เผยกลอุบายที่วิศวกรสังคมใช้เป็นประจำ พร้อมแนะนำวิธีช่วยไม่ให้พนักงานของคุณตกเป็นเหยื่อ

บริษัทของคุณมีไฟร์วอลล์ที่เข้มแข็ง และมีระบบตรวจจับการบุกรุกตัวอาคารที่สุดยอด คุณได้ใช้เงินลงทุนเรื่องเทคโนโลยีไปมหาศาล แล้วเรื่องของคนล่ะ?

วิศวกรสังคม (Social Engineer) หรืออาชญากรที่อาศัยพฤติกรรมของมนุษย์ล่อให้ติดกับ จะไม่กังวว่าพวกเขามีป้ายห้อยคอพนักงานหรือไม่ พวกเขาแค่เดินดุ่มเข้าไปและขอให้ใครสักคนช่วยพาเข้าประตู ส่วนไฟร์วอลล์ตัวนั้นเล่า? ก็หมดความหมายเหมือนกัน ถ้าผู้ใช้ของคุณถูกลวงให้คลิ๊ก URL ที่หลอกว่าส่งมาจากเพื่อนใน Facebook

บทความนี้ ขอกล่าวถึงกลอุบายที่วิศวกรสังคมใช้เป็นประจำ พร้อมแนะนำวิธีช่วยไม่ให้พนักงานของคุณตกเป็นเหยื่อ

วิศวกรรมสังคมคืออะไร?

วิศวกรรมสังคม (Social Engineering) คือศิลปะในการเข้าถึงตัวอาคาร ระบบ หรือข้อมูลโดยใช้ประโยชน์จากจิตวิทยามนุษย์ แทนที่จะใช้วิธีเจาะทำลาย หรือใช้เทคนิคการแฮ็กข้อมูลอันแสนลำบาก ยกตัวอย่างเช่น แทนที่จะเสียเวลาหาช่องโหว่ในซอฟต์แวร์ วิศวกรสังคมอาจแกล้งโทรหาพนักงานของคุณ แสร้างทำตัวเป็นพนักงานไอทีคนใหม่ และหลอกถามรหัสผ่านเข้าระบบ

Kevin Mitnick แฮ็กเกอร์มือกระฉ่อนนับเป็นผู้จุดชนวนให้วิศวกรรมสังคมโด่งดังเป็นพลุแตกในทศวรรษที่ 90 กลบเทคนิคการโจมตีรูปแบบอื่นเสียถนัดใจ

บริษัทของฉันเผชิญความเสี่ยงอย่างไร?

วิศวกรรมสังคมได้รับการพิสูจน์ว่าเป็นวิธีที่ประสบความสำเร็จอย่างมากสำหรับอาชญากรที่จะแทรกซึมเข้าไปในบริษัทของคุณ เช่นในตัวอย่างข้างบน เมื่อวิศวกรสังคมได้รหัสผ่านของพนักงานมาแล้ว ก็จะสามารถล็อกอินและล้วงข้อมูลได้อย่างง่ายดาย หรืออีกหนึ่งความพยายาม พวกเขาอาจหลอกพนักงานของคุณว่าลืมรหัสผ่านเข้าประตู หรือบัตรทาบเปิดประตู ขอร้องให้ช่วยเปิดประตูให้ แล้วเดินเข้าตัวอาคาร ลักลอบดูข้อมูลในคอมพิวเตอร์ ขโมยทรัพย์สิน หรือแม้กระทั่งทำร้ายผู้คน ก็มีโอกาสเช่นกัน

Chris Nickerson ผู้ก่อตั้งบริษัท Lares ในมลรัฐโคโลราโดที่ให้บริการทดสอบเจาะระบบลูกค้าโดยใช้เทคนิควิศวกรรมสังคม ได้แสดงให้บรรดาหัวหน้าเจ้าหน้าด้านการรักษาความปลอดภัย หรือ CSO ของบริษัทต่างๆ เห็นว่าช่างง่ายเพียงใดที่ใครจะเดินฝ่าด่านป้องกันเข้าอาคารอย่างหน้าตาเฉย

