นักข่าว Kevin Townsend ขอความคิดเห็นจากผมเพื่อเขียนรายงานให้ มหาวิทยาลัย de Montfort University (ในเมืองเลสเตอร์ ประเทศอังกฤษ) เกี่ยวกับรายงานชื่อว่า ‘splash pages’ ที่รวบรวมตัวอย่างของโปรแกรมเรียกค่าไถ่ (Ransomware) และความหลากหลายของตัวโปรแกรมเรียกค่าไถ่ โดยเฉพาะในเชิงของการใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) เพื่อหลอกล่อให้ผู้ใช้ชำระเงิน
เขามีสองเรื่องมาปรึกษาคือ คุณคิดว่าข้อมูลของคุณมีค่าพอมากกว่าหรือมากพอที่จะจ่ายค่าไถ่หรือไม่? หรือคุณทำใจได้ที่จะปฏิเสธข้อเสนอของแฮกเกอร์และปล่อยข้อมูลของคุณไป โดยทั้งหมดทั้งมวลนี่สามารถเห็นได้ในที่ทำงานว่าโปรแกรมเรียกค่าไถ่ประสบความสำเร็จมากแค่ไหน?
ผมเห็นด้วยกับแนวทางของงานวิจัยชิ้นนี้ และเห็นด้วยว่าความสำเร็จของการใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) นั้นวัดได้ยาก และสิ่งเดียวที่คุณต้องการหากข้อมูลคุณถูกล็อคก็คือวิธีที่จะนำข้อมูลของคุณกลับมา ซึ่งทำให้มีคำถามผุดขึ้นมาว่าประโยชน์ของสังคมออนไลน์ (Social Engineering) มีความสำคัญอย่างไร?
การใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) เป็นส่วนสำคัญที่ทำให้โปรแกรมเรียกค่าไถ่สามารถเข้าไปถึงตัวผู้ใช้ได้ แต่รายงานของ de Montfort ไม่ได้เน้นในเรื่องนี้ แต่จะเน้นเกี่ยวกับข้อความที่แฮกเกอร์ใช้เรียกร้องเงินจากผู้ใช้
คุณ John Leyden ได้สรุปเทคนิคจาก Dr. Hadlington จาก SentinelOne เกี่ยวกับ Social Engineering ประมาณนี้
กดดันให้เหยื่อเลือกที่จะชำระเงินค่าไถ่ไม่ว่ามากหรือน้อย โดยไม่ให้เหยื่อมองเห็นทางเลือกอื่น เพราะถ้าผู้ใช้มองหาทางเลือกอื่นพวกเขาอาจพบความคิดเห็นที่ไม่ให้จ่ายเงินค่าไถ่ หรือวิธีที่จะได้ไฟล์คืนโดยไม่ต้องชำระเงินค่าไถ่ ดังนั้นแฮกเกอร์จึงเลือกที่จะปิดงานให้เร็วที่สุด
กดดันให้เหยื่อชำระเงินทั้งๆที่การกู้คืนไฟล์สามารถทำได้ง่ายๆ หรือจริงๆแล้วไฟล์ยังไม่ได้รับผลกระทบอะไรเลย
กดดันให้เหยื่อชำระเงินทั้งๆที่แฮกเกอร์ไม่มีความสามารถในการกู้ไฟล์คืนให้กับผู้ใช้ และรีบทำทุกกระบวนการก่อนที่ผู้เชี่ยวชาญออกมาประกาศ
หนึ่งในงานสำคัญของแฮกเกอร์คือการทำให้เหยื่อยอมจ่ายเงินให้ง่ายที่สุด แต่การใช้ประโยชน์ของสังคมออนไลน์ (Social Engineering) ก็ไม่ได้ถูกนับอยู่ในเรื่องของความปลอดภัย แต่ก็สามารถอธิบายได้ผ่านกิจกรรมของมัน
สำหรับคนที่เคยเรียนสังคมศาสตร์ก็อาจจะตอบคำถามได้ชัดเจนกว่านี้ แต่ในมุมมองเชิงวิชาการสำหรับผู้ที่ไม่ได้ศึกษาอาจทำได้เพียงคาดคะเน และอาจเป็นได้เพียงแค่ความคิดเห็นที่อาจช่วยอะไรได้บ้าง เพราะถ้าจะสอนให้มิจฉาชีพรู้ผิดชอบชั่วดีก็คงยากไป
Author: David Harley
Source: https://www.welivesecurity.com/2017/07/25/social-engineering-ransomware/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
นักข่าว Kevin Townsend ขอความคิดเห็นจากผมเพื่อเขียนรายงานให้ มหาวิทยาลัย de Montfort University (ในเมืองเลสเตอร์ ประเทศอังกฤษ) เกี่ยวกับรายงานชื่อว่า ‘splash pages’ ที่รวบรวมตัวอย่างของโปรแกรมเรียกค่าไถ่ (Ransomware) และความหลากหลายของตัวโปรแกรมเรียกค่าไถ่ โดยเฉพาะในเชิงของการใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) เพื่อหลอกล่อให้ผู้ใช้ชำระเงิน
เขามีสองเรื่องมาปรึกษาคือ คุณคิดว่าข้อมูลของคุณมีค่าพอมากกว่าหรือมากพอที่จะจ่ายค่าไถ่หรือไม่? หรือคุณทำใจได้ที่จะปฏิเสธข้อเสนอของแฮกเกอร์และปล่อยข้อมูลของคุณไป โดยทั้งหมดทั้งมวลนี่สามารถเห็นได้ในที่ทำงานว่าโปรแกรมเรียกค่าไถ่ประสบความสำเร็จมากแค่ไหน?
ผมเห็นด้วยกับแนวทางของงานวิจัยชิ้นนี้ และเห็นด้วยว่าความสำเร็จของการใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) นั้นวัดได้ยาก และสิ่งเดียวที่คุณต้องการหากข้อมูลคุณถูกล็อคก็คือวิธีที่จะนำข้อมูลของคุณกลับมา ซึ่งทำให้มีคำถามผุดขึ้นมาว่าประโยชน์ของสังคมออนไลน์ (Social Engineering) มีความสำคัญอย่างไร?
การใช้ประโยชน์จากสังคมออนไลน์ (Social Engineering) เป็นส่วนสำคัญที่ทำให้โปรแกรมเรียกค่าไถ่สามารถเข้าไปถึงตัวผู้ใช้ได้ แต่รายงานของ de Montfort ไม่ได้เน้นในเรื่องนี้ แต่จะเน้นเกี่ยวกับข้อความที่แฮกเกอร์ใช้เรียกร้องเงินจากผู้ใช้
คุณ John Leyden ได้สรุปเทคนิคจาก Dr. Hadlington จาก SentinelOne เกี่ยวกับ Social Engineering ประมาณนี้
กดดันให้เหยื่อเลือกที่จะชำระเงินค่าไถ่ไม่ว่ามากหรือน้อย โดยไม่ให้เหยื่อมองเห็นทางเลือกอื่น เพราะถ้าผู้ใช้มองหาทางเลือกอื่นพวกเขาอาจพบความคิดเห็นที่ไม่ให้จ่ายเงินค่าไถ่ หรือวิธีที่จะได้ไฟล์คืนโดยไม่ต้องชำระเงินค่าไถ่ ดังนั้นแฮกเกอร์จึงเลือกที่จะปิดงานให้เร็วที่สุด
กดดันให้เหยื่อชำระเงินทั้งๆที่การกู้คืนไฟล์สามารถทำได้ง่ายๆ หรือจริงๆแล้วไฟล์ยังไม่ได้รับผลกระทบอะไรเลย
กดดันให้เหยื่อชำระเงินทั้งๆที่แฮกเกอร์ไม่มีความสามารถในการกู้ไฟล์คืนให้กับผู้ใช้ และรีบทำทุกกระบวนการก่อนที่ผู้เชี่ยวชาญออกมาประกาศ
หนึ่งในงานสำคัญของแฮกเกอร์คือการทำให้เหยื่อยอมจ่ายเงินให้ง่ายที่สุด แต่การใช้ประโยชน์ของสังคมออนไลน์ (Social Engineering) ก็ไม่ได้ถูกนับอยู่ในเรื่องของความปลอดภัย แต่ก็สามารถอธิบายได้ผ่านกิจกรรมของมัน
สำหรับคนที่เคยเรียนสังคมศาสตร์ก็อาจจะตอบคำถามได้ชัดเจนกว่านี้ แต่ในมุมมองเชิงวิชาการสำหรับผู้ที่ไม่ได้ศึกษาอาจทำได้เพียงคาดคะเน และอาจเป็นได้เพียงแค่ความคิดเห็นที่อาจช่วยอะไรได้บ้าง เพราะถ้าจะสอนให้มิจฉาชีพรู้ผิดชอบชั่วดีก็คงยากไป
Author: David Harley
Source: https://www.welivesecurity.com/2017/07/25/social-engineering-ransomware/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: