Social Engineering: สุดยอดศาสตร์แห่งการ
Hack
บ่อยครั้งที่ผมมักจะย้ำกับคุณผู้อ่านว่าจุดอ่อนสำคัญด้านความมั่นคงปลอดภัยของทุกองค์กรนั้นมักจะเป็นเรื่องของ
“คน” และท่านทราบไหมว่าในปัจจุบันนี้มีอาชีพนักทดสอบความมั่นคงปลอดภัยที่เน้นการใช้ศาสตร์
Social Engineering เพื่อปฏิบัติการทดสอบล้วงเจาะข้อมูลโดยเฉพาะ
Social Engineering หรือ “วิศวกรรมสังคม”
นั้น คือเทคนิคเชิงจิตวิทยาในการหลอกให้คนหลงเชื่อคล้อยตาม ล่อลวงจนเกิดความไว้วางใจยินยอมบอกข้อมูลหรือเปิดโอกาสให้สามารถเข้าถึงข้อมูลได้โดยง่าย
โดยไม่จำเป็นต้องอาศัยเครื่องมือหรือความรู้ด้านเทคโนโลยีใดๆ
เมื่อไม่นานมานี้
ผมได้อ่านบทสัมภาษณ์ของชายคนหนึ่งที่ประกอบอาชีพรับทดสอบความมั่นคงปลอดภัยโดยใช้เทคนิค
Social Engineering ดังกล่าวนี้แหละ โดยเขาบอกเล่าประสบการณ์ทำงานที่ได้รับการว่าจ้างจากองค์กรหลายแห่งทั่วโลก
ซึ่งผมเห็นว่าเป็นเรื่องที่น่าสนใจจึงขอนำมาเล่าต่อให้ทุกท่านฟัง..
ภาพลักษณ์ภายนอกของชายที่กล่าวว่าตนเองทำงานด้านการแฮ็คมนุษย์
(‘Hack’ humans) นี้ ดูเป็นมิตรเปิดเผย
แต่งตัวสะอาดสะอ้าน และมีรอยยิ้มที่อบอุ่นอยู่บนใบหน้าเกือบจะตลอดเวลา งานหลักของเขาก็คือการมองหาจุดอ่อนที่เกิดจากบุคลากรขององค์กร
โดยอาศัยทักษะในการสังเกตและเข้าใจอารมณ์ของมนุษย์ในเชิงลึก เพื่อหาวิธีชักจูงและตอบสนองต่อบุคคลเป้าหมายอย่างได้ผล
ซึ่งรวมถึงจะต้องสามารถตีความสีหน้า อากัปกิริยาต่างๆ ได้อย่างแม่นยำ อีกทั้งจะต้องมีความรู้เกี่ยวกับสังคมและวัฒนธรรมของประเทศต่างๆ
อย่างลึกซึ้ง เพื่อประโยชน์ในการสร้างสถานการณ์ได้อย่างแนบเนียน
กล่าวอีกนัยหนึ่งได้ว่า เขาต้องฝึกฝนตนเองให้เป็น
“นักอ่านใจ” ขั้นเซียน โดยยึดคติพจน์ที่เออร์เนส ฮัมมิ่งเวย์เคยพูดไว้ว่า “จงฟังในสิ่งที่คนอื่นพูด
ตั้งใจฟังให้ได้ยินในสิ่งที่คนอื่นไม่ค่อยได้ยิน เพราะคนส่วนใหญ่มักจะเอาแต่พูดจนลืมที่จะฟัง”
ซึ่งนี่แหละคือกุญแจสู่ความสำเร็จของเทคนิค Social Engneering
ชายผู้นี้เคยแฮ็คมนุษย์มาแล้วในประเทศ ครั้งหนึ่งเขาเคยเดินเข้าไปในสาขาธนาคารกลางกรุงเบรุต
ประเทศเลบานอน โดยสวมเสื้อแจ๊คเก็ตหนังเดฟคอน รูปลักษณ์แบบชาวอเมริกันทำให้เขาดูแตกต่างจากลูกค้าคนอื่นโดยสิ้นเชิง
และแม้ว่าจะไม่สามารถพูดภาษาอารบิกได้