ในการทดสอบครั้งหนึ่ง Nickerson ใช้เพียงงานอีเวนต์ ข้อมูลสาธารณะที่มีอยู่ตามเว็บชุมชน และเสื้อเชิ้ตของซิสโก้ที่สอยมาจากร้านแถวบ้านเป็นเครื่องมือโจรกรรม เสื้อเชิ้ตตัวนี้ช่วยเขาหลอกเจ้าหน้าที่ต้อนรับ รวมถึงพนักงานคนอื่นๆ ให้เชื่อว่าเป็นทีมให้การสนับสนุนของซิสโก้จะขอเข้าตรวจสภาพอุปกรณ์ เมื่อเข้าตัวอาคารสำเร็จ เขายังโทรบอกให้ทีมโจรกรรมอีกคนตามเข้ามา แถมยังสามารถเสียบแฟลชไดรฟ์ยูเอสบีที่ฝังมัลแวร์ลงคอมพิวเตอร์ในสำนักงาน ทั้งที่อยู่ต่อหน้าพนักงานเป็นสิบ

วิศวกรสังคมใช้กลอุบายอย่างไร?

อาชญากรมักจะใช้เวลาหลายสัปดาห์ หรือเป็นเดือนๆ ในการทำความรู้จักสถานที่ก่อนลงมือเข้าทางประตู หรือกดโทรศัพท์มายังสำนักงานของคุณ ซึ่งลักษณะการเตรียมพร้อม ก็มีตั้งแต่การค้นหาหมายเลขโทรศัพท์ ศึกษาผังองค์กร ไปจนถึงการศึกษาเรื่องส่วนตัวพนักงานของคุณผ่านทางเว็บชุมชนอย่าง LinkedIn หรือ Facebook

Nickerson กล่าวว่า “ยามใดที่พวกเขารู้สึกตัวพร้อม รู้ในสิ่งที่ควรพูด รู้จักคนที่ควรถาม พวกเขาก็จะชิงลงมือแทรกซึมเข้าอาคาร หรือเข้าถึงข้อมูลสำคัญทันที”

เป้าหมายคือการได้รับความเชื่อใจจากพนักงานหนึ่งคนหรือหลายคนๆ ของคุณ ซึ่ง Brian Bushwood ผู้จัดรายการอินเทอร์เน็ตทีวี “Scam School (http://revision3.com/scamschool)” ได้บรรยายวิธีที่วิศวกรสังคมใช้สร้างความไว้เนื่อเชื่อใจ แปรผันตามช่องทางการสื่อการ ดังนี้

พูดคุยทางโทรศัพท์: วิศวกรสังคมอาจโทรเข้ามา และแสร้งทำตัวเป็นอดีตพนักงานของคุณ หรือเจ้าหน้าที่จากองค์กรภายนอกที่น่าเชื่อถือ (เช่น เจ้าหน้าที่ตำรวจ หรือผู้ตรวจสอบ) ตามความเห็นของ Sal Lifrieri อดีตเจ้าหน้าที่ของสำนักงานตำรวจกรุงนิวยอร์ก ซึ่งปัจจุบันเป็นวิทยากรให้ความรู้เรื่องเล่ห์กลทางวิศวกรรมสังคมแก่บริษัทต่างๆ ในนามองค์กรที่ชื่อ Protective Operations นั้น อาชญากรจะพยายามตีซี้กับพนักงานของคุณเพื่อสร้างความคุ้นเคยก่อน

