จากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากการถูกแฮกของหน่วยงานรัฐและเอกชนในช่วงผ่านมา เป็นสัญญาณบ่งบอกให้เห็นถึงจุดมุ่งหมายของเหล่าบรรดาแฮกเกอร์ที่จะเจาะระบบ นำข้อมูลส่วนบุคคลไปขายในอินเทอร์เน็ต ดังนั้นหน่วยงานและบริษัทต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคลของประชาชนไว้ ต้องเพิ่มความปลอดภัยเพื่อป้องกันภัยคุกคามทางด้านไซเบอร์อย่างดีที่สุด ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562 เพื่อป้องกันข้อมูลรั่วไหลในฐานของ ผู้ควบคุมข้อมูล (Data Controller) นั้นเอง
แต่ในอีกด้านหนึ่งคือในด้านของเจ้าของข้อมูล (Data Subjects) คือพวกเรานั้นเอง นอกจากจะต้องพิจารณานโยบายการรักษาข้อมูลส่วนบุคคลของหน่วยงานและบริษัทต่าง ๆ ให้มั่นใจ ก่อนให้ข้อมูลแล้ว แต่หากเกิดเหตุไม่คาดฝัน ข้อมูลของเราถูกแฮก ถูกเปิดเผยในโลกอินเทอร์เน็ต โดยข้อมูลนั้นไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หรือ ข้อมูลสำคัญอื่น ๆ ที่ล้วนระบุและติดต่อมาสร้างความเสียหายให้เราได้นั้น เราควรทำอย่างไร
ต้องระวังการหลอกลวงในรูปแบบ Social Engineering
SOCIAL ENGINEERING คือ
เป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล ซึ่งบางครั้งอาจไม่จำเป็นต้องใช้เทคโนโลยีเข้ามาเกี่ยวข้องเลย ผู้ที่ตกเป็นเหยื่อของ Social Engineering อาจจะตกเป็นเหยื่อโดยความตั้งใจหรือไม่ตั้งใจของผู้ไม่หวังดีก็ได้ กล่าวคือ ถ้าผู้ไม่หวังดีมีเป้าหมายเฉพาะเจาะจง เช่น ต้องการข้อมูลความลับขององค์กรใดองค์กรหนึ่ง เหยื่อในที่นี้ก็มักจะเป็นผู้ที่มิสิทธิในการเข้าถึงข้อมูลความลับขององค์กรนั้น แต่หากเป้าหมายของผู้ไม่หวังดีเป็นแบบที่ไม่ได้เจาะจงเหยื่อ เช่น ต้องการรหัสบัตรเครดิต หรือบัญชีผู้ใช้และรหัสผ่านของบริการต่าง ๆ ของใครก็ได้ เหยื่อของผู้ไม่หวังดีนี้จะเป็นใครก็ตามซึ่งหลงเชื่อการหลอกลวงนั้น
ที่มา https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html
ในการหลอกลวงรูปแบบนี้มักจะมาในรูปแบบ อีเมล, SMS และ แก็งคอล์เซ็นเตอร์ ที่จะติดต่อมาหาเราเพื่อหลอกให้เราทำตามที่มิจฉาชีพต้องการเช่น กรอก username / password , โอนเงิน เป็นต้น ยิ่งถ้ามีข้อมูลส่วนตัวเรามากเท่าไร ยิ่งหลอกเราได้แยบยลมากขึ้น เช่น
มีอีเมลหรือ SMS หลอกมาว่าบัญชีธนาคารของเรามีการโอนเงินไปบัญชีอื่น “โปรดคลิกลิงก์ทำการล็อกอินเพื่อระงับการโอนเงิน” อันนี้ก็ดูเหมือนจะธรรมดาใช่ไหมครับ แต่ถ้ามิจฉาชีพเพิ่มข้อมูลส่วนตัวของเราเข้าไปว่า “บัญชีของคุณ ชื่อ-นามสกุล หมายเลขบัตรประชาชนเลขที่…. มีการโอนเงิน…..” ซึ่งเป็นข้อมูลเราถูกต้องแน่นอน ก็จะทำให้เราหลงเชื่อคลิกลิงก์ไปกรอก username password internet bankingให้มิจฉาชีพไป
และก็อาจจะมาในรูปแบบแก็งคอล์เซ็นเตอร์โทรมาหลอกเราด้วยข้อมูลส่วนตัวทำให้เราหลงเชื่อ ทำการโอนเงินหรือ username password รหัส OTP ได้เช่นกัน
อีกทั้งยังอาจถูกแฮกบัญชี อีเมล หรือ Social Network หากเราใช้รหัสผ่านที่ไม่ปลอดภัย เช่น ใช้เบอร์มือถือ หรือ วันเดือนปีเกิดในการตั้งรหัสผ่าน
นี้เป็นส่วนหนึ่งที่อาจจะเกิดขึ้นได้เท่านั้นนะครับ
แล้วเราต้องทำอย่างไรเมื่อรู้ว่าข้อมูลตัวเองรั่วไหล
- มีสติทุกครั้งเมื่อได้รับโทรศัทพ์หรืออีเมล SMS ที่พยายามหลอกล่อ หรือ ขู่เราให้บอกข้อมูล หรือทำธุรกรรมทางการเงิน
- ไม่คลิกลิงก์กรอก username password หรือ ติดตั้งโปรแกรม จากอีเมลที่มีลักษณะเชิญชวนด้วยข้อเสนอเกินจริงหรือข่มขู่เด็ดขาด
- ติดตั้ง Application “Whoscall” เพื่อเป็นการสกีนเบอร์ที่โทรเข้ามาว่าเป็นมิจฉาชีพหรือไม่
- เปลี่ยนรหัสผ่าน Internet Banking, อีเมล และ Social Network ต่าง ๆ และจะต้องไม่ใช้รหัสผ่านเดียวกัน
- เปิดใช้งาน 2 Factor Authentication ในบัญชีอีเมล และ Social Network ให้หมดทุกอัน
- ไม่ติดตั้ง Application ลงบนมือถือหากมีการส่งลิงก์มาทาง SMS หรือ โปรแกรมแชท โดยเด็ดขาด
นี้เป็นเพียงขั้นตอนบางอย่างที่ทำให้เราปลอดภัยขึ้นเมื่อเกิดเหตุข้อมูลส่วนตัวของเรารั่วไหลเท่านั้น และที่สำคัญที่สุดคือ “สติ” และ “สงสัย” ทุกครั้งที่มีอะไรก็ตามพยายามให้เราเปิดเผยข้อมูลหรือทำธุรกรรมทางการเงินครับ
