Social Engineer-วิศวกรรมสังคม / นายรวินท์ วีระพงษ์วัฒนกุล ID: 5510221001

เนื้อหา

เวลาที่พูดถึงเรื่องความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ (Computer Security) แล้ว ผู้ใช้งานคอมพิวเตอร์จำนวนไม่น้อย ที่มีพื้นฐานด้านคอมพิวเตอร์ไม่มาก มักถูกปลูกฝังความเชื่อเอาไว้ว่า หากมีการติดตั้งโปรแกรมป้องกันไวรัส (หรือที่เรียกว่า แอนตี้ไวรัส [Anti-virus]) แล้วจะปลอดภัยหายห่วงจากไวรัส แต่ในความเป็นจริงแล้ว “กุญแจล็อกดีปานใดก็ไร้ประโยชน์ หากเจ้าของบ้านเปิดประตูบ้านเชิญขโมยเข้าไป”
ในโลกแห่งความจริงอันโหดร้าย ก็เป็นอย่างที่รู้กันว่า ช่องทางในการโจมตีของเหล่าผู้ไม่หวังดี เพื่อให้เครื่องคอมพิวเตอร์ของเรา มีเจ้าโปรแกรมอันไม่พึงประสงค์ที่เรียกว่ามัลแวร์ (Malware) ไปติดตั้ง มันเยอะแยะตาแป๊ะไก่เสียเหลือเกิน ไม่ว่าจะเป็นการอาศัยสื่อพาหะต่าง ถ้าเก่าแก่หน่อยก็แผ่นดิสก์ (อย่าดูถูกนะ ในบางองค์กรผมยังเห็นมีใช้กันอยู่) ใหม่หน่อยก็อีเมล์ และพวกแฟลชไดร์ฟต่างๆ หรือแพร่กันผ่านทางระบบเครือข่ายท้องถิ่น (Local Area Network หรือเรียกว่า แลน [LAN] นั่นแหละ) หรือใหม่สุดๆ ที่เจอกันบ่อยสมัยนี้ก็คือ แค่เปิดเว็บก็โดนเจาะกันเรียบร้อย
ไม่รู้ว่าผู้เชี่ยวชาญ หรือคนอื่นใดเขาจัดหมวดหมู่การโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์ไว้เป็นกี่แบบ แต่สำหรับผม ผมขอจัดเป็น 2 แบบใหญ่ๆ ก็พอครับ คือ
• การโจมตีผ่านช่องโหว่ของโปรแกรม หรือ ระบบ (Vulnerability) … ถ้าอ่านข่าวจากเว็บเมืองนอก จะคุ้นกับศัพท์คำว่า Exploit (คือโปรแกรม หรือชุดคำสั่งที่การอาศัยช่องโหว่ของระบบในการโจมตี) หรือ Zero-day (หมายถึงการโจมตีที่ช่องโหว่ของโปรแกรมหรือระบบ ที่ผู้พัฒนาและคนทั่วไปยังไม่รู้ว่ามี) … การโจมตีแบบนี้ เป็นทางเทคนิคครับ สามารถแตกย่อยออกไปได้อีกเยอะแยะ ไม่ว่าจะเป็น IP Spoofing, DoS (Denial of Service), DDoS (Distributed Denial of Service), Logic Bomb, Man-in-the-Middle ฯลฯ เยอะแยะไปหมด ซึ่งแฮกเกอร์อาจต้องมีความรู้ความชำนาญสูงเพื่อพัฒนาซอฟต์แวร์มาใช้เอง หรือบางคนอาจจะแค่มีเงิน หรือรู้แหล่ง แล้วไปดาวน์โหลดพวก Toolkit ต่างๆ มาใช้ก็ได้
• การโจมตีโดยใช้เทคนิคทางจิตวิทยาสังคม ที่เรียกว่าวิธีวิศวกรรมสังคม (Social Engineering) ซึ่งสำหรับหลายๆ คนอาจจะเป็นคำใหม่ที่เพิ่งเคยได้ยิน แต่จริงๆ แล้ววิธีการดังกล่าวมันมีมานานแล้ว และเป็นหัวข้อที่ผมอยากพูดถึงในบล็อกตอนนี้ครับ
วิศวกรรมสังคม (Social Engineering)
หากเปรียบระบบคอมพิวเตอร์เป็นเหมือนกับที่อยู่อาศัยแล้ว พวกซอฟต์แวร์และฮาร์ดแวร์ด้านความมั่นคงปลอดภัยต่างๆ ไม่ว่าจะเป็น แอนตี้ไวรัส, ไฟร์วอลล์ (Firewall), Intrusion Detection System (IDS) ฯลฯ ก็เหมือนกับแม่กุญแจล็อก หรือระบบป้องกันขโมยต่างๆ และแน่นอนว่าไม่ว่าระบบจะดีเลิศประเสริฐศรีขนาดไหนก็ตาม มันย่อมมีช่องโหว่ให้ผู้ไม่หวังดีเจาะทะลุทะลวงเข้ามาได้ไม่ทางใดก็ทางหนึ่งแน่ๆ แต่อาจต้องใช้ความรู้ความสามารถและความพยายามมากเอาการอยู่ บางครั้ง การพยายามเจาะเข้ามาต้องใช้เวลานานมากเกินจนไม่คุ้มที่จะทำ บางครั้งเจาะครั้งแรกเข้าไปได้แล้ว แต่พอจะเจาะครั้งที่สอง อ้าว มีการอัพเกรดระบบความมั่นคงปลอดภัยแล้ว วิธีเดิมใช้ไม่ได้แล้ว
ผู้ไม่ประสงค์ดีจึงออกอาการ คิดใหม่ทำใหม่ … หากไม่อยากเสียเวลาไปสะเดาะกุญแจเพื่อหาทางเข้าบ้านที่ล็อกเอาไว้ จะทำยังไงดี? ง่ายที่สุด ก็คือ หลอกให้เจ้าของบ้านเปิดประตูเชิญเข้าไปสิ เพราะถ้าเป็นแบบนี้ ไม่ว่าจะอัพเกรดกุญแจเป็นแบบไหนก็ตาม หากหลอกให้เจ้าของบ้านเปิดประตูให้เข้ามาได้
2.png
คำกล่าวด้านบนชัดเจนมาก … “ไม่มีแพตช์ (หมายถึง ซอฟต์แวร์ที่ถูกทำขึ้นมาเพื่อปิดช่องโหว่ของโปรแกรมหลัก หรือระบบ) ใดมาแก้ไขความโง่ของมนุษย์ได้” เทคนิควิศวกรรมสังคมนั้นมีประสิทธิภาพมาก เพราะผุ้ใช้ไม่จำเป็นต้องมีความรู้ด้านคอมพิวเตอร์ในเชิงเทคนิคมากเลย ที่สำคัญคือ ระบบป้องกันใดๆ ก็ไร้ผล เพราะการโจมตีไม่ได้โจมตีที่ระบบ แต่เป็นการโจมตีที่ผู้ใช้ระบบต่างหาก เทคนิคนี้ถูกนำไปใช้เพื่อเป้าหมายหลายๆ อย่าง … ขอลองยกตัวอย่างที่ผมเคยเจอ หรือได้ยินได้เห็นมา ดังนี้

หลอกเอาบัญชีผู้ใช้งานและรหัสผ่าน
แฮกเกอร์จะพยายามหาวิธีในการหลอกให้เรากรอกข้อมูล ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) โดยที่ผมเคยเจอกับตัว ก็เช่น อาศัยโปรแกรม Windows Live Messenger ส่งที่อยู่เว็บ (URL) มาให้ โดยบอกว่านี่คือเว็บฝากรูปที่เพิ่งถ่ายไว้ พอเข้าไปดู มันก็จะบอกว่าต้องล็อกอินเข้าไปก่อนด้วยบัญชีของ Hotmail ถึงจะเข้าดูรูปได้
บางทีก็สร้างหน้าเว็บหลอกให้คนหลงคิดว่าเป็นเว็บจริง แล้วหลอกให้เขากรอกข้อมูล อย่างเช่นรูปด้านล่างนี่ จะเป็นการหลอกให้หลงเชื่อว่า Gmail กำลังจะย้ายข้อมูลไปไว้เซิร์ฟเวอร์อื่น ขอให้กรอกข้อมูล Username และ Password ของเราลงไป เพื่อทำการย้ายข้อมูลด้วย (สังเกตว่าปุ่มเป็น Move ไม่ใช่ Login เหมือนปกติ) … ใครหลงเชื่อ ก็เท่ากับยื่นชื่อผู้ใช้งานกับรหัสผ่านให้แฮกเกอร์ไปเลย
3.png
อีกแบบนึงที่หลอก ก็คือ หลอกว่าเป็นโปรแกรมสำหรับแฮก Gmail เพียงแต่ต้องใส่ชื่อผู้ใช้งานและรหัสผ่าน Gmail ของเรา พร้อมกับ Gmail Address ของคนที่เราต้องการจะแฮก จากนั้นคลิก Hack Them แล้วรหัสผ่านของคนที่เราต้องการจะแฮกจะโผล่มา
แต่จริงๆ แล้วเบื้องหลังของมัน กลับกลายเป็นว่า หากเราใส่ชื่อผู้ใช้งานและรหัสผ่านของ Gmail เราเข้าไปแล้ว มันจะส่งข้อมูลดังกล่าวไปให้กับแฮกเกอร์ที่หลอกเราแทนซะงั้น … วิธีนี้ก็ได้ผลไม่น้อย เพราะเราๆ ท่านๆ คนธรรมดาหลายคน ก็มีความประสงค์อยากแฮกเมล์คนอื่นอยู่หมือน
4.png
กัน (ผมเองก็มีคนถามว่า จะแฮกอีเมล์คนนั้นคนนี้ยังไงออกบ่อย)พวกแก๊ง Call Center ที่หลอกเอาข้อมูลบัตรเครดิตหรือบัญชีธนาคาร หรือหลอกให้เราโอนเงินให้พวกมัน ก็อยู่ในหมวดหมู่นี้เช่นกันครับ

หลอกให้ติดตั้งโปรแกรม
5.png
คนเรากลัวในสิ่งที่เราไม่รู้ และคนที่ไม่ค่อยมีพื้นฐานคอมพิวเตอร์กลัวมากอย่างหนึ่งก็คือ ไวรัส และพวกมัลแวร์ต่างๆ เพราะพวกเขามักจะได้ข่าวความเสียหายแรงๆ อยู่เนืองๆ และภาพยนตร์กับการ์ตูนก็แสดงออกถึงความเสียหายแบบเวอร์พอใช้ได้ทีเดียว … ผมไม่ได้หมายความว่าเราไม่ต้องไปกลัวมันนะครับ แต่ผมอยากสื่อว่า ผู้ไม่หวังดีเนี่ย เขาอาศัยจากความกลัวนี้แหละให้เป็นประโยชน์
โดยหลักๆ แล้ว เทคนิควิศวกรรมสังคมในการหลอกให้คนติดตั้งโปรแกรม มักมาในรูปของซอฟต์แวร์ป้องกันไวรัสปลอมๆ (Fake Antivirus หรือ Fake AV) พวกนี้มักจะเป็นหน้าต่างป๊อบอัพขึ้นมาเวลาเปิดเว็บ (หรือบางทีมาจากพวกมัลแวร์ตัวอื่นที่อยู่ในเครื่องของเรา) โดยทำหน้าตาให้เหมือนกับโปรแกรมป้องกันไวรัสชื่อดังๆ แล้วทำเป็นเหมือนกับว่ากำลังสแกนเครื่องคอมพิวเตอร์ของเราอยู่ แล้วพบไวรัสจำนวน โอ้โฮเฮะ เยอะโฮกๆ
แน่นอนว่าพอเจอแบบนี้ หากเรามีโปรแกรมป้องกันไวรัสอยู่ เราก็จะพยายามรันดู แต่มันก็จะไม่พบอะไรเลย เราก็จะเริ่มแปลกใจว่า เฮ้ย ของเรามันห่วยขนาดนั้นเลยเหรอ ถึงไม่เจอเลย แต่ไอ้โปรแกรมที่โผล่มานี่มันเจอเพียบเลย … แล้วเจ้า Fake AV เนี่ยมันก็จะบอกว่า หากต้องการกำจัด ก็ต้องไปดาวน์โหลด (และอาจเสียเงินด้วย) ตัวเต็มมาจัดการซะ
ใครเผลอไปดาวน์โหลดมาละก็ เสร็จมันละครับ ได้มัลแวร์ตัวจริงเต็มๆ มาไว้ในเครื่อง แทนที่จะได้โปรแกรมป้องกัน

