หน้าแรก > คอมพิวเตอร์, บ่นไปเรื่อย, เก็บมาฝาก, เขียนตามกระแส > กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 3

กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาค 3

imageเกือบๆ 5 เดือนผ่านไป หลังจากที่ผมเขียนศาสตร์มืดตอน “พารู้จัก Social Engineering” ภาค 1 และ ภาค 2 ไป แต่เมื่อไม่นานมานี้ เหตุการณ์บางอย่างทำให้ผมคิดว่า ผมยังเขียนเกี่ยวกับเบื้องลึกเบื้องหลังของ Social Engineering หรือ วิศวกรรมสังคม ยังไม่เสร็จเรียบร้อยดี

คือเมื่อไม่นานมานี้ พวกฝรั่งมีข้อความโพสต์บน Wall ของ Facebook พวกเขา ใจความดั้งเดิมเขียนแบบนี้ครับ “FACEBOOK JUST RELEASED THEIR PRICE GRID FOR MEMBERSHIP. $9.99 PER MONTH FOR GOLD MEMBER SERVICES, $6.99 PER MONTH FOR SILVER MEMBER SERVICES, $3.99 PER MONTH FOR BRONZE MEMBER SERVICES, FREE IF YOU COPY AND PASTE THIS MESSAGE BEFORE MIDNIGHT TONIGHT. WHEN YOU SIGN ON TOMORROW MORNING YOU WILL BE PROMPTED FOR PAYMENT INFO…IT IS OFFICIAL IT WAS EVEN ON THE NEWS. FACEBOOK WILL START CHARGING DUE TO THE NEW PROFILE CHANGES” แปลเป็นไทยแล้วได้ใจความว่า “Facebook เพิ่งจะคิดค่าบริการสมาชิก โดยแบ่งเป็น 3 เกรด คือ ทอง, เงิน และ ทองแดง คิดราคาต่างๆ กันไปตั้งแต่ถูกสุด $3.99 ต่อเดือน ไปจนถึงแพงสุด $9.99 ต่อเดือน … แต่ถ้าใครอยากใช้ฟรีๆ ต่อไป ก็ให้คัดลอกข้อความนี้ไปโพสต์ไว้บน Wall ก่อนเที่ยงคืน แล้วพอเช้ามาล็อกอินเข้าไปใหม่ เราก็จะพร้อมสำหรับกรอกข้อมูลชำระเงิน ย้ำว่าเรื่องนี้มีปรากฏบนข่าวนะ ที่ต้องเก็บตังค์เพราะการเปลี่ยนแปลงขึ้นใน Profile แบบใหม่นี่แหละ” … ดูแล้วน่าเชื่อถือไหมล่ะ?

เรื่องราวอันมีสาระที่นำมาเสนอนี้สนับสนุนโดย

  • Dell Thailand แนะนำ Dell Venue สมาร์ทโฟนระดับท็อป กับความสำเร็จเหนือชั้น ด้วยซีพียู 1GHz และระบบปฏิบัติการ Android 2.2 พร้อมกล้อง 8 ล้านพิกเซล รายละเอียดอ่าน ที่นี่เลย
  • โอกาสของคนในสาย Accounting & Finance และ Sales มาถึงแล้ว เมื่อ Adecco Thailand เปิดบ้านสัมภาษณ์งานจริงๆ เพื่อเข้าร่วมงานกับบริษัทชั้นนำมากมาย พร้อมลุ้นโชคอีกต่างหาก ในวันเสาร์ที่ 24 กันยายน และวันศุกร์ที่ 30 กันยายนนี้ รายละเอียดเพิ่มเติมอ่าน ที่นี่ เลย

image152222

สำหรับคนที่ชอบติดตามข่าวสารในแวดวงไอที ตอนนี้ผมจัด YouTube Channel สำหรับเผยแพร่ข่าวสารแล้วครับ ติดตามได้ทาง http://www.youtube.com/user/kafaak ครับ ค้นหา “กาฝากน้อย ย่อยข่าว” ได้เลย

