วิศวกรรมสังคม: ประเภทกลยุทธ์และคำถามที่พบบ่อย

วิศวกรรมสังคมคืออะไร?

วิศวกรรมสังคมเป็นการกระทำของการใช้ประโยชน์จากจุดอ่อนของมนุษย์เพื่อเข้าถึงข้อมูลส่วนบุคคลและระบบที่ได้รับการป้องกัน วิศวกรรมสังคมขึ้นอยู่กับการจัดการบุคคลมากกว่าการแฮ็คระบบคอมพิวเตอร์เพื่อเจาะบัญชีของเป้าหมาย

ประเด็นสำคัญ

วิศวกรรมสังคมเป็นสิ่งผิดกฎหมาย
การโจมตีทางวิศวกรรมทางสังคมสามารถเกิดขึ้นได้กับบุคคลออนไลน์หรือด้วยตนเอง
การขโมยข้อมูลประจำตัวเป็นการโจมตีทางวิศวกรรมทางสังคม
มีข้อควรระวังมากมายที่คุณสามารถทำได้จากการสร้างระบบตรวจสอบความถูกต้องสองขั้นตอนสำหรับบัญชีของคุณเพื่อใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชี
มีการโจมตีทางวิศวกรรมทางสังคมหลายรูปแบบ แต่ที่พบมากที่สุดคือฟิชชิ่ง

การทำความเข้าใจวิศวกรรมสังคม

วิศวกรรมสังคมหมายถึงการจัดการเป้าหมายเพื่อให้พวกเขาให้ข้อมูลสำคัญ นอกเหนือจากการขโมยข้อมูลประจำตัวของแต่ละบุคคลหรือประนีประนอมบัตรเครดิตหรือบัญชีธนาคารแล้ววิศวกรรมสังคมสามารถนำไปใช้เพื่อให้ได้ความลับทางการค้าของ บริษัท หรือใช้ประโยชน์จากความมั่นคงของประเทศ

ตัวอย่างเช่นผู้หญิงอาจเรียกธนาคารของเหยื่อชายแกล้งทำเป็นภรรยาของเขาเรียกร้องฉุกเฉินและขอการเข้าถึงบัญชีของเขา หากผู้หญิงสามารถประสบความสำเร็จในการสร้างวิศวกรของธนาคารตัวแทนฝ่ายบริการลูกค้าของธนาคารโดยดึงดูดความสนใจจากแนวโน้มความเห็นอกเห็นใจของตัวแทนเธออาจประสบความสำเร็จในการเข้าถึงบัญชีของมนุษย์และขโมยเงินของเขา

ในทำนองเดียวกันผู้โจมตีอาจติดต่อฝ่ายบริการลูกค้าของผู้ให้บริการอีเมลเพื่อรับการรีเซ็ตรหัสผ่านทำให้ผู้โจมตีสามารถควบคุมบัญชีอีเมลของเป้าหมายได้แทนที่จะแฮ็คเข้าบัญชีนั้น

การป้องกันวิศวกรรมสังคม

วิศวกรรมสังคมมีความซับซ้อนสำหรับเป้าหมายที่อาจเกิดขึ้นเพื่อป้องกัน ข้อควรระวังเช่นรหัสผ่านที่แข็งแกร่งและการรับรองความถูกต้องสองปัจจัยสำหรับบัญชีสามารถใช้งานได้ แต่บัญชียังสามารถถูกบุกรุกโดยบุคคลที่สามที่มีการเข้าถึงบัญชีเช่นพนักงานธนาคาร

อย่างไรก็ตามบุคคลสามารถลดความเสี่ยงได้หลายวิธี สิ่งเหล่านี้รวมถึงการหลีกเลี่ยงการให้ข้อมูลที่เป็นความลับระมัดระวังเมื่อแบ่งปันข้อมูลบนโซเชียลมีเดียและไม่ทำซ้ำรหัสผ่านไปยังบัญชีของคุณ วิธีเพิ่มเติมในการลดการแฮ็คกำลังใช้การตรวจสอบความถูกต้องแบบสองปัจจัยโดยใช้คำตอบของปลอมหรือยากที่จะคาดเดาสำหรับคำถามความปลอดภัยของบัญชีและจับตาดูบัญชีอย่างใกล้ชิดโดยเฉพาะทางการเงิน

ตั้งค่าตัวกรองสแปมของคุณให้สูงเพื่อป้องกันข้อความที่ไม่ต้องการและอย่าเปิดไฟล์แนบโดยไม่ต้องพิจารณาอย่างรอบคอบในสิ่งที่มีอยู่ และเป็นการตัดสินใจที่ชาญฉลาดเสมอที่จะให้ความสนใจกับอีเมลใด ๆ ที่น่าสงสัยหรือไม่ธรรมดาแม้ว่าพวกเขาจะดูเหมือนจะมาจากใครบางคนหรือธุรกิจที่คุณรู้จัก

