ในความปลอดภัยของคอมพิวเตอร์ ปัญหามากมายเกิดขึ้นแม้ว่าผู้ใช้จะพยายามอย่างเต็มที่แล้วก็ตาม ตัวอย่างเช่น คุณสามารถติดมัลแวร์จากมัลแวร์โฆษณาได้ทุกเมื่อ โชคไม่ดีจริงๆ มีขั้นตอนที่คุณสามารถทำได้เพื่อลดความเสี่ยง เช่น การใช้ตัวบล็อกโฆษณา แต่การโดนแบบนี้ไม่ใช่ความผิดของผู้ใช้ การโจมตีอื่นๆ จะเน้นไปที่การหลอกล่อให้ผู้ใช้ทำอะไรบางอย่าง การโจมตีประเภทนี้อยู่ภายใต้ร่มธงกว้างๆ ของการโจมตีแบบวิศวกรรมสังคม
วิศวกรรมสังคมเกี่ยวข้องกับการใช้การวิเคราะห์และการทำความเข้าใจวิธีที่ผู้คนจัดการกับสถานการณ์บางอย่างเพื่อจัดการกับผลลัพธ์ วิศวกรรมสังคมสามารถดำเนินการกับคนหมู่มากได้ อย่างไรก็ตาม ในแง่ของความปลอดภัยของคอมพิวเตอร์ โดยทั่วไปจะใช้กับบุคคลทั่วไป แม้ว่าอาจเป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ก็ตาม
ตัวอย่างของการจัดการทางสังคมกับกลุ่มคนอาจเป็นการพยายามทำให้ตื่นตระหนกเป็นการเบี่ยงเบนความสนใจ ตัวอย่างเช่น ทหารกำลังปฏิบัติการปักธงเท็จ หรือมีคนตะโกนว่า "ยิง" ในสถานที่พลุกพล่านแล้วขโมยของท่ามกลางความวุ่นวาย ในบางระดับ การโฆษณาชวนเชื่ออย่างง่าย การพนัน และการโฆษณาก็เป็นเทคนิควิศวกรรมทางสังคมเช่นกัน
ในด้านความปลอดภัยของคอมพิวเตอร์ การดำเนินการมักจะเป็นรายบุคคลมากกว่า ฟิชชิงพยายามโน้มน้าวให้ผู้ใช้คลิกลิงก์และป้อนรายละเอียด การหลอกลวงจำนวนมากพยายามใช้เล่ห์กลโดยอิงจากความกลัวหรือความโลภ การโจมตีแบบวิศวกรรมสังคมในการรักษาความปลอดภัยคอมพิวเตอร์สามารถเสี่ยงภัยในโลกแห่งความจริงได้ เช่น การพยายามเข้าถึงห้องเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต ที่น่าสนใจคือ ในโลกของการรักษาความปลอดภัยทางไซเบอร์ สถานการณ์สุดท้ายนี้และสถานการณ์อื่นๆ ที่คล้ายกัน มักมีความหมายเมื่อพูดถึงการโจมตีทางวิศวกรรมสังคม
วิศวกรรมสังคมที่กว้างขึ้น – ออนไลน์
ฟิชชิ่งเป็นการโจมตีประเภทหนึ่งที่พยายามสร้างเครือข่ายสังคมให้เหยื่อให้รายละเอียดแก่ผู้โจมตี การโจมตีแบบฟิชชิ่งมักจะถูกส่งมาจากระบบภายนอก เช่น ผ่านทางอีเมล ดังนั้นจึงมีจุดวิศวกรรมทางสังคมที่แตกต่างกันสองจุด ขั้นแรก พวกเขาต้องโน้มน้าวเหยื่อว่าข้อความนั้นถูกต้องและให้คลิกลิงก์ จากนั้นจะโหลดหน้าฟิชชิ่งซึ่งผู้ใช้จะถูกขอให้ป้อนรายละเอียด โดยปกติจะเป็นชื่อผู้ใช้และรหัสผ่าน สิ่งนี้ขึ้นอยู่กับอีเมลเริ่มต้นและหน้าฟิชชิ่งซึ่งทั้งคู่ดูน่าเชื่อถือมากพอที่จะทำให้ผู้ใช้ไว้วางใจได้
นักต้มตุ๋นจำนวนมากพยายามสร้างสังคมออนไลน์ให้เหยื่อยอมมอบเงินให้ การหลอกลวง "เจ้าชายแห่งไนจีเรีย" แบบคลาสสิกสัญญาว่าจะจ่ายเงินจำนวนมากหากเหยื่อสามารถจ่ายค่าธรรมเนียมล่วงหน้าได้เล็กน้อย แน่นอนว่าเมื่อเหยื่อจ่าย "ค่าธรรมเนียม" จะไม่มีการจ่ายเงินให้ การโจมตีแบบหลอกลวงประเภทอื่นๆ ทำงานบนหลักการที่คล้ายคลึงกัน โน้มน้าวให้เหยื่อทำบางสิ่ง โดยทั่วไปให้เงินหรือติดตั้งมัลแวร์ แรนซัมแวร์เป็นตัวอย่างของสิ่งนี้ด้วยซ้ำ เหยื่อจำเป็นต้องมอบเงินหรือเสี่ยงที่จะสูญเสียการเข้าถึงข้อมูลใดก็ตามที่ถูกเข้ารหัส
วิศวกรรมสังคมแบบตัวต่อตัว
เมื่อกล่าวถึงวิศวกรรมสังคมในโลกของความปลอดภัยทางไซเบอร์ โดยทั่วไปจะหมายถึงการกระทำในโลกแห่งความเป็นจริง มีสถานการณ์ตัวอย่างมากมาย หนึ่งในวิธีพื้นฐานที่สุดเรียกว่า tail-gating สิ่งนี้ลอยอยู่ข้างหลังใครบางคนมากพอที่พวกเขาเปิดประตูควบคุมการเข้าออกเพื่อให้คุณผ่านเข้าไปได้ การไล่ตามท้ายสามารถปรับปรุงได้โดยการตั้งค่าสถานการณ์ที่เหยื่ออาจช่วยคุณได้ วิธีหนึ่งคือการออกไปเที่ยวกับผู้สูบบุหรี่ข้างนอกในช่วงพักควันแล้วกลับเข้าไปข้างในกับกลุ่ม อีกวิธีหนึ่งคือการถูกมองว่าถือบางอย่างที่น่าอึดอัดใจ เทคนิคนี้มีแนวโน้มที่จะประสบความสำเร็จมากยิ่งขึ้นหากสิ่งที่คุณกำลังแบกอยู่นั้นอาจเป็นของผู้อื่น ตัวอย่างเช่น หากคุณมีถาดใส่แก้วกาแฟสำหรับ "ทีมของคุณ" ก็จะมีแรงกดดันทางสังคมให้ใครบางคนเปิดประตูให้คุณ
วิศวกรรมสังคมแบบตัวต่อตัวส่วนใหญ่ต้องอาศัยการสร้างสถานการณ์และมั่นใจในสถานการณ์นั้น ตัวอย่างเช่น วิศวกรสังคมอาจสวมรอยเป็นคนงานก่อสร้างหรือคนทำความสะอาดที่มักถูกมองข้าม การสวมรอยเป็นพลเมืองดี การมอบธัมบ์ไดรฟ์ USB ที่ "สูญหาย" อาจส่งผลให้พนักงานเสียบปลั๊ก จุดประสงค์คือการดูว่าเป็นของใคร แต่อาจทำให้ระบบติดมัลแวร์ได้
การโจมตีด้วยวิศวกรรมสังคมแบบตัวต่อตัวประเภทนี้สามารถประสบความสำเร็จอย่างมาก เพราะไม่มีใครคาดคิดว่าจะถูกหลอกเช่นนั้น อย่างไรก็ตาม พวกเขามีความเสี่ยงสูงสำหรับผู้โจมตีที่มีโอกาสถูกจับได้คาหนังคาเขา
บทสรุป
วิศวกรรมสังคมเป็นแนวคิดของการจัดการผู้คนเพื่อให้บรรลุเป้าหมาย วิธีหนึ่งเกี่ยวข้องกับการสร้างสถานการณ์ที่ดูเหมือนจริงเพื่อหลอกให้เหยื่อเชื่อ คุณยังสามารถสร้างสถานการณ์ที่มีแรงกดดันทางสังคมหรือความคาดหวังให้เหยื่อปฏิบัติตามคำแนะนำด้านความปลอดภัยมาตรฐาน อย่างไรก็ตาม การโจมตีแบบวิศวกรรมสังคมทั้งหมดอาศัยการหลอกล่อเหยื่อตั้งแต่หนึ่งรายขึ้นไปให้ดำเนินการตามที่ผู้โจมตีต้องการให้ทำ