หน้าแรก > คอมพิวเตอร์, บ่นไปเรื่อย, เก็บมาฝาก, เขียนตามกระแส > กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 2

กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 2

imageเมื่อกลางเดือนที่ผ่านมา ผมได้เขียนภาคแรกของ “กาฝากกับศาสตร์มืด พารู้จัก Social Engineering” ไปแล้ว แต่ผมรู้สึกว่ามันจะยังไม่สุดเท่าไหร่ เพราะช่วงนี้กระแสของการโจมตีเรื่องนี้มันกลับมากระพืออีกแล้ว หลังจากที่เกิดการอาศัยวิธีดังกล่าวในการโจมตีเครื่อง Mac ผ่านทางโปรแกรมแอนตี้ไวรัสปลอมๆ ที่ใช้ชื่อว่า MacDefender และล่าสุด MacGuard ซึ่งในตอนที่แล้วผมก็ได้พูดถึงไปแล้ว ถึงคำพูดที่พวกฝรั่งเขาใช้พูดถึง Social Engineering กันว่า “Because there is no patch for human stupidty (ไม่มีแพตช์ใดๆ มาแก้ไขความโง่ของมนุษย์ได้)” ไปแล้ว และไม่ว่ากุญแจล็อกบ้านจะดีเลิศเลอปานใดก็ตาม หากเจ้าของบ้านเปิดประตูหราให้ขโมยเข้าบ้าน มันก็ไร้ประโยชน์ … วันนี้ผมเลยอยากพาท่านผู้อ่านไปรู้จักกับเทคนิค Social Engineering หรือ วิศวกรรมสังคมให้มากขึ้นไปอีกครับ

เรื่องราวอันมีสาระของ นานาสาระกับนายกาฝาก สนับสนุนโดย

  • Dell Thailand : อังคารที่ 31 พฤษภาคม 2554 นี้ จะมีการเปิดตัวสมาร์ทโฟนตัวใหม่ที่ Dell Thailand จะเข้ามาวางจำหน่ายในประเทศไทยอย่างเป็นทางการครับ นั่นก็คือ Dell Venue ครับ งานนี้ผมได้รับเชิญไปร่วม ไปร่วมให้กำลังใจผมได้ที่ แฟชั่นฮอลล์ ชั้น 1 (หมายถึงชั้นหมายเลข 1 นะครับ) สยามพารากอน เวลา 18:00 น. นะครับ ลงทะเบียนเข้าร่วมงานมีสิทธิ์ลุ้น Dell Venue ฟรีด้วยนะครับ
  • กลุ่มบริษัทอเด็คโก้ประเทศไทย (Twitter: @AdeccoThailand) บริษัทผู้ให้คำปรึกษาและบริการด้านทรัพยากรบุคคลชั้นนำของโลก มาร่วมสนุกกับกิจกรรม ดาวน์โหลด Adecco App สำหรับสมาร์ทโฟนของคุณ ไม่ว่าจะเป็น iPhone, BlackBerry หรือ Android พร้อมลุ้น iPad 2 16GB WiFi อ่านรายละเอียดที่ http://bit.ly/hBhzsm
  • i-mobile 3GX สปีดล้ำแบบ 3G ตัวจริง กับ 3 เหตุผลที่คุณควรเลือกใช้ 1) ความเร็วสูงสุด 7.2Mbps 2) เป็นผู้ให้บริการที่มียอดผู้ใช้บริการสูงสุดในกลุ่ม MVNOs ของ TOT3G และ 3) บริการหลากหลาย ทั้งซิมเติมเงิน และซิมรายเดือน พร้อมแพ็กเกจมากมาย สนใจรายละเอียด คลิกเลย

