กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..