อ่านโฆษณาจบแล้ว ก็กลับมาเข้าเรื่องเข้าราวของเรากันต่อครับ

imageได้อ่านข้อความหลอกลวงเรื่อง Facebook จะเก็บเงินไปแล้ว เราๆ ท่านๆ ที่ผ่านพ้นเรื่องพวกนี้มาเยอะเลยอาจรู้สึกว่า เฮ้ย มันหลอกกันชัดๆ มั่วกันเห็นๆ แบบนี้ใครจะเชื่อ(วะ) แต่ Computerworld ได้ลองให้เราไปค้นหาโพสต์ต่างๆ ที่มีข้อความเหล่านี้ จะพบว่า มีคนจำนวนไม่น้อยเลยที่หลงเชื่อ และก็ทำการโพสต์ข้อความนี้ลงบน Wall ของตัวเอง

เพื่อนๆ ของผมบอกว่า อารมณ์นี้มันก็เหมือนกับตอนที่มีเมล์หลอกลวงว่า Hotmail จะปิดบริการแล้ว ถ้าไม่อยากโดนเก็บเงินก็ต้องส่งอีเมล์ต่อไปเรื่อยๆ ให้รู้ว่าชั้นยังใช้อีเมล์ของเอ็งอยู่นะเว้ย … ในเวอร์ชันภาษาไทย ถึงขนาดมีคนใส่ไข่ อ้างว่านายกอภิสิทธิ์ (นายกรัฐมนตรีในสมัยนั้น) กำลังเจรจากับ Microsoft เพื่อให้เปิดให้บริการต่อไป (ขนาดนั้นเลย)

ทำไมข้อความพวกนี้ถึงน่าเชื่อถือกันจังนะ … กาฝากกับศาสตร์มืด พารู้จัก Social Engineering ภาคที่ 3 นี้ จะพาท่านไปตีแผ่ถึงเทคนิคที่อยู่เบื้องหลังกันครับ

ทุกอย่างเริ่มจากเพียงความสนุก แต่จบลงที่การเป็นข่าวลือ

ข้อความหลอกลวง (Hoax) ประเภทนี้แตกต่างจากพวกการคุกคามด้วย Social Engineering แบบอื่น ตรงที่มันไม่ได้มีแรงจูงใจมาจากเรื่องเงินๆ ทองๆ เพราะหากสังเกตดีๆ แล้ว คนที่เปิดต้นกำเนิดของข้อความประเภทนี้มันไม่ได้ประโยชน์อะไรที่เป็นตัวเงินจากการทำเช่นนี้เลย

imageHoax บางอันเนี่ย จริงๆ แล้วเห็นชัดๆ เลยว่ามันเริ่มจากความคึกคะนองของผู้ส่งที่เป็นต้นกำเนิดเฉยๆ และกะว่าจะเอาแค่สนุกๆ ในกลุ่มเพื่อนด้วยกัน แต่ไปๆ มาๆ มันเลยเถิดไปไกล

เพราะความต้องการสนุก เลยทำให้ Hoax หลายๆ ครั้งถูกทำออกมาให้สมจริงสมจังมากที่สุด และเมื่อถูกเผยแพร่กระจายกันมากไปเรื่อยๆ เลยทำให้คนที่ได้รับแล้วไม่ทราบต้นสายปลายเหตุหลงเชื่อเป็นตุเป็นตะขึ้นมา กลายเป็นข่าวลือไปในที่สุด … ดูจากกรณีของข่าว Hotmail ที่มีคนไทยอุตส่าห์ไปแปลเวอร์ชันภาษาอังกฤษมา แล้วแต่งเติมเสริมข่าวที่ว่านายกอภิสิทธิ์ (ในสมัยนั้น) ไปเจรจากับ Microsoft เข้าไปก็ได้ครับ

ข่าวลือมักจะบิดเบือนโดยไม่รู้ตัว

เคยเล่นเกมละลายพฤติกรรมเรื่อง “ข่าวลือ” ไหมครับ ที่ให้จัดแถวกันยาวๆ เพื่อส่งข้อความต่อๆ กันไปแบบเล่าสู่กันฟัง ซึ่งเราจะพบว่าข้อความแรกสุด (ที่มักจะยาวๆ หรืออ่านเข้าใจยากๆ) กว่าจะไปถึงปลายทางได้ มันก็จะโดนตัดทอนและแต่งเติมเสริมต่อเข้ามาจนเพี้ยนไปพอสมควร

imageมันเป็นเรื่องปกติของสมองของเราครับ มันรับอะไรเยอะๆ มากๆ ในเวลาสั้นๆ ไม่ได้ ดังนั้นข้อความที่ได้มันก็จะขาดเป็นช่วงๆ แต่เมื่อมีใครบางคนสอบถามเราถึงข้อมูลนี้ สมองของเราก็จะพยายามเติมเต็มข้อมูลที่ขาดหายไปเข้าไปโดยอัตโนมัติ และนี่คือที่มาของเนื้อหาข่าวที่ผิดเพี้ยน

