การดักฟังข้อมูล (sniffing หรือ eavesdropping) วิธีการที่ง่ายที่สุดในการขโมยข้อมูลคือการแอบดักฟังการสนทนา อาจจะเป็นการแอบดักฟังเสียงคนคุยกันหรือทางโทรศัพท์ รวมไปถึงการดักฟังข้อมูลที่ถูกส่งอยู่ในระบบเครือข่าย แต่แท้จริงแล้วการดักฟังนี้เป็นเหมือนดาบสองคม กล่าวคือถ้าหากเจ้าหน้าที่ดูแลระบบเครือข่ายใช้ก็อาจจะมีวัตถุประสงค์เพื่อตรวจสอบหาความผิดปกติที่เกิดขึ้นภายระบบเครือข่ายของตัวเองได้ แต่หากเป็นอาชญากรแล้วก็อาจจะใช้เทคนิคนี้ในการล้วงดูข้อมูลที่เหยื่อส่งในระบบเครือข่ายก็ได้ ซึ่งทำให้เหยื่ออาจจะสูญเสียรหัสผ่าน ข้อมูลส่วนบุคคลต่างๆ หรือแม้กระทั่งทราบว่าเหยื่อกำลังทำอะไรอยู่ในระบบเครือข่ายได้
รูปที่ 1 แสดงเครื่องมือที่ใช้ในการดักฟังข้อมูลทางระบบเครือข่าย
แบบทั้งที่เป็นซอฟต์แวร์และฮาร์ดแวร์
การปลอมตัวเพื่อขโมยข้อมูล (social engineering) วิธีการปลอมตัวแบบ Social Engineering นี้เป็นเทคนิคค่อนข้างสูง ซึ่งอาชญากรจะต้องปลอมตัวเป็นบุคคลากรขององค์กรที่จะต้องทำให้คนอื่นๆในองค์กรไม่สงสัย และไม่ทันระวังตัว เช่น อาจจะปลอมตัวเป็นพนักงานขององค์กรนั้น พนักงานทำความสะอาด หรือแม้กระทั่งพนักงานซ่อมคอมพิวเตอร์ เป็นต้น เพื่อที่สามารถเข้าถึงข้อมูลต่างๆภายในองค์กรนั้นๆได้อย่างง่ายดาย เช่นในบางกรณีของการปลอมเป็นช่างซ่อมคอมพิวเตอร์แล้วขอรหัสผ่านของเซิร์ฟเวอร์โดยหลอกว่าจะใช้นำไปเพื่อเปิดเครื่องเพื่อซ่อมแซมเซิร์ฟเวอร์ต่อไป หรือการปลอมตัวเป็นพนักงานทำความสะอาดที่ซึ่งสามารถเดินเข้าออกภายในห้องสำนักงานต่างๆได้ เป็นต้น มีภาพยนตร์เรื่อง "Catch me if you can" ที่อธิบายถึงการปลอมตัวแบบ Social Engineering ได้อย่างดี ซึ่งตัวเอกของเรื่องปลอมตัวเป็นบุคคลสายอาชีพต่างๆ เช่นนักบิน แพทย์ และพนักงานธนาคาร เป็นต้น ดังรูปที่ 2
รูปที่ 2 ภาพจากภาพยนตร์เรื่อง "Catch me if you can" ในฉากที่ตัวเอกปลอมตัวเป็นนักบิน
ภาพประกอบจาก http://www.virginmedia.com/
ฟิชชิง (phishing) เป็นเทคนิคการหลอกลวงโดยอาชญากรจะสร้างหน้าเว็บปลอมของธนาคาร สถาบันการเงิน หรือร้านค้าออนไลน์ขึ้นมา โดยหน้าเว็บดังกล่าวมีความคล้ายคลึงกับเว็บต้นฉบับอย่างมาก จนบางครั้งถ้าไม่สังเกตให้ดีก็จะไม่เห็นความแตกต่าง หลังจากนั้นเหล่าอาชญากรจะส่งอีเมล์สแปมให้เหยื่อบอกว่าบัญชีของเหยื่อมี ปัญหา ให้เหยื่อเข้าไปยังเว็บไซต์ปลอมเพื่ออัพเดตข้อมูลบัญชีธนาคารของเหยื่อ หากเหยื่อหลงเชื่อและกรอกข้อมูลส่วนตัวของเหยื่อลงในเว็บไซต์ปลอมจะทำให้ เหยื่อสูญเสียข้อมูลการเข้าถึงเว็บไซต์ที่แท้จริงของธนาคาร และบางครั้งอาจจะถูกสวมรอยทำธุรกรรมด้านการเงินของเหยื่อได้
รูปที่ 3 ตัวอย่างของเว็บฟิชชิงที่เลียนแบบเว็บไซต์ของธนาคารแห่งหนึ่งในประเทศบราซิล
วิชชิง (Vishing) เป็นศัพท์ทางเทคนิคที่ไม่ค่อยได้รับความนิยมมากนัก แต่คนส่วนใหญ่มักรู้จักอาชญากรรมรูปแบบนี้ว่าเป็น "แก๊งค์คอลล์เซ็นเตอร์" คำว่า "วิชชิง (Vishing)" เป็นคำผสมระหว่าง Voice และ Phishing ซึ่งเมื่อรวมกันแล้วจึงมีความหมายเป็นการขโมยข้อมูลโดยใช้เทคนิคของการปลอมตัวแบบ Social Engineering ที่อาศัยการสื่อสารด้วยเสียงในการหลอกลวง ซึ่งคนร้ายจะปลอมตัวแล้วติดต่อเหยื่อทางโทรศัพท์เพื่อหลอกลวงถามข้อมูลส่วนตัวของเหยื่อหรือหลอกล่อให้เหยื่อดำเนินการตามความต้องการของอาชญากรได้ โดยเทคนิคที่ใช้หลอกลวงนั้นได้แก่ แจ้งว่าเหยื่อเป็นหนี้บัตรเครดิต แจ้งว่าเหยื่อได้รับรางวัล หรือแจ้งว่าเหยื่อกำลังหลบหนีคดีอยู่ เป็นต้น
การคุ้ยขยะ (Dumpster diving) โดยปกติแล้วคนส่วนใหญ่จะไม่สนใจว่ามีใครมาทิ้งอะไรบ้างในถังขยะ แต่ทราบหรือไม่ว่าคนส่วนใหญ่มักจะทิ้งกระดาษข้อมูลส่วนตัวไม่ว่าจะเป็นใบแจ้งหนี้บัตรเครดิต ใบแจ้งค่าบริการต่างๆ หรือแม้กระทั่งเอกสารสำคัญต่างๆ โดยที่ไม่ได้ทำลายเอกสารดังกล่าวก่อน ซึ่งเอกสารสำคัญต่างๆนั้นจะมีข้อมูลส่วนบุคคลของเรามากมาย ยกตัวอย่างเช่น ใบแจ้งยอดการใช้บัตรเครดิต ก็มีทั้งเลขที่บัตรเครดิต ชื่อ-นามสกุล วงเงิน ฯลฯ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลที่จำเป็นที่จะใช้ยืนยันตัวเจ้าของบัตรกับทางธนาคารทั้งสิ้น ดังนั้นอาชญากรอาจจะได้ข้อมูลส่วนตัวของเหยื่อได้จากการคุ้ยถังขยะหน้าบ้านหรือสถานที่ที่เหยื่ออาศัยอยู่ก็ได้
No comments:
Post a Comment