วิศวกรรมสังคม (ฟิชชิงและเว็บไซต์หลอกลวง)

เนื้อหาด้านวิศวกรรมสังคมคือเนื้อหาที่หลอกลวงให้ผู้เข้าชมทำสิ่งที่ไม่ปลอดภัย เช่น เปิดเผยข้อมูลที่เป็นความลับหรือดาวน์โหลดซอฟต์แวร์ หาก Google ตรวจพบว่าเว็บไซต์ของคุณมีเนื้อหาด้านวิศวกรรมสังคม เบราว์เซอร์ Chrome อาจแสดงคำเตือน "มีเว็บไซต์ที่หลอกลวงอยู่ข้างหน้า" เมื่อผู้ใช้เข้าชมเว็บไซต์ของคุณ คุณสามารถตรวจสอบว่าหน้าใดบนเว็บไซต์ของคุณที่ต้องสงสัยว่ามีการโจมตีแบบวิศวกรรมสังคมโดยไปที่รายงาน "ปัญหาด้านความปลอดภัย"

เปิดรายงานปัญหาด้านความปลอดภัย

ภาพรวม

วิศวกรรมสังคมคืออะไร

การโจมตีแบบวิศวกรรมสังคมคือสถานการณ์ที่มีการหลอกลวงให้ผู้ใช้เว็บทำสิ่งที่ไม่ปลอดภัยทางออนไลน์

การโจมตีแบบวิศวกรรมสังคมมีหลายรูปแบบ ดังนี้

  • ฟิชชิง: เว็บไซต์จะหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลส่วนบุคคล (เช่น รหัสผ่าน หมายเลขโทรศัพท์ หรือบัตรเครดิต) ในกรณีนี้ เนื้อหาที่ปลอมแปลงขึ้นจะแสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น เบราว์เซอร์ ระบบปฏิบัติการ ธนาคาร หรือรัฐบาล
  • เนื้อหาหลอกลวง: เนื้อหาดังกล่าวจะพยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาทีมสนับสนุนทางเทคนิค การดาวน์โหลดซอฟต์แวร์ หรือเนื้อหาจะมีโฆษณาที่หลอกลวงว่าซอฟต์แวร์ของอุปกรณ์ล้าสมัยโดยเตือนให้ผู้ใช้ติดตั้งซอฟต์แวร์ไม่พึงประสงค์
  • บริการของบุคคลที่สามที่มีป้ายกำกับไม่เพียงพอ: บริการของบุคคลที่สามคือบุคคลที่ดำเนินการกับเว็บไซต์หรือบริการในนามของอีกบุคคลหนึ่ง หากคุณ (บุคคลที่สาม) ดำเนินการกับเว็บไซต์ในนามของอีกฝ่ายหนึ่ง (บุคคลที่หนึ่ง) โดยไม่มีการระบุความสัมพันธ์ให้ชัดเจน การดำเนินการดังกล่าวอาจได้รับการแจ้งว่าเป็นวิศวกรรมสังคม เช่น หากคุณ (บุคคลที่หนึ่ง) ทำเว็บไซต์การกุศลที่ใช้เว็บไซต์จัดการเงินบริจาค (บุคคลที่สาม) เพื่อรวบรวมเงินบริจาคสำหรับเว็บไซต์ของคุณ เว็บไซต์รวบรวมเงินบริจาคต้องระบุตัวตนให้ชัดเจนว่าตนเป็นแพลตฟอร์มบุคคลที่สามที่ดำเนินการในนามของเว็บไซต์การกุศลดังกล่าว มิฉะนั้นระบบอาจถือว่าเป็นวิศวกรรมสังคม

Google Safe Browsing ช่วยปกป้องผู้ใช้เว็บโดยเตือนผู้ใช้ก่อนเข้าชมหน้าเว็บที่มีส่วนร่วมในวิศวกรรมสังคมอย่างต่อเนื่อง

หน้าเว็บจะได้รับการพิจารณาเป็นวิศวกรรมสังคมในกรณีดังนี้

  • แสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น อุปกรณ์ของคุณ เบราว์เซอร์ หรือตัวเว็บไซต์ หรือ
  • พยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาทีมสนับสนุนทางเทคนิค หรือการดาวน์โหลดซอฟต์แวร์

วิศวกรรมสังคมในเนื้อหาที่ฝังไว้

เนื้อหาด้านวิศวกรรมสังคมอาจปรากฏในเนื้อหาที่ฝังอยู่ในเว็บไซต์ที่ดูไม่มีปัญหาอะไร ซึ่งมักจะอยู่ในโฆษณา เนื้อหาวิศวกรรมสังคมที่ฝังไว้ถือเป็นการละเมิดนโยบายของหน้าโฮสต์

บางครั้ง เนื้อหาวิศวกรรมสังคมที่ฝังไว้จะปรากฏให้ผู้ใช้เห็นในหน้าโฮสต์ตามตัวอย่างด้านล่าง ในกรณีอื่นๆ เว็บไซต์โฮสต์จะไม่มีโฆษณาให้เห็น แต่นำผู้ใช้ไปยังหน้าวิศวกรรมสังคมทางป๊อปอัป ป๊อปอันเดอร์ หรือใช้วิธีเปลี่ยนเส้นทางประเภทอื่น จากทั้ง 2 กรณี เนื้อหาวิศวกรรมสังคมประเภทนี้จะถือเป็นการละเมิดนโยบายของหน้าโฮสต์

แต่ฉันไม่ได้มีส่วนเกี่ยวข้องกับวิศวกรรมสังคม!

เนื้อหาแบบวิศวกรรมสังคมที่หลอกลวงอาจอยู่ในทรัพยากรที่ฝังในหน้านั้นๆ เช่น รูปภาพ คอมโพเนนต์อื่นๆ ของบุคคลที่สาม หรือโฆษณา เนื้อหาหลอกลวงเช่นนี้อาจหลอกลวงให้ผู้เข้าชมเว็บไซต์ดาวน์โหลดซอฟต์แวร์ไม่พึงประสงค์ 

นอกจากนี้ แฮกเกอร์ยังควบคุมเว็บไซต์ที่ไม่มีส่วนรู้เห็นและใช้เว็บไซต์เหล่านั้นเพื่อโฮสต์หรือกระจายเนื้อหาแบบวิศวกรรมสังคมได้อีกด้วย แฮกเกอร์อาจเปลี่ยนแปลงเนื้อหาของเว็บไซต์หรือเพิ่มหน้าอื่นๆ ในเว็บไซต์นั้น โดยมักจะมีจุดประสงค์เพื่อหลอกลวงให้ผู้เข้าชมเปิดเผยข้อมูลส่วนบุคคล เช่น หมายเลขบัตรเครดิต คุณสามารถดูว่าเว็บไซต์ของคุณได้รับการระบุว่าเป็นเว็บไซต์ที่โฮสต์หรือเผยแพร่เนื้อหาแบบวิศวกรรมสังคมหรือไม่โดยตรวจสอบรายงาน "ปัญหาด้านความปลอดภัย" ใน Search Console

ดูความช่วยเหลือสำหรับเว็บไซต์ที่ถูกแฮ็ก หากคุณเชื่อว่าเว็บไซต์ของคุณถูกแฮ็ก

ตัวอย่างการละเมิดด้วยวิศวกรรมสังคม

ตัวอย่างเนื้อหาหลอกลวง

ตัวอย่างของหน้าที่มีส่วนเกี่ยวข้องกับแนวทางปฏิบัติด้านวิศวกรรมสังคม มีดังนี้

Social engineering popup that tries to make the user install an unwanted application.
ป๊อปอัปหลอกลวงที่มีเจตนาล่อลวงให้ผู้ใช้ติดตั้งมัลแวร์
Example of social engineering attempt claiming a browser update is required
ป๊อปอัปหลอกลวงที่ระบุว่าจะช่วยผู้ใช้อัปเดตเบราว์เซอร์
หน้าการเข้าสู่ระบบ Google ปลอม โปรดระวัง URL หลอกลวง เว็บไซต์ฟิชชิงอื่นๆ แบบนี้อาจหลอกลวงให้คุณเปิดเผยข้อมูลส่วนบุคคล เช่น ข้อมูลบัตรเครดิต เว็บไซต์ฟิชชิงอาจดูเหมือนเว็บไซต์จริงทุกประการ โปรดดูแถบที่อยู่เพื่อตรวจสอบว่า URL ถูกต้อง และดูว่าเว็บไซต์ขึ้นต้นด้วย https://

ตัวอย่างโฆษณาหลอกลวง

ต่อไปนี้คือตัวอย่างของเนื้อหาหลอกลวงภายในโฆษณาแบบฝัง โฆษณาเหล่านี้จะดูเหมือนเป็นอินเทอร์เฟซของหน้ามากกว่าเป็นโฆษณา

Deceptive ad claiming to be a media player update on the page.
ป๊อปอัปหลอกลวงที่ระบุว่าซอฟต์แวร์ของผู้ใช้หมดอายุแล้ว
Deceptive ad claiming to be an installer for a required component.
ป๊อปอัปหลอกลวงที่ระบุว่ามาจากนักพัฒนาซอฟต์แวร์ FLV
Deceptive ads claiming to be playback controller buttons on the host page.
โฆษณาที่มีลักษณะเป็นปุ่มการทำงานของหน้า

การแก้ปัญหา

หากมีการแจ้งว่าเว็บไซต์ของคุณมีวิศวกรรมสังคม (เนื้อหาหลอกลวง) โปรดตรวจสอบว่าหน้าเว็บไม่ได้มีส่วนเกี่ยวข้องกับแนวทางปฏิบัติที่ระบุไว้ด้านบน จากนั้นทำตามขั้นตอนต่อไปนี้

  1. ตรวจสอบใน Search Console 
    • ยืนยันว่าคุณเป็นเจ้าของเว็บไซต์ใน Search Console และไม่มีการเพิ่มเจ้าของรายใหม่ๆ ที่น่าสงสัย
    • ดูรายงานปัญหาด้านความปลอดภัยเพื่อดูว่าเว็บไซต์ของคุณอยู่ในรายการที่มีเนื้อหาหลอกลวงหรือไม่ (คำที่ใช้รายงานสำหรับวิศวกรรมสังคม) ไปที่ URL ตัวอย่างที่ได้รับแจ้งที่ระบุไว้ในรายงานโดยใช้คอมพิวเตอร์ที่ไม่ได้อยู่ในเครือข่ายที่ให้บริการเว็บไซต์ของคุณ (แฮกเกอร์ที่ฉลาดจะปิดการโจมตีของตนได้ หากคาดว่าผู้เข้าชมนั้นเป็นผู้ดูแลเว็บไซต์)
  2. นำเนื้อหาที่หลอกลวงออก ตรวจสอบว่าไม่มีหน้าใดในเว็บไซต์คุณที่มีเนื้อหาหลอกลวง หากคุณเชื่อว่า Google Safe Browsing จัดประเภทหน้าเว็บผิดพลาด โปรดรายงานที่นี่
  3. ตรวจสอบทรัพยากรของบุคคลที่สามที่อยู่ในเว็บไซต์ ตรวจดูว่าโฆษณา รูปภาพ หรือทรัพยากรของบุคคลที่สามที่ฝังอยู่ในหน้าเว็บไซต์ไม่มีลักษณะที่หลอกลวง
    • โปรดทราบว่าเครือข่ายโฆษณาอาจหมุนเวียนโฆษณาที่แสดงอยู่บนหน้าของเว็บไซต์ ดังนั้นคุณอาจจะต้องรีเฟรชหน้าเว็บสัก 2-3 ครั้งก่อน จึงจะเห็นโฆษณาแบบวิศวกรรมสังคมแสดงขึ้นมา
    • โฆษณาบางอย่างอาจแสดงต่างกันบนอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป คุณอาจใช้เครื่องมือตรวจสอบ URL เพื่อดูเว็บไซต์ทั้งในมุมมองอุปกรณ์เคลื่อนที่และเดสก์ท็อป
    • ทำตามหลักเกณฑ์สำหรับบริการของบุคคลที่สามตามที่อธิบายไว้ด้านล่างสำหรับบริการของบุคคลที่สามทั้งหมดที่คุณใช้ในเว็บไซต์ เช่น บริการการชำระเงิน
  4. ขอรับการตรวจสอบ หลังจากที่คุณนำเนื้อหาแบบวิศวกรรมสังคมทั้งหมดออกจากเว็บไซต์แล้ว ก็ส่งคำขอให้เราตรวจสอบความปลอดภัยในรายงาน "ปัญหาด้านความปลอดภัย" ได้เลย การตรวจสอบอาจใช้เวลาหลายวัน

หลักเกณฑ์สำหรับบริการของบุคคลที่สาม

หากคุณรวมบริการของบุคคลที่สามไว้ในเว็บไซต์ คุณจะต้องปฏิบัติตามเงื่อนไขต่อไปนี้เพื่อไม่ให้ได้รับป้ายกำกับว่าเป็นวิศวกรรมสังคม

  • ในทุกๆ หน้า เว็บไซต์ของบุคคลที่สามควรใส่แบรนด์ของบุคคลที่สามไว้อย่างชัดเจนเพื่อให้มั่นใจว่าผู้ใช้จะทราบว่าใครเป็นผู้ดำเนินการกับเว็บไซต์ เช่น ใส่แบรนด์ของบุคคลที่สามไว้ที่ด้านบนของหน้า
  • ในทุกๆ หน้าที่มีแบรนด์ของบุคคลที่หนึ่ง ให้ระบุความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามไว้อย่างชัดแจ้ง และใส่ลิงก์ไปยังข้อมูลเพิ่มเติมด้วย  เช่น ให้ใส่ข้อความแบบตัวอย่างด้านล่าง

      บริการนี้โฮสต์โดย Example.com ในนามของ Example.charities.com ข้อมูลเพิ่มเติม

หลักการก็คือทำอย่างไรให้ผู้ใช้ที่ดูหน้าเว็บได้ทราบเสมอว่า ตนกำลังใช้งานเว็บไซต์อะไร และเข้าใจถึงความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามของเว็บไซต์นั้น

แนวทางปฏิบัติที่ดีที่สุด: หากคุณต้องอาศัยบุคคลที่สามเพื่อให้บริการสนับสนุนพื้นฐานสำหรับเว็บไซต์ ทางที่ดีที่สุดคุณควรใช้บุคคลที่สามที่ตรงตามมาตรฐานอุตสาหกรรมสำหรับบริการดังกล่าว เช่น ถ้าจะจัดการการตรวจสอบสิทธิ์ผู้ใช้ในเว็บไซต์ คุณควรใช้ OAuth แทนการจัดการการตรวจสอบสิทธิ์ด้วยตนเอง
ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร