วิศวกรรมสังคม
วิศวกรรมสังคม (อังกฤษ: Social Engineering) คือ วิชาทางจิตวิทยาแขนงหนึ่ง มีเนื้อหาที่เป็นวิทยาศาสตร์อย่างมาก เกี่ยวกับ การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งสามารถวิเคราะห์ด้วยสถิติและหาข้อสรุปด้วยวิธีทางวิทยาศาสตร์ได้
วิศวกรรมสังคมเกิดมาจากการนำเอาความรู้ทาง จิตวิทยา สังคมศาสตร์ รัฐศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ และอีกหลายสิ่ง ซึ่งรวมไปถึงการศึกษา การออกแบบ การแก้ไข และการ วางแผนพฤติกรรมมนุษย์ มาประยุกต์เข้าด้วยกัน
หลักการของวิชาจะมุ่งเน้นไปที่พฤติกรรมของสังคม ศึกษา ทำความเข้าใจ วิเคราะห์ วางแผน และออกแบบให้เกิดการกระทำพฤติกรรมตามแนวทางที่วางไว้ ถึงแม้ว่าอาจไม่สามารถหวังผลสัมฤทธิ์ได้ 100% แต่หวังความสัมฤทธิผลต่อคนหมู่มากที่วิศวกรรมสังคมถูกนำเข้าไปเกี่ยวข้องในกรณีนั้น ๆ ซึ่งตามหลักจิตวิทยาแล้วจะสามารถพยากรณ์พฤติกรรมคนหมู่มากได้แม่นยำกว่าการพยากรณ์พฤติกรรมของบุคคลเดี่ยว
โดยนัยแล้ว ความเกี่ยวข้องกับข้อมูลของวิศวกรรมสังคม ไม่จำกัดว่าข้อมูลนั้นได้มาอย่างไร ถูกต้อง หลอกลวง เปิดเผย หรือปิดบัง และการประยุกต์ใช้วิศวกรรมสังคมก็เช่นกัน ไม่จำกัดว่า มุ่งดี หรือมุ่งร้าย หาประโยชน์ หรือให้ประโยชน์
วิศวกรรมสังคมในเชิงปฏิบัติ
ตามหลักการของวิศวกรรมสังคมแล้ว การลงมือใด ๆเพื่อให้พฤติกรรมของสังคมเปลี่ยนแปลงหรือโน้มนำไปในแนวทางที่วางไว้ ถือเป็นปฏิบัติการทางวิศวกรรมสังคมทั้งสิ้นไม่ว่าจะใช้เครื่องมือช่วยหรือไม่ก็ตาม
ขั้นตอนทางวิศวกรรมสังคม แบ่งออกได้เป็นหลายส่วนดังนี้
- การเก็บรวบรวมข้อมูล อาจเป็นเรื่องง่าย ๆ เช่น การเฝ้าสังเกตด้วยสายตา หรือซับซ้อนอย่างการติดตามการใช้งานคอมพิวเตอร์ส่วนบุคคลหรืออุปกรณ์พกพา, หน้าเพจของธนาคารเทียม, แผงกดเงินจากตู้ ATM ที่ดักข้อมุลเลขรหัส
- การวิเคราะห์ข้อมูล อาจแค่ทำด้วยกำลังความคิดของคน ๆ เดียว หรือนำคอมพิวเตอร์เข้ามารวบรวมและจำแนกค้นหาข้อมูลที่ต้องการ
- การวางแผน อาจมีเป้าประสงค์ที่เรียบง่าย เช่น การปรับเปลี่ยนพฤติกรรมเด็กนักเรียนหรือพนักงานในองค์กร ไปจนถึงการหลอกผู้คนจำนวนมากให้ทำประโยชน์ให้แก่ผู้วางแผนพร้อมกันในคราวเดียว
- การดำเนินขั้นตอนตามแผนที่วางไว้ อาจทำด้วยการพูดจาโน้มน้าว หรือการสร้างระบบซับซ้อนเช่นการวางขั้นตอนงานใหม่ที่กีดกันพฤติกรรมที่ไม่พึงประสงค์ซึ่งได้ข้อสรุปมาจากการวิเคราะห์ หรือแม้แต่การโฆษณาชวนเชื่อ หรือการปล่อยข่าวลือ
มีการนำความรู้ทางคอมพิวเตอร์มาประยุกต์ใช้กับวิศวกรรมสังคมในหลาย ๆ ทาง ยกตัวอย่างเช่น การประยุกต์ใช้ Data mining เป็นต้น เพื่อให้ได้มาซึ่งข้อมูลอันเป็นประโยชน์ เพื่อวิเคราะห์ความต้องการ วิเคราะห์หาเจตจำนง และหาเหตุเชื่อมโยงแห่งการตัดสินใจของมนุษย์ โดยวิธีทางการวิเคราะห์ข้อมูล Data analysis จากข้อมูลปริมาณมากที่มนุษย์สร้างขึ้น เช่น การเลือกคลิกรายการสินค้า การค้นหาข้อมูลด้วยคำต่าง ๆ ผ่านเสิร์ชเอนจิน การคลิกเลือกเข้าชมเว็บไซต์ การเลือกเข้าดูหนังหรือรายการสื่อออนไลน์ การกรอกข้อมูลเพศ-อายุ การตอบแบบสอบถาม เป็นต้น
ข้อมูลเหล่านี้สามารถรวบรวมนำมาจากการใช้งานคอมพิวเตอร์ในแต่ละวันจากทุกๆคนในสังคม เมื่อนำมารวมกันจะมีปริมาณข้อมูลมหาศาลซึ่งเมื่อผ่านการจำแนกและวิเคราะห์แล้วจะได้มาซึ่งข้อมูลอันเป็นประโยชน์ เช่น รายการสินค้าที่อยู่ในความต้องการ การนำเสนอบริการที่ตรงใจผู้บริโภค และแม้แต่รสนิยมทางเพศ หรือการตามรอยแผนการก่อการร้าย หรือการโฆษณา ก็ล้วนแต่เป็นการประยุกต์ใช้วิศวกรรมสังคมในเชิงปฏิบัติทั้งสิ้น
การโจมตีด้วยวิธีทางวิศวกรรมสังคม
การโจมตีด้วยวิธีทางวิศวกรรมสังคม (อังกฤษ: Social Engineering Tactics by Attackers) คือ ปฏิบัติการจิตวิทยาซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือการเจาะระบบเลย วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน
รูปแบบการโจมตีแบบวิศวกรรมสังคม
การหลอกลวงทางโทรศัพท์
รูปแบบการโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์[1] ถามข้อมูลโดยหลอกว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การบอกให้ผู้ถูกโจมตีโอนเงินไปให้ผู้โจมตี มีการหลอกล่อหลายรูปแบบโดนการอาศัยวิธีทางจิตวิทยา เช่น หลอกลวงว่าผู้ถูกโจมตีเป็นผู้โชคดีได้รับรางวัล โดยอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ส่งผลให้ไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้ จนทำให้หลงเชื่อและแจ้งข้อมูลส่วนบุคคลของผู้ถูกโจมตีให้แก่ผู้โจมตีได้ รวมทั้งการหลอกให้ไปยืนยันการได้รับรางวัลที่เครื่อง ATM และให้ดำเนินการตามที่ผู้โจมตีบอกขั้นตอน ซึ่งเป็นการหลอกให้โอนเงินไปให้ ตัวอย่างเช่น แก๊งคอลเซ็นเตอร์ ที่หลอกลวงประชาชน ซึ่งจะดำเนินการอยู่ใน 2 ลักษณะ คือ จะโทรศัพท์เข้ามาแจ้งว่า ได้รับคืนเงินภาษี หรือ ได้รับรางวัล และการหลอกลวงโดยขู่ว่า เป็นหนี้บัตรเครดิต และฐานข้อมูลกำลังถูกเจาะเข้าระบบ และจะพูดจาหว่านล้อมให้ไปทำธุรกรรมทางตู้เอทีเอ็ม
การค้นข้อมูลจากถังขยะ (Dumpster Diving)
การค้นข้อมูลจากถังขยะ (Dumpster Diving) เพื่อค้นหาข้อมูลจากเอกสารที่ทิ้ง ซึ่งในนั้นอาจมีคู่มือการใช้งาน รหัสผ่านที่เขียนไว้ในกระดาษ เป็นต้น ถังขยะนั้นอาจจะไม่ใช่ถังขยะในสายตาของนักเจาะระบบ ถังขยะปกติแล้วจะประกอบไปด้วยเอกสารชิ้นเล็กชิ้นน้อยและข้อมูลที่ไม่สมบูรณ์ ผู้บุกรุกอาจนำข้อมูลแต่ละชิ้นจากถังขยะเหล่านั้นมาปะติดปะต่อเป็นข้อมูลที่สมบูรณ์ และทำให้สามารถเข้าถึงระบบได้จากวิธีการนี้ หรือบางครั้งข้อมูลที่ได้อาจทำให้การปลอมแปลงตัวของผู้บุกรุกนั้นแนบเนียนน่าเชื่อถือมากยิ่งขึ้น
ฟิชชิง (Phishing)
ฟิชชิง (อังกฤษ: phishing) คือการหลอกลวงทางอินเทอร์เน็ต[2] เพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลและบอกว่ามาจากองค์กรที่ถูกกฎหมายแล้วหลอกให้คลิกเข้าไปยังเว็บไวต์ แทนที่จะเป็นเว็บจริง ๆ แต่กลับเป็นเว็บไซต์หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอกยูสเซอร์เนม และพาสเวิร์ดเพื่อยืนยันเจ้าของบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต ซึ่งผู้โจมตีก็จะได้ข้อมูลนั้นไป
ดูเพิ่ม
- รูปแบบการโจมตีระบบ เก็บถาวร 2010-09-24 ที่ เวย์แบ็กแมชชีน
- การป้องกันการเจาะระบบ
- การรักษาความปลอดภัยสำหรับผู้ใช้บริการธนาคารทางอินเทอร์เน็ต เก็บถาวร 2008-03-19 ที่ เวย์แบ็กแมชชีน
อ้างอิง
- ↑ http://www.thaidfilm.com/read.php?tid=1742
- ↑ "สำเนาที่เก็บถาวร". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2008-06-03. สืบค้นเมื่อ 2010-09-22.
- สัณห์ชัย หยีวิยม. การป้องกันการเจาะระบบ. สาขาวิชาเทคโนโลยีสารสนเทศ สำนักวิชาเทคโนโลยีสารสนเทศ. มหาวิทยาลัย พะเยา. 2553.
- จตุชัย แพงจันทร์. Master in Security. โรงพิมพ์อินโฟเพรส. นนทบุรี. 2550.