การโจมตีแบบวิศวกรรมสังคม (Social Engineering ) คือ ปฏิบัติการจิตวิทยาซึ่งเป็นวิธีที่ง่ายที่สุดในการโจมตี เนื่องจากไม่จำเป็นต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งที่สำคัญให้ ซึ่งการโจมตีประเภทนี้ไม่จำต้องใช้ความรู้ความชำนาญเกี่ยวกับคอมพิวเตอร์หรือการเจาะระบบเลย วิศวกรรมสังคมเป็นจุดอ่อนที่ป้องกันยากเพราะเกี่ยวข้องกับคน

การหลอกลวงทางโทรศัพท์ รูปแบบการโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์ถาม ข้อมูลโดยหลอกว่าตนเป็นผู้ได้รับอนุญาตหรือเป็นผู้มีอำนาจ การบอกให้ผู้ถูกโจมตีโอนเงินไปให้ผู้โจมตี มีการหลอกล่อหลายรูปแบบโดนการอาศัยวิธีทางจิตวิทยา เช่น หลอกลวงว่าผู้ถูกโจมตีเป็นผู้โชคดีได้รับรางวัล โดยอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ส่งผลให้ไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามา ได้จนทำให้หลงเชื่อและ แจ้งข้อมูลส่วนบุคคลของผู้ถูกโจมตีให้แก่ผู้โจมตีได้รวมทั้งการหลอกให้ไปยืนยันการได้รับรางวัลที่เครื่อง ATM และให้ดำเนินการตามที่ผู้โจมตีบอกขั้นตอน ซึ่งเป็นการหลอกให้โอนเงินไปให้ตัวอย่างเช่น แก๊งคอลเซ็นเตอร์ ที่หลอกลวงประชาชน ซึ่งจะดำเนินการอยู่ใน 2 ลักษณะ คือ จะโทรศัพท์เข้ามาแจ้งว่า ได้รับคืนเงินภาษี หรือ ได้รับรางวัล และการหลอกลวงโดยขู่ว่า เป็นหนี้บัตรเครดิต และฐานข้อมูลกำลังถูกเจาะเข้าระบบ และจะพูดจาหว่านล้อมให้ไปทำธุรกรรมทางตู้เอทีเอ็ม

การค้นข้อมูลจากถังขยะ (Dumpster Diving)  การค้นข้อมูลจากถังขยะ(Dumpster Diving) เพื่อค้นหาข้อมูลจากเอกสารที่ทิ้ง ซึ่งในนั้นอาจมีคู่มือการใช้งาน รหัสผ่านที่เขียนไว้ในกระดาษ เป็นต้น ถังขยะนั้นอาจะไม่ใช่ถังขยะในสายตาของนักเจาะระบบ ถังขยะปกติแล้วจะประกอบไปด้วยเอกสารชิ้นเล็กชิ้นน้อยและข้อมูลที่ไม่สมบูรณ์ ผู้บุกรุกอาจนำข้อมูลแต่ละชิ้นจากถังขยะเหล่านั้นมาปะติดปะต่อเป็นข้อมูลที่สมบูรณ์ และทำให้สามารถเข้าถึงระบบได้จากวิธีการนี้ หรือบางครั้งข้อมูลที่ได้อาจทำให้การปลอมแปลงตัวของผู้บุกรุกนั้นแนบเนียนน่าเชื่อถือมากยิ่งขึ้น

ฟิชชิ่ง (Phishing) คือ การหลอกลวงทางอินเทอร์เน็ตเพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น ผู้โจมตีอาจส่งอีเมลและบอกว่า มาจากองค์กรที่ถูกกฎหมายแล้วหลอกให้คลิกเข้าไปยังเว็บไซต์ แทนที่จะเป็นเว็บจริงๆแต่กลับเป็นเว็บไซต์หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอกยูสเซอร์เนม และพาสเวิร์ดเพื่อยืนยันเจ้าของบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต ซึ่งผู้โจมตีก็จะได้ข้อมูลนั้นไป

วิธีการป้องกันการโจมตีจากวิศวกรรมสังคม หน่วยงานจะต้องอบรมให้ความรู้ด้านความมั่นคงและความปลอดภัยอย่างเข้มงวดให้กับพนักงานในหน่วยงาน ตระหนักในแง่ถึงความปลอดภัยของข้อมูลใน 3 ด้านดังนี้

1. Confidentiality : ผู้ที่ได้รับสิทธิเท่านั้นย่อมมีสิทธิ์ที่จะเห็นข้อมูลที่ต้องการ เช่น การใช้รหัสผ่านที่คาดเดายาก

2. Integrity : ข้อมูลไม่ถูกแก้ไขโดยผู้ไม่ได้รับสิทธิ์ ข้อมูลจะต้องเหมือนกับต้นฉบับ เช่น การกำหนดสิทธิ์ในการอ่าน แก้ไข เขียนหรือปรับปรุงข้อมูล

3. Availability : ระบบจะต้องมีความพร้อมการใช้งานเสมอกรณีที่เกิดเหตุการณ์รุนแรงที่จะส่งผลต่อระบบ เช่น การสำรองข้อมูล การสำรองเครื่องแม่ข่ายกรณีที่อีกตัวเสียหาย

ที่มา :

http://th.wikipedia.org/wiki

หนังสือ Master in Security โดย จตุชัย แพงจันทร์