Tuesday, November 15, 2016

ฟิชชิง (Phishing)

ฟิชชิง (Phishing) เป็นการหลอกลวงทางอินเตอร์เน็ตอีกรูปแบบหนึ่ง มีวัตถุประสงค์เพื่อหลอกลวงเหยื่อให้กรอกข้อมูลสำคัญส่งคืนให้กับคนร้าย เช่น รหัสผ่าน หมายเลขบัตรเครดิต ข้อมูลการเข้าระบบอินเตอร์เน็ตแบ็งค์กิ้ง เป็นต้น
โดยคนร้ายอาจทำเว็บเพจธนาคารทางอินเตอร์เน็ตลอกเลียนเว็บจริง จากนั้นนำลิงค์ของเว็บหลอกส่งกระจายไปหาเหยื่อ เพื่อให้คลิกกลับไปยังเว็บหลอกลวง โดยแจ้งว่าธนาคารขอให้ปรับปรุงข้อมูลส่วนตัวเพื่อรักษาสิทธิ์ทางธนาคารเป็นต้น หากเหยื่อมีบัญชีอยู่กับธนาคารนั้นก็อาจหลงเชื่อและคลิกกลับไป พร้อมกรอกข้อมูลสำคัญ ให้กับเว็บเพจนั้น ทั้งชื่อผู้ใช้ รหัสผ่าน ในการล็อกอิน และข้อมูลส่วนตัวอื่นๆ อาทิ เลขที่บัตรประชาชน วันเดือนปีเกิด ข้อมูลลับอื่นๆ ทำให้คนร้ายได้ขอมูลไปทั้งหมด จากนั้นคนร้ายก็จะนำข้อมูลเหล่านั้น ไปใช้เข้าระบบจริงและทำการแก้ไข โอนเงินในบัญชีเหยื่อออกไป

การค้นข้อมูลจากถังขยะ (Dumpster Diving)

การค้นข้อมูลจากถังขยะ (Dumpster Diving) เป็นการค้นหาข้อมูลต่างๆ ที่อาจถูกทิ้งโดยผู้ทำหน้าที่ดูแลระบบ หรือผู้เกี่ยวข้อง ที่อาจนำไปใช้เป็นชื่อบัญชี และพาสเวิร์ดเพื่อเข้าสู่ระบบได้ ไม่ว่าจะเป็นจดหมาย เอกสารใบแจ้งหนี้บัตรเครดิต ใบแจ้งหนี้ค่าสาธารณูปโภค เศษกระดาษที่จดข้อมูลต่างๆ ซึ่งข้อมูลจากเอกสารเหล่านี้ มักถูกนำไปใช้เป็นพาสเวิร์ด การเข้าระบบได้

วิศวกรรมทางสังคม (Social Engineering)

การโจมตีแบบวิศวกรรมทางสังคม (Social Engineering) เป็นปฏิบัติการการโจมตีโดยอาศัยเทคนิคทางจิตวิทยา ทำให้ง่ายต่อการโจมตี ผู้โจมตีไม่จำเป็นต้องมีความรู้ทางคอมพิวเตอร์มากนัก (เป็น non technical attack) นอกจากนี้ยังใช้ได้ผลเป็นส่วนใหญ่
โดยส่วนใหญ่เทคนิคทางจิตวิทยาที่นำมาใช้คือ การนำผลประโยชน์เข้ามาเกี่ยวข้อง ด้วยพื้นฐานความโลภของมนุษย์ ความอยากมีอยากได้ ความกลัวเสียประโยชน์ เป็นพื้นฐานเบื้องลึกในจิตใจคน
คนร้ายจึงนำปัจจัยนี้มาเป็นฐานสร้างกระบวนการหลอกลวง ผ่านเครือข่ายอินเตอร์เน็ต หรืออิเล็กทรอนิกส์รูปแบบต่างๆ อาทิเช่น
การหลอกลวงว่าได้รับรางวัลถูกล็อตเตอรี่ แล้วให้แจ้งข้อมูลต่างๆ จนกระทั้งต้องโอนค่าธรรมเนียมให้ โดยที่เหยื่อมักลืมคิดไปว่า ตนเองไม่เคยซื้อล็อตเตอรี่กับเขาแต่ทำไมจึงได้รับรางวัล
การหลอกลวงว่ารับสมัครงานรายได้ดี ทำงานสบายผ่านอินเตอร์เน็ต แต่ไม่บอกว่าทำงานอะไร หากต้องการทำต้องสมัครสมาชิกก่อน
การหลอกขายสินค้าราคาถูก เมื่อเหยื่อหลงเชื่อก็จะให้โอนเงินไปให้กับร้านค้าที่ขายของให้กับคนร้าย แล้วตนเองไปรับของแต่ไม่ส่งของให้เหยื่อ เหยื่อไปติดตามจากร้านค้าก็จะพบว่าของถูกคนร้ายรับไปแล้ว โดยคนร้ายจ่ายส่วนต่าง หรือของเป็นคนละชนิด
การหลอกลวงว่า เป็นหนี้บัตรเครดิต โทรจากธนาคารแห่งประเทศไทย ทำธุรกรรมยืนยัน ไม่เช่นนั้นจะถูกดำเนินคดี ยึดทรัพย์ ต่างๆ เหยื่อกลัวเสียประโยชน์ ก็จะรีบทำตามไปที่ตู้ ATM โดยจะให้เลือกเมนูภาษาอังกฤษ และหลอกให้กดโอนเงิน เป็นต้น