Multi-Factor Authentication วิธีการที่ผู้นำด้านความปลอดภัยใช้เพื่อปกป้องข้อมูลมูลอ่อนไหว ผลการการวิจัยแสดงให้เห็นว่ามีข้อมูลการเข้าสู่ระบบจากอาชญากรไซเบอร์มากกว่า 15 พันล้านรายการบน Dark Web โดยอาชญากรมักใช้เพื่อขโมยข้อมูลที่อ่อนไหวจากองค์กรด้วยการรั่วไหลของข้อมูลและการขโมยข้อมูลในปริมาณมาก ทำให้องค์กรจำเป็นต้องดำเนินการด้วยวิธีการต่างๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต Multi-Factor Authentication คืออะไรและทำงานอย่างไร?คือการตรวจสอบสิทธิ์การเข้าถึงข้อมูลแบบหลายปัจจัยและเป็นเทคนิคการพิสูจน์ตัวตนที่ผู้ใช้ต้องแสดงปัจจัยการตรวจสอบยืนยันสิทธิ์สองปัจจัยขึ้นไปเพื่อยืนยันตัวตนก่อนที่จะเข้าถึงบัญชีหรือแอปพลิเคชันออนไลน์ โดยเปลี่ยนรูปแบบการขอเข้าถึงสิทธิ์จากเมื่อก่อนจะใช้เพียงชื่อผู้ใช้และรหัสผ่าน แต่ตอนนี้ควรพิ่มเติม เช่น รหัสผ่านแบบใช้ครั้งเดียวแล้วเปลี่ยน หรือการเข้ารหัส หรือลายนิ้วมือปัจจัยการรับรองความถูกต้องมี 3 ประเภทที่สามารถตรวจสอบผู้ใช้ได้สิ่งที่คุณรู้ (Something you know) – ข้อมูลที่ผู้ใช้รู้ เช่น รหัสผ่านหรือหมายเลขพินสิ่งที่คุณมี (Something you have)– สิ่งที่ผู้ใช้เท่านั้นมี เช่น สมาร์ทโฟนหรืออุปกรณ์การเข้ารหัสสิ่งที่คุณเป็น (Something you are)–
Blog - Albatross CyberSec - Page 3
- Home
- Blog
7 วิธีในการปกป้องข้อมูลของคุณจากอาชญากรไซเบอร์และ Dark Web อย่าเปิดเผยรหัสผ่านชื่อผู้ใช้ของคุณกับเพื่อนร่วมงาน เพื่อน สมาชิกในครอบครัว หรือแม้แต่แผนกไอที หากคุณให้ข้อมูลนี้โดยไม่ได้ตั้งใจ ให้เปลี่ยนรหัสผ่านทันทีสร้างรหัสผ่านที่ไม่ซ้ำและปลอดภัย การสร้างรหัสผ่านควรใช้อักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์อื่นรวมกันอย่างน้อย 8 ตัว และอย่าใช้ชื่อ คำ หรือวลีที่คุ้นเคยในรหัสผ่านของคุณระวังภัยคุกคามทางไซเบอร์ในอีเมลของคุณที่อาจมาได้ในทุกวัน ผู้ใช้ควรดูอย่างรอบครอบหรือพิสูจน์ความน่าเชื่อถือนั้นอย่าคลิกลิงก์ ดาวน์โหลดไฟล์แนบ หรือตอบกลับอีเมลของข้อความที่ไม่น่าไว้วางใจ หากคุณต้องเยี่ยมชมเว็บไซต์ควรเข้าไปที่เบราเซอร์และป้อน URL หรือใช้รายการโปรด/บุ๊กมาร์กเพื่อเข้าถึงเว็บไซต์อย่าเปิดใช้งานการจัดเก็บชื่อผู้ใช้และรหัสผ่านของบัญชีในเบราว์เซอร์ เพราะจะทำให้อาชญากรสามารถเข้าถึงบัญชีออนไลน์ทั้งหมดของคุณได้อย่างง่ายดาย เมื่อมีข้อสงสัยหรือมีถามคำถาม จากอีเมลที่ขอให้คุณโอนเงิน แชร์เอกสาร หรือยืนยันรายละเอียดบัญชี โปรดติดต่อบุคคลนั้นโดยตรงและแจ้งเตือนแผนกไอทีรู้สัญญาณของอาชญากรไซเบอร์ที่ส่งอีเมล ข้อความ และข้อความเสียง เพื่อกระตุ้นให้คุณดำเนินการอย่างรวดเร็ว โดยอาชญากรอาจอ้างว่าข้อมูลของคุณถูกขโมยคุณควรเพิกเฉยต่อสิ่งที่เกิดขึ้นเพื่อป้องกันการตกเป็นเหยื่อAlbatross มีทีมผู้เชี่ยวชาญ หรือที่ปรึกษา ที่พร้อมจะให้บริการสร้างความตระหนักแบบครบวงจร เช่น วางแผนการรับมือกับภัยคุกคามทางไซเบอร์ ฝึกอบรมสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ จำลองการโจมตีในรูปแบบต่างๆ เช่น
Dark Web คืออะไร และวิธีการเรียนรู้วิธีรักษาข้อมูลและตัวตนของคุณให้ปลอดภัย ข้อมูลต่างๆ เช่น สถานที่ทำงาน รหัสผ่าน ข้อมูลบัญชีอีเมลส่วนตัว ข้อมูลบัตรเครดิต รายละเอียดการเข้าสู่ระบบสำหรับเว็บไซต์ช้อปปิ้งออนไลน์ แม้กระทั่งข้อมูลส่วนบุคคลอื่นๆ นั้นถือเป็นเป็นสินค้าที่มีค่าในดาร์กเว็บโดยอาชญากรไซเบอร์สามารถหารายได้ได้จากข้อมูลที่ขโมยไปโดยจะเสนอขายให้กับซื้อผู้ที่ให้ราคาสูงสุด ผลกระทบที่เกิดขึ้น เช่น เมื่อองค์กรถูกแฮ็กโดยอีเมล Phishing จะส่งผลทางการเงินในการกู้คืนเซิร์ฟเวอร์ และที่สำคัญจะส่งผลต่อความไว้วางใจจากสาธารณะ และลูกค้าเป็นอย่างมาก ซึ่งวิธีที่ดีที่สุดในการปกป้องข้อมูล คือการรับรู้เรืองความปลอดภัย และปฏิบัติตามแนวทางที่ดีเพื่อรักษาความปลอดภัยของข้อมูลDark Web คืออะไรDark Web เป็นพื้นที่หนึ่งบนอินเทอร์เน็ตที่ไม่สามารถเข้าถึงได้ด้วยการค้นหาของ Google หรือ Bing ส่วนใหญ่เป็นพื้นที่ตลาดสำหรับกิจกรรมต่างๆ หรือการค้าขายสินค้าที่ที่ผิดกฎหมาย รากฐานของ Dark Web การละเมิดข้อมูล และผลกำไรของอาชญากรDark Web เกิดขึ้นมาตั้งแต่ยุคแรก
7 วิธีในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในวัน Black Friday (เทศกาลลดราคา) Black Friday เป็นโอกาสดีของผู้บริโภคในการได้รับข้อเสนอดีๆ และซื้อของลดราคาแต่ก็เป็นโอกาสของอาชญากรไซเบอร์ในการคิดค้นกลโกงใหม่ๆ เช่นกัน จากผลการวิจัยพบว่ามีการฉ้อโกงด้วยการชำระเงินออนไลน์เพิ่มขึ้น 208% ระหว่างเดือนกันยายนถึงตุลาคม 