Can You Keep a Secret

Can You Keep a Secret? คุณเก็บความลับได้ไหม?

ชื่อบทความนี้ไม่ใช่ชื่อนิยายขายดีของ Sophie Kinsella หรือชื่อเพลงที่คุณเคยรู้จัก แต่เป็นคำถามที่ผู้เขียนอยากจะถามกับคุณว่า.. คุณเก็บความลับได้ไหม? ได้ดีขนาดไหน? เพราะทุกคนย่อมมีความลับ ไม่ว่าจะความลับส่วนตัวหรือความลับของบริษัท

ความลับ หรือ Secret ตามพจนานุกรมหมายถึง “เรื่องที่ควรปกปิด” ซึ่งคำจำกัดความในภาษาอังกฤษก็คือ A secret is information kept hidden.

ปัจจุบันการหลอกล่อเพื่อล้วงเอาข้อมูลความลับนั้นมีอยู่ด้วยกันหลากหลายวิธี ที่ตกเป็นข่าวดังๆ ก็มีให้เห็นกันอย่างมากมาย โดยคำว่า “ความลับ” หากรั่วไหลหรือถูกเปิดเผยต่อสาธารณะแล้ว ก็จะไม่เรียกว่าเป็นความลับอีกต่อไป ทั้งนี้ ข้อมูลความลับสามารถรั่วไหลออกได้ทุกทางหากเราขาดความระมัดระวัง ไม่ว่าจากเกิดจากปัจจัยภายนอกหรือความผิดพลาดจากตัวเราเอง ทั้งโดยตั้งใจหรือไม่ตั้งใจก็ตาม โดยเฉพาะในปัจจุบันที่โลกออนไลน์ไปไวมากๆ ข้อมูลวิ่งสะพัดยังกับไฟลามทุ่งหรือยิ่งกว่าไวรัสอีโบล่าเสียอีก 

คุณเคยได้ยินเรื่องอย่างการโทรมาหลอกลวงล้วงความลับข้อมูลส่วนตัว ข้อมูลบัตรเครดิต เพื่อนำข้อมูลไปทำธุรกรรมการเงินหรือไม่? พวกหลอกลวงเหล่านี้จะใช้กลยุทธ์เทคนิคต่างๆ ในการหว่านล้อมพูดคุย มากกว่าการใช้เทคโนโลยี ผู้เขียนขอยกตัวอย่างให้เห็นภาพชัดเจน เช่น กรณีส่งสาวสวยหุ่นดีเข้ามาตีสนิทกับผู้บริหารชายของบริษัทคู่แข่งทางการค้า วิธีนี้ไม่มีการใช้เทคโนโลยีใดๆ เข้ามาช่วยเลย อาศัยแค่ความสวย ช่างเจรจา และการชักจูงหว่านล้อมเท่านั้น  (เราเรียกเทคนิคการหลอกลวงประเภทนี้ว่า Social Engineer)

ดังนั้น เราจึงควรมาทำความรู้จักกับ “Social Engineer” หรือเทคนิค “วิศวกรรมสังคม” กันดีกว่า โดยตามคำนิยามแล้ว Social Engineering นั้นหมายถึง  การปฏิบัติการทางจิตวิทยาสังคมด้วยวิธีที่ง่ายที่สุดในการโจมตี โดยไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนักและส่วนใหญ่จะใช้ได้ผลดี ศัพท์คำนี้อาจจะฟังดูเหมือนใหม่เพิ่งเคยได้ยิน แต่อันที่จริงมันมีมานานแล้ว อธิบายง่ายๆ ในภาษาชาวบ้านก็คือการหลอกให้เจ้าของบ้านหลงกลเปิดประตูเชิญเข้าไป โดยที่ผู้ไม่หวังดีไม่ต้องลำบากเจาะ ตัด ดัด ถ่าง พังประตูแต่อย่างใด ก็สามารถเข้าไปเอาของมีค่าในบ้านออกมาได้นั่นเอง

การโจมตีแบบ Social Engineering จะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือการเจาะระบบเลย Social Engineering เป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน

Social Engineering มีด้วยกันหลายรูปแบบ และรูปแบบยอดนิยมได้แก่..

• Phishing (ฟิชชิง): คือการหลอกลวงทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น Username/Password หรือหมายเลขบัตรเครดิต โดยส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลโดยหลอกว่ามาจากองค์กรที่ถูกกฎหมาย จากนั้นจึงหลอกให้คลิกเข้าไปยังเว็บไซต์ปลอมที่มีหน้าตาเหมือนกับเว็บไซต์จริง และผู้ใช้จะถูกหลอกให้กรอก Username และ Password เพื่อยืนยันบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต เป็นต้น

• Spear Phishing: จะมีวิธีการโจมตีเหมือน Phishing แต่เน้นตัวบุคคลหรือองค์กรอย่างเฉพาะเจาะจงมากกว่า

• Pretexting: คือเมื่อมีการตกลงเกิดขึ้นระหว่างผู้ทำธุรกรรมสองฝ่าย และมีฝ่ายหนึ่งต้องการหลอกลวงอีกฝ่าย เพื่อเข้าถึงข้อมูลที่ต้องใช้สิทธิ์พิเศษในการเข้าถึง ยกตัวอย่างเช่น การอ้างกับอีกฝ่ายหนึ่งว่าจำเป็นต้องขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินในการสั่งซื้อเพื่อยืนยันตัวตนของผู้รับด้วย เป็นต้น

• Scareware: คือการหลอกว่าคอมพิวเตอร์ของเราติดเชื้อมัลแวร์ หรือ ได้ดาวน์โหลดเนื้อหาที่ผิดกฎหมายโดยไม่ได้ตั้งใจ และผู้ไม่หวังดีก็อาสาจะเข้าช่วยแก้ไขปัญหานั้น ซึ่งในความเป็นจริงแล้ว เราคือผู้ตกเป็นเหยื่อจะถูกหลอกให้เข้าไปดาวน์โหลดและติดตั้งมัลแวร์ด้วยตนเอง เหตุก็เพราะคนเรามักจะกลัวในสิ่งที่เราไม่รู้ จึงถูกอาศัยใช้เป็นช่องทางในการโจมตีโดยเหล่าผู้ไม่หวังดี ที่ต้องการติดตั้งเจ้าโปรแกรมอันไม่พึงประสงค์ที่เรียกว่ามัลแวร์ (Malware) ในเครื่องคอมพิวเตอร์ของเรา

“จะทำอย่างไร เมื่อความลับ ไม่-เป็น-ความ-ลับ-อีก-ต่อ-ไป”

หากเป็นองค์กรหรือบริษัทก็ควรป้องกันโดย หมั่นสร้างความตระหนักรู้ (Awareness) เผยแพร่ความรู้และวิธีป้องกัน และจำกัดการเข้าถึงข้อมูลที่เป็นความลับ รวมถึงมีการกำหนดบทลงโทษที่ชัดเจนและเด็ดขาด หากในทางส่วนตัวก็คือการมี “สติ” และสมองในการเตือนตนเอง

คำแนะนำและการเตือนตนเองอย่างมีสติ

• ไม่ควรเปิดเผยข้อมูลส่วนตัว หรือ ข้อมูลเกี่ยวกับองค์กรโดยเด็ดขาด จนกว่าจะแน่ใจหรือรับรู้ตัวตนของบุคคลที่ต้องการข้อมูลนั้นแล้ว

• ควรตรวจสอบเบอร์โทรศัพท์ที่ไม่คุ้นเคย ที่โทรเข้ามาเพื่อสอบถามข้อมูลส่วนตัวหรือข้อมูลองค์กร

• ไม่พิมพ์ข้อมูลส่วนตัวหรือข้อมูลทางการเงินในอีเมล์ และไม่ตอบอีเมล์ที่ถามถึงข้อมูลดังกล่าว หากสงสัยว่าเป็นเรื่องจริงหรือไม่ ควรจะโทรกลับไปตรวจสอบโดยตรง

• ไม่ส่งข่าวสารหรือข้อมูลที่สำคัญไปทางอินเตอร์เน็ต โดยปราศจากการตรวจสอบระดับความปลอดภัยในการส่งข่าวสารของเว็บไซด์นั้นๆ

• พยายามสังเกต URL ของเว็บไซต์ให้ดี เพราะเว็บไซต์ที่ประสงค์ร้ายมักจะมี URL คล้ายกับเว็บไซต์จริงมาก เช่น http://... กับ https://...

• ติดตั้งซอฟต์แวร์ Firewall ตัวกรองอีเมลให้กับระบบคอมพิวเตอร์ เพื่อป้องกันอีเมลที่ส่งเข้ามาด้วยจุดประสงค์ร้าย รวมถึงกรองอีเมล์ขยะและสแปมทั้งหลาย

• ให้เจ้าหน้าที่ภายในองค์กรที่มีความรู้เกี่ยวกับ Social Engineering มาให้ความรู้แก่พนักงานในองค์กร เพื่อป้องกันอันตรายที่อาจจะเกิดขึ้น

สำนวนที่ว่า “ความลับไม่มีในโลก” นั้นจริงทีเดียว.. ขึ้นอยู่กับว่าเราจะสามารถปกป้องความลับให้เป็นความลับต่อไปได้ยาวนานเพียงใดเท่านั้นเอง

Content Cr: DestinationOne Counselor

Photo Cr: Google Search