อาชญากรอาจศึกษาคำพูดที่ใช้กันเฉพาะในบริษัทของคุณ เพื่อที่พนักงานปลายสายจะได้คิดว่าพวกเขาคือคนในบริษัท ส่วนอีกวิธีหนึ่งที่ประสบความสำเร็จ ได้แก่การแอบบันทึกเสียงเพลงขณะพักสายที่บริษัทของคุณใช้ แล้วแกล้งโทรหาเหยื่อ ชวนคุยสักหนึ่งนาทีและอ้างว่า “มีอีกสายหนึ่งโทรเข้ามา กรุณารอสักพักนะครับ” และกดปุ่ม Hold พอเหยื่อได้ยินเสียงเพลงรอสายอันแสนคุ้นเคย ก็จะหลงเชื่อ คิดว่าอาชญากรเป็นพนักงานที่นั่งอยู่ในบริษัทเดียวกันนั่นเอง

ภายในสำนักงาน: “ช่วยเปิดประตูค้างไว้ได้ไหม? พอดีผมลืมหยิบคีย์การ์ดมา” บ่อยครั้งแค่ไหนที่คุณได้ยินประโยคนี้ แม้หน้าตาท่าทางของคนที่ขอร้องจะดูไม่น่าสงสัย แต่นี่คืออุบายที่วิศวกรสังคมนิยมใช้มากๆ

ในการทดลองเดียวกัน หลังจากที่ Nickerson สวมเสื้อเชิ้ตของซิสโก้แทรกซึมเข้าไปในอาคารแล้ว เขาสั่งให้ทีมงานคนหนึ่งยืนรอข้างนอกบริเวณที่พักสูบบุหรี่ โดยแสร้งทำตัวเป็นอดีตพนักงานยืนสูบบุหรี่ ก็มีพนักงานตัวจริงปล่อยให้เขาผลุบเข้าอาคารทางประตูหลังโดยไม่ถามสักคำ Nickerson กล่าวว่า “บุหรี่เป็นเพื่อนที่ดีที่สุดของวิศวกรสังคม”

กลอุบายนี้มักประสบความสำเร็จบ่อยครั้ง และมีชื่อเรียกว่า “Tailgating” หลายคนรู้สึกไม่ใช่ธุระที่จะคอยถามใครต่อใครว่ามีสิทธิ์อยู่ในบริเวณอาคารหรือไม่ แม้กระทั่งสถานที่ที่จำเป็นต้องใช้คีย์การ์ด หรือหลักฐานแสดงตัวตนเพื่อเข้าสู่อาคาร การแทรกซึมก็ยังทำได้ง่ายอยู่

“ผมมักใช้สแกนเนอร์ และพรินเตอร์ระดับไฮเอนด์พิมพ์บัตรห้อยคอพนักงานออกมา เพื่อทำให้ผมดูน่าเชื่อถือพอที่จะเข้าไปในบริษัทเป้าหมาย แต่บ่อยครั้งก็ไม่ได้รับการใส่ใจ และตรวจสอบบัตรเลย” Nickerson เปิดเผย

อินเทอร์เน็ต: ตามความเห็นของ Graham Cluley ที่ปรึกษาด้านเทคโนโลยีอาวุโสของบริษัท Sophos ในสหราชอาณาจักรมองว่า เว็บชุมชนออนไลน์เป็นประตูที่เปิดเข้าสู่ช่องทางใหม่ของวิศวกรรมสังคม กรณีหนึ่งได้แก่อาชญากรที่แสร้งทำตัวเป็นเพื่อนใน Facebook ซึ่งเหยื่อแทบไม่มีทางทราบเลยว่ากำลังคุยอยู่กับบุคคลที่ใช่จริงๆ หรือไม่ พวกเขาอาจหลอกถามรหัสผ่าน ขโมยแอ็กเคานต์ของ Facebook และล็อกอินเข้ามาในฐานะเพื่อนของคุณเพราะต้องการเงิน

เทคนิคยอดนิยมที่ใช้ได้ผลมาแล้ว คือการขโมยแอ็กเคานต์ Facebook แล้วประกาศข้อความว่ากำลังหลงทางอยู่ในต่างถิ่น และต้องการความช่วยเหลือโดยด่วน

