‘โบนัส’ เหยื่อล่อชั้นดี

“โบนัส” สิ่งที่พนักงานตั้งตารอ ทำให้ปัจจุบัน “โบนัส” กลายเป็นเหยื่อล่อของอาชญากรไซเบอร์ ซึ่งเป็นการหลอกให้เหยื่อคลิกลิงค์ เพื่อให้การจู่โจมเกิดผลสำเร็จ และบรรดาควรจะเตรียมพร้อมรับมืออย่างไร?

ช่วงใกล้สิ้นปีเช่นนี้ “โบนัส” คือสิ่งที่มนุษย์เงินเดือนหลายคนเฝ้ารอ เพราะนี่คือรางวัลที่บริษัทจะมอบให้กับพนักงานที่ทำงานอย่างแข็งขันมาตลอดปี แต่จะเกิดอะไรขึ้นถ้าพนักงานพบว่าโบนัสที่ว่านั้นคือเหยื่อล่อชั้นดีที่บริษัทวางไว้เพื่อให้พนักงานติดกับ

เมื่อไม่นานมานี้เกิดข้อถกเถียงถึงความเหมาะสมในด้านจริยธรรมระหว่างบริษัทและพนักงาน หลังบริษัทสื่อสิ่งพิมพ์ยักษ์ใหญ่ในสหรัฐได้ว่าจ้างบริษัทแห่งหนึ่งทำการอบรมเรื่อง Security Awareness Training หรือการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ให้กับพนักงานของบริษัท

หากเป็นการอบรมทั่วไปก็คงจะไม่เกิดข้อถกเถียง แต่สิ่งที่เกิดขึ้นคือบริษัทได้ทำการจำลองสถานการณ์หากพนักงานถูกโจมตีด้วยฟิชชิ่ง (PhishingC หรืออีเมลหลอกลวงที่มีเนื้อหาชวนให้เหยื่อคลิกลิงค์ 

โดยนำเรื่องโบนัสมาเป็นเหยื่อล่อ จัดการส่งอีเมลแจ้งกับพนักงานทุกคนว่าบริษัทจะจ่ายเงินโบนัสจำนวนมากให้กับพนักงาน และสามารถคลิกลิงค์ที่แนบมากับอีเมลเพื่อดูรางวัลที่พวกเขาจะได้รับ 

ซึ่งหลังจากที่พนักงานคลิกลิงค์ก็จะมีข้อความที่แสดงให้พนักงานทราบว่าจริงๆ แล้วสิ่งที่แจ้งในอีเมลนั้นไม่ได้เป็นความจริง และนี่คือส่วนหนึ่งในการฝึกอบรมเรื่อง Security Awareness ที่บริษัทได้จัดขึ้น

ผู้เชี่ยวชาญบางส่วนให้ความเห็นในเรื่องนี้ว่า การทดสอบด้วยการส่งอีเมลหลอกพนักงานนั้นก็สมเหตุสมผลและอยู่ในขอบเขตที่พึงกระทำได้อยู่ เพราะว่าอาชญากรไซเบอร์นั้นก็มักจะใช้เรื่องเงินมาหลอกล่อให้เหยื่อคลิกลิงค์เพื่อให้การจู่โจมเกิดผลสำเร็จ การที่บริษัททำการทดสอบเช่นนี้ก็เป็นเรื่องที่ยอมรับได้

ในขณะที่ผู้เชี่ยวชาญบางส่วนให้ความเห็นว่า การหลอกลวงพนักงานด้วยโบนัสเช่นนี้เป็นเรื่องที่ได้ไม่คุ้มเสีย เพราะการทำแบบนี้ไม่ได้ช่วยอบรมหรือสอนใครเลย และอีกมุมหนึ่งเหตุการณ์นี้ทำให้พนักงานขาดความเชื่อมั่นในเรื่องความปลอดภัย รวมถึงทำให้พวกเขาเหล่านั้นรู้สึกละอายและเสียหน้าจนทำให้เสียความรู้สึกที่ดีต่อบริษัท มากกว่าที่จะเห็นถึงความสำคัญของการอบรม

เรื่องนี้จะโทษว่าบริษัททำสิ่งไม่สมควรฝ่ายเดียวก็คงไม่ได้ หากบริษัทที่รับจ้างไม่ได้มีส่วนร่วมด้วย ในความเป็นจริงแล้วการทำ Security Awareness Training นั้นไม่ได้ยากจนต้องใช้บริการของบริษัทภายนอก 

เพราะปัจจุบันผู้คนต่างให้ความสำคัญในเรื่องนี้ จึงเกิดเป็นโซลูชั่นที่ควบรวมทั้งในส่วนของคอร์สฝึกอบรม, การทำแบบทดสอบ, การจำลองสถานการณ์ในกรณีที่บริษัทถูกโจมตี ซึ่งทั้งหมดนี้สามารถให้พนักงานในบริษัทเข้ามาทำการทดสอบและดูผลคะแนนของแต่ละคน ให้หัวหน้างานและแผนกที่เกี่ยวข้องสามารถเก็บข้อมูลได้อีกด้วย ทำให้พนักงานของบริษัทเองสามารถจัด Security Awareness Training ภายในได้โดยไม่ต้องอาศัยความช่วยเหลือจากบุคคลภายนอก

ความก้าวหน้านี้ยังรวมไปถึง Email Template, Landing Page, Feedback Email ที่สมจริงเสมือนเป็นแบรนด์หรือบริษัทอื่นส่งมาจริงๆ ทำให้การทดสอบมีประสิทธิภาพ และไม่เป็นการทำร้ายความรู้สึกของพนักงาน เพราะในระบบจะมีหัวข้อของอีเมลหลอกลวงให้เลือกจำนวนมาก 

บริษัทจึงสามารถเลือกหัวข้อที่ใกล้เคียงกับสิ่งที่พนักงานต้องได้รับในอีเมลที่เกี่ยวข้องกับการทำงานของแต่ละแผนกได้โดยไม่ต้องคิดหัวข้อขึ้นมาหลอกลวงพนักงานเอง ถือว่าเป็นโซลูชันที่องค์กรต้องมีไว้เพื่อป้องกันความปลอดภัยให้ระบบบริษัท และเพิ่มพูนความรู้ให้กับพนักงานในบริษัทในเรื่องของไซเบอร์ซิเคียวริตี้อีกด้วยครับ

Related posts