Samsung Socially Smart

เอาละครับ มาเข้าเรื่องราวของเรากันต่อได้เลย

ในภาคที่แล้ว ผมได้เกริ่นนำให้ท่านผู้อ่านได้รู้จักกับเทคนิควิศวกรรมสังคมไปแล้ว และได้พูดถึงวิธีการที่เหล่าผู้ไม่หวังดีจะใช้ไปบ้าง แต่จริงๆ แล้วมันมีรายละเอียดลึกๆ อีกเยอะมากมาย ซึ่งผมรู้สึกว่าควรจะเอามาให้พวกท่านได้อ่านกันครับ

การแอบอ้าง (Pretexting)

imageผมเพิ่งทวีตเกี่ยวกับเรื่องคล้ายๆ กันนี้ไปหมาดๆ เมื่อวันที่ 28 พ.ค. ที่ผ่านมา … หากคุณอ่านทวีตในรูปที่อยู่ด้านข้างของผมนี่แล้ว อาจจะนึกว่ามันเวอร์มากๆ แต่นี่คือเรื่องจริงครับ มันเป็นความเชื่อหนึ่งที่ฝังหัวเรามานานจริงๆ ว่า หากเราเจอปัญหากับการใช้งานบริการใดๆ ก็ตาม เวลาที่เราจะติดต่อกับผู้ดูแลระบบ หรือที่เรียกว่า Administrator แล้ว จะต้องบอกทั้งชื่อผู้ใช้งาน (username) และรหัสผ่าน (password) ให้หมดจด ปัญหาก็คือ ในหลายๆ กรณีเราจะพบว่า ผู้ใช้งานส่วนใหญ่ จะสมัครบริหารด้วยชื่อผู้ใช้งาน และรหัสผ่านเดียวกัน เพราะเหตุผลหลักๆ คือ เพื่อให้จดจำได้ง่าย … นอกจากนี้ ก็มีอีกหลายๆ บริการที่กำหนดชื่อผู้ใช้งานให้เป็นที่อยู่อีเมล์ของผู้ใช้งานเอง … นั่นหมายความว่า หากผู้ไม่หวังดีได้ชื่อผู้ใช้งานและรหัสผ่านของเราไปแล้วละก็ มีโอกาสที่บริการอื่นๆ บนอินเทอร์เน็ตที่เราใช้อยู่ อาจโดนแฮกตามไปติดๆ ได้เลยทีเดียว

เทคนิควิศวกรรมสังคมที่เรียกว่า Pretexting นี้ ก็แอบอ้างตนเองเป็นใครซักคนที่ผู้ใช้งานจะยอมเผยข้อมูลมาให้ แน่นอนว่าการหลอกว่าเป็นผู้ดูแลระบบเนี่ย เป็นลูกไม้อันดับต้นๆ เลยทีเดียว … นอกจากนี้ก็อาจมีการปลอมเป็นคนอื่นเพื่อมาขอข้อมูลด้วยเช่นกัน เช่น เจ้าหน้าที่ตำรวจ, เจ้าหน้าที่ธนาคาร, เจ้าหน้าที่สรรพากร ฯลฯ และข้อมูลที่จะขอ บางทีก็ไม่ใช่แค่ชื่อผู้ใช้งานและรหัสผ่านเท่านั้น แต่อาจจะมีข้อมูลสำคัญทางการเงินอื่นๆ อีก เช่น เลขที่บัญชี เลขที่บัตรเครดิต ฯลฯ

ด้านล่างนี่เป็นตัวอย่างของการแอบอ้างที่เกิดขึ้นในประเทศไทยนะครับ (รูปภาพจาก drama-addict.com ขอบคุณ @jarpichit สำหรับความเอื้อเฟื้อให้ใช้รูปประกอบ) แต่เป้าหมายของการแอบอ้างครั้งนี้ไม่ใช่เพื่อขอข้อมูล แต่เพื่อให้ลบข้อมูลแทน … ทว่าความน่าเชื่อถือของอีเมล์ฉบับนี้มันหมดไปเพราะความสะเพร่าของผู้แอบอ้างทั้งในส่วนของความประณีตในการปลอมเนื้อหาจดหมาย (สระลอย … ซึ่งปกติแล้วจดหมายเป็นทางการแบบนี้ บริษัทใหญ่ๆ จะเข้มงวดมาก) และหากเข้าไปอ่านในดราม่านี้จะเห็นว่าแอดมินได้อธิบายถึงจุดผิดสังเกตที่

image

หลอกให้เปลี่ยนเส้นทาง (Diversion Theft)

เทคนิคนี้มักถูกใช้กับธุรกิจอีคอมเมิร์ซครับ งวดนี้เป้าหมายของของผู้ไม่หวังดีไม่ใช่ลูกค้าที่ซื้อของครับ แต่เป็นผู้ประกอบการอีคอมเมิร์ซ หรือผู้ที่รับผิดชอบเรื่องการจัดส่งสินค้าแทน โดยผู้ไม่หวังดีจะใช้เทคนิคและกลอุบายต่างๆ นานา ในการที่จะหลอกให้เป้าหมายเปลี่ยนที่อยู่ในการจัดส่งสินค้าไปยังที่ที่ตนต้องการแทน (และนั่นหมายความว่าผู้ไม่หวังดีก็จะได้สินค้านั้นไปแทน)

พื้นฐานง่ายๆ ก็มักจะใช้การหลอกให้ผู้ประกอบการอีคอมเมิร์ซหรือผู้จัดส่งสินค้าเชื่อว่ามันเป็นความต้องการของผู้ซื้อเองที่ขอเปลี่ยนแปลงที่อยู่จัดส่ง โดยอาจใช้วิธีง่ายๆ เช่นการส่งอีเมล์ปลอม (เชื่อหรือไม่ล่ะ ว่าการปลอมอีเมล์ว่าส่งมาจากใครมันไม่ได้ยากเย็นอะไรนัก) หรืออาจใช้วิธียากขึ้นอีกหน่อย ด้วยการขโมยชื่อผู้ใช้งานและรหัสผ่านของลูกค้ามาล็อกอินเพื่อเปลี่ยนแปลงข้อมูล (ถ้าเป็นกรณีนี้ ก็ต้องใช้เทคนิควิศวกรรมสังคมหลายอย่างพร้อมๆ กัน)

ฉันนั่งตกปลาอยู่ริมตลิ่ง – ฟิชชิ่ง (Phishing)

imageเทคนิคนี้มันเล่นคำพ้องเสียงกับคำว่า Fishing ที่แปลว่าตกปลานั่นแหละครับ พื้นฐานของเทคนิคนี้ก็เริ่มจากการส่งอีเมล์ไปหาเป้าหมาย แล้วใช้เทคนิคเดียวกับการแอบอ้าง (Pretexting) เพื่อหลอกให้หลงเชื่อ แต่แทนที่จะขอกันตรงๆ เหมือนอย่างตอนใช้เทคนิค Pretexting ก็จะทำให้น่าเชื่อถือยิ่งกว่านั้น เพราะจะเป็นการพาไปยังเว็บไซต์ที่ทำไว้หลอกๆ (แต่เหมือนมาก) เพื่อให้ผู้ใช้งานกรอกข้อมูลที่ต้องการลงไปเอง

เทคนิคนี้ถูกพัฒนาขึ้น เพราะว่าผู้ใช้งานจำนวนไม่น้อย เริ่มไหวตัวทันกับเทคนิคการแอบอ้างในแบบแรกมากขึ้น เพราะผู้ประกอบการจำนวนไม่น้อย ให้ความรู้แก่ผู้ใช้งานแล้วว่า จะไม่มีนโยบายในการส่งอีเมล์มาถามข้อมูลต่างๆ ของลูกค้าเด็ดขาด งวดนี้ผู้ไม่หวังดีก็เลยไม่ถามตรงๆ แต่ใช้วิธีหลอกให้เข้ามายังเว็บไซต์ที่ต้องการแล้วหลอกให้บอกข้อมูลแทน