ยุทธวิธีวิศวกรรมสังคม

ผู้โจมตีมักใช้กลยุทธ์ที่เรียบง่ายอย่างน่าประหลาดใจในโครงการวิศวกรรมสังคมเช่นขอความช่วยเหลือจากผู้คน กลยุทธ์อีกประการหนึ่งคือการใช้ประโยชน์จากผู้ที่ตกเป็นเหยื่อภัยพิบัติโดยขอให้พวกเขาจัดหาข้อมูลที่สามารถระบุตัวบุคคลได้เช่นชื่อเดิมที่อยู่วันเดือนปีเกิดและหมายเลขประกันสังคมสำหรับคนที่คุณรักที่หายไปหรือเสียชีวิต ทำไม เพราะข้อมูลเหล่านี้สามารถใช้ในภายหลังได้การขโมยข้อมูลประจำตัว-

การวางตัวเป็นมืออาชีพด้านเทคโนโลยีหรือผู้ส่งมอบเป็นเรื่องง่ายที่จะเข้าถึงบัญชีโดยไม่ได้รับอนุญาตเช่นเดียวกับการส่งอีเมลที่ถูกต้องตามกฎหมายพร้อมไฟล์แนบที่เป็นอันตราย อีเมลดังกล่าวมักจะถูกส่งไปยังที่อยู่อีเมลที่ทำงานซึ่งผู้คนมีโอกาสน้อยที่จะสงสัยผู้ส่งที่ไม่รู้จัก

อีเมลสามารถปลอมตัวให้ปรากฏราวกับว่าพวกเขามีต้นกำเนิดจากผู้ส่งที่รู้จักเมื่อพวกเขาถูกส่งโดยแฮ็กเกอร์ กลยุทธ์ที่ซับซ้อนมากขึ้นที่กำหนดเป้าหมายไปยังคนที่เฉพาะเจาะจงอาจเกี่ยวข้องกับการเรียนรู้เกี่ยวกับความสนใจของพวกเขาจากนั้นส่งเป้าหมายลิงก์ที่เกี่ยวข้องกับความสนใจนั้น ลิงค์สามารถมีรหัสที่เป็นอันตรายที่สามารถขโมยข้อมูลส่วนบุคคลจากคอมพิวเตอร์ของพวกเขา เทคนิควิศวกรรมสังคมยอดนิยมรวมถึงการทำฟิชชิ่ง-การจับปลา-การปรับแต่งและเหยื่อ

เคล็ดลับ

หากคุณไม่ได้คาดหวังว่าจะมีลิงก์หรือไฟล์แนบจากเพื่อนหรือเพื่อนร่วมงานมันอาจคุ้มค่ากับการโทรศัพท์หรือส่งข้อความถึงพวกเขาเพื่อดูว่าพวกเขาส่งมันไปเพื่อแยกแยะนักต้มตุ๋นหรือไม่

ประเภทของการโจมตีทางวิศวกรรมสังคม

มีหลายวิธีที่แฮ็กเกอร์สร้างการโจมตีทางวิศวกรรมทางสังคมตั้งแต่การวางตัวเป็นผู้เชี่ยวชาญด้านการสนับสนุนด้านเทคนิคเพื่อเสนอ "แก้ไข" ข้อผิดพลาดในคอมพิวเตอร์ของคุณเพื่อส่งคำขอ "เพื่อน" ไปยังบัญชีโซเชียลมีเดียของคุณ นี่คือการโจมตีทางวิศวกรรมสังคมที่ได้รับความนิยมสามครั้ง

การเหยื่อออนไลน์

การเหยื่อออนไลน์เกิดขึ้นเมื่อแฮกเกอร์ส่งโฆษณาที่มีลิงก์ที่ดูเหมือนโอกาสในการหางานรับเงินข้างเคียงหรือดูเหมือนจะให้ข้อมูลที่เป็นประโยชน์ เมื่อคนที่ไม่สงสัยคลิกที่เหยื่อมัลแวร์ติดคอมพิวเตอร์

การทำฟิชชิ่ง

การหลอกลวงเหล่านี้ทำในรูปแบบของข้อความหรืออีเมลที่เลียนแบบธนาคารหรือสถาบันการเงินอื่น ๆ หรือแม้แต่สำนักงานของรัฐโดยอ้างว่าคุณละเมิดนโยบายลืมจ่ายภาษีหรือขอให้คุณเปลี่ยนรหัสผ่าน การหลอกลวงเหล่านี้ได้รับการออกแบบมาเพื่อกระตุ้นความกลัวหรือความกังวลจากผู้รับและให้พวกเขาให้ข้อมูลที่ละเอียดอ่อน

การโจมตีประเภทนี้ล่อให้บุคคลที่ไม่สงสัยเพื่อให้ข้อมูลส่วนบุคคลเช่นหมายเลขบัญชีธนาคารหมายเลขประกันสังคมและข้อมูลที่ละเอียดอ่อนอื่น ๆ โดยมีเป้าหมายของแฮ็กเกอร์ในการละเมิดบัญชีการเงินของคุณ

ปฏิสัมพันธ์ทางกายภาพ

การโจมตีทางวิศวกรรมสังคมไม่เพียง แต่เกิดขึ้นออนไลน์ การโต้ตอบทางกายภาพสามารถเกิดขึ้นได้เช่นบุคคลที่แกล้งทำงานในสำนักงานของคุณและขอให้คุณปล่อยให้พวกเขาเข้ามาเพราะพวกเขา "ลืมรหัสประตูหรือคีย์การ์ดของพวกเขา" และต้องการความช่วยเหลือ