เนื้อหาที่ลบ เนื้อหาที่เพิ่ม
|
|
|
'''การโจมตีแบบวิศวกรรมสังคม (Social Engineering )''' คือ ปฎิบัติการ[[จิตวิทยา]]ซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป้นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือ[http://www.phuket-it.com/index.php?option=com_content&task=view&id=44&Itemid=97 การเจาะระบบ]เลย วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน
== รูปแบบการโจมตีแบบวิศวกรรมสังคม ==
=== 1. การหลอกลวงทางโทรศัพท์ ===
รูปแบบการโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์<ref>http://www.thaidfilm.com/read.php?tid=1742</ref>ถามข้อมูลโดยหลอกว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การบอกให้ผู้ถูกโจมตีโอนเงินไปให้ผู้โจมตี มีการหลอกล่อหลายรูปแบบโดนการอาศัยวิธีทาง[[จิตวิทยา]] เช่น หลอกลวงว่าผู้ถูกโจมตีเป็นผู้โชคดีได้รับรางวัล โดยอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ส่งผลให้เหไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้จนทำให้หลงเชื่อและ แจ้งข้อมูลส่วนบุคคลของผู้ถูกโจมตีให้แก่ผู้โจมตีได้รวมทั้งการหลอกให้ไปยืนยันการได้รับรางวัลที่เครื่อง ATM และให้ดำเนินการตามที่ผู้โจมตีบอกขั้นตอน ซึ่งเป็นการหลอกให้โอนเงินไปให้ตัวอย่างเช่น แก๊งคอลเซ็นเตอร์ ที่หลอกลวงประชาชน ซึ่งจะดำเนินการอยู่ใน 2 ลักษณะ คือ จะโทรศัพท์เข้ามาแจ้งว่า ได้[http://www.rd.go.th/publish/index.html รับคืนเงินภาษี] หรือ ได้รับรางวัล และการหลอกลวงโดยขู่ว่า เป็นหนี้บัตรเครดิต และฐานข้อมูลกำลังถูกเจาะเข้าระบบ และจะพูดจาหว่านล้อมให้ไปทำ[http://www.pantown.com/board.php?id=47818&area=3&name=board1&topic=16&action=view ธุรกรรมทางตู้เอทีเอ็ม]
=== 2. การค้นข้อมูลจากถังขยะ (Dumpster Diving) ===
การค้นข้อมูลจากถังขยะ(Dumpster Diving)<ref>{{cite web|url=http://learners.in.th/blog/nitikornu/403741|title=http://learners.in.th/blog/nitikornu/403741<!-- INSERT TITLE -->|}}</ref> เพื่อค้นหาข้อมูลจากเอกสารที่ทิ้ง ซึ่งในนั้นอาจมีคู้มือการใช้งาน รหัสผ่านที่เขียนไว้ในกระดาษ เป็นต้น ถังขยะนั้นอาจะไม่ใช่ถังขยะในสายตาของนักเจาะระบบ ถังขยะปกติแล้วจะประกอบไปด้วยเอกสารชิ้นเล็กชิ้นน้อยและข้อมูลที่ไม่สมบูรณ์ ผุ้บุกรุกอาจนำข้อมูลแต่ละชิ้นจากถังขยะเหล่านั้นมาปะติดปะต่อเป็นข้อมูลที่สมบูรณ์ และทำให้สามารถเข้าถึงระบบได้จากวิธีการนี้ หรือบางครั้งข้อมูลที่ได้อาจทำให้การปลอมแปลงตัวของผู้บุกรุกนั้นแนบเนียนน่าเชื่อถือมากยิ่งขึ้น
=== 3. ฟิชชิ่ง (Phishing) ===
'''ฟิชชิง''' ({{lang-en|phishing}}) คือการหลอกลวงทางอินเทอร์เน็ต<ref>http://www.spu.ac.th/announcement/articles/phishing.html</ref> เพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลข[[บัตรเครดิต]] โดยการส่งข้อความผ่านทาง[[อีเมล]]หรือ[[เมสเซนเจอร์]] ตัวอย่างของการฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลและบอกว่ามาจากองค์กรที่ถูกกฎหมายแล้วหลอกให้คลิกเข้าไปยังเวปไวต์ แทนที่จะเป็นเวปจริงๆแต่กลับเป็นเวปไซต์หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอกยูสเซอร์เนม และพาสเวิร์ดเพื่อยืนยันเจ้าของบันชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต วึ่งผู้โจมตีก็จะได้ข้อมูลนั้นไป
== การป้องกัน ==
การป้องกันวิศวกรรมสังคม<ref>http://www.ict.pyo.nu.ac.th/sanchaiy/2010-01/InfoSec/SIS.htm</ref>สามารถทำได้สองทาง วิธีแรกโดยการทำให้องค์กรมีขั้นตอนการปฎิบัติที่เข้มงวด หรือนโยบายที่เข้มงวดเกี่ยวกับการบอกรหัสผ่านให้คนอื่นทราบ ส่วนอีกวิธีหนึ่งก็โดยการจัดให้มีการอบรมพนักงานเกี่ยวกับนโยบาย และการบังคับให้เป็นไปตามนโยบายการรักษาความปลอดภัย
==ดูเพิ่มเติม==
* สัณห์ชัย หยีวิยม. ''การป้องกันการเจาะระบบ''. สาขาวิชาเทคโนโลยีสารสนเทศ สำนักวิชาเทคโนโลยีสารสนเทศ. มหาวิทยาลัย พะเยา. 2533.
* จตุชัย แพงจันทร์. ''Master in Security''. โรงวพิมพ์อินโฟเพรส. นนทบุรี. 2550.
[[หมวดหมู่:การหลอกลวงทางอินเทอร์เน็ต]]
[[en:Social engineering (security)]]
|