เทคนิคตกปลาเนี่ยสำคัญที่สุดอยู่ 2 ส่วนคือ 1) การสร้างอีเมล์ที่มีเนื้อหาให้ดูน่าเชื่อถือ และ 2) การสร้างหน้าเว็บไซต์ให้ดูเหมือนของจริง น่าเชื่อถือ

imageบ่อยครั้งที่พวกผู้ไม่หวังดีมือสมัครเล่น ใช้เทคนิคในการปลอมแปลงแค่ในส่วนของเนื้อหา และชื่อของผู้ส่ง แต่ไม่ได้รวมไปถึงอีเมล์ของผู้ส่งด้วย (แต่พยายามทำให้เหมือนที่สุด เช่น ในกรณีนี้ ใช้ infouniversalmusicgroupth เพื่ออ้างเป็น Universal Music Group Thailand แต่ว่าดันใช้เป็น Yahoo.com ซะงั้น ทั้งๆ ที่บริษัทยักษ์ใหญ่ขนาดนี้ ไม่น่าจะมีใครใช้อีเมล์ฟรีในการส่งจดหมายอย่างเป็นทางการถึงผู้อื่น (รูปภาพจาก drama-addict.com ขอบคุณ @jarpichit สำหรับความเอื้อเฟื้อให้ใช้รูปประกอบ) แน่นอนว่าไม่ใช่ว่าพนักงานบริษัทใหญ่ๆ จะไม่เคยใช้อีเมล์ฟรีในการติดต่องานกับลูกค้า หรือผู้อื่นนะครับ เพียงแต่ปกติแล้วจดหมายสำคัญ หรือจดหมายแจ้งเตือนทางกฎหมาย มักจะใช้อีเมล์อย่างเป็นทางการมากกว่าอีเมล์ฟรี … จุดนี้คือจุดง่ายๆ ที่เราสามารถสังเกตได้ว่าอีเมล์นั้นเป็นพวก Phishing หรือไม่ แต่ว่าผู้ใช้งานมักไม่ทันได้ตรวจสอบให้แน่ชัด

แก๊งคอลล์เซ็นเตอร์ (Interactive Voice Response หรือ Phone Phishing)

ผมเข้าใจว่าชื่อภาษาไทยของเทคนิคนี้มันไม่ใช่คำแปลตรงๆ ของชื่อภาษาอังกฤษหรอก แต่ว่าผมว่าหากตั้งชื่อแบบนี้แล้ว เชื่อว่าคนส่วนใหญ่จะเก็ทในทันทีว่ามันคืออะไร … ผู้ไม่หวังดีจะใช้วิธีการโทรมาแอบอ้างว่าเป็นเจ้าหน้าที่คอลล์เซ็นเตอร์ของผู้ให้บริการต่างๆ (โดยเฉพาะธนาคาร) เพื่อมาขอข้อมูลจากเรา (อันนี้เจอในต่างประเทศบ่อยๆ) แต่เทคนิคนี้ในประเทศไทยเรา มักจะเป็นการหลอกให้เราหลวมตัวโอนเงินให้กับพวกผู้ไม่หวังดีแทน โดยอาศัยปัจจัยเรื่องความตกใจกลัว และความไม่รู้ภาษาอังกฤษของเหยื่อครับ

ผมลองหาคลิปเสียงแก๊งคอลล์เซ็นเตอร์มาฝากด้วยครับ

นอกจากการโทรมาหลอกแล้ว ก็ยังมีการหลอกให้โทรมายังระบบตอบรับอัตโนมัติ แต่ว่าจริงๆ แล้วเป็นระบบปลอมที่ทำขึ้นมาเพื่อหลอกล่อให้ป้อนข้อมูลส่วนตัวให้ด้วยครับ (อย่าลืมนะครับ ยังมีการทำธุรกรรมผ่านบัตรเครดิตจำนวนไม่น้อยที่ต้องการข้อมูลแค่หมายเลขบัตร ชื่อผู้ถือบัตร และเดือนกับปีที่บัตรหมดอายุ)

