Pages

5/14/2012

การตอบแบบสอบถามทางโทรศัพท์ กับ Social Engineering

โพสต์นี้จะเป็นการบ่นๆแหละ  ก่อนอื่นขอเล่าสถานการณ์ก่อนเลยละกัน

รื่องมันเริ่มต้นมาจาก วันนึง โทรศัพท์พื้นฐานที่บ้านเสีย ก็เลยโทรไปคอลเซ็นเตอร์ของบริษัทโทรศัพท์นั้นเพื่อขอให้ช่างมาซ่อม ช่างก็มาไวซ่อมไวเสร็จไว ทุกอย่างก็ดูปกติไม่มีอะไร
แต่พอไ่มกี่วันต่อมา  มีโทรศัพท์ที่อ้างว่าเป็นพนักงานฝ่ายบริการลูกค้าโทรเข้ามาถามถึงความพอใจในการให้บริการของคอลเซนเตอร์คนนั้น  ตอนแรกก็จำไม่ได้ด้วยซ้ำว่าเคยโทรเข้าไปหาคอลเซนเตอร์
กำลังจะตัดสายอยู่แล้วเชียวเพราะนึกว่าเป็นพวกโทรมาหลอก  และเพราะเบอร์ที่โทรเข้ามาก็เป็นเบอร์มือถือด้วย (แปลกๆ เพราะปกติควรจะใช้เบอร์บริษัทที่ขึ้นต้นด้วย 02- โทรมามากกว่า)  แต่พอเขาพูดชื่อเราถูก และอ้างถึง"วันที่"มีการสนทนากับคอลเซนเตอร์ถูก  ก็โอเคละ เริ่มมั่นใจว่าคนๆนี้น่าจะเป็นคนในบริษัทนั้นจริงๆ
คำถามที่เขาถามก็ไม่ได้มีอะไรมากในช่วงแรก  ก็ให้เราเป็นคนให้คะแนนกับคอลเซนเตอร์ที่เราคุยด้วย
วันนั้นในด้านต่างๆ ให้ 1-5 คะแนนในแต่ละด้าน  ซึ่งก็ยังดูไม่มีผิดปกติอะไร แต่พอถามคำถามเหล่านั้นจบ  ตรงนี้ล่ะเขาจะเริ่มถามข้อมูลทั่วไป(และส่วนตัว)ของเราละ  แล้วก็มาเริ่มมั่นใจว่าคนๆนี้เป็นคนบริษัทจริงๆ ก็คือตรงที่เขาบอกว่า  "ถ้าข้อมูลไหนคุณไม่สะดวกตอบ ก็ข้ามได้นะครับ"  เพราะแน่นอนว่า ถ้าเป็นมิจฉาชีพโทรมา คงอยากจะให้เราตอบทุกคำถามแน่ๆ ไม่ให้เว้นหรอก
โดยคำถามเหล่านั้นก็จะเป็นประมาณว่า  ชื่ออะไร เพศ อายุ ที่อยู่ เบอร์โทรติดต่อ การศึกษา อัตราเงินเดือน ฯลฯ   ซึ่งคำถามพวกนี้เนี่ยนะ ก็เห็นคนที่ทำ survey ก็ถามกันทุกอัน ไม่รู้ได้เอาไปใช้อะไรกันจริงๆมั๊ยในงานวิจัย  แต่ที่แน่ๆคือ คำถามเหล่านี้เป็นการเอาข้อมูลส่วนตัวออกไปได้อย่างง่ายๆเลย

ละยังไม่จบแค่นี้  หลายวันต่อมา มีโทรศัพท์เข้ามาอีกเบอร์  แต่คราวนี้เป็นผู้หญิงพูด
เธออ้างตัวว่าเธอเป็นตัวแทนธุรกิจประกัน ที่ผูกกับบัตรเครดิต (อะไรทำนองนี้ จำไม่ได้ชัดๆว่าคืออะไร)
พอพูดว่า "สวัสดีค่ะ คุณ....." (พูดชื่อถูก)  เสร็จแล้วก็ถามว่า "คุณมีบัตรเครดิตของอะไรบ้างคะ?"
พอพูดเรื่องเงินๆทองๆ ทางโทรศัพท์เนี่ย  รู้สึกว่าสมองเริ่มสั่งเตือนเลยว่า "อย่าๆๆๆๆ"    เพราะว่าเราแทบจะไว้วางใจอะไรไม่ได้เลยในโทรศัพท์  หน้าตาก็ไ่มเห็น บัตรพนักงานก็ไม่เห็น โทรมาจากไหน เป็นใครมาจากไหนก็ไม่รู้   สิ่งที่ทำไปตอนนั้นก็คือรีบตัดบทสนทนา  โดยบอกไปว่า  "ไม่มีบัตรเครดิตครับ"  (ก็ไม่มีบัตรซะอย่างคุณจะมาผูกประกันชีวิตกับอะไร ฮ่าๆๆๆ)    เธอก็ตอบกลับมาว่า "เหรอคะ สงสัยข้อมูลผิดพลาด" (เราก็คิดว่าไปเอาข้อมูลมาจากไหนเนี่ย น่าสงสัยจริงๆ)  เสร็จแล้วอีกไม่นานก็ตัดสายไป

    ตอนนี้เริ่มรู้สึกเหมือนกับว่า มีใครกำลังใช้ social engineering กับเราอยู่เลย

ำหรับคนที่ไม่รู้จักคำว่า Social Engineering
(ภาพจาก noticebored)

   คำว่า Social Engineering คือ ศาสตร์การที่ทำที่โน้มน้าวให้คนๆนึงทำอะไรซักอย่างนึงที่อาจจะไม่ได้ส่งผลดีกับตัวเขาเองก็ได้ (แปลจาก "the act of manipulating a person to take an action that may or may not be in the "target's" best interest." -- Christopher Hadnagy)

   พูดอีกอย่างก็คือ ทำอะไรก็ได้ที่เราได้ประโยชน์ โดยการหลอกให้เป้าหมายทำอะไรซักอย่างให้เรานั่นเอง ถึงแม้บางครั้งคนๆนั้นจะเสียประโยชน์ก็ตาม

   ถ้าฟังดูแล้ว อาจจะคิดว่าเรื่องนี้มันยากมาก คือแค่ทำให้จะให้คนอื่นทำอะไรให้กับเรานี่ก็ยากพอดูอยู่แล้ว   ยิ่งสิ่งที่ให้ทำยังทำให้เขาเสียประโยชน์อีกยิ่งยากเข้าไปใหญ่

... แต่ในความเป็นจริงแล้ว มันก็ไม่ได้ยากขนาดนั้น

เพราะถ้ายกตัวอย่างกรณีด้านบน  ก็จะเห็นว่า  คนเราโดยทั่วๆไป ถ้าเขาถามมา เราก็มักจะตอบตามความจริงไปหมด ซึ่งข้อมูลเหล่านี้ล้วนแต่เป็นข้อมูลส่วนตัวทั้งสิ้น  แต่ถ้าคุณคิดว่าเขารู้ไปแค่ "ชื่อ" "เบอร์โทร" แล้วเขาจะทำอะไรไม่ได้นี่ คุณคิดผิดซะแล้ว  เพราะว่าจากสองอย่างนี้สามารถนำไปใช้หาข้อมูลด้านอื่นๆของคุณได้อีกมากมาย  ยกตัวอย่างเช่น บัตรสมาชิกของร้านค้า ร้านสะดวกซื้อต่างๆ ขอแค่มีเบอร์โทรอย่างเดียว เขาก็หาหมายเลขสมาชิกให้คุณได้แล้ว  แล้วถ้าดึงเลขสมาชิกให้คุณได้  ข้อมูลอื่นๆ ที่คุณกรอกไว้ตอนสมัครสมาชิก ไม่ว่าจะเป็น วันเดือนปีเกิด  เลขบัตรประชาชน  ที่อยู่  รายได้  และอะไรหลายอย่างก็ขึ้นมาหมดแล้ว  ต่อไปถ้าจะทำต่อให้เกิดความเสียหาย (เพื่อให้คนทำได้ประโยชน์ เหยื่อเสียประโยชน์)  ก็สามารถทำได้ เช่น ทำบัตรประชาชนปลอมขึ้นมา โดยใช้ ชื่อคุณ รหัสประชาชนคุณ วันเดือนปีเกิดคุณ ที่อยู่คุณ  แต่รูปถ่ายเป็นหน้าของคนร้าย แล้วก็นำไปเปิดบัญชี หรือเปิดบัตรเครดิต เสร็จแล้วก็ใช้บัญชีธนาคารนั้นไปทำผิดกฎหมาย  หรือว่านำบัตรเครดิตไปใช้จนสะใจแล้ว สุดท้าย จู่ๆ วันดีคืนดี คุณจะโดนหมายศาลเรียกมาถึงบ้าน หรือไม่ก็มีหนี้ท่วมหัวขึ้นมาก็เป็นได้

สุดท้ายนี้ อยากให้ทุกคนระวังตัวไว้ด้วย เวลาจะตอบคำถามใครทางโทรศัพท์ จะต้องระมัดระวังตัว
โดยให้

  1. ให้คนปลายสายที่โทรมา ทำให้เชื่อให้ได้ก่อนว่า เขาโทรมาจากองค์กร ที่เขาอ้างถึงจริงๆ
  2. ตั้งใจฟังคำถามดีๆ  แล้วมีสติ และถามตัวเองอยู่เสมอว่า คำถามนี้ ควรจะตอบหรือไม่  มันเกี่ยวอะไรกับบริการที่เราใช้อยู่แล้วเขาต้องรู้ข้อมูลนี้หรือไม่ (เช่น บริษัทโทรศัพท์ มาถามเรื่องวุฒิการศึกษา?)
  3. ถ้าคำถามไหน ไม่สะดวกใจที่จะตอบ ก็ต้องขอไม่ตอบได้  เพราะถ้าเป็นข้อมูลที่ส่วนตัวแล้วการเลี่ยงไม่ตอบไม่ได้ถือว่าผิดอะไร  แต่ถ้าคนถามพยายามคะยั้นคะยอให้ตอบให้ได้  ก็แนะนำว่าตัดสายดีกว่า

อให้ทุกคนปลอดภัยจากเรื่องพวกนี้นะครับ
ถ้าใครมีเคสน่าสนใจๆ ก็มาเล่าให้ฟังแลกเปลี่ยนกันได้นะครับ

No comments:

Post a Comment