อยากพิสูจน์เรื่องนี้ ลองอ่านข้อความภาษาอังกฤษด้านซ้ายมือได้ครับ อ่านออกไหมล่ะ? ผมว่าท่านผู้อ่านหลายคนสามารถอ่านออกครับ สมองของเราสามารถดูบริบทแวดล้อมของเนื้อหา แล้วเติมเต็มตัวอักษรที่หายไปได้อย่างไม่มีปัญหาอะไร … กรณีของข่าวลือก็เช่นกัน เมื่อเราไม่สามารถจดจำเนื้อหาข่าวลือมาได้ครบ แต่เมื่อถึงเวลาที่จะต้องนึกถึงมัน สมองของเราก็จะทำหน้าที่เติมเต็มส่วนที่ขาดหายไปให้โดยอัตโนมัติ โดยอาศัยข้อมูลประสบการณ์ที่เราเคยมีมาครับ

การทำให้ดูสมจริง คือเทคนิคสำคัญ และมันทำได้ไม่ยากเลย

imageคนจะเชื่อข่าวลือได้นั้น สิ่งแรกที่ต้องทำคือ ต้องทำให้มันดูน่าเชื่อถือก่อน ซึ่งน่าแปลกใจมากทีเดียวที่ ความน่าเชื่อถือ มันสร้างได้ง่ายมากๆ ทีเดียว นักจิตวิทยาสังคม Robert B. Cialdini บอกว่าสาเหตุหลักนั้นมาจากการที่สมองของเรานั้นไม่สามารถที่จะคิดประมวลผลข้อมูลข่าวสารทุกอย่างที่รับมาได้ทั้งหมด จึงต้องพึ่งสิ่งที่เรียกว่า Cue (คำนาม. แปลว่า การบอกเป็นนัย) เพื่อให้สามารถตัดสินใจได้โดยอัตโนมัติ … เหมือนอย่างเช่นรูปทางซ้ายมือ ซึ่งพวกฝรั่งเขาทำขึ้นมาล้อเลียนว่า แค่อยากให้อะไรดูเป็นทางการ ก็แค่เพิ่มไอ้รูปใบไม้นี่เข้าไปซะ แล้วใช้ตัวอักษรเป็น Serif ที่ดูเป็นทางการด้วย แค่นี้มันก็ดูเป็นทางการขึ้นมาเยอะแล้ว

image

ถ้าใครเคยดูเรื่อง White Collar จะมีฉากหนึ่งที่ตัวเอก นีล ซึ่งเป็นนักต้มตุ๋นที่ต้องคอยช่วยเหลือ FBI ในการคลี่คลายคดี เพื่อชดเชยความผิดที่ได้ทำไว้ ต้องไปช่วยตัวเอกอีกคนที่เป็นคู่หู FBI คือ เจ้าหน้าที่เบิร์ก ในตอนนั้น นีล ต้องแสดงตัวว่าเป็นเจ้าหน้าที่ FBI ซึ่งเขาก็ปลอมตัวได้เนียนมาก ดูจากการแต่งกายใส่สูท และมีตรา พร้อมกับหน้าตาที่ดูน่าเชื่อถือ ทั้งๆ ที่ตราที่แสดงนั้นจริงๆ แล้วอาจไม่ใช่ของจริงด้วยซ้ำ แต่เมื่อทุกอย่างมันดูน่าเชื่อถือแล้ว และเหมือนจะมีตราประจำตัวด้วย ทุกคนก็เชื่ออย่างง่ายดาย

imageดังนั้นแล้ว เพียงแค่ใส่โลโก้ของบริษัทเข้าไปในข้อความอีเมล์ แล้วใช้ตัวอักษรที่ดูเป็นทางการซักหน่อย และประณีตกับไวยากรณ์ที่ใช้ในเนื้อหา มันก็ทำให้อีเมล์ดูมีความน่าเชื่อถือมากแล้ว

และการหาโลโก้ของบริษัทต่างๆ ที่เราจะปลอมแปลงมันก็ไม่ใช่เรื่องยากเย็นอะไรนักเลย เพราะ Google ก็มีบริการ Image Search ที่ดีมาก เพียงแค่พิมพ์ชื่อบริษัทแล้วตามด้วยคำว่า Logo เข้าไป เราก็จะมีโลโก้ให้เลือกมากมายเลย