หลอกให้ลบ
เพราะว่าสมัยนี้ ความพยายามในการโจมตีระบบคอมพิวเตอร์นั้นมีเป้าหมายอยู่ที่เรื่องของเงินๆ ทองๆ คืออยากได้ข้อมูลของเราไปขาย หรืออยากจะเข้ามาฝากพวกมัลแวร์ไว้ในเครื่องคอมพิวเตอร์ของเรา เพื่อใช้ในการอย่างอื่นที่จะทำให้ได้เงินมา เช่น เอาไปใช้ส่งอีเมล์ขยะ เอาไปใช้ยิงถล่มเครื่องเซิร์ฟเวอร์ของบริษัทใหญ่ๆ เป็นต้น เลยทำให้เทคนิควิศวกรรมสังคมเพื่อ “หลอกให้ลบ” เป็นอะไรที่ไม่ค่อยได้เจอกันเท่าไหร่
6.png
เพราะการหลอกให้ลบ ให้ผลในลักษณะของความเสียหายของระบบมากกว่า
ย้อนกลับไปเมื่อ 9 ปีก่อน มันมีอีเมล์ฉบับนึงส่งว่อนมาหาผม บอกว่าตอนนี้มันมีไวรัสระบาด เป็นไวรัสตุ๊กตาหมี (Teddy Bear) โดยอาการคือ จะมีไฟล์ชื่อว่า jdbgmgr.exe อยู่ในไดร์ฟ C ของเรา ให้ลองไปค้นหาไฟล์ชื่อนี้ในไดรฺ์ฟ C สิ แล้วเราจะเห็นเจ้าไฟล์ไวรัสนี้ ข้อสังเกตคือ มันจะเป็นรูปตุ๊กตาหมี ถ้าเจอ อย่าไปเปิดมันนะ ให้ลบทิ้งซะ แล้วบอกเพื่อนๆ ของคุณด้วย เขาจะได้ไม่ต้องติดมัน
แม้ว่ามันอาจจะดูไม่น่าเชื่อ แต่ก็อาจจะมีบางคนลองหาไฟล์นี้ดู แล้วก็ต้องเชื่อ เพราะเขาจะเจอไฟล์ jdbgmgr.exe
จริงๆ และมันก็มีไอคอนหน้าตาเป็นรูปตุ๊กตาหมีแบบนี้ 7.png ด้วย!!!
เรื่องของเรื่อง คือ ไอ้คนคิดโปรแกรมนี้ มันไม่รู้จะอารมณ์สุนทรีย์ไปถึงไหน แทนที่จะใช้ไอคอนเข้าใจยากๆ เหมือนโปรแกรมคอมพิวเตอร์อื่นๆ ทั่วไป ดันไปเอาตุ๊กตาหมีน่ารักๆ แบบนี้มาทำเป็นไอคอน แล้วผู้ใช้งานทั่วไปก็ไม่รู้ พอมาเห็นเข้าก็คิดได้อย่างเดียวว่า คอมพิวเตอร์ปกติมันไม่มีไอคอนน่ารักๆ แบบนี้ แต่ไฟล์นี้มันดันเป็นตุ๊กตาหมี และมีคนส่งอีเมล์มาเตือน พอทำตามก็เจอเป๊ะๆ เลย ก็จัดการเลยสิครับ ลบทิ้งเลย
โชคดีที่ไฟล์ jdbgmgr.exe นั้นแม้จะเป็นไฟล์ของ Windows จริงๆ (ในสมัยนั้น) แต่มันก็ไม่ใช่ไฟล์ระบบสำคัญที่คนทั่วๆ ไปใช้กัน เพราะมันคือ Java Debug Manager ครับ ใครที่ไม่ได้ไปใช้ส่วนนี้ก็จะไม่เจอผลกระทบอะไร แต่นักพัฒนาที่ใช้โปรแกรม Microsoft Visual J++ v.1.1 จะมีปัญหาครับ เพราะส่วนของ Debug โปรแกรมจะเสียหาย

