'เฟซบุ๊ก-กูเกิล' โดนมาแล้ว เสียค่าโง่ 4 พันล้านบาท เพราะหลงกล 'วิศวกรรมสังคม'

ยักษ์ใหญ่แห่งวงการเทคโนโลยีอย่าง เฟซบุ๊ก (Facebook) และ กูเกิล(Google) เคยตกเป็นเหยื่อกลโกงรูปแบบ "Social Engineering" สูญเสียเงินรวมกว่า 120 ล้านดอลลาร์

กลโกงแบบไหนที่ร้ายกาจขนาดนี้?

กลโกงรูปแบบ Social Engineering หรือแปลเป็นไทยว่า “วิศวกรรมสังคม” เป็นศิลปะในการหลอกลวงผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน โดยใช้กลวิธีต่างๆ เช่น ปลอมตัวเป็นพนักงานบริษัท ส่งอีเมลหลอกลวง หรือสร้างเว็บไซต์ปลอม 

การโจมตีนี้จะได้ผลดีมาก เมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์ แต่ทว่าเฟซบุ๊กและกูเกิลกลับตกเป็นเหยื่อรายใหญ่ให้กับหนุ่มลิทัวเนียไปสะงั้น

บทเรียนราคาแพงจากหนุ่มลิทัวเนีย

เอวัลดาส ริมาซอกัส (Evaldas Rimasauskas) ชายชาวลิทัวเนีย กลายเป็นตัวอย่างที่ชัดเจนของการโจมตีทางวิศวกรรมสังคมที่ประสบความสำเร็จในการหลอกลวงเฟซบุ๊กและกูเกิล บริษัทเทคโนโลยีชั้นนำของโลกซึ่งมีมูลค่าความเสียหายรวมกว่า 120 ล้านดอลลาร์

อุบาย Social Engineering

ริมาซอกัส เริ่มต้นด้วยการสร้างหุ่นจำลอง คือ บริษัทผลิตคอมพิวเตอร์ที่ถูกกฎหมาย ซึ่งทั้ง Facebook และ Google ไว้วางใจให้บริษัทปลอมนี้ทำหน้าที่เป็นตัวกลางระหว่าง ริมาซอกัสและบริษัทเทคโนโลยี

โดยริมาซอกัสได้เปิดบัญชีธนาคารหลายบัญชีในชื่อบริษัทผ่านบริษัทปลอม จากนั้นใช้เวลาสองปีในการจัดทำใบแจ้งหนี้ปลอมสำหรับสินค้าและบริการที่บริษัทผู้ผลิตจัดเตรียมให้แต่ละบริษัทจริงๆ แต่เปลี่ยนเส้นทางการชำระเงินไปยังบัญชีธนาคารของเขา

ความสำเร็จที่น่าตกใจ

แผนการของริมาซอกัส  นั้นแยบยลและซับซ้อนจนประสบความสำเร็จอย่างน่าตกใจ ระหว่างปี 2556 ถึง 2558 สามารถขโมยเงินได้มากกว่า 100 ล้านดอลลาร์จากแต่ละบริษัท 

แต่ทว่า เฟซบุ๊กได้สังเกตเห็นความผิดปกติในกิจกรรมการชำระเงิน โดยที่ใบแจ้งหนี้จากบริษัทผู้ผลิตคอมพิวเตอร์ปลอมเริ่มมีจำนวนมากขึ้น และดูเหมือนว่าบริษัทจะเรียกเก็บเงินสำหรับบริการที่ไม่ได้เกิดขึ้น

จนกระทั่งทั้ง 2 บริษัทต้องร่วมมือกัน โดยเฟซบุ๊กแจ้งกูเกิลเกี่ยวกับความกังวลกับบริษัทปลอมแห่งนี้ และทั้งสองบริษัทก็เริ่มทำงานร่วมกันเพื่อระบุตัวผู้กระทำผิด การสืบสวนนำไปสู่การจับกุมชายชาวลิทัวเนียที่อยู่เบื้องหลังบริษัทปลอมและใบแจ้งหนี้ปลอม พบหลักฐานบนคอมพิวเตอร์ของเขาที่เชื่อมโยงเขากับการโจมตี และเขาก็ถูกจับกุมในปี 2558  

ริมาซอกัส ชถูกตัดสินจำคุก 7 ปีในปี 2560 และถูกสั่งให้ชดใช้เงินกว่า 120 ล้านดอลลาร์ที่เขาขโมยมาจาก FacebookและGoogle

บทเรียนราคาแพง

เหตุการณ์เหล่านี้สะท้อนให้เห็นว่า แม้แต่บริษัทขนาดใหญ่ที่มีระบบรักษาความปลอดภัยที่เข้มงวด ก็ยังมีความเสี่ยงที่จะตกเป็นเหยื่อกลโกงรูปแบบ Social Engineering สิ่งสำคัญคือ พนักงานทุกระดับควรได้รับการอบรมให้ตระหนักถึงกลโกงรูปแบบนี้ และรู้วิธีป้องกันตนเอง

วิธีป้องกัน Social Engineering

• อย่าเปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน ให้กับใครก็ตาม
• ตรวจสอบความถูกต้อง ของอีเมล เว็บไซต์ และผู้ติดต่อก่อนคลิกลิงก์หรือดาวน์โหลดไฟล์
• ติดตั้งซอฟต์แวร์ป้องกันไวรัส และรักษาให้เป็นปัจจุบัน
• ระวังอีเมลหลอกลวง ที่ปลอมตัวเป็นบริษัทหรือองค์กรที่น่าเชื่อถือ
• แจ้งหัวหน้างาน ทันทีหากพบอีเมลหรือข้อความที่น่าสงสัย

"วิศวกรรมสังคม”น่ากลัวกว่าที่คิด

90% ของการละเมิดข้อมูลทั้งหมดมาจากกลยุทธ์ "วิศวกรรมสังคม" ไม่รูปแบบใดรูปแบบหนึ่ง และมีเหตุการณ์แบบนี้เพิ่มขึ้นอย่างรวดเร็ว

IBM รายงานว่า ในปี 2565 หลายองค์กรในสหรัฐอเมริกาต้องสูญเสียเงินเฉลี่ย 344 ล้านบาท ไปกับการถูกละเมิดข้อมูลด้วยกลอุบายของ"วิศวกรรมสังคม"

อ้างอิง chargebacks911.com 

คำแถลงปฏิเสธความรับผิดชอบ: ลิขสิทธิ์ของบทความนี้เป็นของผู้เขียนต้นฉบับ การเผยแพร่ซ้ำบทความนี้มีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำในการลงทุน หากมีการละเมิดกรุณาติดต่อเราทันที เราจะทำการแก้ไขหรือลบตามความเหมาะสม ขอบคุณ