Social Engineering
Social Engineering คือการหลอกลวงด้วยจิตวิทยา ใช้ความเร่งรีบหรือความไว้ใจให้เรายอมทำตาม.
เริ่มอ่านตรงนี้ก่อน
อธิบายแบบง่าย
Social Engineering คือเรื่องที่ช่วยให้เราใช้ป้องกันข้อมูล สิทธิ์ key token และความเสี่ยงจากการแชร์ผิดทางได้ถูกทางขึ้น
ระดับ
เหมาะกับคนเริ่มต้น
ใช้เมื่อไหร่
เมื่อมีคนเร่งให้รีบทำเรื่องสำคัญ เช่น โอนเงิน เปลี่ยนเลขบัญชี หรือให้รหัส.
อ่านแล้วทำอะไรต่อ
อีเมลอ้างเป็น CEO ขอให้รีบโอนเงินให้คู่ค้ารายใหม่ภายในชั่วโมงนี้. ก่อนทำตาม ให้โทรยืนยันกับผู้บริหารโดยตรงด้วยเบอร์ที่รู้จัก ไม่ใช่เบอร์ในอีเมล.
เห็นภาพ: ทริคนี้เป็นยังไง
"ด่วนมาก โอนเดี๋ยวนี้" "ห้ามบอกใคร" อ้างเป็นผู้บริหาร กดดันด้านเวลา
หยุด ไม่รีบทำตาม ตรวจสอบตัวตนผู้ขอ โทรยืนยันช่องทางที่รู้จัก ปรึกษาหัวหน้า / IT
ใช้ตอนไหน?
- เมื่อมีคนเร่งให้รีบทำเรื่องสำคัญ เช่น โอนเงิน เปลี่ยนเลขบัญชี หรือให้รหัส.
- เมื่อมีสายโทรหรือข้อความอ้างเป็น IT ผู้บริหาร หรือคู่ค้า แต่ขอข้อมูลผิดปกติ.
- เมื่อมีคนแปลกหน้าขอให้เปิดประตู หรือขอเข้าพื้นที่หวงห้าม.
ความหมาย
แทนที่จะเจาะระบบ ผู้ไม่หวังดีหลอกที่ตัวคน เช่น ปลอมเป็นหัวหน้าขอให้รีบโอนเงิน (BEC คือการปลอมอีเมลผู้บริหาร), โทรปลอมเป็น IT ขอรหัส, หรือเดินตามเข้าประตูที่ต้องใช้บัตร (tailgating). กลไกที่ใช้คือความเร่งรีบ อำนาจ ความกลัว และความอยากช่วยเหลือ. ทางกันคือ ตั้งสติ แล้วยืนยันตัวตนผ่านช่องทางที่เชื่อถือได้ก่อนทำตาม.
วิธีตั้งสติเมื่อถูกกดดัน
หยุดก่อน อย่ารีบ -> สังเกตว่ามีการเร่ง/อ้างอำนาจไหม -> ยืนยันตัวตนผ่านช่องทางที่รู้จัก -> ไม่ให้ข้อมูลลับทางโทรศัพท์/แชต -> รายงานเหตุ.
Pause -> Spot urgency/authority -> Verify via known channel -> Never give secrets on call/chat -> Reportตัวอย่างการใช้
อีเมลปลอมเป็นผู้บริหารขอโอนด่วน
อีเมลอ้างเป็น CEO ขอให้รีบโอนเงินให้คู่ค้ารายใหม่ภายในชั่วโมงนี้. ก่อนทำตาม ให้โทรยืนยันกับผู้บริหารโดยตรงด้วยเบอร์ที่รู้จัก ไม่ใช่เบอร์ในอีเมล.