Cluley เปิดเผยว่า “พวกเขามักจะอ้างว่าโดนวิ่งราวขณะเดินทาง และขอร้องให้ผองเพื่อนใน Facebook โอนเงินมาเพื่อช่วยชีวิต”

“หากคุณตั้งรหัสผ่านง่ายเกินไป หรือถูกมัลแวร์ขโมยรหัสผ่านแล้ว ก็ง่ายสำหรับเหล่าร้ายที่จะสวมรอยเป็นคุณ และได้รับความไว้เนื้อเชื่อใจ” Cluley กล่าว “เมื่อล็อกอินเข้าไปได้ ก็สามารถดูได้ว่าใครคือสามี-ภรรยาของคุณ ที่เที่ยวที่คุณไปล่าสุดคือที่ไหน ช่างง่ายเหลือเกินที่ใครจะปลอมเป็นคุณในชุมชนออนไลน์”

เหตุใดคนถึงหลงตกเป็นเหยื่อวิศวกรสังคม?

ผู้คนถูกหลอกทุกวันๆ เนื่องจากไม่ได้รับการศึกษาที่ดีพอในเรื่องวิศวกรรมสังคม โดย Tom Olzak นักเขียนบล็อกในเว็บ CSO Online ระบุว่า “พฤติกรรมมนุษย์” คือห่วงโซ่ที่เปราะบางที่สุดในการรักษาความปลอดภัย หากปราศความรู้ความเข้าใจ คนส่วนใหญ่ก็จะจับไม่ได้ไล่ไม่ทัน เพราะกลโกงที่วิศวกรสังคมใช้มีความซับซ้อนสูงมาก

ตามที่ Bushwood ระบุไว้ในรายการทีวีออนไลน์ วิศวกรสังคมที่ประสบความสำเร็จจะมีความมั่นใจในตัวเองสูง และควบคุมการสนทนาได้อยู่ พวกเขาสามารถวางตัวเสมือนเป็นเจ้าของสถานที่เสียเอง อีกทั้งความมั่นใจ และภาษากายก็สามารถปราบคนให้เชื่องอย่างไม่ยากเย็น

“วิศวกรสังคมไม่จำเป็นต้องหาบัตรห้อยคอพนักงานให้เสียเวลา” Brushwood กล่าว “พวกเขาจะสืบจนรู้สารพัดเรื่องในบริษัท ทำให้พนักงานคนอื่นเชื่อว่าทำงานอยู่ในบริษัทเดียวกันจริงๆ”

วิศวกรสังคมยังนิยมใช้มุกตลก หรือคำชมระหว่างการสนทนา พวกเขาทำได้แม้กระทั่งมอบของขวัญเล็กน้อยๆ แก่ผู้เฝ้าประตูทางเข้าออกอย่างเจ้าหน้าที่ต้อนรับ เพื่อประโยชน์ของตนในอนาคต เหล่านี้เป็นวิธีที่ประสบความสำเร็จในการได้รับความไว้เนื่อเชื่อใจ เนื่องจาก “ความชอบ” และ “ความรู้สึกต้องตอบแทน” ล้วนเป็นพฤติกรรมที่มนุษย์จะแสดงออกเป็นธรรมชาติอยู่แล้ว ภายใต้เงื่อนไขและเวลาที่เหมาะสม

หรือในโลกออนไลน์ วิศวกรสังคมจะใช้ประโยชน์จากความกลัวและความใคร่รู้ที่มีในตัวมนุษย์ ลิงก์ที่ถามว่า “คุณเคยเห็นคลิปแอบถ่ายตัวคุณอันนี้ไหม?” ช่างยากที่จะห้ามใจไม่ให้คลิ๊ก หากคุณไม่เคยสังวรณ์ว่านี่เป็นเพียงอุบายของวิศวกรสังคมที่หลอกให้คลิ๊กลิงก์มัลแวร์

ส่วนการโจมตีแบบฟิชชิงก็อาจเป็นไปได้ทั้งข้อความเตือน “บัญชีธนาคารของคุณโดนเจาะ กรุณาคลิ๊กที่นี่เพื่อล็อกอินและตรวจสอบบัญชีของคุณ” หรือ “คุณยังไม่จ่ายเงินซื้อสินค้าที่เพิ่งประมูลได้ในอีเบย์ กรุณาคลิ๊กที่นี่เพื่อจ่าย” ซึ่งเป็นอุบายที่ใช้ความกังวลเรื่องการสูญเสียแต้มในอีเบย์ให้เป็นประโยชน์

“เนื่องจากผู้คนใช้เวลาร่วมปีในการสร้างความน่าเชื่อถือในอีเบย์ พอมีอีเมล์ประเภทนี้มาก็ย่อมตอบสนองทันควัน แต่แน่นอน.. ลิงก์ในอีเมล์จะพาคุณไปสู่เว็บไซต์ฟิชชิง” Shira Rubinoff ผู้ก่อตั้งบริษัทพัฒนาซอฟต์แวร์รักษาความปลอดภัย Green Armor Solutions ในมลรัฐนิวเจอร์ซีย์กล่าว “หลายคนใช้อีเบย์ และประมูลสินค้าทิ้งไว้หลายวันกว่าจะปิดประมูล ดังนั้นจึงไม่ใช่เรื่องประหลาดที่พวกเขาจะเชื่อว่า หลงลืมสินค้าที่ประมูลผ่านไปเมื่อสัปดาห์ก่อน”

ฉันจะสอนพนักงานให้รู้จักป้องกันวิศวกรรมสังคมอย่างไร?

ความตระหนักรู้ คือมาตรการป้องกันที่สำคัญอันดับหนึ่ง พนักงานทั้งหลายควรตระหนักถึงการมีอยู่ของวิศวกรรมสังคม และรู้เท่าทันเล่ห์กลที่วิศวกรสังคมใช้กัน

โชคดีที่ความตระหนักรู้เป็นสิ่งที่เล่ากันปากต่อปากได้ อีกทั้งเข้าใจง่าย และน่าสนใจเสียยิ่งกว่าการอธิบายช่องโหว่ทางเทคนิคของระบบ ความสำเร็จของ Chris Nickerson ที่ปลอมตัวเป็นทีมให้การสนับสนุนของซิสโก้ เป็นตัวอย่างหนึ่งที่เล่าขานต่อกันอย่างสร้างสรรค์ แม้กระทั่งโปสเตอร์ล้อเลียนก็เป็นเครื่องเตือนใจผู้ชมไม่ให้หลงคิดว่า ทุกคนจะเป็นคนนั้นที่อ้างจริงๆ

“ในชั้นเรียน ผมจะสอนลูกศิษย์ให้คอยระแวดระวังคนรอบตัวสักเล็กน้อย เพราะคุณไม่มีทางรู้เลยว่าพวกเขาต้องการอะไรจากคุณ” Lifrieri กล่าว “พนักงานที่ตกเป็นเหยื่อมากที่สุด เห็นจะเป็นเจ้าหน้าที่ต้อนรับหน้าประตู และยามเฝ้าลานจอดรถ นั่นจึงเป็นเหตุผลที่คุณควรส่งพนักงานเหล่านี้เข้าอบรม”

กลอุบายทางวิศวกรรมสังคมมีการพัฒนาไม่หยุดยั้ง และความรู้ที่ใช้ฝึกอบรมจะต้องสดใหม่อยู่เสมอ ยกตัวอย่างเว็บชุมชนออนไลน์ที่เติบโตขึ้นทุกวัน วิศวกรสังคมก็ย่อมหาทางรีดประโยชน์จากตรงนั้นมากขึ้น