วิศวกรรมสังคม (Social Engineering) คือ วิชาทางจิตวิทยาแขนงหนึ่ง มีเนื้อหาที่เป็นวิทยาศาสตร์อย่างมาก เกี่ยวกับ การรับรู้ข้อมูลของมนุษย์และการแสดงท่าทีต่อข้อมูลนั้น ซึ่งสามารถวิเคราะห์ด้วยสถิติและหาข้อสรุปด้วยวิธีทางวิทยาศาสตร์ได้ วิศวกรรมสังคมเกิดมาจากการนำเอาความรู้ทาง จิตวิทยา สังคมศาสตร์ รัฐศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ และอีกหลายสิ่ง ซึ่งรวมไปถึงการศึกษา การออกแบบ การแก้ไข และการ วางแผนพฤติกรรมมนุษย์ มาประยุกต์เข้าด้วยกัน
หลักการของวิชาจะมุ่งเน้นไปที่พฤติกรรมของสังคม ศึกษา ทำความเข้าใจ วิเคราะห์ วางแผน และออกแบบให้เกิดการกระทำพฤติกรรมตามแนวทางที่วางไว้ ถึงแม้ว่าอาจไม่สามารถหวังผลสัมฤทธิ์ได้ 100% แต่หวังความสัมฤทธิผลต่อคนหมู่มากที่วิศวกรรมสังคมถูกนำเข้าไปเกี่ยวข้องในกรณีนั้นๆ ซึ่งตามหลักจิตวิทยาแล้วจะสามารถพยากรณ์พฤติกรรมคนหมู่มากได้แม่นยำกว่าการพยากรณ์พฤติกรรมของบุคคลเดี่ยว
โดยนัยแล้ว ความเกี่ยวข้องกับข้อมูลของวิศวกรรมสังคม ไม่จำกัดว่าข้อมูลนั้นได้มาอย่างไร ถูกต้อง หลอกลวง เปิดเผย หรือปิดบัง
และการประยุกต์ใช้วิศวกรรมสังคมก็เช่นกัน ไม่จำกัดว่า มุ่งดี หรือมุ่งร้าย หาประโยชน์ หรือให้ประโยชน์
วิศวกรรมสังคมในเชิงปฏิบัติ
ตามหลักการของวิศวกรรมสังคมแล้ว การลงมือใดๆเพื่อให้พฤติกรรมของสังคมเปลี่ยนแปลงหรือโน้มนำไปในแนวทางที่วางไว้ ถือเป็นปฏิบัติการทางวิศวกรรมสังคมทั้งสิ้นไม่ว่าจะใช้เครื่องมือช่วยหรือไม่ก็ตาม
ขั้นตอนทางวิศวกรรมสังคม แบ่งออกได้เป็นหลายส่วนดังนี้
- การเก็บรวบรวมข้อมูล อาจเป็นเรื่องง่ายๆเช่นการเฝ้าสังเกตด้วยสายตา หรือซับซ้อนอย่างการติดตามการใช้งานคอมพิวเตอร์ส่วนบุคคลหรืออุปกรณ์พกพา, หน้าเพจของธนาคารเทียม, แผงกดเงินจากตู้ ATM ที่ดักข้อมุลเลขรหัส
- การวิเคราะห์ข้อมูล อาจแค่ทำด้วยกำลังความคิดของคนๆเดียว หรือนำคอมพิวเตอร์เข้ามารวบรวมและจำแนกค้นหาข้อมูลที่ต้องการ
- การวางแผน อาจมีเป้าประสงค์ที่เรียบง่าย เช่น การปรับเปลี่ยนพฤติกรรมเด็กนักเรียนหรือพนักงานในองค์กร ไปจนถึงการหลอกผู้คนจำนวนมากให้ทำประโยชน์ให้แก่ผู้วางแผนพร้อมกันในคราวเดียว
- การดำเนินขั้นตอนตามแผนที่วางไว้ อาจทำด้วยการพูดจาโน้มน้าว หรือการสร้างระบบซับซ้อนเช่นการวางขั้นตอนงานใหม่ที่กีดกันพฤติกรรมที่ไม่พึงประสงค์ซึ่งได้ข้อสรุปมาจากการวิเคราะห์ หรือแม้แต่การโฆษณาชวนเชื่อ หรือการปล่อยข่าวลือ
มีการนำความรู้ทางคอมพิวเตอร์มาประยุกต์ใช้กับวิศวกรรมสังคมในหลายๆทาง ยกตัวอย่างเช่น การประยุกต์ใช้ Data mining เป็นต้น เพื่อให้ได้มาซึ่งข้อมูลอันเป็นประโยชน์ เพื่อวิเคราะห์ความต้องการ วิเคราะห์หาเจตจำนง และหาเหตุเชื่อมโยงแห่งการตัดสินใจของมนุษย์ โดยวิธีทางการวิเคราะห์ข้อมูล Data analysis จากข้อมูลปริมาณมากที่มนุษย์สร้างขึ้น เช่น การเลือกคลิกรายการสินค้า การค้นหาข้อมูลด้วยคำต่างๆผ่านเสิร์ชเอนจิน การคลิกเลือกเข้าชมเว็บไซต์ การเลือกเข้าดูหนังหรือรายการสื่อออนไลน์ การกรอกข้อมูลเพศ-อายุ การตอบแบบสอบถาม เป็นต้น
ข้อมูลเหล่านี้สามารถรวบรวมนำมาจากการใช้งานคอมพิวเตอร์ในแต่ละวันจากทุกๆคนในสังคม เมื่อนำมารวมกันจะมีปริมาณข้อมูลมหาศาลซึ่งเมื่อผ่านการจำแนกและวิเคราะห์แล้วจะได้มาซึ่งข้อมูลอันเป็นประโยชน์ เช่น รายการสินค้าที่อยู่ในความต้องการ การนำเสนอบริการที่ตรงใจผู้บริโภค และแม้แต่รสนิยมทางเพศ หรือการตามรอยแผนการก่อการร้าย หรือการโฆษณา ก็ล้วนแต่เป็นการประยุกต์ใช้วิศวกรรมสังคมในเชิงปฏิบัติทั้งสิ้น
การโจมตีด้วยวิธีทางวิศวกรรมสังคม
การโจมตีด้วยวิธีทางวิศวกรรมสังคม (Social Engineering Tactics by Attackers) คือ ปฏิบัติการจิตวิทยาซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือการเจาะระบบเลย วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน
รูปแบบการโจมตีแบบวิศวกรรมสังคม
การหลอกลวงทางโทรศัพท์
รูปแบบการโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์ถามข้อมูลโดยหลอกว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การบอกให้ผู้ถูกโจมตีโอนเงินไปให้ผู้โจมตี มีการหลอกล่อหลายรูปแบบโดนการอาศัยวิธีทางจิตวิทยา เช่น หลอกลวงว่าผู้ถูกโจมตีเป็นผู้โชคดีได้รับรางวัล โดยอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ส่งผลให้ไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้ จนทำให้หลงเชื่อและแจ้งข้อมูลส่วนบุคคลของผู้ถูกโจมตีให้แก่ผู้โจมตีได้ รวมทั้งการหลอกให้ไปยืนยันการได้รับรางวัลที่เครื่อง ATM และให้ดำเนินการตามที่ผู้โจมตีบอกขั้นตอน ซึ่งเป็นการหลอกให้โอนเงินไปให้ ตัวอย่างเช่น แก๊งคอลเซ็นเตอร์ ที่หลอกลวงประชาชน ซึ่งจะดำเนินการอยู่ใน 2 ลักษณะ คือ จะโทรศัพท์เข้ามาแจ้งว่า ได้รับคืนเงินภาษี หรือ ได้รับรางวัล และการหลอกลวงโดยขู่ว่า เป็นหนี้บัตรเครดิต และฐานข้อมูลกำลังถูกเจาะเข้าระบบ และจะพูดจาหว่านล้อมให้ไปทำธุรกรรมทางตู้เอทีเอ็ม
การค้นข้อมูลจากถังขยะ (Dumpster Diving)
การค้นข้อมูลจากถังขยะ (Dumpster Diving) เพื่อค้นหาข้อมูลจากเอกสารที่ทิ้ง ซึ่งในนั้นอาจมีคู่มือการใช้งาน รหัสผ่านที่เขียนไว้ในกระดาษ เป็นต้น ถังขยะนั้นอาจจะไม่ใช่ถังขยะในสายตาของนักเจาะระบบ ถังขยะปกติแล้วจะประกอบไปด้วยเอกสารชิ้นเล็กชิ้นน้อยและข้อมูลที่ไม่สมบูรณ์ ผู้บุกรุกอาจนำข้อมูลแต่ละชิ้นจากถังขยะเหล่านั้นมาปะติดปะต่อเป็นข้อมูลที่สมบูรณ์ และทำให้สามารถเข้าถึงระบบได้จากวิธีการนี้ หรือบางครั้งข้อมูลที่ได้อาจทำให้การปลอมแปลงตัวของผู้บุกรุกนั้นแนบเนียนน่าเชื่อถือมากยิ่งขึ้น
ฟิชชิง (Phishing)
ฟิชชิง (อังกฤษ: phishing) คือการหลอกลวงทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลและบอกว่ามาจากองค์กรที่ถูกกฎหมายแล้วหลอกให้คลิกเข้าไปยังเว็บไวต์ แทนที่จะเป็นเว็บจริง ๆ แต่กลับเป็นเว็บไซต์หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอกยูสเซอร์เนม และพาสเวิร์ดเพื่อยืนยันเจ้าของบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต ซึ่งผู้โจมตีก็จะได้ข้อมูลนั้นไป
ดูเพิ่ม
- รูปแบบการโจมตีระบบ 2010-09-24 ที่ เวย์แบ็กแมชชีน
- การป้องกันการเจาะระบบ
- การรักษาความปลอดภัยสำหรับผู้ใช้บริการธนาคารทางอินเทอร์เน็ต 2008-03-19 ที่ เวย์แบ็กแมชชีน
อ้างอิง
- http://www.thaidfilm.com/read.php?tid=1742
- . คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2008-06-03. สืบค้นเมื่อ 2010-09-22.
- สัณห์ชัย หยีวิยม. การป้องกันการเจาะระบบ. สาขาวิชาเทคโนโลยีสารสนเทศ สำนักวิชาเทคโนโลยีสารสนเทศ. มหาวิทยาลัย พะเยา. 2553.
- จตุชัย แพงจันทร์. Master in Security. โรงพิมพ์อินโฟเพรส. นนทบุรี. 2550.
wikipedia, แบบไทย, วิกิพีเดีย, วิกิ หนังสือ, หนังสือ, ห้องสมุด, บทความ, อ่าน, ดาวน์โหลด, ฟรี, ดาวน์โหลดฟรี, mp3, วิดีโอ, mp4, 3gp, jpg, jpeg, gif, png, รูปภาพ, เพลง, เพลง, หนัง, หนังสือ, เกม, เกม, มือถือ, โทรศัพท์, Android, iOS, Apple, โทรศัพท์โมบิล, Samsung, iPhone, Xiomi, Xiaomi, Redmi, Honor, Oppo, Nokia, Sonya, MI, PC, พีซี, web, เว็บ, คอมพิวเตอร์
wiswkrrmsngkhm Social Engineering khux wichathangcitwithyaaekhnnghnung mienuxhathiepnwithyasastrxyangmak ekiywkb karrbrukhxmulkhxngmnusyaelakaraesdngthathitxkhxmulnn sungsamarthwiekhraahdwysthitiaelahakhxsrupdwywithithangwithyasastrid wiswkrrmsngkhmekidmacakkarnaexakhwamruthang citwithya sngkhmsastr rthsastr withyasastrkhxmphiwetxr aelaxikhlaysing sungrwmipthungkarsuksa karxxkaebb karaekikh aelakar wangaephnphvtikrrmmnusy maprayuktekhadwykn hlkkarkhxngwichacamungennipthiphvtikrrmkhxngsngkhm suksa thakhwamekhaic wiekhraah wangaephn aelaxxkaebbihekidkarkrathaphvtikrrmtamaenwthangthiwangiw thungaemwaxacimsamarthhwngphlsmvththiid 100 aethwngkhwamsmvththiphltxkhnhmumakthiwiswkrrmsngkhmthuknaekhaipekiywkhxnginkrninn sungtamhlkcitwithyaaelwcasamarthphyakrnphvtikrrmkhnhmumakidaemnyakwakarphyakrnphvtikrrmkhxngbukhkhlediyw odynyaelw khwamekiywkhxngkbkhxmulkhxngwiswkrrmsngkhm imcakdwakhxmulnnidmaxyangir thuktxng hlxklwng epidephy hruxpidbng aelakarprayuktichwiswkrrmsngkhmkechnkn imcakdwa mungdi hruxmungray hapraoychn hruxihpraoychnwiswkrrmsngkhminechingptibtitamhlkkarkhxngwiswkrrmsngkhmaelw karlngmuxidephuxihphvtikrrmkhxngsngkhmepliynaeplnghruxonmnaipinaenwthangthiwangiw thuxepnptibtikarthangwiswkrrmsngkhmthngsinimwacaichekhruxngmuxchwyhruximktam khntxnthangwiswkrrmsngkhm aebngxxkidepnhlayswndngni karekbrwbrwmkhxmul xacepneruxngngayechnkarefasngektdwysayta hruxsbsxnxyangkartidtamkarichngankhxmphiwetxrswnbukhkhlhruxxupkrnphkpha hnaephckhxngthnakharethiym aephngkdengincaktu ATM thidkkhxmulelkhrhs karwiekhraahkhxmul xacaekhthadwykalngkhwamkhidkhxngkhnediyw hruxnakhxmphiwetxrekhamarwbrwmaelacaaenkkhnhakhxmulthitxngkar karwangaephn xacmiepaprasngkhthieriybngay echn karprbepliynphvtikrrmedknkeriynhruxphnknganinxngkhkr ipcnthungkarhlxkphukhncanwnmakihthapraoychnihaekphuwangaephnphrxmkninkhrawediyw kardaeninkhntxntamaephnthiwangiw xacthadwykarphudcaonmnaw hruxkarsrangrabbsbsxnechnkarwangkhntxnnganihmthikidknphvtikrrmthiimphungprasngkhsungidkhxsrupmacakkarwiekhraah hruxaemaetkarokhsnachwnechux hruxkarplxykhawlux mikarnakhwamruthangkhxmphiwetxrmaprayuktichkbwiswkrrmsngkhminhlaythang yktwxyangechn karprayuktich Data mining epntn ephuxihidmasungkhxmulxnepnpraoychn ephuxwiekhraahkhwamtxngkar wiekhraahhaectcanng aelahaehtuechuxmoyngaehngkartdsinickhxngmnusy odywithithangkarwiekhraahkhxmul Data analysis cakkhxmulprimanmakthimnusysrangkhun echn kareluxkkhlikraykarsinkha karkhnhakhxmuldwykhatangphanesirchexncin karkhlikeluxkekhachmewbist kareluxkekhaduhnnghruxraykarsuxxxniln karkrxkkhxmulephs xayu kartxbaebbsxbtham epntn khxmulehlanisamarthrwbrwmnamacakkarichngankhxmphiwetxrinaetlawncakthukkhninsngkhm emuxnamarwmkncamiprimankhxmulmhasalsungemuxphankarcaaenkaelawiekhraahaelwcaidmasungkhxmulxnepnpraoychn echn raykarsinkhathixyuinkhwamtxngkar karnaesnxbrikarthitrngicphubriophkh aelaaemaetrsniymthangephs hruxkartamrxyaephnkarkxkarray hruxkarokhsna klwnaetepnkarprayuktichwiswkrrmsngkhminechingptibtithngsinkarocmtidwywithithangwiswkrrmsngkhmkarocmtidwywithithangwiswkrrmsngkhm Social Engineering Tactics by Attackers khux ptibtikarcitwithyasungepnwithithingaythisudinkarocmti enuxngcakimcaepntxngichkhwamrukhwamchanayekiywkbkhxmphiwetxrmaknk aelaswnihycaichidphldi karocmtiaebbwiswkrrmsngkhmcaekiywkbkarhlxkihbangkhnhlngklephuxekharabb echn karhlxkthamrhsphan karhlxkihsngkhxmulthisakhyih sungkarocmtipraephthniimcatxngichkhwamrukhwamchanayekiywkbkhxmphiwetxrhruxkarecaarabbely wiswkrrmsngkhmepncudxxnthipxngknyakephraaekiywkhxngkbkhnrupaebbkarocmtiaebbwiswkrrmsngkhmkarhlxklwngthangothrsphth rupaebbkarocmtiaebbwiswkrrmsngkhmodyswnihycaichothrsphththamkhxmulodyhlxkwatnepnphuidrbxnuyathruxepnphumixanac karbxkihphuthukocmtioxnenginipihphuocmti mikarhlxklxhlayrupaebbodnkarxasywithithangcitwithya echn hlxklwngwaphuthukocmtiepnphuochkhdiidrbrangwl odyxacichethkhnikhkarsxnhmayelkhothrsphth ephuxpidbnghmayelkhothrsphthsngphlihimsamarthyunynphuthiothrsphthekhamaid cnthaihhlngechuxaelaaecngkhxmulswnbukhkhlkhxngphuthukocmtiihaekphuocmtiid rwmthngkarhlxkihipyunynkaridrbrangwlthiekhruxng ATM aelaihdaeninkartamthiphuocmtibxkkhntxn sungepnkarhlxkihoxnenginipih twxyangechn aekngkhxlesnetxr thihlxklwngprachachn sungcadaeninkarxyuin 2 lksna khux caothrsphthekhamaaecngwa idrbkhunenginphasi hrux idrbrangwl aelakarhlxklwngodykhuwa epnhnibtrekhrdit aelathankhxmulkalngthukecaaekharabb aelacaphudcahwanlxmihipthathurkrrmthangtuexthiexm karkhnkhxmulcakthngkhya Dumpster Diving karkhnkhxmulcakthngkhya Dumpster Diving ephuxkhnhakhxmulcakexksarthithing sunginnnxacmikhumuxkarichngan rhsphanthiekhiyniwinkradas epntn thngkhyannxaccaimichthngkhyainsaytakhxngnkecaarabb thngkhyapktiaelwcaprakxbipdwyexksarchinelkchinnxyaelakhxmulthiimsmburn phubukrukxacnakhxmulaetlachincakthngkhyaehlannmapatidpatxepnkhxmulthismburn aelathaihsamarthekhathungrabbidcakwithikarni hruxbangkhrngkhxmulthiidxacthaihkarplxmaeplngtwkhxngphubukruknnaenbeniynnaechuxthuxmakyingkhun fichching Phishing fichching xngkvs phishing khuxkarhlxklwngthangxinethxrent ephuxkhxkhxmulthisakhyechn rhsphan hruxhmayelkhbtrekhrdit odykarsngkhxkhwamphanthangxiemlhruxemsesnecxr twxyangkhxngkarfichching echn phuocmtixacsngxiemlaelabxkwamacakxngkhkrthithukkdhmayaelwhlxkihkhlikekhaipyngewbiwt aethnthicaepnewbcring aetklbepnewbisthlxkthimihnataehmuxnewbistcring phuichcathukthamihkrxkyusesxrenm aelaphasewirdephuxyunynecakhxngbychithnakhar hruxkhxmulekiywkbbtrekhrdit sungphuocmtikcaidkhxmulnnipduephimrupaebbkarocmtirabb 2010 09 24 thi ewyaebkaemchchin karpxngknkarecaarabb karrksakhwamplxdphysahrbphuichbrikarthnakharthangxinethxrent 2008 03 19 thi ewyaebkaemchchinxangxinghttp www thaidfilm com read php tid 1742 khlngkhxmulekaekbcakaehlngedimemux 2008 06 03 subkhnemux 2010 09 22 snhchy hyiwiym karpxngknkarecaarabb sakhawichaethkhonolyisarsneths sankwichaethkhonolyisarsneths mhawithyaly phaeya 2553 ctuchy aephngcnthr Master in Security orngphimphxinofephrs nnthburi 2550 bthkhwamwicha khwamru aelasastrtangniyngepnokhrng khunsamarthchwywikiphiediyidodykarephimetimkhxmuldkhk