บทส่งท้าย
จุดที่น่ากลัวอีกอย่างของวิศวกรรมสังคมก็คือ นอกเหนือจากการที่มันทำให้ผู้ไม่หวังดีได้สิ่งที่พวกเขาอยากได้โดยผ่านทะลุทะลวงทุกการป้องกันแล้ว ก็คือ เทคนิคบางอย่าง มันใช้ซ้ำแล้วซ้ำอีก แต่ก็ยังมีคนหลงกลเชื่อได้ตลอด … ที่ผมกล่าวถึงไปข้างต้นนั้น ยังไม่จบนะครับ เทคนิคและเป้าหมายของวิศวกรรมสังคมยังมีอีกเยอะแยะมากครับ และยังจะมีเพิ่มขึ้นมาอีกเยอะในอนาคตอีกด้วย
AVG Technologies ผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสชื่อดัง นาม AVG Antivirus ได้เผยตัวเลขสถิติที่น่าสนของเดือนกุมภาพันธ์ที่ผ่านมา พบว่าผู้ใช้งานมีโอกาสเจอกับการโจมตีด้วยเทคนิควิศวกรรมสังคมนั้น มีมากกว่าการโจมตีที่อาศัยช่องโหว่ของซอฟต์แวร์ถึง 4 เท่า [ที่มา: Virus Bulletin 2010] โดย
• การโจมตีด้วยวิศวกรรมสังคม พบ 1,985,377 ครั้ง
• การโจมตีด้วยช่องโหว่ของซอฟต์แวร์ พบ 415,697 ครั้ง
ทางป้องกันของผู้ใช้งานก็คือ การหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ ผ่านทางรายการข่าวไอทีต่างๆ เว็บไซต์ข่าวไอทีต่างๆ และพยายามทำตัวให้หนักแน่น และพินิจพิจารณาให้ถี่ถ้วนก่อนที่จะเชื่อข่าวใดๆ จากแหล่งข่าวที่เราไม่คุ้นเคย หรือแม้แต่เพื่อนเราเอง ควรรับข่าว แล้วตรวจสอบข้อมูลนั้นกับแหล่งข่าวไอทีที่น่าเชื่อถืออื่นๆ เสมอทุกครั้งครับ

สรุปข่าว

การโจมตีระบบความมั่นคงปลอดภัยของคอมพิวเตอร์สามารถแบ่งได้ 2 แบบ คือ
1.การโจมตีผ่านช่องโหว่ของโปรแกรม หรือระบบ Vulnerability เป็นการอาศัยช่องโหว่ของโปรแกรมหรือระบบในการโจมตี
2.การโจมตีโดยใช้เทคนิคจิตวิทยาสังคม หรือ Social Engineering (วิศวกรรมสังคม) ซึ่งเป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย ผู้ที่ตกเป็นเหยื่อของ Social Engineering อาจจะตกเป็นเหยื่อโดยความตั้งใจหรือไม่ตั้งใจของผู้ไม่หวังดีก็ได้ เทคนิคนี้ถูกนำไปใช้เพื่อเป้าหมายหลายๆอย่าง ซึ่งจะยกตัวอย่างกรณีศึกษาดังนี้

2.1หลอกเอาบัญชีผู้ใช้งานและรหัสผ่าน
ผู้ไม่หวังดีจะพยายามหาวิธีในการหลอกให้กรอกข้อมูล Username และ Password โดยอาจมาในรูปแบบต่างๆ เช่น สร้างหน้าเว็บหลอกให้หลงคิดว่าเป็นเว็บจริง แล้วหลอกให้กรอกข้อมูล Username และ Password ถ้าเรากรอกไป ก็เท่ากับเรายื่น Username และ Password ให้กับผู้ไม่หวังดีไปแล้ว หรืออาจมาในรูปแบบ E-mail ที่สร้างหน้าเสมือนจริงแล้วมีข้อความเตือนให้กรอก Username และ Password ซ้ำ
4.png
2.2 หลอกให้ติดตั้งโปรแกรม
การหลอกให้ติดตั้งโปรแกรม จะมาในรูปแบบ software ป้องกันไวรัส โดยทำหน้าตาให้เหมือนโปรแกรมป้องกันไวรัสชื่อดังๆ แล้วทำเหมือนว่ากำลังสแกนคอมพิวเตอร์เพื่อหาไวรัสอยู่ โดยที่โปรแกรมป้องกันไวรัสในเครื่องเราไม่สามารถที่จะค้นหาเจอ แล้วหลอกว่าถ้าต้องการจะกำจัดไวรัส ให้ทำการติดตั้งโปรแกรม ถ้าเราทำการติดตั้งก็จะได้มัลแวร์ตัวจริงเต็มๆมาไว้ในเครื่อง แทนที่จะได้โปรแกรมป้องกันไวรัส
5.png
2.3 หลอกให้ลบ
เทคนิคหลอกให้ลบ เป็นเทคนิคที่ไม่ค่อยจะได้เจอซักเท่าไร เพราะว่าให้ผลในลักษณะของความเสียหายของระบบมากกว่า

วิเคราะห์ข่าว

8.jpg
Social Engineering เป็นเทคนิคพื้นฐานที่ใช้ในการหลอกลวงโจรกรรมทางด้านข้อมูล และปัจจุบันใช้กันอย่างแพร่หลายมาก ซึ่งสาเหตุที่ Hacker ใช้วิธี Social Engineering มากกว่าวิธีอื่น เพราะว่า Social Engineering สามารถใช้งานได้ง่าย เช่น ต้องการจะหลอกถามข้อมูลส่วนตัว ก็สามารถที่จะลงมือทำได้แล้ว โดยการใช้โทรศัพท์เป็นเครื่องมือ ซึ่ง Social Engineering ที่ใช้ได้ผลเหตุผลหลักๆจะเกิดจากคนที่โดนหลอกลวงจารโจรกรรมทางด้านข้อมูล ไม่มีความสามารถในการรู้เท่าทันวัฒนธรรมซึ่งขึ้นอยู่กับเทคโนโลยี นั่นคือ ไม่ทราบว่าข่าวสารนั้นมีความสำคัญมากเลยไม่ได้ระมัดระวังในการป้องกันข่าวสารนั้น จุดอ่อนที่เกิดจาก Social Engineering นี้น่าจะเป็นการเกิดขึ้นทั่วไป เมื่อไม่รู้ หรือไม่แน่ใจว่าจะได้ข่าวสารโดยวิธี Social Engineering ก็ให้ทำท่าทางเป็นมิตรที่ดีกับผู้ที่ต้องการข่าวสารนั้นมา เพราะผู้คนทั่วๆไป มักจะเชื่อบุคคลทางโทรศัพท์และต้องการช่วย ถ้าบุคคลที่ถามนั้นทำตัวน่าเชื่อถือ และบุคคลทั่วไปก็มักจะตอบสนองด้วยความสุภาพ แต่ Social Engineering ที่ดีก็จะรู้ว่าควรที่จะหยุดถามข่าวสารเมื่อใด ก่อนที่ผู้ถูกถามจะรู้ตัว สิ่งที่สำคัญที่สุดที่จะปกป้องการเกิด Social Engineering คือ การไม่ให้ข่าวสารที่สำคัญแก่ใครก็ตามจนกระทั่วคุณแน่ใจแล้วว่าเขาคนนั้นคือใครก็ตามที่เขาบ่งบอกว่าเป็นและมีสิทธิ์หน้าที่ที่สามารถเข้าถึงข่าวสารเหล่านั้น

ข้อเสนอแนะ

ทั้งนี้ในความเห็นของข้าพเจ้า การที่จะป้องกัน Social Engineering ได้ ต้องมีการเผยแพร่ความรู้และวิธีป้องกัน Social Engineering ให้แก่บุคคลทั่วไปได้รับทราบ เพราะไม่ว่าใครก็มีโอกาสโดนเทคนิคนี้ได้เหมือนกัน
ซึ่งจะขอยกตัวอย่างวิธีการป้องกัน Social Engineering ดังนี้
1.ควรตรวจสอบเบอร์โทรศัพท์ที่ไม่คุ้นเคยมาก่อน ซึ่งอาจจะโดนถามถึงเรื่องราวข่าวสารเกี่ยวกับข้อมูลส่วนตัวหรือภายในองค์กร
2.ห้ามให้ข่าวสารส่วนตัวหรือข่าวสารเกี่ยวกับองค์กรเด็ดขาดจนกว่าจะแน่ใจว่ารับรู้ตัวตนของบุคคลที่ต้องการข่าวสารนั้น
3.ไม่บอกข่าวสารส่วนตัวหรือข่าวสารทางการเงินในอีเมล์และไม่ตอบอีเมล์ที่ถาม
4.ไม่ส่งข่าวสารที่สำคัญไปทางอินเตอร์เน็ต โดยปราศจากการตรวจสอบระดับความปลอดภัยในการส่งข่าวสารของเว็บไซด์นั้นๆ
5.พยายามสังเกต URL ของ Web Site ให้ดี เพราะ Web Site ที่ประสงค์ร้ายมักจะมี URL คล้ายกันมากกับ Web Site ที่มันจะหลอกลวงให้เหมือนจริง
6.ติดตั้ง Software Firewall ตัวกรองอีเมล์ให้กับระบบคอมพิวเตอร์เพื่อป้องกันอีเมล์ที่เข้ามาด้วยจุดประสงค์ร้าย
7. ต้องให้เจ้าหน้าที่ภายในองค์กรที่มีความรู้เกี่ยวกับ Social Engineering มาให้ความรู้แก่พนักงานในองค์กร เพื่อป้องกันอันตรายที่อาจจะเกิดขึ้น

Reference :
http://www.itforsme.net/knc_detail.php?id=992

ผู้จัดทำ :
นายรวินท์ วีระพงษ์วัฒนกุล Y34_5510221001

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License