១. លក្ខណៈទូទៅ
Social engineering គឺជាវិធីសាស្ត្រវាយប្រហារបោកបញ្ឆោតមនុស្ស ឬធ្វើឲ្យគេទុកចិត្តដើម្បីទាញយកនូវព័ត៌មានសំខាន់របស់ពួកគេ។ ប្រភេទនៃព័ត៌មានដែលឧក្រិដ្ឋជនទាំងនេះត្រូវការគឺអាស្រ័យទៅលើចំណុចដែលត្រូវវាយប្រហារ ជាឧទាហរណ៍ថានៅពេលអ្នកត្រូវបានកំណត់ជាមុខសញ្ញា ឧក្រិដ្ឋជនតែងតែព្យាយាមបញ្ឆោតអ្នកឲ្យផ្តល់ឲ្យពួកគេនូវពាក្យសម្ងាត់ ព័ត៌មានគណនីធនាគារ ឬព័ត៌មានចូលប្រើប្រាស់កុំព្យូទ័ររបស់អ្នកដើម្បីដំឡើងកម្មវិធីមេរោគដែលអាចឲ្យគេធ្វើការអាចទាញយកនូវពាក្យសម្ងាត់ផ្សេងៗ ឬព័ត៌មានគណនីធនាគារតាមរយៈកុំព្យូទ័រ។
២. ដំណើរការ និងប្រភេទវាយប្រហារ social engineering
ឧក្រិដ្ឋជនច្រើនប្រើការវាយប្រហារ Social engineering ព្រោះវាមានភាពងាយស្រួលក្នុងការទាញយកព័ត៌មានរបស់អ្នក ជាងការវាយប្រហារទៅលើចំណុចខ្សោយនៃកម្មវិធីរបស់អ្នក។ ជាឧទាហរណ៍ វាមានភាពងាយស្រួលក្នុងការបញ្ឆោតអ្នកដទៃឲ្យផ្តល់ពាក្យសម្ងាត់ ជាងការព្យាយាមលួចយក ឬបំបែកពាក្យសម្ងាត់បាន (លុះត្រាតែពាក្យសម្ងាត់គឺខ្សោយក្នុងការទាយដឹង) ។
ប្រភេទនៃការវាយប្រហារបែប social engineering ដ៏ពេញនិយមរួមមាន:
Baiting: Baiting គឺកើតឡើងនៅពេលដែលអ្នកវាយប្រហារប្រើប្រាស់មេរោគចម្លងទៅក្នុងឧបករណ៍ USB ហើយទុកនៅកន្លែងដែលងាយត្រូវបានឃើញ ហើយអ្នកប្រើប្រាស់ក៏បានយកឧបករណ៍នោះទៅប្រើក្នុងកុំព្យូទ័រដោយមិនបានដឹងអំពីការឆ្លងមេរោគ។
ការក្លែងបន្លំ (Phishing): ការក្លែងបន្លំគឺជាពេលដែលអ្នកវាយប្រហារផ្ញើសារអ៊ីមែលក្លែងបន្លំ ដោយក្លែងធ្វើជាសារអ៊ីមែលត្រឹមត្រូវមួយ ដែលជារឿយៗសារអ៊ីម៉ែលនោះមើលទៅហាក់ដូចជាមកពីប្រភពដែលទុកចិត្តបាន ដែលជាការពិតសារនេះមានបំណងបញ្ឆោតអ្នកចែករំលែកព័ត៌មានផ្ទាល់ខ្លួន ព័ត៌មានហិរញ្ញវត្ថុ ឬការចុចលើតំណភ្ជាប់ដែលមានមេរោគ។
Spear phishing: ការវាយប្រហារនេះគឺស្រដៀងទៅនឹងការក្លែងបន្លំ (Phishing) ខាងលើដែរ ប៉ុន្តែវាត្រូវបានគេសម្គាល់ថាជាការវាយប្រហារទៅកាន់បុគ្គល អង្គភាព ឬស្ថាប័នជាក់លាក់មួយ។
Pretexting: វីធីសាស្ត្រនេះគឺកើងឡើងនូវពេលដែលអ្នកវាយប្រហារកុហកទៅកាន់អ្នក ដើម្បីទទួលបាននូវទិន្នន័យរបស់អ្នក។ ឧទាហរណ៏ វិធីសាស្ត្រ pretexting អាចពាក់ព័ន្ធនឹងអ្នកវាយប្រហារដែលធ្វើពុតជាត្រូវការទិន្នន័យផ្ទាល់ខ្លួន ឬហិរញ្ញវត្ថុរបស់អ្នកដើម្បីបញ្ជាក់ពីអត្តសញ្ញាណរបស់អ្នកទទួល។
scareware: វិធីសាស្ត្រវាយប្រហារ scareware គឺពាក់ព័ន្ធនឹងការបោកបញ្ឆោតអ្នកឲ្យគិតថាកុំព្យូទ័ររបស់អ្នកបានឆ្លងមេរោគ ឬបានទាញយកនូវទិន្នន័យមិនស្របច្បាប់ ពេលនោះអ្នកវាយប្រហារនឹងផ្តល់ឲ្យជនរងគ្រោះនូវដំណោះស្រាយមួយ ដែលនឹងដោះស្រាយបញ្ហាក្លែងក្លាយដែលកើតមាននៅលើកុំព្យូទ័រ តែជាការពិតវិញអ្នកត្រូវបានបោកបញ្ឆោតក្នុងការទាញយក និងដំឡើងមេរោគរបស់អ្នកវាយប្រហារនេះ។
៣. វិធីសាស្ត្រការពារពីការវាយប្រហារ social engineering
អ្នកឯកទេសខាងសន្តិសុខបានផ្តល់អនុសាសន៍ថា នាយកដ្ឋានព័ត៌មានវិទ្យាគួរអនុវត្តជាប្រចាំនូវការធ្វើតេស្ត ដោយប្រើប្រាស់បច្ចេកsocial engineering ដែលនឹងជួយដល់អភិបាលគ្រប់គ្រង (Administrators) យល់ដឹងថាតើប្រភេទអ្នកប្រើប្រាស់ណាខ្លះអាចរងគ្រោះខ្ពស់បំផុត ដោយប្រភេទនៃការវាយប្រហារជាក់លាក់ណាមួយណា ហើយក៏ជាយន្តការមួយសម្រាប់ដឹងពីភាពទន់ខ្សោយនៃអ្នកប្រើប្រាស់ដែលត្រូវការការបណ្តុះបណ្តាលបន្ថែមទៀត។
ការបណ្ដុះបណ្ដាលបញ្ជ្រាបការយល់ដឹងអំពីសន្តិសុខ អាចចាត់ទុកថាជាយុទ្ធសាស្ត្រដ៏ល្អមួយសម្រាប់ទប់ស្កាត់ និងការពារពីការវាយប្រហារ social engineering ប្រសិនបើអ្នកប្រើប្រាស់ដឹងអំពីការវាយប្រហារ social engineering នោះពួកគេអាចនឹងមិនក្លាយជាជនរងគ្រោះឡើយ។
ការណែនាំល្អៗខ្លីៗដើម្បីជៀងវាងពីការវាយប្រហារ
– ចូរកុំផ្តល់ពាក្យសម្ងាត់តាមទូរស័ព្ទ គ្មានក្រុមហ៊ុនណាមួយនឹងសួរអ្នកអំពីរឿងនេះទេ ហើយប្រសិនបើពួកគេធ្វើដូច្នេះមែនអ្នកគួរពិចារណាក្នុងការឈប់ធ្វើពាណិជ្ជកម្មជាមួយក្រុហ៊ុននោះ
– សួរខ្លួនឯងថា “ហេតុអ្វី” មនុស្សដែលអ្នកកំពុងនិយាយជាមួយ បានធ្វើការហៅទូរស័ព្ទមករកអ្នក។ ប្រសិនបើពួកគេអះអាងថាត្រូវធ្វើកិច្ចការមួយចំនួនដែលត្រូវឲ្យអ្នកប្រាប់ពីព័ត៌មានសំខាន់នោះ ចូរបដិសេធ និងឲ្យពួកគេសួរទៅកាន់ថ្នាក់លើរបស់អ្នកវិញដោយផ្ទាល់ ដោយពន្យល់ថាអ្នកបារម្ភពីសុវត្ថិភាពព័ត៌មាននោះ ហើយអ្នកដែលជំទាស់នឹងការព្រួយបារម្ភនេះមិនគួរទុកចិត្តទេ
– ធ្វើការទុកចិត្តប៉ុន្តែត្រូវធ្វើការផ្ទៀងផ្ទាត់ បដិសេធដោយសមរម្យក្នុងការមិនផ្តល់ព័ត៌មាន រហូតអ្នកមានការជឿជាក់ 100% អំពីអ្នកដែលអ្នកកំពុងនិយាយជាមួយ បើទោះជាធនាគារ ក្រុហ៊ុនធានារ៉ាប់រង ផ្នែកគ្រប់គ្រងព័ត៌មានវិទ្យា (IT) និងក្រុមហ៊ុនហិរញ្ញវត្ថុទាំងអស់សុទ្ធតែមានការយកចិត្តទុកដឹងខ្ពស់ទៅលើសន្តិសុខព័ត៌មាន ហើយបើនរណាម្នាក់ដែលពិតជាត្រូវការព័ត៌មានពីអ្នកពិតមែននោះ គេនឹងអាចផ្តល់ឲ្យអ្នកនូវវិធីមួយដើម្បីបញ្ជាក់ថាពួកគេមកពីណា ឬស្ថាប័ន និងក្រុហ៊ុនណាមួយច្បាស់លាស់៕
ឯកសារយោង:
– http://searchsecurity.techtarget.com/definition/social-engineering
– https://www.wordfence.com/learn/understanding-social-engineering-attacks/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.
