เทคนิคพาองค์กรให้ห่างไกลจากภัย “ฟิชชิ่ง”
กีฬาตกปลาอาจเป็นเรื่องสนุกของใครบางคน แต่หากคิดในมุมกลับกัน ก็คงไม่มีใครอยากเป็นปลาที่หลงติดเบ็ดมนุษย์เป็นแน่ โลกของธุรกิจก็เช่นกัน ทุกวันนี้กลวิธีของการฟิชชิ่ง (Phishing) หรือการหลอกลวงทางอินเทอร์เน็ตนั้นได้พัฒนาไปไกลมาก และมีหลายหลายวิธีในการอ่อยเหยื่อให้เหยื่ออย่างเรา ๆ ท่าน ๆ หลงเชื่อกันได้มากมาย
วันนี้เราจึงขอนำเทคนิคดี ๆ และข้อคิดเตือนใจสำหรับองค์กรใดก็ตามที่ไม่อยากหลงตกเป็นเหยื่อของแก๊งฟิชชิ่งเหล่านี้มาฝากกัน เริ่มจาก
1 ลงทุนด้าน Email Sandbox เพิ่ม
ลงทุนในด้านเทคโนโลยีเพิ่มสักหน่อยด้วยการหาโซลูชันด้าน Email Sandboxing มาใช้สำหรับรับมือกับอีเมลฟิชชิ่งเหล่านี้โดยเฉพาะ ซึ่งโซลูชันในลักษณะนี้จะช่วยเพิ่มความปลอดภัยในการคลิกลิงค์ว่าสิ่งที่เราคลิกลงไปนั้นนำพาไปสู่อะไรกันแน่ โดยไม่กระทบกับระบบขององค์กรโดยรวม เหตุที่เทคโนโลยีนี้น่าลงทุนเป็นเพราะอาชญากรอินเทอร์เน็ตบางคนก็หลอกโดยการส่งลิงค์ของแบรนด์ดังต่าง ๆ มาให้พร้อมกับบอกว่านี่เป็นเว็บไซต์ใหม่ล่าสุดของแบรนด์นั้น ๆ
2 มีระบบ Realtime Analysis
อีกหนึ่งระบบที่ควรลงทุนคือ ระบบวิเคราะห์ทราฟฟิกของเว็บแบบเรียลไทม์ (Real-time Analysis) กรณีนี้คือจะช่วยป้องกันได้เวลาที่พนักงานแอบเปิดเมลส่วนตัวในที่ทำงาน ซึ่งถึงแม้จะมี Sandbox เอาไว้แล้ว แต่ก็จะไม่ได้ครอบคลุมมาจนถึงจุดนี้ ดังนั้น หากมีระบบวิเคราะห์ได้แบบเรียลไทม์ก็จะสามารถสกัดมัลแวร์และแจ้งเตือนให้ผู้ดูแลระบบทราบได้รวดเร็วขึ้น
3 อบรมพนักงานบ่อย ๆ
อาจอยู่ในรูปของแบบทดสอบให้ทำ หรือจัดอบรมเรื่องซีเคียวริตี้ ซึ่งเป้าหมายหลัก ๆ ของการทำเช่นนี้คือการให้ความรู้เพื่อให้พนักงานปรับเปลี่ยนพฤติกรรมให้สามารถใช้งานอินเทอร์เน็ตได้อย่างปลอดภัยมากขึ้น
แต่สำหรับใครที่สนใจเกี่ยวกับเรื่องของการเปลี่ยนแปลงพฤติกรรมพนักงานภายในองค์กรมากกว่านี้ เรามีอีก 5 คำแนะนำแบบเจาะลึกที่สามารถเปลี่ยนพฤติกรรมการทำงานของพนักงานได้มาฝากกัน เริ่มจาก
1 ฝึกด้วยแบบทดสอบ
สำหรับบางองค์กร ลองทดสอบด้วยข้อเขียนต่าง ๆ ก็อาจเพียงพอ แต่ที่เราจะแนะนำเพิ่มเติมนั้นคือการทดสอบอย่างแท้จริง นั่นคือการเลือกพนักงานส่วนหนึ่งออกมาและส่งอีเมลฟิชชิ่งให้พวกเขา ซึ่งในจุดนี้ขอให้องค์กรคิดและทำตัวเหมือนเป็นอาชญากรอินเทอร์เน็ตเองเลย ว่าจะทำอย่างไรให้เหยื่อติดกับได้ดีที่สุด
ถ้าพนักงานหลงเชื่อและคลิกมาที่เว็บไซต์ที่บริษัทสร้างขึ้นมาหลอก ก็ค่อยใช้จุดนี้เรียกพนักงานรายนี้มาคุยและอบรมกันต่อไปว่านี่คือพฤติกรรมที่เสี่ยงต่อระบบซีเคียวริตี้ขององค์กรโดยรวม
การฝึกผ่านประสบการณ์จริงเป็นวิธีที่จะช่วยให้พนักงานปรับเปลี่ยนพฤติกรรมได้ง่ายและเร็วที่สุดวิธีหนึ่ง
2 ลองขอความช่วยเหลือจากฝ่ายการตลาด
เพราะฝ่ายการตลาดเป็นฝ่ายที่ถนัดในการสื่อสารกับลูกค้า ดังนั้น ทำไมจะสื่อสารกับพนักงานในองค์กรให้มีความตระหนักในปัญหาด้านซีเคียวริตี้ไม่ได้
3 ลองเปลี่ยนวิธีในการสื่อสาร
ที่ผ่านมา เราอาจส่งอีเมลแจ้งข่าวสารแก่พนักงาน หรือนาน ๆ ทีก็จัดประชุมใหญ่สักครั้ง แต่เทคโนโลยีที่เปลี่ยนไป ก็มีเครื่องมือใหม่ ๆ ที่มีประสิทธิภาพเกิดขึ้นมากมายให้เราได้ลองใช้ ยกตัวอย่างเช่น ลองทำเป็นคลิปวิดีโอแทน การมีทั้งภาพและเสียง อาจช่วยให้พวกเขาเปลี่ยนพฤติกรรมได้เร็วขึ้น
4 ทำให้เรื่องซีเคียวริตี้ใกล้ตัวพวกเขามากขึ้น
ลองหากรณีตัวอย่างของบริษัทใหญ่ ๆ ที่ตกเป็นข่าวว่าติดมัลแวร์ และถูกเจาะระบบดึงข้อมูลลูกค้าไป หรือบางรายก็โดยมัลแวร์เรียกค่าไถ่เล่นงานขึ้นมาเป็นตัวอย่างให้พนักงานได้ฟัง และบอกว่า องค์กรของเราเองก็มีความเสี่ยงที่จะเจอภัยเหล่านี้เช่นกัน การยกตัวอย่างในลักษณะนี้จะทำให้พนักงานรู้สึกว่าเป็นเรื่องใกล้ตัวมากขึ้น
5 ให้รางวัลคนที่ทำดี
อาจมีการจัดกิจกรรมระยะยาวให้พนักงานค้นหาว่าอีเมลแบบไหนส่อแววว่าจะเป็นอีเมลฟิชชิ่ง และมอบรางวัลแก่พนักงานที่ตอบคำถามได้เป็นยอดพนักงานประจำสัปดาห์ (ซึ่งอาจขึ้นชื่อติดบอร์ด) หากใครตอบถูกบ่อย ๆ ก็อาจมีรางวัลพิเศษ ฯลฯ
ก่อนจากกัน ปฏิเสธไม่ได้ว่า ทุกวันนี้โซเชียลมีเดียคือแหล่งรวมของข้อมูลต่าง ๆ เกี่ยวกับตัวเราได้ดีที่สุด ดังนั้น มีสามคำแนะนำในการโพสต์ลงบนโซเชียลมีเดียให้ปลอดภัยมาฝาก นั่นคือ
1 ไม่ควรโพสต์ข้อมูลส่วนตัว เช่น วันเกิด ที่อยู่ หรืออะไรก็ตามที่อาจทำให้อาชญากรอินเทอร์เน็ตล่วงรู้ถึงข้อมูลแล้วลิงค์เข้ากับพาสเวิร์ดของบริษัทได้
2 ไม่ควรโพสต์รูปครอบครัว บ้าน หรือวันหยุดยาวว่าไปเที่ยวที่ไหนกันบ้าง ข้อนี้ขัดใจคนรักโซเชียลสุด ๆ รวมถึงมาร์ค ซักเคอร์เบิร์กด้วย เพราะหลายคนก็อยากบอกให้โลกรู้ว่าตอนนี้ตัวเองกำลังไปเที่ยวประเทศนั้นประเทศนี้ แต่เพื่อความปลอดภัย ไม่โพสต์ได้เป็นดี
3 ไม่โพสต์เบอร์โทรศัพท์ วันนี้ลืมเอาโทรศัพท์มา ถ้าอยากติดต่อให้โทรมาที่เบอร์ xxxxxx แทน เรามักพบว่ามีข้อความเหล่านี้ปรากฏขึ้นบนหน้าฟีดของโซเชียลมีเดียเสมอ ๆ และถ้าเราเป็นคนที่อาชญากรอินเทอร์เน็ตสนใจอยู่ล่ะก็ ไม่ต้องสงสัยว่าเราจะได้รับโทรศัพท์จากคนเหล่านี้ทำทีมาสอบถามข้อมูลอย่างแน่นอน
ที่มา http://www.csoonline.com/article/2132618/phishing/social-engineering-11-tips-to-stop-spear-phishing.html