7 เทคนิคการจำลองฟิชชิงที่คุณควรลอง
1. “ลูกค้าใหม่จาก CRM ปลอม”
เป้าหมาย: หลอกเอาข้อมูลล็อกอิน
ตัวกระตุ้นทางจิตวิทยา: ผลประโยชน์ส่วนตัว
ความสำเร็จ: 27%
คำอธิบาย: คุณคิดว่าคุณเจอลูกค้าใหม่เหรอ? คิดผิดล่ะ นี่คือการที่คุณให้ข้อมูลเข้าสู่ระบบ CRM ของคุณไปยังแฮกเกอร์ ความโลภของผลประโยชน์ส่วนตัวเป็นจุดอ่อนที่เหล่าแฮกเกอร์มักใช้ประโยชน์ ไม่ว่าจะเป็นคูปองส่วนลด โทรศัพท์ฟรี หรือแม้แต่แจกอุปกรณ์คอมพิวเตอร์ใหม่ๆให้พนักงาน
อีเมลปลอมที่แจ้งว่ามีลูกค้าใหม่ในระบบ CRM พร้อมกับลิงก์ปลอมที่พาไปยังหน้าจอล็อกอิน
2. “รหัสผ่านของคุณหมดอายุ”
เป้าหมาย: หลอกเอาข้อมูลล็อกอิน
ตัวกระตุ้นทางจิตวิทยา: ความปลอดภัย
ความสำเร็จ: 11%
คำอธิบาย: วิธีที่ดีในการหลอกผู้ใช้งานคือการปลอมแปลงข้อความเกี่ยวกับความปลอดภัย เราทุกคนต่างได้รับข้อความให้อัปเดตรหัสผ่านเรื่อยๆ (เช่นในบางบริษัทต้องเปลี่ยนรหัสทุก 45 วัน) ซึ่งช่องโหว่นี้เป็นจุดให้เหล่าแฮกเกอร์ใช้ทำฟิชชิง
อีเมลปลอมที่ดูเหมือนมาจากแผนกไอที ให้คลิกเพื่อไปอัปเดตรหัสผ่านในเว็บไซต์ปลอม
3. “ให้สิทธิ์การเข้าถึง”
เป้าหมาย: Consent Phishing (การโจมตีแบบยินยอม)
ตัวกระตุ้นทางจิตวิทยา: หลากหลายเหตุผล
ความสำเร็จ: 18%
คำอธิบาย: การล็อกอินด้วยการคลิกเดียว สะดวก...สำหรับแฮกเกอร์ด้วย พวกเขามักใช้พฤติกรรมของเรา (เช่นการให้สิทธิ์ต่างๆเพื่อเข้าถึงแอปหรือเอกสาร) มาใช้เป็นเครื่องมือโจมตี ฟิชชิ่งประเภทนี้ตรวจจับยากกว่าแบบอื่น เพราะหน้าจอยินยอมจากไมโครซอฟต์ออฟฟิศ เป็นของจริง เพียงแต่แฮกเกอร์จะนำการอนุญาตนั้นไปใช้ในทางที่ผิด
หน้าต่างป๊อปอัปที่ดูเหมือนมาจากไมโครซอฟต์ออฟฟิศ 365 ให้ยืนยันเพื่อให้สิทธิ์แอปที่ไม่รู้จัก
4. “อัปเดตความปลอดภัยปลอม”
เป้าหมาย: Drive-by-download (การดาวน์โหลดมัลแวร์ผ่านเว็บไซต์)
ตัวกระตุ้นทางจิตวิทยา: ความปลอดภัย
ความสำเร็จ: 16%
คำอธิบาย: การอัปเดตเบราว์เซอร์ ระบบป้องกันสแปม ไฟร์วอลล์ รวมถึงซอฟต์แวร์ในเครื่อง เป็นสิ่งที่ดีที่ควรทำ แต่การเผลอดาวน์โหลดมัลแวร์จากฟิชชิงเป็นเรื่องที่ต้องหลีกเลี่ยง
เว็บไซต์ปลอมที่หน้าตาเหมือนแหล่งดาวน์โหลดซอฟต์แวร์อัปเดทของระบบ
5. “เอกสารลึกลับ”
เป้าหมาย: ไฟล์แนบที่มีมัลแวร์
ตัวกระตุ้นทางจิตวิทยา: ความอยากรู้
ความสำเร็จ: 21% *
คำอธิบาย: ง่ายและมีประสิทธิภาพ คนส่วนใหญ่ไม่สามารถห้ามใจไม่ให้เปิดเอกสารที่ดูเหมือนส่งมาจากแหล่งที่เชื่อถือได้ ซึ่งเป็นจุดที่อันตรายมาก
อีเมลที่มีลิงก์หรือไฟล์แนบ โดยใช้ชื่อไฟล์หรือข้อความที่ล่อลวงให้เหยื่อเปิดดู
6. "อีเมลจาก CEO”
เป้าหมาย: ไฟล์แนบที่มีมัลแวร์
ตัวกระตุ้นทางจิตวิทยา: อำนาจตามลำดับชั้น
ความสำเร็จ: 24%
คำอธิบาย: หลายคนให้ความสำคัญกับอีเมลจาก CEO เป็นพิเศษ ซึ่งอาจเป็นช่องทางให้แฮกเกอร์ลอบโจมตีได้ หมายเหตุ: ไม่ได้หมายความว่าคุณจะไม่สนใจอีเมลของ CEO อีกต่อไปนะ
อีเมลที่ปลอมชื่อผู้ส่งให้ดูเหมือนถูกส่งมาจาก CEO ของบริษัท โดยมีเนื้อหาหรือไฟล์แนบที่ล่อลวงให้เหยื่อหลงเชื่อ
7. “สถานการณ์ฉุกเฉิน”
เป้าหมาย: หลอกเอาข้อมูลล็อกอิน
ตัวกระตุ้นทางจิตวิทยา: ความกลัว
ความสำเร็จ: 16%
คำอธิบาย: ไฟล์งานสำคัญที่คุณทำมาอย่างยาวนานอาจจะถูกลบหายไป หากอยากให้ทุกอย่างกลับมาเหมือนเดิม เพียงแค่คุณให้ข้อมูลเข้าสู่ระบบกับแฮกเกอร์ แค่นี้เอง...
อีเมลด่วนที่มีข้อความข่มขู่ว่าจะลบไฟล์สำคัญทิ้ง ระบุว่าถ้าอยากกู้คืนไฟล์ต้องล็อกอินผ่านลิงก์ที่ให้มา
กลเม็ดเหล่านี้ยังมีอีกมากมาย นี่เป็นแค่บางส่วนของเทคนิคที่ถูกนำมาใช้ในการฝึกซ้อมรับมือฟิชชิงให้กับพนักงาน ความคิดสร้างสรรค์ของแฮกเกอร์นั้นไร้ขีดจำกัดค่ะ
ข้อควรระวัง: การฝึกซ้อมจำลองการโจมตีแบบนี้ควรทำในสภาพแวดล้อมขององค์กรเท่านั้น (ไม่ใช่แกล้งเพื่อนบ้านนะ!)
หากคุณอยากรู้เกี่ยวกับวิธีป้องกันฟิชชิงและ Spear Phishing (การโจมตีที่เจาะจงบุคคลเป้าหมาย) สามารถติดต่อขอรายละเอียดเพิ่มเติมได้
*หมายเหตุ: อัตราความสำเร็จ หมายถึง อัตราที่พนักงานหลงกลในการจำลองแต่ละสถานการณ์