Social Engineering

สวัสดีครับ หายไปนาน โชคดียังกลับมาเขียนต่อได้ แต่สถานการณ์น้ำท่วมยังไม่ดีขึ้นเลยครับ ตามข่าวหนักมาก อันตรายมากๆด้วย

 

วันนี้จะมาเล่าสั้นๆเกี่ยวกับ Social Engineering วิศวกรรมทางสังคม มันคือเทคนิควิธีการที่ใช้หลอกลวง เพื่อเอาข้อมูล เพื่อให้ได้สิ่งที่ต้องการ  ผมยกตัวอย่างง่ายๆ กรณีที่หลอกให้คนกด ATM โอนเงินให้ กรณีนี้คงจะเป็นที่ทราบกันดีและเข้าใจได้ง่าย เพราะเป็นข่าวให้ได้รับทราบกันอยู่ นี่ก็เป็นอีกตัวอย่างหนึ่งที่ชัดเจน ศึกษาเพิ่มเติมได้จากบทความตามลิงกิ์ด้านล่างครับ เขาทำไว้ดีแล้ว

 

1.  http://library.rtna.ac.th/web/RTNA_Journal/y.5c.3/3.pdf

2.  http://www.navy.mi.th/elecwww/magaz/magazine/no12/4.pdf

ในโอกาสต่อไปผมจะเอาเครื่องมือตัวนึงมาให้เห็นการทำงานว่ามันมีอันตรายอยู่รอบตัวคุณ สำหรับคนเรียนศาสตร์คอมพิวเตอร์เมื่อสิบกว่าปีที่แล้ว และไม่ได้ทำงานด้านความปลอดภัยเห็นแล้วจะทึ่งว่าเดี๋ยวนี้มันทำเป็น tool แล้ว ในขณะที่แต่ก่อนก็ท่องๆเหมือนในลิงก์ที่ให้ไว้เพื่อไปสอบเท่านั้น

 

may security be with you 🙂

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..