Page 43 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 43
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 3 การป้ องกันการเจาะระบบ
3.2 ประวัติของการรักษาความมั่นคงปลอดภัย
การโจมตีมีอยู่หลายรูปแบบ ซึ่งต่อไปนี้จะเป็นรูปแบบของการโจมตีที่
มักพบเห็นหรือได้ยินอยู่เป็นประจํา
3.2.1 วิศวกรรมสังคม (Social Engineering)
การโจมตีแบบวิศวกรรมสังคม คือ ปฏิบัติการทางจิตวิทยาซึ่งเป็นวิธีที่
เรียบง่ายที่สุดในการโจมตี เนื่องจากไม่จําเป็นต้องใช้ความรู้ความชํานาญเกี่ยวกับ
คอมพิวเตอร์มากนัก และส่วนใหญ่จะใช้ได้ผลดี การโจมตีแบบวิศวกรรมสังคมจะ
เกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าถึงระบบ เช่น การหลอกถามรหัสผ่าน การ
หลอกให้ส่งข้อมูลที่สําคัญให้ เป็นต้น วิศวกรรมสังคมถือเป็นจุดอ่อนที่ป ้ องกันยากเพราะ
เกี่ยวข้องกับคน
การโจมตีแบบวิศวกรรมสังคมโดยส่วนใหญ่จะใช้โทรศัพท์ถามข้อมูลโดยหลอก
ว่าตนเป็นผู้ที่ได้รับอนุญาตหรือเป็นผู้มีอํานาจ อีกวิธีหนึ่งก็โดยการค้นหาข้อมูลจากถัง
ขยะ (Dumpster Diving) เพื่อค้นหาข้อมูลจากเอกสารที่ถูกทิ้งแล้ว ซึ่งในนั้นอาจมีคู่มือ
การใช้งาน รหัสผ่านที่เขียนไว้ในเศษกระดาษ เป็นต้น อีกวิธีหนึ่งคือ ฟิสชิ่ง (Phising)
ซึ่งทําโดยการส่งอีเมลเพื่อหลอกให้ส่งข้อมูลให้โดยหลอกว่ามาจากผู้ที่ได้รับอนุญาต ดัง
watermark
รูปที่ 3.1 ยกตัวอย่างเช่น ผู้โจมตีอาจส่งอีเมลและบอกว่ามาจากองค์กรที่ถูกกฎหมาย
แล้วหลอกให้คลิกเข้าไปยังเว็บไซต์อื่น แทนที่จะไปเว็บไซต์จริงๆ แต่กลับเป็นเว็บไซต์
หลอกที่มีหน้าตาเหมือนเว็บไซต์จริง ผู้ใช้จะถูกถามให้กรอกชื่อผู้ใช้ และรหัสผ่านเพื่อ
ยืนยันเจ้าของบัญชีธนาคาร หรือข้อมูลเกี่ยวกับบัตรเครดิต ซึ่งผู้โจมตีก็จะได้ข้อมูลนั้นไป
การป้ องกันวิศวกรรมสังคมสามารถทําได้สองทาง วิธีแรกก็โดยการทําให้องค์กร
มีขั้นตอนการปฏิบัติที่เข้มงวด หรือนโยบายที่เข้มงวดเกี่ยวกับการบอกรหัสผ่านให้กับคน
อื่นทราบ ส่วนอีกวิธีหนึ่งก็โดยการจัดให้มีการอบรมพนักงานเกี่ยวกับนโยบาย และการ
บังคับให้เป็นไปตามนโยบายการรักษาความปลอดภัย อย่างไรก็ตาม Web Browser รุ่น
ใหม่ส่วนใหญ่ในปัจจุบันมักที่ฟังก์ชันในการป้ องกัน Phising อยู่ด้วย โดยใช้การ
เปรียบเทียบระหว่าง Hyper Link ที่ผู้ใช้คลิกเลือก (ไม่ใช่เว็บไซต์ที่เชื่อมไป) กับ IP
35
