Social Engineering คืออะไร? กลลวงที่แก๊งคอลเซนเตอร์เลือกใช้
บริษัท โกโกลุก ประเทศไทย ผู้ให้บริการแอปพลิเคชัน Whoscall แอปพลิเคชันระบุหมายเลขโทรศัพท์ที่ไม่รู้จัก ได้เปิดเผยรายงานประจำปี 2567 ซึ่งเผยให้เห็นถึงสถานการณ์ที่น่าตกใจของภัยกลโกงทางโทรศัพท์และข้อความ SMS ในประเทศไทย ดังนี้:
- Whoscall ตรวจพบสายโทรศัพท์ และข้อความหลอกลวงสูงถึง 168 ล้านครั้ง ในปี 2567
- เป็นยอดที่เพิ่มขึ้นกว่า 112% จากปี 2566 และถือเป็นยอดสูงสุดในรอบห้าปี
- เป้าหมายในการโจมตี ไม่ได้จำกัดอยู่กับเพียงแต่บุคคลทั่วไป แต่ยังมีการโจมตีองค์กรเพิ่มขึ้นเรื่อย ๆ
ข่าวการหลอกลวงจากแก็งคอลเซนเตอร์มีให้เห็นหนาตาขึ้นเรื่อย ๆ อาชญากรมักคิดค้นอุบายหรือกลลวงใหม่ ๆ เพื่อหลอกล่อให้เหยื่อหลงเชื่อ อาทิ การปลอมเป็นเจ้าหน้าที่ตำรวจ หรือเป็นบุคคลใกล้ตัว โดยอาศัยข้อมูลส่วนตัว ส่งผลให้การหลอกลวงนั้น มีความน่าเชื่อถือยิ่งขึ้น นอกจากนี้ ยังมีการใช้เครื่องมือเอไอ เข้ามาช่วยให้การโจมตี ทำได้อย่างรวดเร็ว แนบเนียน และมีโอกาสสำเร็จสูงขึ้น การโจมตีลักษณะนี้มีชื่อว่า Social Engineering Attacks
Social Engineering Attack คืออะไร?
Social Engineering Attacks หรือการโจมตีวิศวกรรมสังคม คือการโจมตีรูปแบบหนึ่ง ที่อาศัยหลักการทางจิตวิทยา โดยใช้ประโยชน์จากความไม่รู้ ความไว้เนื้อเชื่อใจ การข่มขู่ หรือการโน้มน้าวใจ เพื่อให้เหยื่อทำตามความต้องการ ซึ่งมักมีเป้าหมายเป็น การส่งมอบข้อมูลส่วนบุคคล การติดตั้งซอฟต์แวร์น่าสงสัยในเครื่องคอมพิวเตอร์ขององค์กร หรือการโอนเงินให้กับอาชญากรโดยตรง
การโจมตีวิศวกรรมสังคม มีแบบใดบ้าง?
นอกเหนือจากภัยคุกคามทางไซเบอร์ การโจมตีวิศวกรรมสังคม ยังเป็นอีกหนึ่งภัยคุกคามที่องค์กรไม่ควรมองข้าม โดยรูปแบบการโจมตีที่พบเห็นได้บ่อย มีดังนี้ –
- การหลอกลวงผ่านสายโทรศัพท์ (Vishing) : มิจฉาชีพมักปลอมแปลงเป็นบุคคลในองค์กร หรืออ้างเป็นองค์กรคู่ค้า เพื่อหลอกให้บุคลากรเปิดเผยข้อมูลสำคัญ หรือทำธุรกรรมทางการเงินแทน
- การหลอกลวงฟิชชิง (Phishing) : มิจฉาชีพมักติดต่อบุคลากร ผ่านทางอีเมล ข้อความ หรือเว็บไซต์ปลอม เพื่อให้เปิดเผยข้อมูลสำคัญ ที่สามารถนำไปสร้างความเสียหายต่อได้
- การเรียกค่าไถ่ไฟล์ (Ransomware) : เหยื่ออาจได้รับข้อความที่ดูเร่งรีบ พร้อมหลอกให้ติดตั้งมัลแวร์ในระบบ ส่งผลให้ไฟล์ในเครื่องถูกเข้ารหัส ซึ่งจะปลดล็อกได้ด้วยรหัสจากผู้โจมตีเท่านั้น
- การเข้าถึงพื้นที่หวงห้าม (Tailgating) : มิจฉาชีพอาจเข้าถึงพื้นที่หวงห้ามหรืออาคารขององค์กร จากการที่บุคลากรเปิดประตูให้ผู้ที่เดินตาม ซึ่งมักมีโอกาสประสบความสำเร็จสูง
- การโจมตีเว็บไซต์รอบข้าง (Watering Hole) : มิจฉาชีพจะเลือกโจมตีเว็บไซต์ที่บุคลากรต้องใช้งานบ่อย โดยฝังโค้ดหรือมัลแวร์ไว้ในนั้น ซึ่งหากผู้โจมตีทำสำเร็จ จะโจมตีหลายองค์กร หรือทั้งอุตสาหกรรมได้พร้อมกัน
การโจมตีวิศวกรรมสังคมมีโอกาสประสบความสำเร็จสูง โดยเฉพาะกับองค์กรที่ไม่มีการปลูกฝัง ความตระหนักรู้ด้านความปลอดภัย ส่งผลให้องค์กรต้องพบกับความเสี่ยงที่มากขึ้น และอาจนำไปสู่ความเสียหายทางการเงิน ข้อมูลสำคัญ ชื่อเสียง ตลอดจนความน่าเชื่อถือขององค์กรในระยะยาว
องค์กรจะป้องกัน Social Engineering Attack ได้อย่างไร?
การป้องกันการโจมตีวิศวกรรมสังคม ไม่สามารถป้องกันได้ด้วยระบบรักษาความปลอดภัยเพียงอย่างเดียว เนื่องจากผู้โจมตีมักอาศัยความชะล่าใจของบุคลากร เพื่อการแก้ไขปัญหาอย่างยั่งยืน องค์กรต้องให้ความสำคัญกับการสร้างวัฒนธรรมความปลอดภัย โดยอาจใช้วิธีดังนี้ –
ติดตั้ง Firewall และระบบป้องกันต่าง ๆ
องค์กรที่มีการใช้งาน Firewall, ระบบตรวจสอบการเข้าถึง, ซอฟต์แวร์แอนตี้ไวรัส และระบบกรองอีเมลขยะ จะช่วยป้องกันการโจมตี หรือลดโอกาสสร้างความเสียหาย เมื่อมีการพยายามเจาะระบบ
กำหนดนโยบาย และสิทธิการเข้าถึงให้เหมาะสม
หากผู้โจมตีสามารถเข้าถึงระบบเน็ตเวิร์กขององค์กรได้ การกำหนดสิทธิ์อย่างเหมาะสมจะช่วยลดความเสียหาย ไม่ให้ผู้โจมตีเข้าถึงข้อมูลสำคัญขององค์กรได้ทั้งระบบ
จัดอบรมด้านความปลอดภัยกับ Network Training Center
Network Training Center (NTC) มีหลักสูตรด้านความปลอดภัยที่ครอบคลุม เหมาะกับทั้งบุคลากรทั่วไป และผู้เชี่ยวชาญไอที การเข้าอบรมกับ NTC จะช่วยให้องค์กรของคุณสามารถตรวจจับ ป้องกัน และรับมือ กับการโจมตีไซเบอร์ได้ทุกรูปแบบ
หลักสูตรความปลอดภัยไซเบอร์ที่เกี่ยวข้อง:
| ชื่อหลักสูตร |
ระยะเวลา |
ตัวอย่างเนื้อหา |
|---|---|---|
| Users Security Awareness | 1 | การใช้งานอินเตอร์เน็ตอย่างปลอดภัย, การติดตั้ง Firewall, การรักษาความปลอดภัยคอมพิวเตอร์ และระบบเครือข่าย |
| Computer Security Tips for Beginners | 1 | การตั้งค่าความปลอดภัยในคอมพิวเตอร์, การกำหนดนโยบาย, แนวทางปฏิบัติที่ดีที่สุดในการป้องกันภัยไซเบอร์ |
| Fundamental Information Security | 2 | แนวทางการรักษาความปลอดภัยข้อมูล, การโจมตีรูปแบบต่าง ๆ, เทคนิคการลดความเสี่ยง-ความเสียหาย, การดูแลระบบเครือข่าย |
| Basic of Cyber Attack and Malware Detection | 3 | ทำความรู้จักกับมัลแวร์ต่าง ๆ, การค้นหาการโจมตีด้วยมัลแวร์, การสร้างสภาพแวดล้อมขององค์กรให้มีความปลอดภัย |
| Threat Hunting | 3 | เทคนิคการค้นหาภัยคุกคาม, การตรวจสอบทราฟฟิกเครือข่าย, การสืบค้นการโจมตีไซเบอร์, การตอบสนองต่อเหตุการณ์โจมตี |
| Hardening Network Infrastructure | 5 | เข้าใจการโจมตีเครือข่ายประเภทต่าง ๆ, การป้องกันด้วย Firewall และ IDS/IPS, การใช้งาน VPN, การใช้งาน Content Filtering |
NTC มีประสบการณ์จัดอบรมมายาวนานกว่า 20 ปี และได้สร้างผู้เชี่ยวชาญในสายงานมากกว่าหนึ่งแสนราย ไม่ว่าความต้องการของคุณจะเป็นอะไร เราก็พร้อมออกแบบหลักสูตรให้สอดคล้องกับการดำเนินงานของคุณ รวมถึงการจัดอบรมที่สำนักงานของเรา (On-Site) อบรมผ่านระบบคอมพิวเตอร์ (Virtual) หรือจะอบรมในที่ของคุณ (In-house) เราก็จัดให้ได้
หลักสูตรของเรามุ่งเน้นการปรับใช้ในสถานการณ์จริง ผ่านการใช้เครื่องมือและทักษะที่ตรงกับมาตรฐานอุตสาหกรรม ไม่ว่าคุณจะเป็นผู้เชี่ยวชาญ เจ้าของธุรกิจ หรือเป็นเพียงผู้ที่ต้องการพัฒนาทักษะด้านความปลอดภัยไซเบอร์ NTC ก็พร้อมเหลือคุณให้เติบโตต่อไปได้อย่างยั่งยืน
อย่ารอจนตกเป็นเหยื่อ! เรียนรู้วิธีการปกป้ององค์กรของคุณวันนี้!
ติดต่อเราเพื่อขอคำปรึกษาหลักสูตรฟรีได้เลย!
โทร: 083-779-7732
Email: sales@trainingcenter.co.th
Line: https://lin.ee/lprR4Xa
อ้างอิงจาก ThaiRath
บทความที่เกี่ยวข้อง
อ่าน: Google รายงานภัยคุกคามสมัยใหม่ เมื่อเอไอถูกใช้เพื่อ Cyberattack
อ่าน: Advanced Vishing : การปลอมเสียงที่ Ferrari ยังเกือบตกเป็นเหยื่อ
อ่าน: รู้ทันฟิชชิ่ง: ภัยคุกคามทางไซเบอร์