อ่านข้อความล้อเลียนในรูปขวามือนี่จะทำให้เข้าใจได้อีกเยอะครับ

แม้จะดูไม่น่าเชื่อถือ แต่จำนวนก็ทำให้มันดูน่าเชื่อถือได้

แต่จากที่ผมพูดถึงไปทั้งหมดข้างต้นแล้ว คุณว่าไอ้ข้อความด้านล่างเนี่ยมันดูเป็นทางการน่าเชื่อถือแค่ไหนอ่ะ? แล้วทำไมคนถึงยังเชื่อมันอีก?

image

คำตอบก็คือ “จำนวน” ครับ … ผมเคยพูดถึงเรื่องนี้ไปแล้วในบล็อก “วิเคราะห์ปรากฏการณ์ต่างๆ บน Social Networking ด้วยแง่มุมจิตวิทยา (ตอนที่ 7)” แล้วถึงโจทย์คณิตศาสตร์เชิงจิตวิทยาว่า หากเทียบ 1/1000 กับ 1000/1000000 แล้ว อันไหนมากกว่ากัน ซึ่งคำตอบในเชิงจิตวิทยาก็คือ 1000/1000000 มากกว่า ซึ่งเป็นผลมาจากแนวคิดที่เรียกว่า Social Proof ครับ คือ แนวโน้มที่คนเราเชื่อว่าการตัดสินใจที่จะทำอะไรผิดพลาดน้อยลงตามจำนวนของบุคคลอื่นที่เราเห็นเขาทำพฤติกรรมนั้นๆ พูดง่ายๆ คือ ว่าไงว่าตามกันนั่นเอง

image

ทีนี้ลองมาคำนวณทางคณิตศาสตร์แบบง่ายๆ ดูบ้างครับ … ข้อมูลจากเว็บ SocialBakers.com ล่าสุด ตอนนี้จำนวนผู้ใช้งาน Facebook ในสหรัฐอเมริกาอยู่ที่ 155,746,780 คน หรือคิดเป็น 50.2% ของจำนวนประชากรสหรัฐ นั่นเป็นจำนวนที่มากเอาการทีเดียว หากเราคิดว่าประมาณ 0.01% (ก็คือ 1 ใน 1000) นั้นหลงเชื่อข้อความหลอกๆ นี่ ก็หมายความว่าจะมีคนที่หลงเชื่อข้อความนี้ถึง 155,747 คนเลยทีเดียว

จากนั้นลองอนุมานจากรายงานของ Nielsen เมื่อ 2 ปีก่อน ที่ว่าคนเราตอนนี้เชื่อคำแนะนำจากเพื่อนๆ คนรู้จักมากถึง 90% นั่นหมายความว่าหากเพื่อนที่เรารู้จักตัวตนจริงๆ บน Social Network โพสต์ข้อความเอาไว้ เราก็มีแนวโน้มที่จะเชื่อว่าข้อความนั้นเป็นจริงอยู่เป็นทุนเดิมอยู่แล้ว และยิ่งหากจำนวนของคนที่โพสต์ข้อความที่เหมือนๆ กันมันเยอะมากๆ ด้วยหลักการ Social Proof แล้ว หากเราไม่แน่ใจว่าข้อความนั้นเป็นจริงหรือไม่ เราก็จะมีแนวโน้มที่เชื่อว่าข้อความนั้นจะเป็นจริง

image

จุดเด่นของการแชร์ข้อมูลได้สะดวกและรวดเร็วของ Social Networking ทำให้การแพร่กระจายของข้อความหลอกลวงแบบนี้มันเป็นไปได้อย่างรวดเร็วกว่ามาก และถึงแม้ว่าผู้ให้บริการต่างๆ จะพยายามป้องกัน และแบนผู้ใช้งานที่จ้องใช้เทคนิค Social Engineering ในทางที่ผิดมากแค่ไหน แต่ผู้ไม่หวังดีก็หาวิธีการต่างต่างนานามาคุกคามได้ตลอด เป็นที่ชัดเจนว่าในอนาคต เราจะต้องเผชิญกับการคุกคามด้วยเทคนิคของ Social Engineering มากขึ้น และในรูปแบบที่หลากหลายขึ้นอย่างแน่นอน

  1. ยังไม่มีความเห็น
  1. No trackbacks yet.

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: