรียกว่า Administrator แล้ว จะต้องบอกทั้งชื่อผู้ใช้งาน (username) และรหัสผ่าน (password) ให้หมดจด ปัญหาก็คือ ในหลายๆ กรณีเราจะพบว่า ผู้ใช้งานส่วนใหญ่ จะสมัครบริหารด้วยชื่อผู้ใช้งาน และรหัสผ่านเดียวกัน เพราะเหตุผลหลักๆ คือ เพื่อให้จดจำได้ง่าย … นอกจากนี้ ก็มีอีกหลายๆ บริการที่กำหนดชื่อผู้ใช้งานให้เป็นที่อยู่อีเมล์ของผู้ใช้งานเอง … นั่นหมายความว่า หากผู้ไม่หวังดีได้ชื่อผู้ใช้งานและรหัสผ่านของเราไปแล้วละก็ มีโอกาสที่บริการอื่นๆ บนอินเทอร์เน็ตที่เราใช้อยู่ อาจโดนแฮกตามไปติดๆ ได้เลยทีเดียว

เทคนิควิศวกรรมสังคมที่เรียกว่า Pretexting นี้ ก็แอบอ้างตนเองเป็นใครซักคนที่ผู้ใช้งานจะยอมเผยข้อมูลมาให้ แน่นอนว่าการหลอกว่าเป็นผู้ดูแลระบบเนี่ย เป็นลูกไม้อันดับต้นๆ เลยทีเดียว … นอกจากนี้ก็อาจมีการปลอมเป็นคนอื่นเพื่อมาขอข้อมูลด้วยเช่นกัน เช่น เจ้าหน้าที่ตำรวจ, เจ้าหน้าที่ธนาคาร, เจ้าหน้าที่สรรพากร ฯลฯ และข้อมูลที่จะขอ บางทีก็ไม่ใช่แค่ชื่อผู้ใช้งานและรหัสผ่านเท่านั้น แต่อาจจะมีข้อมูลสำคัญทางการเงินอื่นๆ อีก เช่น เลขที่บัญชี เลขที่บัตรเครดิต ฯลฯ

ด้านล่างนี่เป็นตัวอย่างของการแอบอ้างที่เกิดขึ้นในประเทศไทยนะครับ (รูปภาพจาก drama-addict.com ขอบคุณ @jarpichit สำหรับความเอื้อเฟื้อให้ใช้รูปประกอบ) แต่เป้าหมายของการแอบอ้างครั้งนี้ไม่ใช่เพื่อขอข้อมูล แต่เพื่อให้ลบข้อมูลแทน … ทว่าความน่าเชื่อถือของอีเมล์ฉบับนี้มันหมดไปเพราะความสะเพร่าของผู้แอบอ้างทั้งในส่วนของความประณีตในการปลอมเนื้อหาจดหมาย (สระลอย … ซึ่งปกติแล้วจดหมายเป็นทางการแบบนี้ บริษัทใหญ่ๆ จะเข้มงวดมาก) และหากเข้าไปอ่านในดราม่านี้จะเห็นว่าแอดมินได้อธิบายถึงจุดผิดสังเกตที่

 

image

 

หลอกให้เปลี่ยนเส้นทาง (Diversion Theft)

เทคนิคนี้มักถูกใช้กับธุรกิจอีคอมเมิร์ซครับ งวดนี้เป้าหมายของของผู้ไม่หวังดีไม่ใช่ลูกค้าที่ซื้อของครับ แต่เป็นผู้ประกอบการอีคอมเมิร์ซ หรือผู้ที่รับผิดชอบเรื่องการจัดส่งสินค้าแทน โดยผู้ไม่หวังดีจะใช้เทคนิคและกลอุบายต่างๆ นานา ในการที่จะหลอกให้เป้าหมายเปลี่ยนที่อยู่ในการจัดส่งสินค้าไปยังที่ที่ตนต้องการแทน (และนั่นหมายความว่าผู้ไม่หวังดีก็จะได้สินค้านั้นไปแทน)

พื้นฐานง่ายๆ ก็มักจะใช้การหลอกให้ผู้ประกอบการอีคอมเมิร์ซหรือผู้จัดส่งสินค้าเชื่อว่ามันเป็นความต้องการของผู้ซื้อเองที่ขอเปลี่ยนแปลงที่อยู่จัดส่ง โดยอาจใช้วิธีง่ายๆ เช่นการส่งอีเมล์ปลอม (เชื่อหรือไม่ล่ะ ว่าการปลอมอีเมล์ว่าส่งมาจากใครมันไม่ได้ยากเย็นอะไรนัก) หรืออาจใช้วิธียากขึ้นอีกหน่อย ด้วยการขโมยชื่อผู้ใช้งานและรหัสผ่านของลูกค้ามาล็อกอินเพื่อเปลี่ยนแปลงข้อมูล (ถ้าเป็นกรณีนี้ ก็ต้องใช้เทคนิควิศวกรรมสังคมหลายอย่างพร้อมๆ กัน)

 

ฉันนั่งตกปลาอยู่ริมตลิ่ง – ฟิชชิ่ง (Phishing)

imageเทคนิคนี้มันเล่นคำพ้องเสียงกับคำว่า Fishing ที่แปลว่าตกปลานั่นแหละครับ พื้นฐานของเทคนิคนี้ก็เริ่มจากการส่งอีเมล์ไปหาเป้าหมาย แล้วใช้เทคนิคเดียวกับการแอบอ้าง (Pretexting) เพื่อหลอกให้หลงเชื่อ แต่แทนที่จะขอกันตรงๆ เหมือนอย่างตอนใช้เทคนิค Pretexting ก็จะทำให้น่าเชื่อถือยิ่งกว่านั้น เพราะจะเป็นการพาไปยังเว็บไซต์ที่ทำไว้หลอกๆ (แต่เหมือนมาก) เพื่อให้ผู้ใช้งานกรอกข้อมูลที่ต้องการลงไปเอง

เทคนิคนี้ถูกพัฒนาขึ้น เพราะว่าผู้ใช้งานจำนวนไม่น้อย เริ่มไหวตัวทันกับเทคนิคการแอบอ้างในแบบแรกมากขึ้น เพราะผู้ประกอบการจำนวนไม่น้อย ให้ความรู้แก่ผู้ใช้งานแล้วว่า จะไม่มีนโยบายในการส่งอีเมล์มาถามข้อมูลต่างๆ ของลูกค้าเด็ดขาด งวดนี้ผู้ไม่หวังดีก็เลยไม่ถามตรงๆ แต่ใช้วิธีหลอกให้เข้ามายังเว็บไซต์ที่ต้องการแล้วหลอกให้บอกข้อมูลแทน

เทคนิคตกปลาเนี่ยสำคัญที่สุดอยู่ 2 ส่วนคือ 1) การสร้างอีเมล์ที่มีเนื้อหาให้ดูน่าเชื่อถือ และ 2) การสร้างหน้าเว็บไซต์ให้ดูเหมือนของจริง น่าเชื่อถือ

imageบ่อยครั้งที่พวกผู้ไม่หวังดีมือสมัครเล่น ใช้เทคนิคในการปลอมแปลงแค่ในส่วนของเนื้อหา และชื่อของผู้ส่ง แต่ไม่ได้รวมไปถึงอีเมล์ของผู้ส่งด้วย (แต่พยายามทำให้เหมือนที่สุด เช่น ในกรณีนี้ ใช้ infouniversalmusicgroupth เพื่ออ้างเป็น Universal Music Group Thailand แต่ว่าดันใช้เป็น Yahoo.com ซะงั้น ทั้งๆ ที่บริษัทยักษ์ใหญ่ขนาดนี้ ไม่น่าจะมีใครใช้อีเมล์ฟรีในการส่งจดหมายอย่างเป็นทางการถึงผู้อื่น (รูปภาพจาก drama-addict.com ขอบคุณ @jarpichit สำหรับความเอื้อเฟื้อให้ใช้รูปประกอบ) แน่นอนว่าไม่ใช่ว่าพนักงานบริษัทใหญ่ๆ จะไม่เคยใช้อีเมล์ฟรีในการติดต่องานกับลูกค้า หรือผู้อื่นนะครับ เพียงแต่ปกติแล้วจดหมายสำคัญ หรือจดหมายแจ้งเตือนทางกฎหมาย มักจะใช้อีเมล์อย่างเป็นทางการมากกว่าอีเมล์ฟรี … จุดนี้คือจุดง่ายๆ ที่เราสามารถสังเกตได้ว่าอีเมล์นั้นเป็นพวก Phishing หรือไม่ แต่ว่าผู้ใช้งานมักไม่ทันได้ตรวจสอบให้แน่ชัด

 

แก๊งคอลล์เซ็นเตอร์ (Interactive Voice Response หรือ Phone Phishing)

ผมเข้าใจว่าชื่อภาษาไทยของเทคนิคนี้มันไม่ใช่คำแปลตรงๆ ของชื่อภาษาอังกฤษหรอก แต่ว่าผมว่าหากตั้งชื่อแบบนี้แล้ว เชื่อว่าคนส่วนใหญ่จะเก็ทในทันทีว่ามันคืออะไร … ผู้ไม่หวังดีจะใช้วิธีการโทรมาแอบอ้างว่าเป็นเจ้าหน้าที่คอลล์เซ็นเตอร์ของผู้ให้บริการต่างๆ (โดยเฉพาะธนาคาร) เพื่อมาขอข้อมูลจากเรา (อันนี้เจอในต่างประเทศบ่อยๆ) แต่เทคนิคนี้ในประเทศไทยเรา มักจะเป็นการหลอกให้เราหลวมตัวโอนเงินให้กับพวกผู้ไม่หวังดีแทน โดยอาศัยปัจจัยเรื่องความตกใจกลัว และความไม่รู้ภาษาอังกฤษของเหยื่อครับ

ผมลองหาคลิปเสียงแก๊งคอลล์เซ็นเตอร์มาฝากด้วยครับ

 

 

นอกจากการโทรมาหลอกแล้ว ก็ยังมีการหลอกให้โทรมายังระบบตอบรับอัตโนมัติ แต่ว่าจริงๆ แล้วเป็นระบบปลอมที่ทำขึ้นมาเพื่อหลอกล่อให้ป้อนข้อมูลส่วนตัวให้ด้วยครับ (อย่าลืมนะครับ ยังมีการทำธุรกรรมผ่านบัตรเครดิตจำนวนไม่น้อยที่ต้องการข้อมูลแค่หมายเลขบัตร ชื่อผู้ถือบัตร และเดือนกับปีที่บัตรหมดอายุ)

 

วางเหยื่อล่อ (Baiting)

imageเทคนิคนี้ต้องลงทุนกันหน่อย ยังไม่ค่อยได้เจอในเมืองไทย (หรือมีแล้วแต่ไม่เป็นข่าวหว่า?!?) ผู้ไม่หวังดีจะนำเอาแผ่น CD/DVD หรือแฟลชไดร์ฟที่ทำการแฝงพวก Malware ไว้มาวางไว้ล่อให้เหยื่อเก็บเอาไป อาศัยความอยากรู้อยากเห็น หรือความโลภของเหยื่อในการล่อให้เปิดไฟล์ในสื่อบันทึกข้อมูลดังกล่าว

วิธีการล่อให้เกิดความอยากรู้อยากเห็น ก็อาจเป็นเรื่องของการติดป้ายชื่อบนแฟลชไดร์ฟ หรือเขียนชื่อที่น่าสนใจไว้บนแผ่น CD/DVD เช่น อาจจะเขียนแค่ “ลับสุดยอด” หรือ “ห้ามเปิด” ก็ได้ (อย่าลืมว่าคำพูดแบบนี้มักก่อให้เกิดอาการ “ยิ่งห้ามเหมือนยิ่งยุ”)

พอเปิดไฟล์ในสื่อบันทึกข้อมูลพวกนี้อ่าน ผลก็คือ Malware ที่แฝงมาก็จะเข้ามาติดในเครื่องคอมพิวเตอร์ของเราในบัดดล

ยื่นหมูยื่นแมว (Quid Pro Quo)

imageหมายความตามชื่อครับ ผู้ไม่หวังดีจะอาศัยของล่อใจ เช่น เงินทองของนอกกาย ของพรีเมี่ยม และอื่นๆ เพื่อให้เหยื่อหลวมตัวยอมบอกข้อมูลต่างๆ ของตนออกมา

อ่านดูแล้วอาจเหลือเชื่อ แต่ว่าก็มีคนจำนวนไม่น้อยเลยทีเดียวนะครับ ที่ตกเป็นเหยื่อของเทคนิคดังกล่าว … ผมมองว่าปัจจัยที่ทำให้เทคนิคประเภทนี้ประสบผลสำเร็จก็คือ ความเชื่อที่ว่าข้อมูลดังกล่าวของตนนั้นไม่ได้มีความสำคัญอะไร เช่น เราอาจเคยได้ยินเรื่องการให้บัครประชาชนไปใช้ทำโน่นทำนี่ โดยแลกกับเงิน เป็นต้น

ลำพังแค่บัตรประชาชนเนี่ย ก็มีข้อมูลต่างๆ มากมายที่เอาไปใช้ในธุรกรรมต่างๆ ได้แล้ว ไม่ว่าจะเป็นการซื้อขายสินค้า (เช่น โทรศัพท์มือถือ) การทำธุรกรรมทางการเงินกับธนาคาร หรือข้อมูลอย่าง ชื่อ-นามสกุล ที่อยู่ เลขที่บัตรประชาชน และวันเดือนปีเกิด พวกนี้ถูกนำไปใช้เป็นข้อมูลในการยืนยันการระบุตัวตนที่พวกผู้ให้บริการโทรศัพท์มือถือ หรือผู้ให้บริการบัตรเครดิตใช้ เวลาที่จะทำธุรกรรมทางโทรศัพท์

ทั้งหมดที่เกี่ยวกับเทคนิควิศวกรรมสังคมที่อยากจะพูดถึงในตอนนี้ก็มีประมาณนี้ละครับ ถ้าสนใจอยากอ่านเนื้อหาเพิ่มเติม ก็ลองไปอ่านข้อมูลอ้างอิงข้างล่างนี้ได้ครับ

ข้อมูลอ้างอิง: http://en.wikipedia.org/wiki/Social_engineering_(security)

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: