วันจันทร์ที่ 29 ตุลาคม พ.ศ. 2555

Social Engineering


การโจมตีแบบวิศวกรรมสังคม (Social Engineering )

ในสังคมที่เป็นยุคไซเบอร์ ที่ไลฟ์สไตล์เกี่ยวข้องกับการใช้งานอินเทอร์เน็ต ทำให้คุณสามารถเข้าถึงข้อมูลได้อย่างรวดเร็ว อย่างไรก็ตาม สิ่งที่หนีไม่พ้น คือ เรื่องความปลอดภัยที่นับวันต้องมีการเรียนรู้วิธีการป้องกัน เพื่อไม่ให้ตกเป็นเหยื่อของพวกแฮ็กเกอร์ รวมถึงการสร้างความปลอดภัยเพื่อให้ตัวผู้ใช้และองค์กรรอดพ้นจากภัยอันตรายนี้ได้ การโกงเพื่อให้ได้มาซึ่งข้อมูล ข่าวสาร ฯลฯ นั้นอาจจะกระทำได้หลากหลายวิธี เช่น Hacking, Cracking แต่วิธีอีกวิธีหนึ่งที่เป็นที่นิยมเช่นกันคือวิธีที่เรียกว่า Social Engineering ซึ่ง Social Engineering นั้นมีความเสี่ยงที่สูงมาก เพราะมันคือกลลวงทางสังคม โดยใช้วิธีการหลอกล่อและตามด้วยการโจมตี ซึ่งมีความอันตรายต่อทุกองค์กร และชาวบ้านธรรมดาทั่วไปเป็นอย่างมาก ส่วนสำหรับองค์กร จะมาในรูปแบบการจารกรรมล้วงความลับที่สำคัญที่เกี่ยวกับความมั่นคงโดยใช้วิธีการทางเทคโนโลยีที่ซับซ้อน และทำให้เสียทรัพย์สินหรือข้อมูลทางสารสนเทศได้สำหรับบุคคลทั่วๆไปที่ขาดความรู้และวิธีการป้องกันที่ดีจากการถูกหลอกล่อโดยแฮกเกอร์
Social Engineering ในความหมายของแฮกเกอร์ก็คือ การหลอกล่อและลงมือโดยอาศัยหลักการทางจิตวิทยาที่คนหมู่มากในสังคมส่วนใหญ่ให้การยอมรับและไว้วางใจ เมื่อแฮกเกอร์สามารถสร้างแรงจูงใจให้กับเป้าหมายได้ ขั้นต่อไปก็คือ การทำให้เป้าหมายรู้สึกคล้อยตามและเอนเอียง จนในที่สุดก็ยอมรับในข้อเสนอที่อยู่ตรงหน้าอย่างง่ายดาย และวิธีการของแฮกเกอร์ย่อมไม่ทำแบบเปิดเผยอย่างแน่นอน ดังนั้น จึงต้องนำเอาเทคโนโลยีต่างๆเป็นเครื่องมือที่เข้ามาช่วย
ทำไมถึงจำเป็นต้องใช้ระบบตรวจจับการบุกรุก
เมื่อคำนึงถึงเรื่องความปลอดภัยของคอมพิวเตอร์มักเป็นการยากในการมองภาพที่ชัดเจนว่า อะไรที่จะบ่งบอกได้ว่าการใช้งานคอมพิวเตอร์มีความปลอดภัย เนื่องจากความปลอดภัยของคอมพิวเตอร์เป็นสิ่งที่จับต้องไม่ได้และยากต่อการวัด แต่อย่างไรก็ตามเราสามารถเปรียบเทียบความปลอดภัยของคอมพิวเตอร์กับการรักษาความปลอดภัยสถานที่ ในการรักษาความปลอดภัยสถานที่นั้นนั้น นอกจากการ จัดบริเวณที่ให้มีรั้วรอบขอบชิด มีกุญแจที่ใช้ล็อคประตูหรือทางเข้าออก สิ่งหนึ่งที่จะขาดไม่ได้คือการจัดให้มีบุคคลหรืออุปกรณ์ที่คอยตรวจสอบ การละเมิดต่ออุปกรณ์หรือเครื่องกีดขวางที่จัดตั้งเพื่อความปลอดภัย ทั้งนี้เนื่องจากอาจมีผู้ไม่หวังดีพยายามบุกรุกโดยทำลายอุปกรณ์หรือเครื่องกีดขวางดังกล่าวดังนั้นเราจึงต้องอาศัยระบบที่ใช้ตรวจสอบเมื่อมีการทำลายหรือล่วงล้ำต่ออุปกรณ์หรือเครื่องกีดขวางที่ได้ติดตั้งไว้อีกชั้นหนึ่ง ตัวอย่างอุปกรณ์ที่ใช้ตรวจสอบเช่น ระบบสัญญาณเตือนขโมยที่ใช้ควบคู่กับรั้วที่แข็งแรง
Social Engineering คือ เทคนิคการ Hacking ของ Hacker ซึ่งอาศัยช่องโหว่จาก "พฤติกรรมของผู้ใช้" (Human behavior)ลักษณะของวิธีนี้ คือHacker จะปลอมตัวเป็นใครคนใดคนหนึ่งหรือ หน่วยงานอะไรสักอย่าง เพื่อหลอกล่อให้เหยื่อ เปิดเผยข้อมูล ซึ่งอาจจะเป็นในรูปแบบของการสอบถาม password หรือข้อมูลที่ sensitiveอะไรบางอย่าง เพื่อการคาดการณ์ไปสู่ password หรือข้อมูลที่สำคัญได้ง่ายขึ้น ซึ่งจะในหลายๆ รูปแบบ เช่น Phishing e-mail or Pharming sites หรือแม้แต่การปลอมเป็นคนที่น่าเชื่อถือโทรศัพท์เข้ามาสอบถามข้อมูลเกี่ยวกับตัวคุณเอง
วิธีการการชักจูงคนอื่นให้คล้อยตามได้
วิธีการการชักจูงคนอื่นให้คล้อยตามได้นั้นมี ๒ วิธีด้วยกันคือ
1. ชักจูงโดยตรง   เป็นการชักจูงที่กระทำได้ยาก เพราะต้องคิดก่อนตัดสินใจโดยการถามบุคคลนั้น ๆ เกี่ยว กับข้อมูลโดยตรง อาจจะได้ข้อมูลจากบุคคลแค่คนเดียวหรือข้อมูลจากหลาย ๆ คนแล้วนำมาประกอบเข้าด้วยกัน
2. ชักจูงทางอ้อม   เป็นการชักจูงที่กระทำได้ง่าย เพราะไม่ต้องคิดมาก (การไม่มีข้อขัดแย้งกับผู้ถามเป็นสิ่งที่ ดี การให้ความร่วมมือจะได้รับมากกว่าถ้าการเข้าถึงและการสอบถามไปในทางที่ละมุนละม่อม ) เช่นการชักจูงโดยทำให้เกิดความรู้สึกอย่างมาก เช่น ความรู้สึกดีใจที่ถูกรางวัล
ปัจจัยที่มีผลต่อการชักจูงทางอ้อม
ปัจจัยที่มีผลต่อการชักจูงทางอ้อมมีดังต่อไปนี้
                1. เจ้าหน้าที่ (Officer): บุคคลมักจะตอบสนองอย่างดีต่อบุคคลที่มีอำนาจหน้าที่ ตัวอย่างเช่น การวิจัยถึงการตอบสนอง ของพยาบาล 22 คนใน Ward ต่าง ๆ ต่อคำสั่งของผู้ปลอมตัวเป็นนักกายภาพของโรงพยาบาล ในการให้ยา 20 มิลลิกรัม แก่ผู้ป่วยใน Ward นั้น ๆ องค์ประกอบ 4 อย่างที่พยาบาลควรจะถามบุคคลที่แอบอ้างเป็นนักกายภาพของโรงพยาบาล (แต่ไม่ถาม) คือ
•              มาจากคำสั่งที่พยาบาลไม่เคยเห็นหน้าหรือพูดคุยก่อนเลย
•              การสั่งจ่ายยาทางโทรศัพท์ ผิดนโยบายของพยาบาล
•              ยานั้นไม่ได้อนุญาตให้ใช้ใน Ward นั้นๆ
•              ยาที่ถูกสั่งจ่ายนั้นเป็นยาอันตรายและมีความแรงเป็น ๒ เท่า ของยาที่อนุญาตให้จ่ายในแต่ละวัน ( แต่กระนั้นก็ตาม ๙๕% ของพยาบาลได้ทำตามผู้ที่แอบอ้างว่าเป็นนักกายภาพ )
2. หายาก (Difficulty) : ผู้คนมักจะตองสนองอย่างดี เช่น มีสิ่งบอกเหตุว่า สิ่งของเฉพาะนั้นๆ ที่เราต้องการมีจำนวนน้อย และจะขายเฉพาะช่วงนั้น ๆ ดอกเตอร์ Jack Brehm อาจารย่อมหาวิทยาลัย สแตนฟอร์ด ได้ชี้ให้เห็นว่าบุคคลมักจะมีความปรารถนามากยิ่งขึ้น เมื่อเข้าใจว่าความอิสระในการได้รับสิ่งของนั้นมีจำกัดยิ่งถ้ารู้ว่ามีบุคคลอื่นจ้องที่จะได้มาซึ่งครอบครองของสิ่งเดียวกัน ก็จะทำให้ปรารถนามากยิ่งขึ้นไปอีก
3. ความชอบและความคล้าย : มักเป็นธรรมชาติที่มนุษย์มักชอบใครก็ตามที่คล้าย ๆ กับเรา บุคคลที่เกิดความชอบในกีฬา,ดนตรีศิลปะ หรือความสนใจอื่นๆ ที่คล้ายกัน ทำให้เราเจรจากับบุคคลนั้น ๆ ง่ายขึ้น และรู้สึกชอบเขาได้อย่างรวดเร็ว
4. ประโยชน์ซึ่งกันและกัน : เป็นกฎของปฏิกิริยาในสังคมที่รู้กันเป็นอย่างแพร่หลายว่า เมื่อใครก็ตามที่ให้แก่เรา เราก็รู้สึกว่าต้องให้ตอบแทนแก่คน ๆ นั้น ถึงแม้ว่าสิ่งที่เขาให้เรานั้นอาจจะไม่เป็นที่ต้องการของอีกฝ่ายหนึ่งแต่ก็ต้องตอบแทนตรง บางครั้งค่าตอบแทน อาจจะแพงกว่าที่เขาทำให้กับเรา
5. การผูกมัดและความคงที่ : สังคมจะให้ความสำคัญต่อความคงที่ในความประพฤติของบุคคล ถ้าเราสัญญาว่าจะทำสิ่งใดและไม่ได้กระทำตามสัญญา เราก็จะไม่ให้ความเชื่อถือคน ๆ นั้นอีกต่อไป ดังนั้นเราจึงต้องพยายามอย่างมากในการกระทำเพื่อให้คงที่กับการกระทำในอดีตเก่าก่อน ถึงแม้ว่าในอนาคตเราจะมองกลับมาและรู้สึกว่าสิ่งที่เราทำนั้นเป็นสิ่งที่โง่เขลา
6. การยอมรับของสังคม : ในสถานการณ์หลาย ๆ สถานการณ์ในสังคมไทยนั้น การจะตัดสินใจว่าการกระทำไหนสำคัญที่สุดให้ดูว่าคนอื่นที่อยู่ใกล้เรานั้นทำหรือพูดอย่างไร ซึ่งการกระทำแบบนี้เรียกว่า “Social Proof” ซึ่งเป็นกรรมวิธีที่ทำให้เรากระทำการใด ๆ ถึงแม้อาจจะขัดกับความสนใจของเรา โดยไม่ต้องเสียเวลาในการคิดในเชิงรุก
7. การตัดสินใจตามกระแส (Go with the flow หรือ Conformity)(Social Proof): บางสถานการณ์ของสังคม การประพฤติปฏิบัติตนก็ต้องกระทำเพื่อไม่ให้คนอื่นเกลียดหรือดูโง่เขลาต่อหน้าฝูงชน โดยทำตามสิ่งที่คนในสังคมส่วนใหญ่กระทำกัน
8. การกระจายความรับผิดชอบ (Diffusion of Responsibility) : ผู้ให้ข้อมูลจะไม่ลังเลและจะตอบถ้าตนเองรู้สึกว่าความรับผิดชอบของการให้ข้อมูลไม่ได้ตกที่ตนเองคนเดียว ตัวอย่างเช่น การที่ผู้หลอกบอกว่าคนอื่นๆ ได้ให้ข้อมูลที่ต้องการหมดแล้ว ก็จะทำให้ผู้ถูกถามลดความเครียดในการกรอกข้อมูล
9. โอกาสในการประจบประแจง (Chance for Ingratiation): การได้มีโอกาสได้กระทำการใด ๆ เพื่อให้ได้หน้าหรือผลงานเป็นที่ประจักษ์ต่อหัวหน้าหรือผู้บังคับบัญชาย่อมอยากที่จะกระทำสำหรับคนบางคน
10. ภาระหน้าที่ทางศีลธรรม : สิ่งนี้เป็นสิ่งที่คนจะปฏิบัติตามเพราะเขารู้ว่าเป็นหน้าที่ทางศีลธรรมที่ต้องกระทำและเป็นส่วนหนึ่งของความรู้ สึกผิด คนชอบที่จะหลีก เลี่ยงความรู้ สึกผิดและถ้ามีโอกาสที่จะรู้สึกผิด เขาก็ จะหลีกเลี่ยงไม่ให้มันเกิดขึ้นมา
11. การมีส่วนร่วมแต่เก่าก่อน (Foot in the Door)(Moral Duty) : จากการวิจัยพบว่าคนจะปฏิบัติตามคำขอร้องที่ยิ่งใหญ่ถ้าหากในอดีตคนเคยได้ทำตามคำขอร้องที่เล็ก ๆ น้อย ๆ จากบริษัทเดียวกันนั้นมาก่อน
12. การมีส่วนเกี่ยวข้องต่อ (Low Involvement) : รปภ. คนทำความสะอาดหรือพนักงานต้อนรับ มักจะมีความเกี่ยวข้องน้อยกับระบบคอมพิวเตอร์ จึงคิดว่าตัวเองไม่ได้มีผลกระทบใด ๆ ต่อการร้องขอข้อมูล เขาจึงไม่วิเคราะห์ข้อดีหรือข้อเสียของการร้องขอข้อมูล ยิ่งไปกว่านั้นถ้า Social Engineer บอกเหตุผลดีๆประกอบเข้าไปด้วยโอกาสที่จะได้ข้อมูลก็มีมากขึ้นไปอีก
จุดอ่อน สิ่งที่เสี่ยงต่อการถูกโจมตี คือ
1.             สมุดโทรศัพท์ เพราะสมุดโทรศัพท์ จะให้ชื่อ เบอร์โทรของคนที่เราจะปลอมเป็นคนนั้น ๆ
2.             แผนผังการทำงาน แผนผังการทำงานจะทำให้เราทราบว่า ใครอยู่ในตำแหน่งใดของ บริษัทนั้น ๆ
3.             บันทึกช่วยจำ บันทึกช่วยจำจะให้ข่าวสารเกี่ยวกับการแสดงความเป็นตัวตนของผู้เขียน
4.             คู่มือของนโยบายบริษัท คู่มือนโยบายแสดงว่าบริษัทนั้นๆ มีความปลอดภัยหรือไม่
5.             ตารางการนัดหมาย ตารางการนัดหมายจะบอกว่า ลูกจ้างคนไหนจะอยู่หรือไม่อยู่ที่ ทำงานในเวลา
6.             เหตุการณ์
7.             วันหยุดพักผ่อน
8.             ข่าวสาร ข่าวสารของข้อมูลที่สำคัญ เช่น Login, Password, Source code
9.             Hardware ที่ควรระวังเช่น Hard Drive เก่าๆ ไม่ใช้งานอาจจะถูกนำมา Restore เมื่อได้มาซึ่ ข่าวสารที่มีประโยชน์ก็ได้ 


                เครื่องมือที่ใช้ในการทำ Social Engineering มีดังนี้
1. โทรศัพท์ เป็นเทคนิคที่ง่ายที่สุดของ Social Engineering มันจะเร็ว ไม่มีความเจ็บปวดและบุคคลที่ขี้เกียจ ก็สามารถกระทำได้ แค่โทรศัพท์ไปหาก็สามารถกระทำได้
                1) อุปกรณ์มีข้อควรพิจารณา ดังนี้
                a) อุปกรณ์ Hardware คือโทรศัพท์ ซึ่งโทรศัพท์ที่ดีนั้นไม่ควรมี Call Waiting เพราะทำให้ดูไม่น่าเชื่อถือ โทรศัพท์ควรมีคุณภาพที่ดี Call ID ควรมี เพื่อที่จะโทรศัพท์กลับไปเบอร์ที่โทรมานั้น ๆ ได้
                b) Voice Changer ก็มีประโยชน์ เพราะการมีเสียงออกเด็ก ๆ ก็ฟังดูไม่น่าเชื่อถือ
                2. เป้าหมาย
                a) ค้นหาเป้าหมาย เช่นต้องการหา Password เข้าสู่โครงข่ายของโรงเรียนเราก็โทรเข้า ไปที่ศูนย์คอมพิวเตอร์ เราก็บอกว่า Account (ทราบมาก่อนแล้วหน้านี้) เราไม่สามารถเข้าไปได้เพราะลืม Password ก็ขอ Password ใหม่ ใช้ Voice Changer เป็นผู้หญิงก็ดี เพราะผู้ที่ทำหน้าที่ในการรับโทรศัพท์โดยส่วนใหญ่เป็นผู้ชาย
                b) โดยปกติก่อนที่เราจะโทรไปหลอกใคร ๆ นั้น เราต้องมีข้อมูลของคนที่เราจะสวม รอย เช่น มีเลขที่บัตรประจำตัว วันเดือนปีเกิด c) เมื่อเราปลอมสำเร็จแล้ว ให้ถามคำถามมากที่สุดเท่าที่จะหาได้ แต่ไม่ควรมาก เกินไปเพราะอาจจะนำให้ถูกสงสัยได้
                d) เมื่อเราปลอมมาเป็นใครก็แล้วแต่ ให้พยายามฝึกพูดให้เหมือน เขา/เธอ ให้ มากที่สุดเท่าที่จะมากได้ เช่น ถ้าเขา/เธอ พูดเสียงเหน่อ หรือคิดคำพูดใหม่ๆ ก็พยายามเลียนให้เหมือนวิธีดีที่สุด คือ โทรไปหาคนที่เราจะปลอมเป็นบุคคลนั้น ๆ เพื่อฟังเสียงและสไตล์การพูดของเขา 
                3) ตัวอย่างในการหลอกล่อในการสนทนา เช่น
                “คุณได้โทรไปประเทศอียิปต์ ในช่วงหกชั่วโมงที่ผ่านมาไหม” ผู้หลอก ถาม ไม่” ชาวบ้านตอบ แต่เราตรวจพบว่าท่านใช้ไป ๒,๐๐๐ บาท ในการโทรนะครับและคุณก็ต้องจ่ายด้วยนะครับ” “OK ผมจะช่วยคุณ โดยคุณบอกเบอร์สมาชิกของการโทรมานะครับ แล้วผมจะลบบัญชีหนี้ให้
               2. ไปรษณีย์ ผู้คนมักไม่ค่อยเชื่อถือใครก็ตามที่พูดคุยชักชวนตัวเราในการกระทำอะไรก็ตามทางโทรศัพท์ แต่ผู้คนจะเชื่อถือคำเขียนมากกว่า โดยมีข้อควรพิจารณาดังนี้
                1) อุปกรณ์แสตมป์ ซองจดหมาย แต่ถ้าจะดูให้น่าเชื่อถือ ต้องมีที่อยู่ให้สงกลับ 2) วิธีการปฏิบัติเอาที่อยู่ของผู้คนที่เราต้องการมาเพื่อใช้ส่งจดหมายไปให้โดยในจดหมายนั้น ๆพยายามให้กรอกข่าวสารที่เราต้องการ เช่น เลขที่บัตรประจำตัวประชาชน โดยการกรอกพยายามทำให้อยู่ในรูปที่ง่าย
                3. อินเทอร์เน็ต การ Hacking ต่างกับ Social Engineering ก็คือ Hacking จะใช้ข้อได้เปรียบใน จุดอ่อนทางความปลอดภัย ส่วน Social Engineering จะใช้ข้อได้เปรียบในความจุดอ่อนของความรู้สึกนึกคิดของมนุษย์ และการเชื่อง่าย
                4. อินเทอร์เน็ต การ Hacking ต่างกับ Social Engineering ก็คือ Hacking จะใช้ข้อได้เปรียบในจุดอ่อนทาง ความปลอดภัย ส่วน Social Engineering จะใช้ข้อได้เปรียบในความจุดอ่อนของความรู้สึกนึกคิดของมนุษย์และการเชื่อง่าย
                1) การปฏิบัติ
                a) เช่นการปลอมตัวเป็นผู้มีหน้าที่รับผิดชอบใน Chartroom ต่างๆ เพื่อให้ผู้คนมอบข้อมูลที่เราต้องการได้เช่น ปลอมตัวเป็นผู้ที่มีหน้าที่รับผิดชอบใน Chartroom ต่างๆ เพื่อให้ผู้คนมอบข้อมูลที่เราต้องการได้
                b) ส่ง E – mail ออกไปให้ผู้ใช้งานทุกๆ คน ( โดยหวังไว้ว่าคนใดคนหนึ่งของผู้ใช้งานจะตอบกลับมา ) โดยบอกว่าเป็น System Administrator และต้องการ Password จากผู้ใช้งานโดยโกหกว่าจะใช้ในการทำงาน Admin ซึ่งบุคคลที่ง่ายต่อการถูกหลอกก็คือ บุคคลที่เล่น Internet ใหม่ๆ ที่ยังไม่รู้เล่ห์เหลี่ยมของบุคคลเหล่านี้ บางครั้งก็อาจใส่ Viruses, Worm, หรือ Trojan Horse ลงไปใน Attachment ของ E-mail เพื่อทำหน้าที่เป็น Backdoor ให้ผู้ประสงค์ร้ายเข้าไปในระบบภายหลัง
                c) วิธี “Frame – Spoofing” คือการที่บุคคลสามารถใส่หน้า Website ลงไปในหน้า Web Site โดยไม่ได้รับอนุญาต คนที่เข้าไปเยี่ยม Web Site ที่ถูกใส่ Web Site ปลอม ก็อาจจะคัดลอกข้อมูลที่ถูกถามในหน้า Web Site นั้นๆ
                d) วิธี “ Pump and Pump” คือ บุคคลในหน่วยงานที่ใช้วิธีหลายหลายเพื่อให้ผู้ลงทุนในเน็ตเกิดความสนใจในบริษัทและทำให้เกิดการ Pump หรือเรียกอีกอย่างว่าเพิ่มค่าของราคาหุ้น จนกระทั่งสูงได้ระดับ บริษัทจึงขายหุ้นเพื่อให้ได้กำไร ซึ่งวิธี Pump and Pump จะใช้เทคนิคการอ้างสิทธิและวิธี Social Proof กล่าวคือ การที่ผู้ส่งเสริมมูลค่าหุ้นร่วมมือกับบุคลากรในบริษัทจ่ายเงินให้นักเขียนในจดหมายแจ้งข่าวในอินเตอร์เน็ต เพื่อเขียนข่าวที่ดีในเชิงสร้างสรรค์หรือบางครั้งก็ทำถึงขึ้นปล่อยข่าวลวงให้แก่บริษัท ทำให้ผู้ลงทุนเข้ามาอ่านและเข้าถึงข่าวสารนั้นๆ
                2) วิธี “Running Program” เป็นวิธีที่ผู้ประสงค์ร้ายส่ง Program มาให้ Run ทางอินเทอร์เน็ต ( โดยอาจปลอมเป็น Admin ) โดยหลังจาก Run โปรแกรมนี้แล้ว Username and Password ของผู้ใช้จะถูกส่งกลับไปให้ผู้ประสงค์ร้ายโดยอัตโนมัติ
                5. ด้วยตนเอง
                1) อุปกรณ์ : การแต่งกายจะต้องดูดี หวีผมให้เรียบร้อย สุภาพเรียบร้อย ติดบัตรประจำตัว ก็จะดูน่าเชื่อถือมากยิ่งขึ้น หรือไม่ก็บัตร Vision Pass
                2) วิธีการปฏิบัติ :
                a) เดินดูรอบ ๆ Office เพื่อหาข้อมูลตามโต๊ะทำงานต่างๆ
                b) ใช้วิธีทำเร็วกว่า “Shoulder Surfing” นั่นคือการมอง Password ผ่านไหล่ขณะที่คนๆนั้นพิมพ์ Password
                c) ขอใช้ Account ผู้อื่น
                d) ถาม Help Desk เพราะบุคลากรที่มาทำงานที่ Help Desk นั้น จะไม่ค่อยมีความรู้เรื่องการรักษาความปลอดภัยของข่าวสารข้อมูลมากนัก ดังนั้นเมื่อมีใครก็ตามถามเรื่องข้อมูล บุคคลากร Help Desk ก็มักจะตอบหรือไม่ก็จะให้ข่าวสารนั้นๆ ไปอย่างง่ายดาย นอกจากนั้น Help Desk ยังถูกฝึกฝนมาให้เป็นมิตรไมตรีกับผู้คนอื่นๆและให้ข่าวสารต่างๆ แก่บุคคลที่เข้ามาทำการสอบถามตน
                e) ปลอมเป็นบุคคลอื่น เช่น ช่างซ่อมหน่วยสนับสนุนสารสนเทศผู้จัดการ เพื่อนร่วมงาน เพราะในบริษัทใหญ่ๆ นั้น ลูกจ้างจะไม่รู้จักทุกคน บัตรประจำตัวก็สามารถปลอมได้แล้ว
                f) Reverse Social Engineering (RSE) คือการปลอมเป็นบุคคลที่มีอำนาจหน้าที่และลูกจ้างจะต้องการข่าวสารจากเขา แต่วิธีการแบบนี้ต้องจำเป็นที่ต้องใช้เวลาในการเตรียมตัวเป็นอย่างมาก เช่น RSE ประกอบด้วยการโจมตี (Sabotage), การโฆษณา (Advertising), การช่วยเหลือ (Assisting), ทำให้โครงข่ายมีปัญหาและโฆษณาว่าตัวเองคือผู้ที่สามารถช่วยเหลือได้ ขณะที่ช่วยเหลือก็จะทำการขโมยข่าวสารจากสถานที่ทำงานนั้นๆ
                g) Dumpster Diving หรือ Trashing นั่นคือการหาข่าวสารในถังขยะ ซึ่งบริษัทมักจะทิ้งข้อมูลต่างๆ ลงไป ในถังขยะ เช่น สมุดโทรศัพท์ของพนักงานในแผนกต่างๆ แผนภูมิแสดงการจัดองค์กร บันทึกข้อความ คู่มือนโยบายบริษัท ปฏิทินการนัดหมาย เหตุการณ์ที่เกิดขึ้นและวันหยุด คู่มือของระบบต่างๆ Source Code ฮาร์ดแวร์ที่ไม่ต้องการใช้ รายชื่อ Login and Password
ตัวอย่าง
การหลอกถามเอาซึ่งหน้า
   เป็นหนึ่งในวิธีการที่ใช้กันเป็นอย่างมาก โดยวิธีการนี้นั้นสามารถทำได้โดยวิธีการต่างๆยกตัวอย่าง เช่นการบอกว่าเป็นผู้ที่มีอำนาจหรือมีหน้าที่เกี่ยวข้องกับระบบและต้องการจะเข้าถึงระบบ โดยส่วนใหญ่จะเป็นการสั่งการเข้าไปโดยตรงการปลอมตัวเป็นผู้หวังดีต้องการจะช่วยเหลือระบบ เช่น การแจ้งว่ามีช่องโหว่มีการบุกรุกเข้าไปในระบบ และขออำนาจในการเข้าถึงเพื่อช่วยเหลือ เป็นต้น
ตัวอย่างบทสนทนาแบบหลอกถามเพื่อการเข้าถึงระบบ
Attacker : สวัสดีครับนี้ผม Viruscom2 มิทราบว่าผมกำลังคุยกับใครอยู่?
Victim : เออคือว่าคุณกำลังคุยอยู่กับเจ้าหน้าที่แผนก Network Techician อยู่มิทราบว่ามีธุระอะไรหรือเปล่า?
Attacker : คือว่าตอนนี้นั้นผมได้รับคำสั่งจากหัวหน้าฝ่ายให้ย้ายมาดูแลเรื่องความปลอดภัยเกี่ยวกับ
computer ในระบบนี้
Victim : แล้วไม่ทราบว่าต้องการให้ผมช่วยเหลืออะไรหรือไม่ ?
Attacker : ในตอนนี้นั้นผมยังไม่มี User ที่สามารถเข้าไปดูแลความปลอดภัยภายในระบบเลย ถ้าไม่เป็นการรบกวนอะไรมากนักคุณพอจะช่วยจัดหาให้ได้หรือไม่ พอดีผมพึ่งย้ายเข้ามาใหม่นะครับ
Victim : เออ User คือ AAA Password ก็ AAA นะครับลอง Login เข้าไปดู ติดขัดตรงไหน ต้องการข้อมูลอะไรก็บอกได้นะพร้อมที่จะช่วยเหลือ

Attacker : ขอบคุณมากนะครับถ้าไม่ได้คุณคงแย่เลย
Victim : ไม่เป็นไรพร้อมที่จะช่วยเหลือ
และ Atacker ก็สามารถ Access เข้าสู่ระบบได้โดยที่ไม่จำเป็นที่จะไปแหกด่าน firewall หรือเผชิญกับการตรวจจับของ IPS
การค้นหาเอกสาร
    วิธีการนี้เป็นวิธีการง่ายๆแต่สามารถใช้ได้ผลจริง โดยทั่วไปของมนุษย์นั้นมักจะมีการจด note ไว้ในที่ต่างๆเพื่อเป็นการป้องกันการลืมแต่หารู้ไหมว่านั้นคือการช่วยเหลือผู้ที่ต้องการโจมตีอย่างแท้จริงและในกรณีนี้นั้นยังรวมไปถึงการขโมยเอกสารต่างๆการคุ้ยถึงขยะเพื่อหาข้อมูลด้วย
หลอกเอาบัญชีผู้ใช้งานและรหัสผ่าน
แฮกเกอร์จะพยายามหาวิธีในการหลอกให้เรากรอกข้อมูล ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) โดยที่ผมเคยเจอกับตัว ก็เช่น อาศัยโปรแกรม Windows Live Messenger ส่งที่อยู่เว็บ (URL) มาให้ โดยบอกว่านี่คือเว็บฝากรูปที่เพิ่งถ่ายไว้ พอเข้าไปดู มันก็จะบอกว่าต้องล็อกอินเข้าไปก่อนด้วยบัญชีของ Hotmail ถึงจะเข้าดูรูปได้


บางทีก็สร้างหน้าเว็บหลอกให้คนหลงคิดว่าเป็นเว็บจริง แล้วหลอกให้เขากรอกข้อมูล อย่างเช่นรูปด้านล่างนี่ จะเป็นการหลอกให้หลงเชื่อว่า Gmail กำลังจะย้ายข้อมูลไปไว้เซิร์ฟเวอร์อื่น ขอให้กรอกข้อมูล Username และ Password ของเราลงไป เพื่อทำการย้ายข้อมูลด้วย (สังเกตว่าปุ่มเป็น Move ไม่ใช่ Login เหมือนปกติ) … ใครหลงเชื่อ ก็เท่ากับยื่นชื่อผู้ใช้งานกับรหัสผ่านให้แฮกเกอร์ไปเลย

อีกแบบนึงที่หลอก ก็คือ หลอกว่าเป็นโปรแกรมสำหรับแฮก Gmail เพียงแต่ต้องใส่ชื่อผู้ใช้งานและรหัสผ่าน Gmail ของเรา พร้อมกับ Gmail Address ของคนที่เราต้องการจะแฮก จากนั้นคลิก Hack Them แล้วรหัสผ่านของคนที่เราต้องการจะแฮกจะโผล่มาแต่จริงๆ แล้วเบื้องหลังของมัน กลับกลายเป็นว่า หากเราใส่ชื่อผู้ใช้งานและรหัสผ่านของ Gmail เราเข้าไปแล้ว มันจะส่งข้อมูลดังกล่าวไปให้กับแฮกเกอร์ที่หลอกเราแทนวิธีนี้ก็ได้ผลไม่น้อย เพราะเราๆ ท่านๆ คนธรรมดาหลายคน ก็มีความประสงค์อยากแฮกเมล์คนอื่นอยู่เหมือนกัน

พวกแก๊ง Call Center ที่หลอกเอาข้อมูลบัตรเครดิตหรือบัญชีธนาคาร หรือหลอกให้เราโอนเงินให้พวกมัน ก็อยู่ในหมวดหมู่นี้เช่นกันครับ
หลอกให้ติดตั้งโปรแกรม


คนเรากลัวในสิ่งที่เราไม่รู้ และคนที่ไม่ค่อยมีพื้นฐานคอมพิวเตอร์กลัวมากอย่างหนึ่งก็คือ ไวรัส และพวกมัลแวร์ต่างๆ เพราะพวกเขามักจะได้ข่าวความเสียหายแรงๆ อยู่เนืองๆ และภาพยนตร์กับการ์ตูนก็แสดงออกถึงความเสียหายแบบเวอร์พอใช้ได้ทีเดียว … ผมไม่ได้หมายความว่าเราไม่ต้องไปกลัวมันนะครับ แต่ผมอยากสื่อว่า ผู้ไม่หวังดีเนี่ย เขาอาศัยจากความกลัวนี้แหละให้เป็นประโยชน์โดยหลักๆ แล้ว เทคนิควิศวกรรมสังคมในการหลอกให้คนติดตั้งโปรแกรม มักมาในรูปของซอฟต์แวร์ป้องกันไวรัสปลอมๆ (Fake Antivirus หรือ Fake AV) พวกนี้มักจะเป็นหน้าต่างป๊อบอัพขึ้นมาเวลาเปิดเว็บ (หรือบางทีมาจากพวกมัลแวร์ตัวอื่นที่อยู่ในเครื่องของเรา) โดยทำหน้าตาให้เหมือนกับโปรแกรมป้องกันไวรัสชื่อดังๆ แล้วทำเป็นเหมือนกับว่ากำลังสแกนเครื่องคอมพิวเตอร์ของเราอยู่ แล้วพบไวรัสจำนวน โอ้โฮเฮะ เยอะโฮกๆแน่นอนว่าพอเจอแบบนี้ หากเรามีโปรแกรมป้องกันไวรัสอยู่ เราก็จะพยายามรันดู แต่มันก็จะไม่พบอะไรเลย เราก็จะเริ่มแปลกใจว่า เฮ้ย ของเรามันห่วยขนาดนั้นเลยเหรอ ถึงไม่เจอเลย แต่ไอ้โปรแกรมที่โผล่มานี่มันเจอเพียบเลย … แล้วเจ้า Fake AV เนี่ยมันก็จะบอกว่า หากต้องการกำจัด ก็ต้องไปดาวน์โหลด (และอาจเสียเงินด้วย) ตัวเต็มมาจัดการซะใครเผลอไปดาวน์โหลดมาละก็ เสร็จมันละ ได้มัลแวร์ตัวจริงเต็มๆ มาไว้ในเครื่อง แทนที่จะได้โปรแกรมป้องกัน
หลอกให้ลบ
เพราะว่าสมัยนี้ ความพยายามในการโจมตีระบบคอมพิวเตอร์นั้นมีเป้าหมายอยู่ที่เรื่องของเงินๆ ทองๆ คืออยากได้ข้อมูลของเราไปขาย หรืออยากจะเข้ามาฝากพวกมัลแวร์ไว้ในเครื่องคอมพิวเตอร์ของเรา เพื่อใช้ในการอย่างอื่นที่จะทำให้ได้เงินมา เช่น เอาไปใช้ส่งอีเมล์ขยะ เอาไปใช้ยิงถล่มเครื่องเซิร์ฟเวอร์ของบริษัทใหญ่ๆ เป็นต้น เลยทำให้เทคนิควิศวกรรมสังคมเพื่อ หลอกให้ลบ” เป็นอะไรที่ไม่ค่อยได้เจอกันเท่าไหร่


หลอกให้เปลี่ยนเส้นทาง (Diversion Theft)

เทคนิคนี้มักถูกใช้กับธุรกิจอีคอมเมิร์ซค งวดนี้เป้าหมายของของผู้ไม่หวังดีไม่ใช่ลูกค้าที่ซื้อของแต่เป็นผู้ประกอบการอีคอมเมิร์ซ หรือผู้ที่รับผิดชอบเรื่องการจัดส่งสินค้าแทน โดยผู้ไม่หวังดีจะใช้เทคนิคและกลอุบายต่างๆ นานา ในการที่จะหลอกให้เป้าหมายเปลี่ยนที่อยู่ในการจัดส่งสินค้าไปยังที่ที่ตนต้องการแทน (และนั่นหมายความว่าผู้ไม่หวังดีก็จะได้สินค้านั้นไปแทน)
พื้นฐานง่ายๆ ก็มักจะใช้การหลอกให้ผู้ประกอบการอีคอมเมิร์ซหรือผู้จัดส่งสินค้าเชื่อว่ามันเป็นความต้องการของผู้ซื้อเองที่ขอเปลี่ยนแปลงที่อยู่จัดส่ง โดยอาจใช้วิธีง่ายๆ เช่นการส่งอีเมล์ปลอม (เชื่อหรือไม่ล่ะ ว่าการปลอมอีเมล์ว่าส่งมาจากใครมันไม่ได้ยากเย็นอะไรนัก) หรืออาจใช้วิธียากขึ้นอีกหน่อย ด้วยการขโมยชื่อผู้ใช้งานและรหัสผ่านของลูกค้ามาล็อกอินเพื่อเปลี่ยนแปลงข้อมูล (ถ้าเป็นกรณีนี้ ก็ต้องใช้เทคนิควิศวกรรมสังคมหลายอย่างพร้อมๆ กัน)
 ฟิชชิ่ง (Phishing)

เทคนิคนี้มันเล่นคำพ้องเสียงกับคำว่า Fishing ที่แปลว่าตกปลานั่น พื้นฐานของเทคนิคนี้ก็เริ่มจากการส่งอีเมล์ไปหาเป้าหมาย แล้วใช้เทคนิคเดียวกับการแอบอ้าง (Pretexting) เพื่อหลอกให้หลงเชื่อ แต่แทนที่จะขอกันตรงๆ เหมือนอย่างตอนใช้เทคนิค Pretexting ก็จะทำให้น่าเชื่อถือยิ่งกว่านั้น เพราะจะเป็นการพาไปยังเว็บไซต์ที่ทำไว้หลอกๆ (แต่เหมือนมาก) เพื่อให้ผู้ใช้งานกรอกข้อมูลที่ต้องการลงไปเอง
เทคนิคนี้ถูกพัฒนาขึ้น เพราะว่าผู้ใช้งานจำนวนไม่น้อย เริ่มไหวตัวทันกับเทคนิคการแอบอ้างในแบบแรกมากขึ้น เพราะผู้ประกอบการจำนวนไม่น้อย ให้ความรู้แก่ผู้ใช้งานแล้วว่า จะไม่มีนโยบายในการส่งอีเมล์มาถามข้อมูลต่างๆ ของลูกค้าเด็ดขาด งวดนี้ผู้ไม่หวังดีก็เลยไม่ถามตรงๆ แต่ใช้วิธีหลอกให้เข้ามายังเว็บไซต์ที่ต้องการแล้วหลอกให้บอกข้อมูลแทน
เทคนิคตกปลาสำคัญที่สุดอยู่ 2 ส่วนคือ
1) การสร้างอีเมล์ที่มีเนื้อหาให้ดูน่าเชื่อถือ
2) การสร้างหน้าเว็บไซต์ให้ดูเหมือนของจริง น่าเชื่อถือ

บ่อยครั้งที่พวกผู้ไม่หวังดีมือสมัครเล่น ใช้เทคนิคในการปลอมแปลงแค่ในส่วนของเนื้อหา และชื่อของผู้ส่ง แต่ไม่ได้รวมไปถึงอีเมล์ของผู้ส่งด้วย (แต่พยายามทำให้เหมือนที่สุด เช่น ในกรณีนี้ ใช้ infouniversalmusicgroupth เพื่ออ้างเป็น Universal Music Group Thailand แต่ว่าดันใช้เป็น Yahoo.com ทั้งๆ ที่บริษัทยักษ์ใหญ่ขนาดนี้ ไม่น่าจะมีใครใช้อีเมล์ฟรีในการส่งจดหมายอย่างเป็นทางการถึงผู้อื่น (รูปภาพจาก drama-addict.com ขอบคุณ @jarpichit สำหรับความเอื้อเฟื้อให้ใช้รูปประกอบ) แน่นอนว่าไม่ใช่ว่าพนักงานบริษัทใหญ่ๆ จะไม่เคยใช้อีเมล์ฟรีในการติดต่องานกับลูกค้า หรือผู้อื่น เพียงแต่ปกติแล้วจดหมายสำคัญ หรือจดหมายแจ้งเตือนทางกฎหมาย มักจะใช้อีเมล์อย่างเป็นทางการมากกว่าอีเมล์ฟรี … จุดนี้คือจุดง่ายๆ ที่เราสามารถสังเกตได้ว่าอีเมล์นั้นเป็นพวก Phishing หรือไม่ แต่ว่าผู้ใช้งานมักไม่ทันได้ตรวจสอบให้แน่ชัด
วางเหยื่อล่อ (Baiting)

เทคนิคนี้ต้องลงทุนกันหน่อย ยังไม่ค่อยได้เจอในเมืองไทย (หรือมีแล้วแต่ไม่เป็นข่าวหว่า?!?) ผู้ไม่หวังดีจะนำเอาแผ่น CD/DVD หรือแฟลชไดร์ฟที่ทำการแฝงพวก Malware ไว้มาวางไว้ล่อให้เหยื่อเก็บเอาไป อาศัยความอยากรู้อยากเห็น หรือความโลภของเหยื่อในการล่อให้เปิดไฟล์ในสื่อบันทึกข้อมูลดังกล่าว
วิธีการล่อให้เกิดความอยากรู้อยากเห็น ก็อาจเป็นเรื่องของการติดป้ายชื่อบนแฟลชไดร์ฟ หรือเขียนชื่อที่น่าสนใจไว้บนแผ่น CD/DVD เช่น อาจจะเขียนแค่ ลับสุดยอด” หรือ ห้ามเปิด” ก็ได้ (อย่าลืมว่าคำพูดแบบนี้มักก่อให้เกิดอาการ ยิ่งห้ามเหมือนยิ่งยุ”)
พอเปิดไฟล์ในสื่อบันทึกข้อมูลพวกนี้อ่าน ผลก็คือ Malware ที่แฝงมาก็จะเข้ามาติดในเครื่องคอมพิวเตอร์ของเราในบัดดล
ยื่นหมูยื่นแมว (Quid Pro Quo)

หมายความตามชื่อ ผู้ไม่หวังดีจะอาศัยของล่อใจ เช่น เงินทองของนอกกาย ของพรีเมี่ยม และอื่นๆ เพื่อให้เหยื่อหลวมตัวยอมบอกข้อมูลต่างๆ ของตนออกมาเช่น เราอาจเคยได้ยินเรื่องการให้บัครประชาชนไปใช้ทำโน่นทำนี่ โดยแลกกับเงิน เป็นต้นลำพังแค่บัตรประชาชน ก็มีข้อมูลต่างๆ มากมายที่เอาไปใช้ในธุรกรรมต่างๆ ได้แล้ว ไม่ว่าจะเป็นการซื้อขายสินค้า (เช่น โทรศัพท์มือถือ) การทำธุรกรรมทางการเงินกับธนาคาร หรือข้อมูลอย่าง ชื่อ-นามสกุล ที่อยู่ เลขที่บัตรประชาชน และวันเดือนปีเกิด พวกนี้ถูกนำไปใช้เป็นข้อมูลในการยืนยันการระบุตัวตนที่พวกผู้ให้บริการโทรศัพท์มือถือ หรือผู้ให้บริการบัตรเครดิตใช้ เวลาที่จะทำธุรกรรมทางโทรศัพท์
ตัวอย่างข่าวที่เกิดขึ้นจริง
Apple งานเข้าชิ้นใหญ่ เมื่อนักข่าวจาก Gizmodo โดนแฮ็ก Twitter เพราะช่องโหว่จาก iCloud


[7-สิงหาคม-2555] ข่าวนี้เป็นข่าวที่ดังมากในต่างประเทศขณะนี้ครับ เมื่อ Mat Honan นักข่าวจาก Gizmodo ได้ถูกแฮ็กเกอร์มือดี นามแฝงว่า Clan Vv3 เจาะข้อมูลและรหัสผ่านทุกอย่าง ทั้ง Gmail และ Twitter รวมไปถึงลบข้อมูลต่างๆ จนหมดเกลี้ยง ทั้งบน iPhone, iPad และ MacBook Air จนสามารถโพสข้อความเหยียดสีผิวบน Twitter และกลายเป็นเรื่องราวใหญ่โตในขณะนี้ครับ


สาเหตุของการเจาะข้อมูล ทั้งข้อมูลส่วนตัว และรหัสผ่านของ Mat Honan นั้น เกิดขึ้นจากบัญชี iCloud ของ Mat นั่นเอง โดยแฮ็กเกอร์คนดังกล่าว ได้ใช้หลักการ Social Engineering หรือภาษาไทยก็คือ การโจมตีแบบวิศวกรรมสังคม หรือภาษาบ้านๆ ก็คือ การหลอกถามข้อมูลนั่นเอง ซึ่งแฮ็กเกอร์คนดังกล่าว ได้ข้ามการตอบคำถามด้านความปลอดภัยจากฝั่ง Tech Support ของ Apple ได้ จนสามารถเข้าไป remote เพื่อล้างข้อมูลบนอุปกรณ์ของ Mat Honan ทั้งหมด ทั้ง iPhone, iPad และ MacBook Air และสุดท้าย เข้าไปโพสข้อความเหยียดสีผิวบน Twitter ภายใต้ชื่อของ @Gizmodo เนื่องจากตัว Mat เชื่อมต่อบัญชี Twitter ไว้กับ Gizmodo นั่นเอง

โดย Mat ได้แจ้งความเสียหายดังกล่าวไปยัง Apple เพื่อขอให้กู้ข้อมูลบางส่วนคืนด้วย ซึ่งยังไม่รู้ผลว่า จะทำได้หรือไม่ เนื่องจากโดนลบไปจนหมดแล้ว นอกจากนี้ ยังขอให้ Apple เพิ่มมาตรการความปลอดภัยบน iCloud ให้มากขึ้นกว่า

วิธีการป้องกันการ Social Engineering มีหลักการ ดังต่อไปนี้
1.             ควรตรวจสอบเบอร์โทรศัพท์ที่ไม่คุ้นเคยมาก่อน ซึ่งอาจจะโดนถามถึงเรื่องราวข่าวสารเกี่ยวกับข้อมูล ภายในองค์กรหรือข้อมูลส่วนบุคคลของพนักงานในบริษัท ให้เราสอบถามให้ละเอียดว่าโทรมาจากบริษัทหรือองค์กรไหน ชื่อผู้ที่โทรมาว่าชื่ออะไร แล้วทำการตรวจสอบว่ามีข้อมูลของบุคคลนั้นอยู่จริงหรือไม่
2.             ห้ามให้ข่าวสารส่วนตัวหรือข่าวสารเกี่ยวกับองค์กรเด็ดขาดจนกว่าคุณจะได้รับรู้ตัวตนที่แท้จริงของ บุคคลที่ต้องการข่าวสารนั้น
3.             ไม่บอกข่าวสารส่วนตัวหรือข่าวสารทางการเงินในอีเมล์และไม่ตอบอีเมล์ที่ถาม
4.             ไม่ส่งข่าวสารที่สำคัญไปทางอินเทอร์เน็ตโดยปราศจากการตรวจสอบระดับของความปลอดภัยในการ ส่งข่าวสารของเว็บไซด์นั้น ๆ
5.             พยายามสังเกต URL ของ Web site ให้ดีเพราะ Web site ที่ประสงค์ร้ายมักจะมี URL คล้ายกันมากกับ Web site ที่มันจะหลอกลวงให้เหมือนจริง
6.             ถ้าเราไม่แน่ใจว่าอีเมล์ที่ได้รับนั้นถูกต้องตามความเป็นจริงหรือไม่ ให้ทำการตรวจสอบโดยการติดต่อ กับบริษัทที่อีเมล์นั้นกล่าวอ้างถึงโดยตรง ไม่ใช่ข่าวสารที่แสดงในอีเมล์เพื่อการติดต่อ
7.             ติดตั้งซอฟต์แวร์ไฟล์วอล์ ตัวกรองอีเมล์ให้กับระบบคอมพิวเตอร์เพื่อป้องกันอีเมล์ที่เข้ามาด้วยจุดประสงค์ร้าย
8.             System Admin. ต้องอบรมให้ความรู้แก่ User ของตัวเองเกี่ยวกับ Social Engineering
9.             พยายามทำให้ระบบคอมพิวเตอร์เป็นส่วนหนึ่งของงานทุกๆ คนไม่ว่าเขาจะใช้คอมพิวเตอร์หรือไม่ก็ตาม
ประเภทของการหลอกลวงเพื่อขโมยข้อมูลส่วนบุคคลซึ่งนำไปสู่การสูญเสียในหลายๆด้าน
1.             อีเมล์แจ้งให้เปลี่ยนพาสเวิร์ดโดยปลอมเว็บให้มีหน้าเว็บไซต์เหมือนกับธนาคาร
2.             อีเมล์แจ้งว่าเป็นผู้โชคดีได้รับรางวัลให้ กรอกข้อมูลส่วนบุคคลเพื่อยืนยัน
3.             อีเมล์แจ้งว่าเครื่องติดไวรัส ให้ทำการ Down load Program ตาม link เพื่อกำจัดไวรัส
4.             อีเมล์ ปลอมตัวเป็น หัวหน้างานอ้างว่าข้อมูลหรือบัญชีโดนล็อค เพื่อขอข้อมูล รายชื่อผู้ใช้ รหัสผ่าน เพื่อ ประสงค์ข้อมูลสารสนเทศหรือทรัพย์สิน หรือ แก้ไข โยกย้าย ข้อมูล
ประเภทการปลอมตัวเป็น ผู้มีหน้าที่รับผิดชอบ/เจ้าของ/ผู้ดูแล ในเว็บไซด์หรือ Chat room
1.             การกระทำซึ่งๆ หน้าเป็นในลักษณะของการ Chat Online
2.             การส่ง Email หลอกล่อหรือการปลอมแปลงหน้า web site (Frame – Spoofing) เพื่อหลอกเอาข้อมูล ชื่อ ผู้ใช้ รหัสผ่าน รหัสบัตรเครดิต รหัสการเข้าถึงข้อมูลที่เป็นความลับ
3.             การใช้ข่าวสารหน้าเว็บเพื่อสร้างความเชื่อถือให้กับบุคคลที่เข้ามาทำการติดต่อสื่อสาร
4.             การปั่นราคาหุ้น (Pump and Pump)
5.             การให้บริการ Download program Crack เพื่อฝังโทรจันเข้าไปในข้อมูลของคุณ
6.             สมัครสมาชิกเพื่อหวังขโมยข้อมูลส่วนบุคคล
วิธีแก้ไขเมื่อถูกกระทำโดย Social Engineering มีดังนี้
1.             ถ้าคุณคิดว่าได้เปิดเผยข้อมูลที่สำคัญเกี่ยวกับองค์กรของคุณ ให้ทำการรายงานเรื่องแก่บุคคลภายในองค์การที่มีหน้าที่จัดการเกี่ยวกับปัญหานี้ทันที
2.             ถ้าคุณคิดว่าบัญชีด้านการเงินอาจถูกเปลี่ยนแปลงหรือแก้ไขให้รีบติดต่อไปยังสถาบันการเงินของคุณและทำการปิดบัญชีนั้น ๆ และคอยสังเกตการณ์คิดค่าต่างๆ ต่อในบัญชีของคุณ
3.             ถ้าเหตุการณ์ที่เกิดขึ้นรุนแรงควรแจ้งให้เจ้าหน้าที่ตำรวจรีบจัดการโดยด่วน
4.             ถ้ารู้ว่าถูก Social Engineering และได้บอก Password ไปแล้วด้วย ให้รีบทำการเปลี่ยน Password ใหม่โดยทันที
บทสรุป



สาเหตุที่ผู้คนใช้วิธี Social Engineering มากกว่าวิธีอื่น เช่น Hack ก็เพราะว่าใช้ Social Engineering จะง่ายกว่าเพราะแค่โทรศัพท์ไปถามก็สามารถลงมือทำได้แล้ว โดยเทคนิคในด้านต่างๆ ของ Social Engineering นั้นไม่ว่าจะเป็นการแอบฟัง การดูเสมือนว่าไม่ทราบอะไร การดูน่าเชื่อถือของเจ้าหน้าที่ Social Engineering จะขึ้นอยู่กับการไม่มีความสามารถในการรู้เท่าทันวัฒนธรรมซึ่งขึ้นอยู่กับเทคโนโลยีสารสนเทศ นั่นคือ ไม่ทราบว่าข่าวสารที่รู้นั้นมีความสำคัญมาก เลยไม่ได้ระมัดระวังในการป้องกันข่าวสารนั้น จุดอ่อนที่เกิดจาก Social Engineering นี้จะเป็นการเกิดขึ้นทั่วไป เมื่อไม่รู้ หรือไม่แน่ใจว่าจะได้ข่าวสารโดยวิธี Social Engineering ก็ให้ทำท่าทางเป็นมิตรที่ดีกับผู้ที่ต้องการข่าวสารนั้นมาเพราะผู้คนทั่วๆไป มักจะเชื่อบุคคลทางโทรศัพท์และต้องการช่วย ถ้าบุคคลที่ถามนั้นทำตัวน่าเชื่อถือ และบุคคลทั่วๆไปก็มักจะตอบสนองด้วยความสุภาพต่อผู้หญิง อาจจะยกย่อง ชมเชยหรือล้อเล่นบ้างก็อาจจะช่วยผู้ถูกถามให้ใจอ่อนลง ไม่ขัดขืน ถ้าจนใจจริงๆ ก็อาจพูดว่า สับสน ช่วยหน่อยนะ” แต่ Social Engineering ที่ดีก็จะรู้ว่าควรที่จะหยุดถามข่าวสารเมื่อใดก่อนที่ผู้ถูกถามจะรู้ตัว สิ่งที่สำคัญที่สุดในการปกป้องการเกิด Social Engineering คือการไม่ให้ข่าวสารที่สำคัญแก่ใครก็ตามจนกระทั่งคุณแน่ใจแล้วว่าเขาคนนั้นคือใครก็ตามที่เขาบ่งบอกว่าเป็นและมีสิทธิ์หน้าที่ที่สามารถเข้าถึงข่าวสารเหล่านั้นให้พยายามนึกอยู่เสมอว่า คุณจ่ายเงินมากมายเพื่อซื้อเทคโนโลยีและการบริการ แต่โครงสร้างของโครงข่ายก็ยังมีจุดอ่อนต่อการถูกโจมตีเสมอ


ที่มา : 
http://www.viruscom2.com/hacker/crack-social-engineering.html
http://www.viruscom2.com/hacker/crack-social-engineering.html
http://www.it24hrs.com/2011/social-engineering/
http://mythsocial.me/2011/09/29/%E0%B8%81%E0%B8%A3%E0%B8%93%E0%B8%B5%E0%B8%A8%E0%B8%B6%E0%B8%81%E0%B8%A9%E0%B8%B2-social-engineering/
http://th.wikipedia.org/wiki/%E0%B8%A7%E0%B8%B4%E0%B8%A8%E0%B8%A7%E0%B8%81%E0%B8%A3%E0%B8%A3%E0%B8%A1%E0%B8%AA%E0%B8%B1%E0%B8%87%E0%B8%84%E0%B8%A1
http://www.techmoblog.com/apple-support-allowed-hacker-acce
http://www.javathailand.com/frontend/blog/show/317
http://type797.blogspot.com/