Wednesday, May 25, 2016

Social Engineering: สุดยอดศาสตร์แห่งการ Hack



Social Engineering: สุดยอดศาสตร์แห่งการ Hack

บ่อยครั้งที่ผมมักจะย้ำกับคุณผู้อ่านว่าจุดอ่อนสำคัญด้านความมั่นคงปลอดภัยของทุกองค์กรนั้นมักจะเป็นเรื่องของ “คน” และท่านทราบไหมว่าในปัจจุบันนี้มีอาชีพนักทดสอบความมั่นคงปลอดภัยที่เน้นการใช้ศาสตร์ Social Engineering เพื่อปฏิบัติการทดสอบล้วงเจาะข้อมูลโดยเฉพาะ

Social Engineering หรือ “วิศวกรรมสังคม” นั้น คือเทคนิคเชิงจิตวิทยาในการหลอกให้คนหลงเชื่อคล้อยตาม ล่อลวงจนเกิดความไว้วางใจยินยอมบอกข้อมูลหรือเปิดโอกาสให้สามารถเข้าถึงข้อมูลได้โดยง่าย โดยไม่จำเป็นต้องอาศัยเครื่องมือหรือความรู้ด้านเทคโนโลยีใดๆ

เมื่อไม่นานมานี้ ผมได้อ่านบทสัมภาษณ์ของชายคนหนึ่งที่ประกอบอาชีพรับทดสอบความมั่นคงปลอดภัยโดยใช้เทคนิค Social Engineering ดังกล่าวนี้แหละ โดยเขาบอกเล่าประสบการณ์ทำงานที่ได้รับการว่าจ้างจากองค์กรหลายแห่งทั่วโลก ซึ่งผมเห็นว่าเป็นเรื่องที่น่าสนใจจึงขอนำมาเล่าต่อให้ทุกท่านฟัง..


ภาพลักษณ์ภายนอกของชายที่กล่าวว่าตนเองทำงานด้านการแฮ็คมนุษย์ (‘Hack’ humans) นี้ ดูเป็นมิตรเปิดเผย แต่งตัวสะอาดสะอ้าน และมีรอยยิ้มที่อบอุ่นอยู่บนใบหน้าเกือบจะตลอดเวลา งานหลักของเขาก็คือการมองหาจุดอ่อนที่เกิดจากบุคลากรขององค์กร โดยอาศัยทักษะในการสังเกตและเข้าใจอารมณ์ของมนุษย์ในเชิงลึก เพื่อหาวิธีชักจูงและตอบสนองต่อบุคคลเป้าหมายอย่างได้ผล ซึ่งรวมถึงจะต้องสามารถตีความสีหน้า อากัปกิริยาต่างๆ ได้อย่างแม่นยำ อีกทั้งจะต้องมีความรู้เกี่ยวกับสังคมและวัฒนธรรมของประเทศต่างๆ อย่างลึกซึ้ง เพื่อประโยชน์ในการสร้างสถานการณ์ได้อย่างแนบเนียน

กล่าวอีกนัยหนึ่งได้ว่า เขาต้องฝึกฝนตนเองให้เป็น “นักอ่านใจ” ขั้นเซียน โดยยึดคติพจน์ที่เออร์เนส ฮัมมิ่งเวย์เคยพูดไว้ว่า “จงฟังในสิ่งที่คนอื่นพูด ตั้งใจฟังให้ได้ยินในสิ่งที่คนอื่นไม่ค่อยได้ยิน เพราะคนส่วนใหญ่มักจะเอาแต่พูดจนลืมที่จะฟัง” ซึ่งนี่แหละคือกุญแจสู่ความสำเร็จของเทคนิค Social Engneering

ชายผู้นี้เคยแฮ็คมนุษย์มาแล้วในประเทศ ครั้งหนึ่งเขาเคยเดินเข้าไปในสาขาธนาคารกลางกรุงเบรุต ประเทศเลบานอน โดยสวมเสื้อแจ๊คเก็ตหนังเดฟคอน รูปลักษณ์แบบชาวอเมริกันทำให้เขาดูแตกต่างจากลูกค้าคนอื่นโดยสิ้นเชิง และแม้ว่าจะไม่สามารถพูดภาษาอารบิกได้ แต่เขาก็สามารถล่อหลอกให้พนักงานธนาคารยอมเสียบ Hak5 USB Drive ของเขาเข้ากับระบบคอมพิวเตอร์ของธนาคารได้สำเร็จ รวมถึงยังสามารถสังเกตและคาดเดา User ID และ Password ของผู้ช่วยผู้จัดการสาขาได้อีกด้วย
ข้อมูลที่เขาได้มาจากธนาคารสาขาแรกนั้น ทำให้สามารถนำไปต่อยอดสร้างเรื่องหลอกลวงกับพนักงานของสาขาอีกแห่งหนึ่ง จนสามารถยกเครื่องคอมพิวเตอร์ของธนาคารติดตัวออกมาด้วยได้อย่างสบายๆ จากนั้นเขาก็ไปยังสาขาที่สาม เพื่อเชื่อมต่อเข้ากับระบบ LAN ภายใน ซึ่งผลการทดสอบของเขานั้นถึงกับทำให้ผู้บริหารของธนาคารตกตะลึงในความอ่อนแอของพนักงาน

ประเด็นสำคัญก็คือ.. นายคนนี้ใช้แค่วิธีการง่ายๆ อย่างการพูดคุยเนียนๆ ลอบสังเกต และสร้างเรื่องราวที่ฟังดูน่าเชื่อถือ แต่สามารถเจาะเอาข้อมูลสำคัญที่สามารถสร้างความเสียหายใหญ่หลวงให้กับองค์กรออกไปได้!!!

ในบางครั้ง สถานการณ์ที่เขาวางแผนก็เป็นเรื่องที่ดูน่าขบขัน อย่างเช่นการแต่งตัวด้วยชุดคอสเพลย์เต่านินจา แล้วเดินเท้าเปล่าทำตัวตีสนิทกับยามและบริกรไปทั่วล๊อบบี้ของโรงแรมหรูแห่งหนึ่งในกรุงปารีส จนกระทั่งสามารถเข้าถึงพื้นที่ภายในที่บุคคลภายนอกไม่ได้รับอนุญาต สามารถหยิบกุญแจห้องพัก ดูข้อมูลส่วนตัวของแขก จนถึงสามารถเข้าระบบคอมพิวเตอร์ของโรงแรมได้ ซึ่งก็เป็นอีกครั้งที่เต่านินจาทำให้ผู้บริหารของโรงแรมถึงกับหัวเราะไม่ออก

ในความเห็นของเขา คำแนะนำที่สำคัญที่สุดในการป้องกันการโจมตีด้วยเทคนิค Social Engineering ก็คือการฝึกทักษะของบุคลากร ให้มีความตระหนักรู้ มีความระมัดระวัง และรอบคอบ โดยเน้นประเด็นดังต่อไปนี้..
  1. สร้างให้บุคลากรมีความเฉลียวในสิ่งผิดปกติ และรู้แนวทางในการตอบสนองต่อเหตุการณ์ที่พบอย่างเหมาะสม
  2. จัดให้มีหน่วยงานที่คอยรับรายงานหรือให้คำปรึกษาเมื่อพนักงานรู้สึกว่าตนเองกำลังพบกับบุคคล/เหตุการณ์ต้องสงสัย
คำแนะนำนี้อาจจะฟังดูง่าย แต่ผมก็เห็นด้วยกับเขาว่าองค์กรส่วนใหญ่ยังขาดการฝึกอบรมพนักงานเกี่ยวกับการตระหนักรู้และมาตรการด้านความมั่นคงปลอดภัยอย่างเหมาะสมพอเพียง ดังนั้น ผลที่ตามมาก็คือการที่ “คน” กลายเป็นจุดอ่อนสำคัญขององค์กรอย่างที่เป็นอยู่ในปัจจุบันนี้ไงล่ะครับ




Content Cr: HelpNetSecurity.com / DestinationOne Counselor

Photo Cr: WonderHowto.com

Wednesday, May 11, 2016

เทคนิคเพื่อความอุ่นใจบนโลกสังคมออนไลน์



เทคนิคเพื่อความอุ่นใจบนโลกสังคมออนไลน์

ในยุคนี้กว่า 75% ของคนไทยมีบัญชีโซเชียลมีเดียกันอย่างน้อยคนละ 1 บัญชี และในความเป็นจริงแล้ว โดยส่วนใหญ่มักจะมีมากกว่าหนึ่ง ไม่ว่าจะเป็น Facebook, Twitter, Line, Instagram ฯลฯ ความนิยมในการใช้ชีวิตบนโลกโซเชียลทำให้มนุษย์เรามีความเป็นส่วนตัวลดลง คนจำนวนมากมายสามารถเข้ามาเยี่ยมชมโปรไฟล์ รับรู้ไลฟ์สไตล์ ตลอดจนความเคลื่อนไหวของคุณ ไม่ว่าจะเป็นกลุ่มเพื่อนหรือคนแปลกหน้า ซึ่งอาจจะรวมไปถึงผู้ไม่หวังดีและแฮ็กเกอร์อีกด้วย

โชคดีที่ข่าวสารในปัจจุบันนั้นสามารถเข้าถึงได้ง่ายขึ้นมากกว่าในอดีต จึงช่วยให้เรามีความตระหนักและรอบคอบในการปกป้องตนเองจากภัยคุกคามบนโลกออนไลน์มากขึ้น อย่างไรก็ตาม อย่างน้อยเกินกว่าครึ่งหนึ่งของกลุ่มประชากรออนไลน์ ต่างเคยมีประสบการณ์ในถูกพยายามคุกคาม ยกตัวอย่างเช่น การขโมยรหัสผ่าน, การโพสต์ลิงก์หลอกลวง, การล่อลวงโดยการปลอมแปลงตัวตน, การเรียกค่าไถ่ข้อมูล เป็นต้น และมีคนจำนวนไม่น้อยที่ยังต้องตกเป็นเหยื่อหรือผู้เสียหายแม้ว่าจะมีความระแวดระวังภัยแล้ว

ดังนั้น เพื่อประโยชน์สำหรับทุกท่านที่มีบัญชีโซเชียลมีเดีย ทีมที่ปรึกษาของ DestinationOne จึงขอนำเสนอคำแนะนำซึ่งจะช่วยให้ท่านสามารถใช้ชีวิตในสังคมออนไลน์ได้ปลอดภัยยิ่งขึ้น


  • ก่อนที่จะโพสต์ข้อความ, รูปภาพ หรือข้อมูลใดๆ จะต้องพึงระลึกไว้เสมอว่าข้อมูลเหล่านั้นจะคงอยู่ตลอดไป ถึงแม้คุณจะลบมันออกไปแล้ว แต่แพลทฟอร์มหรือเครือข่ายในบางรูปแบบอาจจะเก็บแคชของโพสต์นั้นเอาไว้ หรืออาจจะถูกบันทึกภาพหน้าจอเพื่อนำมาโจมตีหรือหาประโยชน์จากคุณได้ในภายหลัง
  • รหัสผ่านสำคัญที่สุด” เป็นสิ่งที่เราย้ำกันอยู่เสมอ เพราะมันคือมาตรการพื้นฐานในการปกป้องบัญชีของเรา จึงจำเป็นต้องตั้งรหัสผ่านที่เข้มแข็ง มีคุณภาพ คาดเดาได้ยาก และจะต้องเก็บไว้เป็นความลับ ห้ามเปิดเผยต่อบุคคลอื่นทั้งสิ้น
  • อย่า Log-in บัญชีของคุณโดยใช้เครือข่ายสาธารณะหรือ Wi-fi ที่ไม่น่าเชื่อถือ เพราะจะทำให้คุณเสี่ยงต่อการถูกดักจับข้อมูล ทั้งนี้ หากจำเป็นจริงๆ ควรจะใช้งานผ่านโปรแกรมหรือช่องทางบริการเครือข่ายแบบไร้ตัวตน (Anonymity Network) เช่น Tor หรือ VPN
  • อย่าแชร์ข้อมูลส่วนตัวหรือโพสต์กิจกรรมความเคลื่อนไหวของคุณจนมากเกินไป เพราะคุณอาจจะถูกผู้มุ่งร้ายหรือแฮ็กเกอร์นำเอาข้อมูลเหล่านั้นไปใช้ในการหาจุดอ่อน เพื่อนำไปคาดเดารหัสผ่าน หรือสร้างเรื่องราวเป็นกับดักในการล่อลวงคุณ หรือปลอมแปลงเป็นตัวคุณแล้วไปหลอกลวงผู้อื่นได้
  • จำกัดการเพิ่มเพื่อนบนโลกออนไลน์ โดยเลือกมีปฏิสัมพันธ์เฉพาะกับบุคคลที่คุณรู้จักหรือทราบแหล่งที่มาที่ไปเท่านั้น ถึงแม้การมีเพื่อนจำนวนมากอาจจะดูเหมือนเป็นเรื่องดี แต่อันที่จริงแล้วกลับเป็นการเพิ่มความโอกาสให้ผู้มุ่งร้ายแฝงตัวเข้ามาสังเกตการณ์หรือลอบหาประโยชน์จากคุณได้





Content Cr: DestinationOne Counselor
Photo Cr: ShutterStock.com