top of page

7 เทคนิคการจำลองฟิชชิงที่คุณควรลอง

อัปเดตเมื่อ 15 พ.ค.




7 เทคนิคการจำลองฟิชชิงที่คุณควรลอง


1. “ลูกค้าใหม่จาก CRM ปลอม”

  • เป้าหมาย: หลอกเอาข้อมูลล็อกอิน

  • ตัวกระตุ้นทางจิตวิทยา: ผลประโยชน์ส่วนตัว

  • ความสำเร็จ: 27%

  • คำอธิบาย: คุณคิดว่าคุณเจอลูกค้าใหม่เหรอ? คิดผิดล่ะ นี่คือการที่คุณให้ข้อมูลเข้าสู่ระบบ CRM ของคุณไปยังแฮกเกอร์ ความโลภของผลประโยชน์ส่วนตัวเป็นจุดอ่อนที่เหล่าแฮกเกอร์มักใช้ประโยชน์ ไม่ว่าจะเป็นคูปองส่วนลด โทรศัพท์ฟรี หรือแม้แต่แจกอุปกรณ์คอมพิวเตอร์ใหม่ๆให้พนักงาน

  • อีเมลปลอมที่แจ้งว่ามีลูกค้าใหม่ในระบบ CRM พร้อมกับลิงก์ปลอมที่พาไปยังหน้าจอล็อกอิน

2. “รหัสผ่านของคุณหมดอายุ”

  • เป้าหมาย: หลอกเอาข้อมูลล็อกอิน

  • ตัวกระตุ้นทางจิตวิทยา: ความปลอดภัย

  • ความสำเร็จ: 11%

  • คำอธิบาย: วิธีที่ดีในการหลอกผู้ใช้งานคือการปลอมแปลงข้อความเกี่ยวกับความปลอดภัย เราทุกคนต่างได้รับข้อความให้อัปเดตรหัสผ่านเรื่อยๆ (เช่นในบางบริษัทต้องเปลี่ยนรหัสทุก 45 วัน) ซึ่งช่องโหว่นี้เป็นจุดให้เหล่าแฮกเกอร์ใช้ทำฟิชชิง

  • อีเมลปลอมที่ดูเหมือนมาจากแผนกไอที ให้คลิกเพื่อไปอัปเดตรหัสผ่านในเว็บไซต์ปลอม

3. “ให้สิทธิ์การเข้าถึง”

  • เป้าหมาย: Consent Phishing (การโจมตีแบบยินยอม)

  • ตัวกระตุ้นทางจิตวิทยา: หลากหลายเหตุผล

  • ความสำเร็จ: 18%

  • คำอธิบาย: การล็อกอินด้วยการคลิกเดียว สะดวก...สำหรับแฮกเกอร์ด้วย พวกเขามักใช้พฤติกรรมของเรา (เช่นการให้สิทธิ์ต่างๆเพื่อเข้าถึงแอปหรือเอกสาร) มาใช้เป็นเครื่องมือโจมตี ฟิชชิ่งประเภทนี้ตรวจจับยากกว่าแบบอื่น เพราะหน้าจอยินยอมจากไมโครซอฟต์ออฟฟิศ เป็นของจริง เพียงแต่แฮกเกอร์จะนำการอนุญาตนั้นไปใช้ในทางที่ผิด

  • หน้าต่างป๊อปอัปที่ดูเหมือนมาจากไมโครซอฟต์ออฟฟิศ 365 ให้ยืนยันเพื่อให้สิทธิ์แอปที่ไม่รู้จัก

4. “อัปเดตความปลอดภัยปลอม”

  • เป้าหมาย: Drive-by-download (การดาวน์โหลดมัลแวร์ผ่านเว็บไซต์)

  • ตัวกระตุ้นทางจิตวิทยา: ความปลอดภัย

  • ความสำเร็จ: 16%

  • คำอธิบาย: การอัปเดตเบราว์เซอร์ ระบบป้องกันสแปม ไฟร์วอลล์ รวมถึงซอฟต์แวร์ในเครื่อง เป็นสิ่งที่ดีที่ควรทำ แต่การเผลอดาวน์โหลดมัลแวร์จากฟิชชิงเป็นเรื่องที่ต้องหลีกเลี่ยง

  • เว็บไซต์ปลอมที่หน้าตาเหมือนแหล่งดาวน์โหลดซอฟต์แวร์อัปเดทของระบบ


5. “เอกสารลึกลับ”

  • เป้าหมาย: ไฟล์แนบที่มีมัลแวร์

  • ตัวกระตุ้นทางจิตวิทยา: ความอยากรู้

  • ความสำเร็จ: 21% *

  • คำอธิบาย: ง่ายและมีประสิทธิภาพ คนส่วนใหญ่ไม่สามารถห้ามใจไม่ให้เปิดเอกสารที่ดูเหมือนส่งมาจากแหล่งที่เชื่อถือได้ ซึ่งเป็นจุดที่อันตรายมาก

  • อีเมลที่มีลิงก์หรือไฟล์แนบ โดยใช้ชื่อไฟล์หรือข้อความที่ล่อลวงให้เหยื่อเปิดดู

6. "อีเมลจาก CEO”

  • เป้าหมาย: ไฟล์แนบที่มีมัลแวร์

  • ตัวกระตุ้นทางจิตวิทยา: อำนาจตามลำดับชั้น

  • ความสำเร็จ: 24%

  • คำอธิบาย: หลายคนให้ความสำคัญกับอีเมลจาก CEO เป็นพิเศษ ซึ่งอาจเป็นช่องทางให้แฮกเกอร์ลอบโจมตีได้ หมายเหตุ: ไม่ได้หมายความว่าคุณจะไม่สนใจอีเมลของ CEO อีกต่อไปนะ

  • อีเมลที่ปลอมชื่อผู้ส่งให้ดูเหมือนถูกส่งมาจาก CEO ของบริษัท โดยมีเนื้อหาหรือไฟล์แนบที่ล่อลวงให้เหยื่อหลงเชื่อ

7. “สถานการณ์ฉุกเฉิน”

  • เป้าหมาย: หลอกเอาข้อมูลล็อกอิน

  • ตัวกระตุ้นทางจิตวิทยา: ความกลัว

  • ความสำเร็จ: 16%

  • คำอธิบาย: ไฟล์งานสำคัญที่คุณทำมาอย่างยาวนานอาจจะถูกลบหายไป หากอยากให้ทุกอย่างกลับมาเหมือนเดิม เพียงแค่คุณให้ข้อมูลเข้าสู่ระบบกับแฮกเกอร์ แค่นี้เอง...

  • อีเมลด่วนที่มีข้อความข่มขู่ว่าจะลบไฟล์สำคัญทิ้ง ระบุว่าถ้าอยากกู้คืนไฟล์ต้องล็อกอินผ่านลิงก์ที่ให้มา

กลเม็ดเหล่านี้ยังมีอีกมากมาย นี่เป็นแค่บางส่วนของเทคนิคที่ถูกนำมาใช้ในการฝึกซ้อมรับมือฟิชชิงให้กับพนักงาน ความคิดสร้างสรรค์ของแฮกเกอร์นั้นไร้ขีดจำกัดค่ะ


ข้อควรระวัง: การฝึกซ้อมจำลองการโจมตีแบบนี้ควรทำในสภาพแวดล้อมขององค์กรเท่านั้น (ไม่ใช่แกล้งเพื่อนบ้านนะ!)


หากคุณอยากรู้เกี่ยวกับวิธีป้องกันฟิชชิงและ Spear Phishing (การโจมตีที่เจาะจงบุคคลเป้าหมาย) สามารถติดต่อขอรายละเอียดเพิ่มเติมได้


*หมายเหตุ: อัตราความสำเร็จ หมายถึง อัตราที่พนักงานหลงกลในการจำลองแต่ละสถานการณ์


📱 โทร: 093-789-4544

💬 Inbox: m.me/AlphaSecTH

📧 อีเมล: contact@alphasec.co.th

🔗 เว็บไซต์: https://www.alphasec.co.th

ดู 316 ครั้ง

Comments


bottom of page