ATK"Hi, this is IT.URGENT — need yourcredentials now"VICTIMauthority · urgency · fear

วิศวกรรมสังคม

11 นาทีอ่านความปลอดภัย

วิศวกรรมสังคมคือแนวทางปฏิบัติในการชักจูงผู้คนให้ละทิ้งข้อมูล อนุญาตให้เข้าถึง หรือดำเนินการที่ปกติแล้วพวกเขาไม่ได้ทำ นี่เป็นเทคนิคการโจมตีที่น่าเชื่อถือที่สุดตราบเท่าที่คอมพิวเตอร์มีรหัสผ่าน และการโคลนเสียงที่สร้างโดย AI ได้ทำให้รูปแบบที่มีผลกระทบสูงสุดน่าเชื่อถือมากขึ้นกว่าที่เคย

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

Social Engineering คือการโจมตีใดๆ ที่กำหนดเป้าหมายไปที่องค์ประกอบมนุษย์ของระบบรักษาความปลอดภัย ผู้โจมตีจะไม่ทำลายการเข้ารหัสหรือใช้ประโยชน์จากจุดบกพร่องด้านความปลอดภัยของหน่วยความจำ พวกเขาโน้มน้าวให้บุคคลให้สิ่งที่พวกเขาต้องการ เนื่องจากท้ายที่สุดแล้วการรักษาความปลอดภัยขึ้นอยู่กับมนุษย์ที่ทำการตัดสินใจที่ดีภายใต้แรงกดดันด้านเวลา วิศวกรรมสังคมจึงยังคงเป็นประเภทการโจมตีที่ประสบความสำเร็จมากที่สุดตามปริมาณ

เทคนิคแบบคลาสสิก

  • Phishing. อีเมลหรือข้อความที่ส่งอีเมลจำนวนมากซึ่งแอบอ้างเป็นหน่วยงานที่เชื่อถือได้ และหลอกให้เป้าหมายละทิ้งข้อมูลประจำตัวหรือติดตั้งมัลแวร์ ดูบทความ phishing.
  • Spear phishing. กำหนดเป้าหมายไปที่บุคคลหรือองค์กรที่เฉพาะเจาะจง พร้อมบริบทส่วนบุคคล (ชื่อจริง โครงการจริง กิจกรรมล่าสุดจริง) อัตราความสำเร็จที่สูงกว่ามาก
  • Vishing (ฟิชชิ่งด้วยเสียง) การโทร ผู้โจมตีแอบอ้างเป็นธนาคาร, แผนกไอที, CEO, ผู้ขาย — ใครก็ตามที่มีอำนาจที่เป้าหมายจะตอบกลับ
  • Smishing (SMS phishing) ข้อความตัวอักษร พร้อมคำกล่าวอ้างเร่งด่วนและลิงก์ที่เป็นอันตราย มีการใช้งานอย่างหนักกับผู้ใช้เฉพาะมือถือ
  • Pretexting. ผู้โจมตีสร้างเรื่องราวเบื้องหลังที่ทำให้คำขอฟังดูเป็นไปได้ "สวัสดี นี่คือ John จากแผนกบัญชี ฉันต้องการให้คุณอัปเดตคำแนะนำในการเดินสายไฟสำหรับการชำระเงินที่รอดำเนินการ"
  • Baiting. ทิ้งไดรฟ์ USB ที่ติดไวรัสไว้ในลานจอดรถ ส่งอีเมลพร้อมรหัส QR ที่เป็นอันตราย โพสต์ประกาศรับสมัครงานที่น่าสนใจเพื่อดำเนินการต่อ
  • Quid pro quo ผู้โจมตีเสนอบริการ (เทคโนโลยีฟรี) สนับสนุน, ของขวัญ) เพื่อแลกกับข้อมูลประจำตัวหรือการเข้าถึง
  • Tailgating. ติดตามบุคคลที่ได้รับอนุญาตผ่านประตูที่ปลอดภัย พูดคุยทางโทรศัพท์หรือถือกาแฟเพื่อให้พวกเขาจับประตูโดยไม่ต้องคิด
  • หลุมน้ำ ประนีประนอมเว็บไซต์ที่องค์กรเป้าหมายเข้าประจำแล้วรอให้เป้าหมายเข้ามา ใช้กับอุตสาหกรรมเฉพาะหรือกลุ่มนักเคลื่อนไหว

เหตุใดวิศวกรรมสังคมจึงทำงาน

ผู้โจมตีดึงความรู้ความเข้าใจ:

  • Authority. คำขอจาก "CEO" หรือ "ฝ่ายสนับสนุนด้านไอที" ได้รับการปฏิบัติตามข้อกำหนดมากกว่าคำขอจาก peers.
  • Urgency. ทางลัดความดันเวลาคิดอย่างรอบคอบ "สิ่งนี้จะต้องเกิดขึ้นใน 30 นาทีข้างหน้า ไม่เช่นนั้นข้อตกลงจะพัง"
  • Scarcity. ข้อเสนอที่มีเวลาจำกัด โอกาสสุดท้าย การเข้าถึงพิเศษ
  • Reciprocity. ความช่วยเหลือเล็กๆ น้อยๆ ก่อน (ของขวัญที่ไม่คาดคิด ชิ้นส่วนของข้อมูลที่เป็นประโยชน์) สร้างความรู้สึก ภาระผูกพัน
  • Liking. ผู้คนปฏิบัติตามผู้ร้องขอที่น่าดึงดูด มีเสน่ห์ หรือดูคุ้นเคย
  • หลักฐานทางสังคม "เพื่อนร่วมงานของคุณได้ทำสิ่งนี้ไปแล้ว"
  • Fear. "บัญชีของคุณถูกบุกรุก คลิกที่นี่เพื่อรักษาความปลอดภัย ทันที"

เหล่านี้เป็นคันโยกเดียวกับที่ใช้โดยการตลาดที่ถูกกฎหมาย วิศวกรรมสังคมสร้างอาวุธให้พวกมันต่อต้านท่าทางการรักษาความปลอดภัย

ยุคที่ขยายด้วย AI

2023–2026 เห็นการเปลี่ยนแปลงอีกขั้นในคุณภาพวิศวกรรมสังคม:

  • Generative AI ขจัดการบอกเล่าทางภาษาของฟิชชิ่งคุณภาพต่ำ ภาษาอังกฤษเป็นภาษาแม่ (หรือภาษาใดก็ได้) น้ำเสียงที่เหมาะสมกับบริบท การอ้างอิงส่วนบุคคลที่ดึงมาจากแหล่งข้อมูลสาธารณะ
  • การโคลนเสียง จากเสียงไม่กี่วินาทีหมายความว่าการโทรของ "CEO" สามารถฟังดูคล้ายกับ CEO ตัวจริงทุกประการ เหตุการณ์ Arup Hong Kong ในปี 2024 ซึ่งโอนเงิน 25 ล้านดอลลาร์หลังวิดีโอคอลกับผู้บริหารที่ทำการ Deepfak เป็นตัวอย่างที่มีการอ้างอิงมากที่สุด
  • วิดีโอ Deepfake แบบเรียลไทม์ สามารถทำงานได้เพียงพอที่จะหลอกวิดีโอคอลได้
  • การวิจัยแบบกำหนดเป้าหมายในวงกว้าง เครื่องมือ AI ช่วยให้ผู้โจมตีสามารถวิจัยข้อมูลนับพันได้ ของเป้าหมายและปรับแต่งฟิชชิ่งแบบหอกในแบบที่ไม่เคยประหยัดมาก่อน

การป้องกันไม่ได้ก้าวไปเร็วเท่านี้ โดยเฉพาะอย่างยิ่งการโจมตีด้วยเสียงมีอัตราความสำเร็จสูงกว่าเมื่อสามปีที่แล้วมาก

สิ่งที่ใช้ได้ผลกับวิศวกรรมสังคม

ทางเทคนิคและขั้นตอนร่วมกัน:

  • การตรวจสอบสิทธิ์ที่แข็งแกร่งซึ่งยากต่อการฟิชชิ่ง ฮาร์ดแวร์ FIDO คีย์ พาสคีย์ — ผูกข้อมูลรับรองกับต้นทางที่ถูกต้อง ดังนั้นไซต์ฟิชชิ่งจึงไม่สามารถบันทึกความลับที่ใช้งานได้
  • การตรวจสอบนอกย่านความถี่ สำหรับคำขอที่มีเดิมพันสูง (การโอนเงิน การรีเซ็ตข้อมูลประจำตัว การเปลี่ยนแปลงผู้จำหน่าย) จำเป็นต้องมีการติดต่อกลับไปยัง หมายเลขโทรศัพท์ที่ทราบล่วงหน้า ไม่ใช่หมายเลขในอีเมลหรือการโทรที่น่าสงสัย
  • ชะลอความเร่งด่วน นิสัยส่วนตัวที่มีประสิทธิภาพสูงสุดเพียงอย่างเดียว: เมื่อรู้สึกว่ามีอะไรเร่งด่วน จงใจล่าช้า 5 นาทีและตรวจสอบคำขอผ่านช่องทางแยกต่างหาก
  • แบบฝึกหัดบนโต๊ะและการจำลองฟิชชิ่ง องค์กรที่ฝึกฝนได้รับ วัดผลได้ดีขึ้น
  • ล้างเส้นทางการยกระดับ พนักงานควรมีวิธีที่ง่ายดายในการรายงานคำขอที่น่าสงสัย และไม่ต้องรับโทษสำหรับการรายงานคำขอของแท้ที่กลายเป็นเรื่องจริง
  • Codeวลีสำหรับการแอบอ้างเป็นผู้บริหาร วลีที่ตกลงไว้ล่วงหน้าหรือคำถามเช็คอินสำหรับสถานการณ์ที่มีเสียงปลอมอย่างล้ำลึก เป็นไปได้

สิ่งที่คุณทำได้ในฐานะปัจเจกบุคคล

  • ไม่เชื่อในการติดต่อที่ไม่คาดคิด โดยเฉพาะคำขอเร่งด่วนสำหรับข้อมูลรับรองหรือเงิน
  • ตรวจสอบนอกกลุ่ม - โทรกลับสถาบันด้วยหมายเลขที่คุณได้รับจากบันทึกของคุณ ไม่ใช่จากข้อความที่น่าสงสัย
  • ใช้ คีย์ฮาร์ดแวร์ 2FA หรือรหัสผ่านในบัญชีที่สำคัญ
  • อย่าเปิดเผยข้อมูลสาธารณะเพียงพอที่จะวิจัยได้ — "OPSEC" มีความสำคัญในยุค AI มากกว่าเมื่อก่อน
  • พูดคุยกับครอบครัวเกี่ยวกับการหลอกลวงด้วยเสียงที่กำหนดเป้าหมายไปที่ญาติผู้สูงอายุ ซึ่งกลายเป็นหมวดการฉ้อโกงที่สำคัญในปี 2024–2026

คำถามที่พบบ่อย

วิศวกรรมสังคมมีประสิทธิภาพมากกว่าการโจมตีทางเทคนิคหรือไม่?
โดยปกติแล้วใช่สำหรับความพยายามแบบเดียวกัน ระบบสมัยใหม่นั้นยากต่อการใช้ประโยชน์ในทางเทคนิค ผู้ใช้ที่เป็นมนุษย์คือจุดอ่อนที่คาดเดาได้ การละเมิดหลักส่วนใหญ่เริ่มต้นด้วยวิศวกรรมสังคมบางประเภท เช่น ฟิชชิ่งเพื่อขอข้อมูลประจำตัว ขอความช่วยเหลือจากฝ่ายช่วยเหลือในการรีเซ็ต MFA ล่อลวงให้พนักงานติดตั้งซอฟต์แวร์
เทคโนโลยีสามารถเอาชนะวิศวกรรมสังคมได้อย่างสมบูรณ์หรือไม่?
ไม่ แต่สามารถลดคุณค่าของการโจมตีที่ประสบความสำเร็จได้อย่างมาก MFA (คีย์ฮาร์ดแวร์) ที่ป้องกันการฟิชชิ่งจะเอาชนะตัวแปรการเก็บข้อมูลรับรอง การอนุมัติแบบหลายชั้นเอาชนะรูปแบบการฉ้อโกงทางสาย เครื่องมือของผู้โจมตีมีการพัฒนาอย่างต่อเนื่อง ดังนั้นการป้องกันก็มีการพัฒนาเช่นกัน
ฉันจะจดจำการโคลนเสียงที่ AI สร้างขึ้นในการโทรได้อย่างไร
ตรวจจับได้ยากด้วยหูเพียงอย่างเดียวสำหรับโคลนคุณภาพสูง การป้องกันที่เชื่อถือได้: อย่าไว้วางใจเสียงเพียงอย่างเดียวสำหรับการดำเนินการที่มีความเสี่ยงสูง ต้องมีการโทรกลับไปยังหมายเลขที่ยืนยันแล้ว ยอมรับวลีรหัสครอบครัว ถามคำถามส่วนตัวเฉพาะคนจริงเท่านั้นที่จะรู้ การยืนยันด้วยเสียงเท่านั้นไม่ใช่สัญญาณระบุตัวตนที่รัดกุมอีกต่อไป
วิศวกรรมสังคมผิดกฎหมายหรือไม่?
เมื่อใช้เพื่อกระทำการฉ้อโกง การโจรกรรม หรือการเข้าถึงโดยไม่ได้รับอนุญาต — ใช่ ในเขตอำนาจศาลส่วนใหญ่ การฉ้อโกงทางสาย การโจรกรรมข้อมูลประจำตัว และการฉ้อโกงทางคอมพิวเตอร์มีผลบังคับใช้ การทดสอบการเจาะระบบที่ได้รับอนุญาตซึ่งรวมถึงวิศวกรรมสังคมนั้นถูกกฎหมายโดยได้รับความยินยอมตามสัญญาอย่างชัดเจนจากองค์กรเป้าหมาย
ฉันควรลบโซเชียลมีเดียของฉันเพื่อหลีกเลี่ยงการฟิชชิ่งแบบหอกหรือไม่?
การลดข้อมูลสาธารณะช่วยได้แต่ไม่จำเป็นสำหรับคนส่วนใหญ่ ใครก็ตามที่ตัดสินใจค้นคว้าข้อมูล คุณสามารถรวบรวมโปรไฟล์จากหลายแหล่งได้ การป้องกันเชิงปฏิบัติมากกว่าคือการรู้ว่าคุณสามารถค้นคว้าได้ และใช้ความกังขากับคำขอที่มาพร้อมกับบริบทส่วนตัวมากเกินไป
อธิบายวิศวกรรมสังคม: มนุษย์ถูกแฮ็กอย่างไร ไม่ใช่คอมพิวเตอร์