
⚠️ บทสุดท้าย
นี่คือบทที่ 8 และเป็นบทสุดท้ายของ series Red Team 101 — Social Engineering คือช่องโหว่ที่อ่อนแอที่สุด เพราะไม่ว่าระบบจะปลอดภัยแค่ไหน ถ้าคนข้างในเปิดประตูให้ก็ยังแพ้
🎭 Social Engineering คืออะไร?
Social Engineering คือ ศิลปะการหลอกลวงคน ให้เปิดเผยข้อมูล sensitive หรือทำสิ่งที่ไม่ควร โดยใช้จิตวิทยามนุษย์แทนเทคนิคเทคโนโลยี
แม้ว่า Firewalls จะแข็งแรงแค่ไหน แต่ถ้ามีคนโทรมาหา admin แล้วขอรหัสผ่าน admin อาจให้โดยไม่ได้คิด
ประเภทของ Social Engineering
1. Phishing
ส่ง emails ปลอมที่ดูเหมือนมาจากแหล่งที่เชื่อถือได้ เช่น ธนาคาร Google Microsoft
2. Spear Phishing
Phishing ที่เจาะจงเป้าหมายเฉพาะ — เช่นส่ง email ไปที่ CEO โดยใช้ชื่อจริง ตำแหน่งจริง
3. Vishing
Phishing ผ่านโทรศัพท์ — โทรไปหาเหยื่อแล้วแกล้งเป็น IT support
4. Smishing
Phishing ผ่าน SMS — ส่งลิงก์ปลอมผ่านข้อความ
5. Pretexting
สร้างสถานการณ์ปลอมเพื่อให้เหยื่อเชื่อ — เช่นแกล้งเป็นผู้สอบบัญชีหรือตำรวจ
🧠 จิตวิทยาที่ Social Engineering ใช้
Robert Cialdini ระบุ 6 principles of influence ที่ attacker ใช้
1. Reciprocity — ให้ก่อนแล้วจะขอคืน
2. Commitment — ให้เหยื่อสัญญาแล้วจะทำต่อ
3. Social Proof — ทุกคนทำกัน เหมือนเป็นเรื่องปกติ
4. Authority — แกล้งเป็นผู้มีอำนาจ
5. Liking — ทำให้เหยื่อชอบก่อน
6. Scarcity — จำกัดเวลา ต้องตัดสินใจเร็ว
🛡️ ป้องกัน Social Engineering
- Training ทุกคนในองค์กร
- Simulated phishing tests
- Verify identity ก่อนให้ข้อมูล
- ไม่เปิด links ใน email โดยไม่ตรวจสอบ
- Multi-factor authentication
- Incident reporting
📝 สรุป series Red Team 101
8 บทที่ผ่านมา
บท 1 Reconnaissance เก็บข้อมูล
บท 2 Scanning and Enumeration
บท 3 Vulnerability Assessment
บท 4 Exploitation NIST CSF MITRE ATT and CK
บท 5 State-Sponsored Attack and APT
บท 6 Web App Hacking
บท 7 Network Hacking
บท 8 Social Engineering
จำไว้ — ช่องโหว่ที่อ่อนแอที่สุดคือคน ไม่ใช่เทคโนโลยี