วางเหยื่อล่อ (Baiting)

imageเทคนิคนี้ต้องลงทุนกันหน่อย ยังไม่ค่อยได้เจอในเมืองไทย (หรือมีแล้วแต่ไม่เป็นข่าวหว่า?!?) ผู้ไม่หวังดีจะนำเอาแผ่น CD/DVD หรือแฟลชไดร์ฟที่ทำการแฝงพวก Malware ไว้มาวางไว้ล่อให้เหยื่อเก็บเอาไป อาศัยความอยากรู้อยากเห็น หรือความโลภของเหยื่อในการล่อให้เปิดไฟล์ในสื่อบันทึกข้อมูลดังกล่าว

วิธีการล่อให้เกิดความอยากรู้อยากเห็น ก็อาจเป็นเรื่องของการติดป้ายชื่อบนแฟลชไดร์ฟ หรือเขียนชื่อที่น่าสนใจไว้บนแผ่น CD/DVD เช่น อาจจะเขียนแค่ “ลับสุดยอด” หรือ “ห้ามเปิด” ก็ได้ (อย่าลืมว่าคำพูดแบบนี้มักก่อให้เกิดอาการ “ยิ่งห้ามเหมือนยิ่งยุ”)

พอเปิดไฟล์ในสื่อบันทึกข้อมูลพวกนี้อ่าน ผลก็คือ Malware ที่แฝงมาก็จะเข้ามาติดในเครื่องคอมพิวเตอร์ของเราในบัดดล

ยื่นหมูยื่นแมว (Quid Pro Quo)

imageหมายความตามชื่อครับ ผู้ไม่หวังดีจะอาศัยของล่อใจ เช่น เงินทองของนอกกาย ของพรีเมี่ยม และอื่นๆ เพื่อให้เหยื่อหลวมตัวยอมบอกข้อมูลต่างๆ ของตนออกมา

อ่านดูแล้วอาจเหลือเชื่อ แต่ว่าก็มีคนจำนวนไม่น้อยเลยทีเดียวนะครับ ที่ตกเป็นเหยื่อของเทคนิคดังกล่าว … ผมมองว่าปัจจัยที่ทำให้เทคนิคประเภทนี้ประสบผลสำเร็จก็คือ ความเชื่อที่ว่าข้อมูลดังกล่าวของตนนั้นไม่ได้มีความสำคัญอะไร เช่น เราอาจเคยได้ยินเรื่องการให้บัครประชาชนไปใช้ทำโน่นทำนี่ โดยแลกกับเงิน เป็นต้น

ลำพังแค่บัตรประชาชนเนี่ย ก็มีข้อมูลต่างๆ มากมายที่เอาไปใช้ในธุรกรรมต่างๆ ได้แล้ว ไม่ว่าจะเป็นการซื้อขายสินค้า (เช่น โทรศัพท์มือถือ) การทำธุรกรรมทางการเงินกับธนาคาร หรือข้อมูลอย่าง ชื่อ-นามสกุล ที่อยู่ เลขที่บัตรประชาชน และวันเดือนปีเกิด พวกนี้ถูกนำไปใช้เป็นข้อมูลในการยืนยันการระบุตัวตนที่พวกผู้ให้บริการโทรศัพท์มือถือ หรือผู้ให้บริการบัตรเครดิตใช้ เวลาที่จะทำธุรกรรมทางโทรศัพท์

ทั้งหมดที่เกี่ยวกับเทคนิควิศวกรรมสังคมที่อยากจะพูดถึงในตอนนี้ก็มีประมาณนี้ละครับ ถ้าสนใจอยากอ่านเนื้อหาเพิ่มเติม ก็ลองไปอ่านข้อมูลอ้างอิงข้างล่างนี้ได้ครับ

ข้อมูลอ้างอิง: http://en.wikipedia.org/wiki/Social_engineering_(security)

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: