'เฟซบุ๊ก-กูเกิล' โดนมาแล้ว เสียค่าโง่ 4 พันล้านบาท เพราะหลงกล 'วิศวกรรมสังคม'
ระวังกลลวงจากโลกออนไลน์ "เฟซบุ๊กและกูเกิล" ก็ไม่รอด! เคยหลงกล "วิศวกรรมสังคม" เสียค่าโง่กว่า 4.3 พันล้านบาทให้กับบริษัทปลอม จนต้องร่วมมือกับจับกุมแฮกเกอร์หนุ่มจากลิทัวเนีย
KEY
POINTS
- 2 ยักษ์ใหญ่แห่งวงการเทคโนโลยี ก็เคยโดน "Social Engineering" มาแล้ว
- แผนการอันแยบยลของแฮกเกอร์หนุ่มชาวลิทัวเนีย หลอกลวงเฟซบุ๊กและกูเกิล เสียหายมากกว่า 120 ล้านดอลลาร์
- Social Engineering น่ากลัวกว่าที่คิด อย่าเปิดเผยข้อมูลส่วนตัวจนถูกขโมยข้อมูล
ระวังกลลวงจากโลกออนไลน์ "เฟซบุ๊กและกูเกิล" ก็ไม่รอด! เคยหลงกล "วิศวกรรมสังคม" เสียค่าโง่กว่า 4.3 พันล้านบาทให้กับบริษัทปลอม จนต้องร่วมมือกับจับกุมแฮกเกอร์หนุ่มจากลิทัวเนีย
ยักษ์ใหญ่แห่งวงการเทคโนโลยีอย่าง เฟซบุ๊ก (Facebook) และ กูเกิล(Google) เคยตกเป็นเหยื่อกลโกงรูปแบบ "Social Engineering" สูญเสียเงินรวมกว่า 120 ล้านดอลลาร์
กลโกงแบบไหนที่ร้ายกาจขนาดนี้?
กลโกงรูปแบบ Social Engineering หรือแปลเป็นไทยว่า “วิศวกรรมสังคม” เป็นศิลปะในการหลอกลวงผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน โดยใช้กลวิธีต่างๆ เช่น ปลอมตัวเป็นพนักงานบริษัท ส่งอีเมลหลอกลวง หรือสร้างเว็บไซต์ปลอม
การโจมตีนี้จะได้ผลดีมาก เมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์ แต่ทว่าเฟซบุ๊กและกูเกิลกลับตกเป็นเหยื่อรายใหญ่ให้กับหนุ่มลิทัวเนียไปสะงั้น
บทเรียนราคาแพงจากหนุ่มลิทัวเนีย
เอวัลดาส ริมาซอกัส (Evaldas Rimasauskas) ชายชาวลิทัวเนีย กลายเป็นตัวอย่างที่ชัดเจนของการโจมตีทางวิศวกรรมสังคมที่ประสบความสำเร็จในการหลอกลวงเฟซบุ๊กและกูเกิล บริษัทเทคโนโลยีชั้นนำของโลกซึ่งมีมูลค่าความเสียหายรวมกว่า 120 ล้านดอลลาร์
อุบาย Social Engineering
ริมาซอกัส เริ่มต้นด้วยการสร้างหุ่นจำลอง คือ บริษัทผลิตคอมพิวเตอร์ที่ถูกกฎหมาย ซึ่งทั้ง Facebook และ Google ไว้วางใจให้บริษัทปลอมนี้ทำหน้าที่เป็นตัวกลางระหว่าง ริมาซอกัสและบริษัทเทคโนโลยี
โดยริมาซอกัสได้เปิดบัญชีธนาคารหลายบัญชีในชื่อบริษัทผ่านบริษัทปลอม จากนั้นใช้เวลาสองปีในการจัดทำใบแจ้งหนี้ปลอมสำหรับสินค้าและบริการที่บริษัทผู้ผลิตจัดเตรียมให้แต่ละบริษัทจริงๆ แต่เปลี่ยนเส้นทางการชำระเงินไปยังบัญชีธนาคารของเขา
ความสำเร็จที่น่าตกใจ
แผนการของริมาซอกัส นั้นแยบยลและซับซ้อนจนประสบความสำเร็จอย่างน่าตกใจ ระหว่างปี 2556 ถึง 2558 สามารถขโมยเงินได้มากกว่า 100 ล้านดอลลาร์จากแต่ละบริษัท
แต่ทว่า เฟซบุ๊กได้สังเกตเห็นความผิดปกติในกิจกรรมการชำระเงิน โดยที่ใบแจ้งหนี้จากบริษัทผู้ผลิตคอมพิวเตอร์ปลอมเริ่มมีจำนวนมากขึ้น และดูเหมือนว่าบริษัทจะเรียกเก็บเงินสำหรับบริการที่ไม่ได้เกิดขึ้น
จนกระทั่งทั้ง 2 บริษัทต้องร่วมมือกัน โดยเฟซบุ๊กแจ้งกูเกิลเกี่ยวกับความกังวลกับบริษัทปลอมแห่งนี้ และทั้งสองบริษัทก็เริ่มทำงานร่วมกันเพื่อระบุตัวผู้กระทำผิด การสืบสวนนำไปสู่การจับกุมชายชาวลิทัวเนียที่อยู่เบื้องหลังบริษัทปลอมและใบแจ้งหนี้ปลอม พบหลักฐานบนคอมพิวเตอร์ของเขาที่เชื่อมโยงเขากับการโจมตี และเขาก็ถูกจับกุมในปี 2558
ริมาซอกัส ชถูกตัดสินจำคุก 7 ปีในปี 2560 และถูกสั่งให้ชดใช้เงินกว่า 120 ล้านดอลลาร์ที่เขาขโมยมาจาก FacebookและGoogle
บทเรียนราคาแพง
เหตุการณ์เหล่านี้สะท้อนให้เห็นว่า แม้แต่บริษัทขนาดใหญ่ที่มีระบบรักษาความปลอดภัยที่เข้มงวด ก็ยังมีความเสี่ยงที่จะตกเป็นเหยื่อกลโกงรูปแบบ Social Engineering สิ่งสำคัญคือ พนักงานทุกระดับควรได้รับการอบรมให้ตระหนักถึงกลโกงรูปแบบนี้ และรู้วิธีป้องกันตนเอง
วิธีป้องกัน Social Engineering
- อย่าเปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน ให้กับใครก็ตาม
- ตรวจสอบความถูกต้อง ของอีเมล เว็บไซต์ และผู้ติดต่อก่อนคลิกลิงก์หรือดาวน์โหลดไฟล์
- ติดตั้งซอฟต์แวร์ป้องกันไวรัส และรักษาให้เป็นปัจจุบัน
- ระวังอีเมลหลอกลวง ที่ปลอมตัวเป็นบริษัทหรือองค์กรที่น่าเชื่อถือ
- แจ้งหัวหน้างาน ทันทีหากพบอีเมลหรือข้อความที่น่าสงสัย
"วิศวกรรมสังคม”น่ากลัวกว่าที่คิด
90% ของการละเมิดข้อมูลทั้งหมดมาจากกลยุทธ์ "วิศวกรรมสังคม" ไม่รูปแบบใดรูปแบบหนึ่ง และมีเหตุการณ์แบบนี้เพิ่มขึ้นอย่างรวดเร็ว
IBM รายงานว่า ในปี 2565 หลายองค์กรในสหรัฐอเมริกาต้องสูญเสียเงินเฉลี่ย 344 ล้านบาท ไปกับการถูกละเมิดข้อมูลด้วยกลอุบายของ"วิศวกรรมสังคม"
อ้างอิง chargebacks911.com
