'เฟซบุ๊ก-กูเกิล' โดนมาแล้ว เสียค่าโง่ 4 พันล้านบาท เพราะหลงกล 'วิศวกรรมสังคม'
ระวังกลลวงจากโลกออนไลน์ "เฟซบุ๊กและกูเกิล" ก็ไม่รอด! เคยหลงกล "วิศวกรรมสังคม" เสียค่าโง่กว่า 4.3 พันล้านบาทให้กับบริษัทปลอม จนต้องร่วมมือกับจับกุมแฮกเกอร์หนุ่มจากลิทัวเนีย
KEY
POINTS
- 2 ยักษ์ใหญ่แห่งวงการเทคโนโลยี ก็เคยโดน "Social Engineering" มาแล้ว
- แผนการอันแยบยลของแฮกเกอร์หนุ่มชาวลิทัวเนีย หลอกลวงเฟซบุ๊กและกูเกิล เสียหายมากกว่า 120 ล้านดอลลาร์
- Social Engineering น่ากลัวกว่าที่คิด อย่าเปิดเผยข้อมูลส่วนตัวจนถูกขโมยข้อมูล
ยักษ์ใหญ่แห่งวงการเทคโนโลยีอย่าง เฟซบุ๊ก (Facebook) และ กูเกิล(Google) เคยตกเป็นเหยื่อกลโกงรูปแบบ "Social Engineering" สูญเสียเงินรวมกว่า 120 ล้านดอลลาร์
กลโกงแบบไหนที่ร้ายกาจขนาดนี้?
กลโกงรูปแบบ Social Engineering หรือแปลเป็นไทยว่า “วิศวกรรมสังคม” เป็นศิลปะในการหลอกลวงผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน โดยใช้กลวิธีต่างๆ เช่น ปลอมตัวเป็นพนักงานบริษัท ส่งอีเมลหลอกลวง หรือสร้างเว็บไซต์ปลอม
การโจมตีนี้จะได้ผลดีมาก เมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์ แต่ทว่าเฟซบุ๊กและกูเกิลกลับตกเป็นเหยื่อรายใหญ่ให้กับหนุ่มลิทัวเนียไปสะงั้น
บทเรียนราคาแพงจากหนุ่มลิทัวเนีย
เอวัลดาส ริมาซอกัส (Evaldas Rimasauskas) ชายชาวลิทัวเนีย กลายเป็นตัวอย่างที่ชัดเจนของการโจมตีทางวิศวกรรมสังคมที่ประสบความสำเร็จในการหลอกลวงเฟซบุ๊กและกูเกิล บริษัทเทคโนโลยีชั้นนำของโลกซึ่งมีมูลค่าความเสียหายรวมกว่า 120 ล้านดอลลาร์
อุบาย Social Engineering
ริมาซอกัส เริ่มต้นด้วยการสร้างหุ่นจำลอง คือ บริษัทผลิตคอมพิวเตอร์ที่ถูกกฎหมาย ซึ่งทั้ง Facebook และ Google ไว้วางใจให้บริษัทปลอมนี้ทำหน้าที่เป็นตัวกลางระหว่าง ริมาซอกัสและบริษัทเทคโนโลยี
โดยริมาซอกัสได้เปิดบัญชีธนาคารหลายบัญชีในชื่อบริษัทผ่านบริษัทปลอม จากนั้นใช้เวลาสองปีในการจัดทำใบแจ้งหนี้ปลอมสำหรับสินค้าและบริการที่บริษัทผู้ผลิตจัดเตรียมให้แต่ละบริษัทจริงๆ แต่เปลี่ยนเส้นทางการชำระเงินไปยังบัญชีธนาคารของเขา
ความสำเร็จที่น่าตกใจ
แผนการของริมาซอกัส นั้นแยบยลและซับซ้อนจนประสบความสำเร็จอย่างน่าตกใจ ระหว่างปี 2556 ถึง 2558 สามารถขโมยเงินได้มากกว่า 100 ล้านดอลลาร์จากแต่ละบริษัท
แต่ทว่า เฟซบุ๊กได้สังเกตเห็นความผิดปกติในกิจกรรมการชำระเงิน โดยที่ใบแจ้งหนี้จากบริษัทผู้ผลิตคอมพิวเตอร์ปลอมเริ่มมีจำนวนมากขึ้น และดูเหมือนว่าบริษัทจะเรียกเก็บเงินสำหรับบริการที่ไม่ได้เกิดขึ้น
จนกระทั่งทั้ง 2 บริษัทต้องร่วมมือกัน โดยเฟซบุ๊กแจ้งกูเกิลเกี่ยวกับความกังวลกับบริษัทปลอมแห่งนี้ และทั้งสองบริษัทก็เริ่มทำงานร่วมกันเพื่อระบุตัวผู้กระทำผิด การสืบสวนนำไปสู่การจับกุมชายชาวลิทัวเนียที่อยู่เบื้องหลังบริษัทปลอมและใบแจ้งหนี้ปลอม พบหลักฐานบนคอมพิวเตอร์ของเขาที่เชื่อมโยงเขากับการโจมตี และเขาก็ถูกจับกุมในปี 2558
ริมาซอกัส ชถูกตัดสินจำคุก 7 ปีในปี 2560 และถูกสั่งให้ชดใช้เงินกว่า 120 ล้านดอลลาร์ที่เขาขโมยมาจาก FacebookและGoogle
บทเรียนราคาแพง
เหตุการณ์เหล่านี้สะท้อนให้เห็นว่า แม้แต่บริษัทขนาดใหญ่ที่มีระบบรักษาความปลอดภัยที่เข้มงวด ก็ยังมีความเสี่ยงที่จะตกเป็นเหยื่อกลโกงรูปแบบ Social Engineering สิ่งสำคัญคือ พนักงานทุกระดับควรได้รับการอบรมให้ตระหนักถึงกลโกงรูปแบบนี้ และรู้วิธีป้องกันตนเอง
วิธีป้องกัน Social Engineering
- อย่าเปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลทางการเงิน ให้กับใครก็ตาม
- ตรวจสอบความถูกต้อง ของอีเมล เว็บไซต์ และผู้ติดต่อก่อนคลิกลิงก์หรือดาวน์โหลดไฟล์
- ติดตั้งซอฟต์แวร์ป้องกันไวรัส และรักษาให้เป็นปัจจุบัน
- ระวังอีเมลหลอกลวง ที่ปลอมตัวเป็นบริษัทหรือองค์กรที่น่าเชื่อถือ
- แจ้งหัวหน้างาน ทันทีหากพบอีเมลหรือข้อความที่น่าสงสัย
"วิศวกรรมสังคม”น่ากลัวกว่าที่คิด
90% ของการละเมิดข้อมูลทั้งหมดมาจากกลยุทธ์ "วิศวกรรมสังคม" ไม่รูปแบบใดรูปแบบหนึ่ง และมีเหตุการณ์แบบนี้เพิ่มขึ้นอย่างรวดเร็ว
IBM รายงานว่า ในปี 2565 หลายองค์กรในสหรัฐอเมริกาต้องสูญเสียเงินเฉลี่ย 344 ล้านบาท ไปกับการถูกละเมิดข้อมูลด้วยกลอุบายของ"วิศวกรรมสังคม"
อ้างอิง chargebacks911.com