มัลแวร์ไม่ใช่ภัยคุกคามออนไลน์เพียงอย่างเดียวที่ต้องกังวล วิศวกรรมสังคมเป็นภัยคุกคามที่ยิ่งใหญ่และสามารถโจมตีคุณได้ในทุกระบบปฏิบัติการ ในความเป็นจริงวิศวกรรมสังคมยังสามารถเกิดขึ้นได้ทางโทรศัพท์และในสถานการณ์แบบตัวต่อตัว
สิ่งสำคัญคือต้องตระหนักถึงวิศวกรรมสังคมและระวัง โปรแกรมรักษาความปลอดภัยไม่ได้ปกป้องคุณจากภัยคุกคามทางวิศวกรรมสังคมส่วนใหญ่คุณจึงต้องป้องกันตัวเอง
อธิบายวิศวกรรมสังคม
การโจมตีโดยใช้คอมพิวเตอร์แบบเดิมมักขึ้นอยู่กับการค้นหาช่องโหว่ในโค้ดของคอมพิวเตอร์ ตัวอย่างเช่นหากคุณกำลังใช้ Adobe Flash เวอร์ชันที่ล้าสมัยหรือพระเจ้าห้าม Java ซึ่งเป็นสาเหตุของการโจมตี 91% ในปี 2013 ตาม Cisco - คุณสามารถเยี่ยมชมเว็บไซต์ที่เป็นอันตรายและเว็บไซต์นั้นจะใช้ช่องโหว่ในซอฟต์แวร์ของคุณเพื่อเข้าถึงคอมพิวเตอร์ของคุณ ผู้โจมตีกำลังจัดการบั๊กในซอฟต์แวร์เพื่อเข้าถึงและรวบรวมข้อมูลส่วนตัวโดยอาจใช้คีย์ล็อกเกอร์ที่ติดตั้ง
กลเม็ดทางวิศวกรรมสังคมแตกต่างกันเนื่องจากเกี่ยวข้องกับการจัดการทางจิตวิทยาแทน กล่าวอีกนัยหนึ่งคือพวกเขาใช้ประโยชน์จากผู้คนไม่ใช่ซอฟต์แวร์ของพวกเขา
ที่เกี่ยวข้อง: การรักษาความปลอดภัยออนไลน์: การทำลายโครงสร้างของอีเมลฟิชชิ่ง
คุณอาจเคยได้ยินมาแล้ว ฟิชชิ่ง ซึ่งเป็นรูปแบบหนึ่งของวิศวกรรมสังคม คุณอาจได้รับอีเมลที่อ้างว่ามาจากธนาคาร บริษัท บัตรเครดิตหรือธุรกิจอื่นที่เชื่อถือได้ พวกเขาอาจนำคุณไปยังเว็บไซต์ปลอมที่ปลอมตัวให้ดูเหมือนจริงหรือขอให้คุณดาวน์โหลดและติดตั้งโปรแกรมที่เป็นอันตราย แต่กลเม็ดวิศวกรรมสังคมดังกล่าวไม่จำเป็นต้องเกี่ยวข้องกับเว็บไซต์ปลอมหรือมัลแวร์ อีเมลฟิชชิงอาจขอให้คุณส่งอีเมลตอบกลับพร้อมข้อมูลส่วนตัว แทนที่จะพยายามใช้ประโยชน์จากข้อบกพร่องในซอฟต์แวร์พวกเขาพยายามใช้ประโยชน์จากการโต้ตอบตามปกติของมนุษย์ สเปียร์ฟิชชิ่ง อาจเป็นอันตรายได้มากขึ้นเนื่องจากเป็นฟิชชิงรูปแบบหนึ่งที่ออกแบบมาเพื่อกำหนดเป้าหมายเฉพาะบุคคล
ตัวอย่างวิศวกรรมสังคม
เคล็ดลับยอดนิยมอย่างหนึ่งในบริการแชทและเกมออนไลน์คือการลงทะเบียนบัญชีที่มีชื่อเช่น“ ผู้ดูแลระบบ” และส่งข้อความที่น่ากลัวเช่น“ คำเตือน: เราตรวจพบว่ามีคนแฮ็กบัญชีของคุณตอบกลับด้วยรหัสผ่านเพื่อตรวจสอบตัวเอง” หากเป้าหมายตอบกลับด้วยรหัสผ่านแสดงว่าพวกเขาตกหลุมพรางกลลวงและตอนนี้ผู้โจมตีมีรหัสผ่านบัญชีของตนแล้ว
หากมีใครบางคนมีข้อมูลส่วนบุคคลของคุณพวกเขาสามารถใช้เพื่อเข้าถึงบัญชีของคุณได้ ตัวอย่างเช่นข้อมูลเช่นวันเกิดของคุณหมายเลขประกันสังคมและหมายเลขบัตรเครดิตมักใช้เพื่อระบุตัวตนของคุณ หากมีคนมีข้อมูลนี้พวกเขาสามารถติดต่อธุรกิจและแสร้งทำเป็นคุณได้ เคล็ดลับนี้ถูกใช้อย่างโด่งดังโดยผู้โจมตีเพื่อเข้าถึง Yahoo! ของ Sarah Palin บัญชีเมลในปี 2008 ส่งรายละเอียดส่วนบุคคลให้เพียงพอเพื่อเข้าถึงบัญชีผ่านแบบฟอร์มการกู้คืนรหัสผ่านของ Yahoo! สามารถใช้วิธีเดียวกันนี้ทางโทรศัพท์ได้หากคุณมีข้อมูลส่วนบุคคลที่ธุรกิจต้องการเพื่อรับรองความถูกต้องของคุณ ผู้โจมตีที่มีข้อมูลบางอย่างเกี่ยวกับเป้าหมายสามารถแสร้งทำเป็นพวกเขาและเข้าถึงสิ่งต่างๆได้มากขึ้น
นอกจากนี้ยังสามารถใช้วิศวกรรมสังคมด้วยตนเองได้ ผู้โจมตีสามารถเดินเข้าไปในธุรกิจแจ้งให้เลขานุการทราบว่าพวกเขาเป็นคนซ่อมพนักงานใหม่หรือเจ้าหน้าที่ตรวจสอบไฟด้วยน้ำเสียงที่เชื่อถือได้และน่าเชื่อถือจากนั้นก็เดินเตร่ไปในห้องโถงและอาจขโมยข้อมูลที่เป็นความลับหรือจุดบกพร่องของพืชเพื่อทำการจารกรรมข้อมูล เคล็ดลับนี้ขึ้นอยู่กับผู้โจมตีที่แสดงตัวว่าตนไม่ใช่คนอื่น หากเลขานุการคนเฝ้าประตูหรือใครก็ตามที่รับผิดชอบไม่ถามคำถามมากเกินไปหรือดูใกล้ชิดเกินไปเคล็ดลับก็จะสำเร็จ
ที่เกี่ยวข้อง: ผู้โจมตี "แฮ็กบัญชี" ทางออนไลน์ได้อย่างไรและวิธีป้องกันตัว
การโจมตีทางวิศวกรรมสังคมครอบคลุมไปถึงเว็บไซต์ปลอมอีเมลหลอกลวงและข้อความแชทที่ชั่วร้ายไปจนถึงการแอบอ้างเป็นบุคคลทางโทรศัพท์หรือตัวต่อตัว การโจมตีเหล่านี้มีหลายรูปแบบ แต่ทุกอย่างมีสิ่งหนึ่งที่เหมือนกัน - ขึ้นอยู่กับกลอุบายทางจิตวิทยา วิศวกรรมสังคมถูกเรียกว่าศิลปะแห่งการปรุงแต่งทางจิตวิทยา เป็นหนึ่งใน วิธีหลัก ๆ ที่“ แฮกเกอร์”“ แฮ็ก” บัญชีทางออนไลน์ .
วิธีหลีกเลี่ยงวิศวกรรมสังคม
การรู้วิศวกรรมสังคมสามารถช่วยคุณต่อสู้กับมันได้ ระวังอีเมลที่ไม่ได้ร้องขอข้อความแชทและโทรศัพท์ที่ขอข้อมูลส่วนตัว ห้ามเปิดเผยข้อมูลทางการเงินหรือข้อมูลส่วนบุคคลที่สำคัญทางอีเมล อย่าดาวน์โหลดไฟล์แนบอีเมลที่อาจเป็นอันตรายและเรียกใช้แม้ว่าอีเมลจะอ้างว่ามีความสำคัญก็ตาม
นอกจากนี้คุณไม่ควรติดตามลิงก์ในอีเมลไปยังเว็บไซต์ที่ละเอียดอ่อน ตัวอย่างเช่นอย่าคลิกลิงก์ในอีเมลที่ดูเหมือนว่ามาจากธนาคารของคุณและเข้าสู่ระบบอาจนำคุณไปยังไซต์ฟิชชิงปลอมที่ปลอมตัวเพื่อให้ดูเหมือนเป็นไซต์ของธนาคารของคุณ แต่ใช้ URL ที่แตกต่างกันเล็กน้อย เยี่ยมชมเว็บไซต์โดยตรงแทน
หากคุณได้รับคำขอที่น่าสงสัยตัวอย่างเช่นโทรศัพท์จากธนาคารของคุณขอข้อมูลส่วนบุคคลโปรดติดต่อแหล่งที่มาของคำขอโดยตรงและขอการยืนยัน ในตัวอย่างนี้คุณควรโทรหาธนาคารของคุณและถามว่าพวกเขาต้องการอะไรแทนที่จะเปิดเผยข้อมูลให้คนที่อ้างว่าเป็นธนาคารของคุณ
โดยทั่วไปโปรแกรมอีเมลเว็บเบราว์เซอร์และชุดรักษาความปลอดภัยจะมีตัวกรองฟิชชิงที่จะเตือนคุณเมื่อคุณเยี่ยมชมไซต์ฟิชชิ่งที่รู้จัก สิ่งที่ทำได้คือเตือนคุณเมื่อคุณเยี่ยมชมไซต์ฟิชชิงที่รู้จักหรือได้รับอีเมลฟิชชิ่งที่รู้จักและพวกเขาไม่ทราบเกี่ยวกับไซต์ฟิชชิงหรืออีเมลทั้งหมด โดยส่วนใหญ่แล้วการป้องกันตัวเองขึ้นอยู่กับคุณ - โปรแกรมความปลอดภัยช่วยได้เพียงเล็กน้อยเท่านั้น
เป็นความคิดที่ดีที่จะตั้งข้อสงสัยที่ดีเมื่อต้องรับมือกับคำขอข้อมูลส่วนตัวและสิ่งอื่นใดที่อาจเป็นการโจมตีทางวิศวกรรมสังคม ความสงสัยและความระมัดระวังจะช่วยปกป้องคุณทั้งออนไลน์และออฟไลน์
เครดิตรูปภาพ: Jeff Turnet บน Flickr