แต่เขาก็สามารถล่อหลอกให้พนักงานธนาคารยอมเสียบ Hak5 USB Drive ของเขาเข้ากับระบบคอมพิวเตอร์ของธนาคารได้สำเร็จ รวมถึงยังสามารถสังเกตและคาดเดา
User ID และ Password ของผู้ช่วยผู้จัดการสาขาได้อีกด้วย
ข้อมูลที่เขาได้มาจากธนาคารสาขาแรกนั้น ทำให้สามารถนำไปต่อยอดสร้างเรื่องหลอกลวงกับพนักงานของสาขาอีกแห่งหนึ่ง
จนสามารถยกเครื่องคอมพิวเตอร์ของธนาคารติดตัวออกมาด้วยได้อย่างสบายๆ จากนั้นเขาก็ไปยังสาขาที่สาม
เพื่อเชื่อมต่อเข้ากับระบบ LAN ภายใน
ซึ่งผลการทดสอบของเขานั้นถึงกับทำให้ผู้บริหารของธนาคารตกตะลึงในความอ่อนแอของพนักงาน
ประเด็นสำคัญก็คือ.. นายคนนี้ใช้แค่วิธีการง่ายๆ
อย่างการพูดคุยเนียนๆ ลอบสังเกต และสร้างเรื่องราวที่ฟังดูน่าเชื่อถือ
แต่สามารถเจาะเอาข้อมูลสำคัญที่สามารถสร้างความเสียหายใหญ่หลวงให้กับองค์กรออกไปได้!!!
ในบางครั้ง
สถานการณ์ที่เขาวางแผนก็เป็นเรื่องที่ดูน่าขบขัน
อย่างเช่นการแต่งตัวด้วยชุดคอสเพลย์เต่านินจา แล้วเดินเท้าเปล่าทำตัวตีสนิทกับยามและบริกรไปทั่วล๊อบบี้ของโรงแรมหรูแห่งหนึ่งในกรุงปารีส
จนกระทั่งสามารถเข้าถึงพื้นที่ภายในที่บุคคลภายนอกไม่ได้รับอนุญาต
สามารถหยิบกุญแจห้องพัก ดูข้อมูลส่วนตัวของแขก
จนถึงสามารถเข้าระบบคอมพิวเตอร์ของโรงแรมได้ ซึ่งก็เป็นอีกครั้งที่เต่านินจาทำให้ผู้บริหารของโรงแรมถึงกับหัวเราะไม่ออก
ในความเห็นของเขา คำแนะนำที่สำคัญที่สุดในการป้องกันการโจมตีด้วยเทคนิค
Social Engineering ก็คือการฝึกทักษะของบุคลากร
ให้มีความตระหนักรู้ มีความระมัดระวัง และรอบคอบ โดยเน้นประเด็นดังต่อไปนี้..
- สร้างให้บุคลากรมีความเฉลียวในสิ่งผิดปกติ และรู้แนวทางในการตอบสนองต่อเหตุการณ์ที่พบอย่างเหมาะสม
- จัดให้มีหน่วยงานที่คอยรับรายงานหรือให้คำปรึกษาเมื่อพนักงานรู้สึกว่าตนเองกำลังพบกับบุคคล/เหตุการณ์ต้องสงสัย
คำแนะนำนี้อาจจะฟังดูง่าย แต่ผมก็เห็นด้วยกับเขาว่าองค์กรส่วนใหญ่ยังขาดการฝึกอบรมพนักงานเกี่ยวกับการตระหนักรู้และมาตรการด้านความมั่นคงปลอดภัยอย่างเหมาะสมพอเพียง
ดังนั้น ผลที่ตามมาก็คือการที่ “คน” กลายเป็นจุดอ่อนสำคัญขององค์กรอย่างที่เป็นอยู่ในปัจจุบันนี้ไงล่ะครับ
Content Cr: HelpNetSecurity.com / DestinationOne
Counselor
Photo Cr: WonderHowto.com
