CYBERSECURITY AWARENESS GLOSSARY

คลังศัพท์ที่ควรรู้เกี่ยวกับไซเบอร์ซีเคียวริตี้ (Cybersecurity) และภัยคุกคามทางไซเบอร์

B

Business Email Compromise (BEC)

การหลอกลวงที่ผสมผสานระหว่าง Social Engineering และ Phishing เพื่อหลอกให้บุคคลเป้าหมายในองค์กรโอนเงิน หรือเปิดเผยข้อมูลสำคัญโดยไม่รู้ตัว โดยอาชญากรไซเบอร์จะกำหนดบุคคลเป้าหมายชัดเจน ศึกษาโครงสร้างองค์กร ลักษณะการดำเนินธุรกิจ กระบวนการขั้นตอนการทำงานผ่านอีเมล รวมไปถึงความสัมพันธ์เชิงลึกระหว่างเป้าหมายกับบุคคลอื่นก่อนลงมือโจมตี ผ่านวิธีการดังต่อไปนี้ คือ การแฮก หรือปลอมแปลงอีเมลเป็นคู่ค้าต่างประเทศขององค์กร, แฮก หรือปลอมแปลงที่อยู่อีเมลเป็นผู้บริหารระดับสูง หรือการปลอมแปลงโดเมนอีเมลเป็นบุคคลอื่นภายในองค์กร

BYOD

การนำอุปกรณ์พกพาส่วนตัว เช่น สมาร์ทโฟน แท็ปเล็ต โน้ตบุ๊ก เป็นต้น มาใช้ในสถานที่ทำงาน โดยเชื่อมต่อกับระบบเครือข่าย และระบบงานภายในขององค์กรได้

C

CEO Fraud

การหลอกลวงผ่านอีเมลโดยแอบอ้างเป็น CEO ขององค์กรนั้น ๆ เพื่อหลอกลวงให้พนักงานหลงเชื่อ และปฏิบัติตามคำร้องขอในอีเมล เช่น หลอกฝ่ายการเงินให้โอนเงินด่วนให้พาร์ทเนอร์ทางธุรกิจ หลอกให้ฝ่ายไอทีปิดระบบรักษาความปลอดภัยทั้งหมดเพื่ออัปเดตระบบใหม่ เป็นต้น

D

Dark web

Dark web หรือเว็บมือ เป็นกลุ่มของเว็บไซต์ลึกลับบนอินเทอร์เน็ต ถูกออกแบบให้เข้าถึงได้จากเบราว์เซอร์เฉพาะเท่านั้น ไม่ปรากฎในฐานข้อมูล Search engine และมีการปิดบังตัวตนของผู้ใช้งาน Dark web เป็นแหล่งรวมของถูกกฎหมายและผิดกฎหมายที่ต้องการหลบหลีกการตรวจจับของหน่วยงานรัฐบาล หรือหน่วยรักษาความปลอดภัย อย่างไรก็ตาม การเข้าถึงและใช้งานเว็บไซต์ประเภทนี้อาจมีผลกระทบด้านกฎหมาย และเสี่ยงตกเป็นเหยื่อจากมัลแวร์ได้

Deep Fake

เกิดจากการรวมคำศัพท์ 2 คำ คือ Deep Learning (กระบวนการเลียนแบบโครงสร้างประสาทของมนุษย์) และ Fake (ปลอม) หมายความว่า Deep Fake คือ การปลอมแปลงอัตลักษณ์ของบุคคลหนึ่งด้วยปัญญาประดิษฐ์ (AI) นวัตกรรมเลียนแบบเสียง หรือภาพ ทำให้ผู้พบเห็นเกิดความเข้าใจผิดว่าบุคคลที่ถูกเลียนแบบเป็นผู้พูด หรือกระทำการบางอย่างนั้นอยู่จริง

I

Identity Theft

การโจรกรรมข้อมูลส่วนบุคคลและอัตลักษณ์เฉพาะบุคคลไปสวมรอยตัวตนโดยไม่ได้รับอนุญาต เช่น นำไปสร้างแอคเคานต์ออนไลน์ขายของผิดกฎหมาย, นำไปเปิดบัญชีเพื่อใช้ในการฟอกเงิน, นำไปใช้สั่งซื้อสินค้าออนไลน์โดยตัดเงินผ่านบัตรเครดิต เป็นต้น

Internet of Thing (IoT)

อินเทอร์เน็ตในทุกสิ่ง อุปกรณ์เทคโนโลยีต่าง ๆ มีการเชื่อมต่อโยงเข้ากับระบบเครือข่ายอินเทอร์เน็ต ทำให้ผู้ใช้งานสามารถสั่งการควบคุมการใช้งานอุปกรณ์เทคโนโลยีผ่านทางอินเทอร์เน็ตได้ เช่น สั่งเปิด – ปิดไฟด้วยแอปพลิเคชันบนสมาร์ทโฟน, การตรวจสอบความหนาแน่นของจราจรผ่านอินเทอร์เน็ต หรือการตรวจสอบที่จอดรถของห้างสรรพสินค้าที่ต้องการเดินทางไป เป็นต้น

M

Malware

โปรแกรมประสงค์ร้ายที่ถูกออกแบบมาเพื่อสร้างความเสียหายให้กับระบบคอมพิวเตอร์ เซิร์ฟเวอร์ หรือเครือข่ายคอมพิวเตอร์ โดยมัลแวร์แต่ละประเภทมีลักษณะการโจมตีและหน้าที่ในการทำลายล้างที่แตกต่างกันออกไป เช่น ไวรัส, เวิร์ม, ม้าโทรจัน หรือมัลแวร์เรียกค่าไถ่ เป็นต้น

Multi Factor Authentication (MFA)

การยืนยันตัวตนด้วยอีกชั้นหนึ่งให้กับระบบ นอกเหนือจากการยืนยันตัวตนผ่านรหัสผ่าน โดย MFA จะนำข้อมูลเฉพาะของตัวบุคคลที่ไม่สามารถถูกลอกเลียนแบบได้ง่ายมาใช้เป็นเครื่องพิสูจน์ตัวตน เช่น การสแกนลายนิ้วมือ – ใบหน้า, การรับรหัสผ่านแบบใช้ครั้งเดียวทาง SMS (OTP), การยืนยันตัวตนผ่านแอปพลิเคชันบนมือถือ เป็นต้น เป็นการเพิ่มประสิทธิภาพในการยืนยันตัวตนให้มีความปลอดภัยมากยิ่งขึ้น ลดความเสี่ยงของการถูกสวมรอยตัวตน หากรหัสผ่านที่ใช้งานหลุด หรือคาดเดาได้ง่ายเกินไป

P

Password Management Application

แอปพลิเคชันสำหรับการจัดการรหัสผ่าน ทำหน้าที่เก็บบันทึกข้อมูลชื่อผู้ใช้และรหัสผ่านเข้าสู่ระบบทุกบัญชีที่เรามี และทำการกรอกรหัสผ่านเข้าสู่ระบบให้โดยอัตโนมัติ ช่วยให้เราไม่จำเป็นต้องนั่งจำรหัสผ่านยาก ๆ และแตกต่างกันทุกบัญชีให้เหนื่อยเปล่า ไม่เพียงเท่านั้น แอปพลิเคชันนี้ยังสามารถให้คำแนะนำในการสร้างรหัสผ่านและช่วยสร้างรหัสผ่านที่ซับซ้อน เพื่อหลีกเลี่ยงความเสี่ยงต่อการถูกคาดเดารหัสผ่านและถูกแฮกบัญชีออนไลน์ในที่สุด

Phishing

การหลอกลวงหลากหลายวิธีการเพื่อให้ได้มาซึ่งข้อมูลส่วนบุคคล หรือข้อมูลสำคัญของบุคคล หรือองค์กรเป้าหมาย โดยจะหลอกให้เหยื่อผู้ใช้งานคลิกลิงก์ ดาวน์โหลดไฟล์ หรือให้ข้อมูลสำคัญตอบกลับ ก่อนจะนำข้อมูลไปสวมรอยตัวตนสร้างความเสียหายต่อบุคคล หรือนำข้อมูลสำคัญขององค์กรไปขาย เปิดเผยต่อสาธารณะ และเรียกค่าไถ่เป็นจำนวนเงินสูงกับองค์กรนั้น ๆ

R

Ransomware

มัลแวร์ประเภทหนึ่งเรียกว่า ‘มัลแวร์เรียกค่าไถ่’ ถูกออกแบบมาเพื่อเข้ารหัสไฟล์ข้อมูลทั้งหมดบนอุปกรณ์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ทำให้ผู้ใช้งานไม่สามารถเปิดใช้งานใด ๆ จนกว่าผู้ใช้งานจะจ่ายเงินตามจำนวนที่อาชญากรไซเบอร์กำหนดไว้ โดยส่วนใหญ่มักเป็นการเรียกร้องเงินผ่านสกุลเงินดิจิตอล เช่น Bitcoin, Paysafecard เป็นต้น แต่อย่างไรก็ตามการจ่ายเงินเรียกค่าไถ่ก็ไม่อาจรับประกันได้ว่าอาชญากรไซเบอร์จะส่งรหัสปลดล็อกไฟล์ให้ผู้ใช้งานจริง

Remote Access Trojan (RAT)

ซอฟต์แวร์ประสงค์ร้ายประเภทหนึ่งที่มีความสามารถช่วยให้อาชญากรไซเบอร์สามารถเข้าโจมตีเครื่องคอมพิวเตอร์ รวมไปถึงควบคุมระบบการทำงาน และขโมยข้อมูลสำคัญบนเครื่องคอมพิวเตอร์ของผู้ใช้งานจากระยะไกลได้โดยไม่ต้องขออนุญาต

Romance Scam

การหลอกลวงโดยใช้ความรัก ความเชื่อใจ และความไว้วางใจของเหยื่อเป็นเครื่องมือแสวงหาผลประโยชน์ โดยหลอกให้โอนเงิน บอกข้อมูลสำคัญ หรือหลอกให้กระทำการบางอย่างที่ผิดกฎหมาย โดยลักษณะการหลอกลวง ผู้ไม่หวังดีมักสร้าง Profile ที่ดูดี และแต่งเรื่องราวที่ดูน่าเชื่อถือ ทำให้เหยื่อเกิดความหลงรักมากขึ้น หรือทำให้เหยื่อเกิดความสงสารและช่วยเหลือในที่สุด เช่น หลอกว่าพ่อแม่เข้าโรงพยาบาล ขอยืมเงินจ่ายค่ารักษา, หลอกให้รักจนโอนทรัพย์สินมรดกทั้งหมดให้ เป็นต้น

S

Scam

การหลอกลวงหลากหลายรูปแบบบนอินเทอร์เน็ต เพื่อให้ได้มาซึ่งข้อมูลสำคัญ หรือทรัพย์สินที่มีค่าของผู้ใช้งานบนอินเทอร์เน็ต โดยการส่งอีเมลหาผู้ใช้งานอีเมลจำนวนมาก ด้วยเนื้อหาอีเมลที่มีความโน้มน้าว ชวนเชื่อ เพื่อให้ผู้ใช้งานหลงเชื่อและปฏิบัติตามคำร้องขอในอีเมล เช่น หลอกให้ร่วมลงทุนทำธุรกิจ หลอกว่าผู้ใช้งานเป็นผู้โชคดีรับรางวัลต่าง ๆ โดยต้องลงทะเบียนกรอกข้อมูลส่วนตัวเพื่อรับสิทธิตามเงื่อนไข เป็นต้น

Smishing

การหลอกลวงผ่านข้อความ SMS, Messenger Social Media ต่าง ๆ โดยใช้วิธีการแนบลิงก์อันตรายพร้อมข้อความชวนเชื่อเร่งด่วนให้คลิกลิงก์ไปยังหน้าเว็บไซต์ปลอมที่อาชญากรไซเบอร์สร้างขึ้นเพื่อหลอกข้อมูลส่วนบุคคลของเหยื่อไปใช้คาดเดารหัสผ่านบัญชีต่าง ๆ ซึ่งรวมไปถึงบัญชีการทำงานภายในองค์กรด้วย หรือบางครั้งการคลิกลิงก์ดังกล่าว อาจเป็นการติดตั้งมัลแวร์ลงสู่อุปกรณ์ของเหยื่อเพื่อให้มัลแวร์สามารถเก็บข้อมูลสำคัญทั้งหมดบนอุปกรณ์ส่งไปยังเครื่องของอาชญากรไซเบอร์

Social Engineering

ชื่อเรียกภาษาไทยคือ วิศวกรรมสังคม ศิลปะแห่งการหลอกลวงผู้คนเพื่อให้ได้มาซึ่งผลประโยชน์ที่อาชญากรไซเบอร์ต้องการ โดยใช้เทคนิคทางจิตวิทยา อาศัยจุดอ่อน ความประมาทเลินเล่อ ความรู้เท่าไม่ถึงการณ์เป็นเครื่องมือในการหลอกลวง ซึ่งการหลอกลวงแบบ Social Engineering มีหลายรูปแบบโดยไม่จำเป็นต้องพึงเทคโนโลยีใด ๆ เช่น การหลอกลวงผ่านอีเมล (Email Phishing), การหลอกลวงผ่านข้อความ (Smishing), การหลอกลวงผ่านโทรศัพท์ (Vishing), การค้นข้อมุลจากถังขยะ (Dumpster Diving) เป็นต้น

Spear Phishing

การหลอกลวงผ่านทางอีเมล มีลักษณะการโจมตีคล้ายกับ Email Phishing เพียงแต่ Spear Phishing มีการเจาะจงเป้าหมายเป็นตัวบุคคล แผนกงาน หรือองค์กรอย่างชัดเจนในการส่งอีเมลหลอกลวง เพื่อจุดประสงค์ให้เป้าหมายเปิดเผยข้อมูลส่วนบุคคล หรือข้อมูลความลับ

Spoofing

การหลอกลวงผ่านอีเมลโดยแอบอ้างอีเมลแอดเดรสเป็นบุคคล องค์กร หรือหน่วยงานที่มีชื่อเสียง หลอกให้ผู้ใช้งานอีเมลหลงเชื่อ จนโอนเงินให้ในที่สุด หรือเปิดเผยข้อมูลส่วนบุคคล ข้อมูลความลับขององค์กร คลิกลิงก์อันตราย รวมไปถึงดาวน์โหลดไฟล์ที่มีมัลแวร์แฝงอยู่จนทำให้เครื่องคอมพิวเตอร์ติดมัลแวร์โดยไม่รู้ตัว

V

Vishing

การหลอกลวงผ่านทางโทรศัพท์มือถือ เพื่อให้ได้มาซึ่งทรัพย์สินและข้อมูลส่วนบุคคลของเป้าหมาย โดยส่วนมากอาชญากรจะแอบอ้างตัวตนเป็นเจ้าหน้าที่คอลเซ็นเตอร์ธนาคาร แจ้งปัญหาการใช้งานบัญชีธนาคาร หรือติดตามการค้างชำระค่าบริการ ๆ เพื่อให้เป้าหมายหลงเชื่อให้ข้อมูลสำคัญ หรือโอนเงินให้ในที่สุด หรือที่เรารู้จักกันดีก็คือ “แก๊งคอลเซ็นเตอร์”

W

Worm

Worm หรือหนอนคอมพิวเตอร์ มัลแวร์คอมพิวเตอร์ มีลักษณะการโจมตีเพื่อขโมยไฟล์ข้อมูลสำคัญ หรือเปลี่ยนการตั้งค่าความปลอดภัยของเครื่องพิวเตอร์ของผู้ใช้งาน เพื่อส่งข้อมูลไปยังอาชญากรไซเบอร์ Worm สามารถคัดลอกและแพร่กระจายตัวเองข้ามเครือข่ายได้อย่างรวดเร็ว โดยแพร่กระจายตัวเองผ่านไฟล์แนบอีเมล, โปรแกรมส่งข้อความโต้ตอบอัตโนมัติ