9 กลวิธีที่แฮกเกอร์ชอบใช้ในการโจมตีจุดอ่อนของมนุษย์ | ทนุสิทธิ์ สกุณวัฒน์

ดังนั้นในการป้องกันภัยไซเบอร์ จึงไม่ควรจบที่การป้องกันด้านเทคโนโลยีเท่านั้น แต่ควรพิจารณาความท้าทายด้านสังคมและพฤติกรรมของพวกเราให้มากยิ่งขึ้น ความผิดพลาด ความบกพร่อง ที่เกิดจากการตัดสินใจบางอย่างของเราอันเกิดจากอคติทางความคิด (Cognitive Biases) ซึ่งมีเป็นร้อย ๆ แบบ

เป็นจุดที่บรรดาแฮกเกอร์รู้และนำมาใช้โจมตี และมักประสบผลสำเร็จเสมอไม่ว่าบุคคลนั้นจะมีความรู้ด้านเทคโนโลยีขนาดไหนก็ตาม

ดังนั้น การรู้เท่าทันและการสร้างเกราะป้องกันตัวเอง (Human Firewall) จะสามารถบรรเทาและลดความเสี่ยงจากภัยไซเบอร์ลงไปได้มาก บทความนี้จะขอนำการศึกษาของ KnowBe4** ถึงอัคติทางความคิด 9 แบบที่บรรดาแฮกเกอร์ใช้มากที่สุดมาเล่าสูกันฟัง

ย้อนไปเมื่อปีพ.ศ. 2513 แขนงเศรษฐศาสตร์พฤติกรรม (Behavioral Economics) ได้ศึกษาถึงผลทางด้านจิตวิทยา ความรู้ความเข้าใจ อารมณ์ วัฒธรรม และปัจจัยทางสังคมที่ส่งผลต่อการตัดสินใจของบุคคลและองค์กร เริ่มเป็นที่แพร่หลาย

แขนงวิชาจิตวิทยาการรู้คิด (Cognitive Psychology) มีการพัฒนาไปอย่างรวดเร็ว โดยมีหลักฐานเชิงประจักษ์ว่า ภายใต้สถานการณ์บางอย่างการตัดสินใจของมนุษย์ จะเบี่ยงเบนออกไปจากปรกติวิสัยที่ใช้เหตุและผลประกอบ

เป็นการค้นพบอคติทางความคิด (Cognitive Biases) มากมายหลายรูปแบบ และโยงมาถึงงานวิจัยที่ทำให้เราสามารถเข้าใจได้ว่า ทำไมพนักงานขององค์กรจึงตกเป็นเหยื่อ เป็นช่องทางให้เกิดภัยคุกคามทางไซเบอร์ได้อย่างง่ายดาย

อคติทางความคิดเกิดจากกลไกทางสมองของมนุษย์ ด้วยจิตใต้สำนึกจะหาช่องทางลัดในการประมวลผล เพื่อตัดสินใจในการกระทำ ส่งผลต่อแนวคิด ความเชื่อ และพฤติกรรมของเราที่อาจจะไม่สะท้อนข้อเท็จจริงหรือตรรกะเหตุผลใด ๆ (คำอุทานที่เราเจอประจำคือ “ไม่อยากจะเชื่อเลยว่าเขาคิดแบบนั้น”)

แฮกเกอร์จึงสามารถนำเอาอคติทางความคิดมาเบี่ยงเบนการตัดสินใจของเรา โดยสร้างข้อมูลมาชี้นำ หรือหลอกให้เราตกหลุมพราง (Deception) และกระทำตามที่แฮกเกอร์วางแผนออกแบบไว้ เช่นการกดลิงค์ การเปิดแฟ้มข้อมูล หรืออื่น ๆ

อคติทางความคิด 9 แบบที่แฮกเกอร์นำมาใช้บ่อยและประสบผลสำเร็จโดยสังเขป ได้แก่
1. Hyperbolic Discounting – อคติความโน้มเอียงที่จะรับรางวัล (ของล่อใจ) ในทันที มากกว่ารอ แม้ว่ารางวัลนั้นจะน้อยกว่า ข้อความที่แฮกเกอร์ใช้ “กดรับคูปองส่วนลด 50% ได้ทันที”
2. Habit – อคติที่เหยื่อจะกระทำสิ่งต่าง ๆ เป็นนิสัยด้วยความเคยชิน แฮกเกอร์อาจส่ง email มาทุกวันว่า “แนบรายงานประจำวันมาด้วยแล้ว”
3. Recency Effect – อคติความโน้มเอียงที่เราจะจำข้อมูลหรือเหตุการณ์ที่เพิ่งเกิดขึ้นไม่นานได้ดีกว่า ดังนั้นแฮกเกอร์จะใช้ข้อความที่เกี่ยวเนื่องกับปัจจุบันมาใช้ เช่น “กดลงทะเบียนเลือกตั้งล่วงหน้าได้ที่นี่”
4. Halo Effect – อคติที่เกิดจากรูปลักษณ์ภายนอก (นักโฆษณาจึงนิยมใช้ Brand Ambassador)  แฮกเกอร์จะอ้างบุคคลหรือองค์กรที่มีชื่อเสียงน่าเชื่อถือมาหลอกล่อ – “กดดูข้อมูลเตือนภัย PM2.5 จากกระทรวงสาธารณสุข”
5. Loss Aversion – อคติที่บุคคลหลีกเลี่ยงการสูญเสียมากกว่าการได้รับประโยชน์ ข้อความเช่น “โปรดโอนเงินผ่านช่องทางนี้ทันทีก่อนเราคิดค่าปรับการจ่ายเงินล่าช้า”
6. Ostrich Effect – อคติที่จะปกปิดความผิด (เหมือนนกกระจอกเทศเอาหัวมุดลงทราย) ข้อความเช่น “เครื่องคุณติดไวรัส กดที่นี่เพื่อล้างไวรัสทันที”
7. Authority Bias – อคติที่คนมีแนวโน้มจะเห็นด้วยกับบุคคลที่ตำแหน่งสูงกว่า ข้อความเช่น “จาก CEO นะ ขอให้ส่งรายงานทางการเงินมาด่วน”
8. Optimism Bias – อคติที่เราประเมินโอกาสของเหตุการณ์เชิงบวกสูงกว่าเหตุการ์เชิงลบ ข้อความเช่น “นำเสนอโอกาสตำแหน่งงานที่มีรายได้สูงกว่า รายละเอียดในแฟ้มข้อมูลที่แนบมา”
9. Curiosity Effect – หรืออีกชื่อหนึ่งว่า Pandora Effect จากงานวิจัยที่ว่ามนุษย์จะพยายามลดความกังวลจากความไม่แน่นอน ถึงแสวงหาแนวทางใด ๆ แม้ว่าอาจได้รับผลทางลบ “สำหรับผู้เป็นมะเร็ง นี้คือแนวทางออกที่พิสูจน์แล้ว กดดูรายละเอียด”

ทั้งนี้ biases ทั้ง 9 แบบจะเกิดขึ้นหลังจากแฮกเกอร์ทำขั้นตอนแรกของ Cyber Kill Chain คือการสำรวจตรวจตรา (Reconnaissance) เหยื่อ (High Profile Target)ที่ตกเป็นเป้าหมายเป็นอย่างดี จนค้นพบจุดอ่อนของเรา และเลือกใช้อคติทางความคิดที่เหมาะสมสามารถเจาะจุดอ่อนเราได้ง่าย

ทั้งนี้การโจมตีแบบสุ่มในอดีตลดลงไปเยอะแล้ว เพราะเป้าหมายขององค์กรอาชญากรรม (Criminals) ที่มุ่งเป้าทางการเงิน รวมถึงนักรบไซเบอร์ (State-Sponsored APT Groups) ได้ปรับเปลี่ยนแปลงรูปแบบไปมาก และประสบผลสำเร็จได้มากขึ้นเสียด้วย

อคติทางความคิดดังกล่าวข้างต้นเป็นจุดอ่อนตามธรรมชาติประจำตัวมนุษย์ทุกคน แต่เรายังพอมีทางออกในการบรรเทาและลดผลกระทบจากการถูกโจมตีผ่านจุดอ่อนนี้

จากผลงานของนักเศรษฐศาสตร์เชิงพฤติกรรม ผู้ได้รับรางวัลโนเบล Richard Thaler แห่งมหาวิทยาลัยชิคาโก แสดงให้เห็นว่า โครงสร้างการตัดสินใจและพฤติกรรมของมนุษย์สามารถปรับเปลี่ยนได้จากการะบวนการ “subtle nudges” (การสะกิดเบา ๆ)

ในแนวทางของการป้องกันภัยไซเบอร์ “การสะกิดเบา ๆ” นี้สามารถกระทำผ่านกระบวนการสร้างการตระหนักรู้และการเรียนรู้อย่างสม่ำเสมอ (awareness training program) รวมถึงระบบการให้คำแนะนำแบบเวลาจริง (real-time coaching) สำหรับบุคคลที่เผลอเรอละเมิดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือมีพฤติกรรมเสี่ยง ๆ

เช่น เราจะเห็นการตั้งรหัสผ่านของ software สมัยใหม่จะมี password strength meter บอกให้ทราบว่ารหัสผ่านที่เราตั้งเป็นสีแดง เหลือง เขียว ตามลำดับความยากง่ายต่อการถูกถอดรหัส (real-time feedback) แทนการแจ้งลอย ๆ ว่าควรยาวไม่น้อยกว่า 8 ตัวอักษรพร้อมมีอักษรใหญ่เล็ก อักขระพิเศษ

หรือแม้กระทั้งหากเราเผอไปกดลิงค์แม้ว่าระบบ endpoint protection จะตรวจเจอและป้องกันได้ แต้ถ้าหากมีระบบ real-time coaching เปิดขึ้นมาแนะนำเราเพิ่มเติมได้ทันที เราก็จะถูกตอกย้ำไม่ให้กระทำพฤติกรรมเสี่ยง ๆ เหล่านั้นอย่างได้ผลดีขึ้นนั่นเอง
Reference: 
* Verizon’s 2022 Data Breaches Investigations Report
** 9 Cognitive Biases Hackers Exploit the Most, KnowBe4