2564และเป็นเรื่องสำคัญอย่างยิ่งที่เราจะต้องทบทวนแนวทางปฏิบัติด้านความปลอดภัยเพื่อให้คุณซื้อสินค้าได้อย่างปลอดภัยและไม่ตกเป็นเหยื่อของมิจฉาชีพ ระวังอีเมล Phishingซึ่งเป็นหนึ่งในภัยคุกคามที่แพร่หลายมากที่สุดโดยมุ่งเป้าไปที่ผู้บริโภคโดยเฉพาะในช่วงวันหยุดยาว หรือในช่วงเทศกาล โดยอาชญากรไซเบอร์จะปลอมอีเมลแอบอ้างเป็นสินค้าแบรนด์ยอดนิยมและลอกให้ผู้ใช้คลิกไฟล์แนบของมัลแวร์หรือลิงก์ไปยังเว็บไซต์ Phishing โดยวิธีที่ดีที่สุดคืออย่าคลิกลิงก์หรือไฟล์แนบในอีเมลจากผู้ส่งที่ไม่รู้จัก ตั้งค่าสิทธิ์ยืนยันสิทธิ์การเข้าถึงแบบหลายปัจจัย ( Multi-factor) ในบัญชีออนไลน์ของคุณคุณควรตั้งค่าการตรวจสอบสิทธิ์การเข้าถึงแบบหลายปัจจัย (MFA) หรือการตั้งค่าระบบเพื่อเข้าสู่เพื่อรับรองความถูกต้อง โดยให้รหัสผ่านและรหัสที่ส่งไปยังอีเมลส่วนตัวหรืออุปกรณ์มือถือของคุณ หลีกเลี่ยงการใช้ Wi-Fi สาธารณะคุณควรหลีกเลี่ยง Wi-Fi สาธารณะเพราะคุณอาจจะถูกโจมตีจากอาชญากรทางไซเบอร์หรือแฮกเกอร์ที่สามารถดักจับข้อมูลส่วนตัวของคุณได้ นอกจากนี้สิ่งสำคัญคือการหลีกเลี่ยงการซื้อของออนไลน์และแชร์ข้อมูลส่วนบุคคลของคุณบน Wi-Fi สาธารณะ หากคุณต้องใช้ Wi-Fi
9 รูปแบบภัยคุกคาม Social Engineering วิศวกรรมสังคมเป็นเทคนิคทั่วไปที่อาชญากรไซเบอร์ใช้เพื่อหลอกลวงบุคคลให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลองค์กรที่มีความอ่อนไหว ด้วยการใช้ประโยชน์จากธรรมชาติของมนุษย์ขั้นพื้นฐาน เช่น ความเต็มใจหรือความปรารถนาที่จะไว้วางใจผู้อื่น โดยวิศวกรรมทางสังคมได้กลายส่วนสำคัญต่อการโจมตีแบบ Phishing หลายประเภทรวมถึงภัยคุกคามทางไซเบอร์อื่นๆ9 ตัวอย่างของวิศวกรรมสังคมที่พบบ่อยที่สุด Phishing กลวิธีการถึงอีเมล เว็บไซต์ และข้อความหลอกลวงเพื่อขโมยข้อมูลSpear Phishing การใช้อีเมลเพื่อโจมตีบุคคลหรือธุรกิจแบบกำหนดเป้าหมายBaiting การโจมตีทางวิศวกรรมสังคมออนไลน์ที่ให้การสัญญาว่าจะให้รางวัลแก่เหยื่อหากทำตามคำสั่งMalware เหยื่อจะถูกมิจฉาชีพหลอกให้เชื่อว่ามีการติดตั้ง Malware ในคอมพิวเตอร์ของตน เพื่อให้เหยื่อชำระเงินหากต้องการลบออกการอ้างสิทธิ์ ใช้ข้อมูลประจำตัวที่เป็นเท็จเพื่อหลอกล่อเหยื่อให้แจ้งข้อมูลส่วนบุคคลุQuid Pro Quo มิจฉาชีพจะอาศัยการแลกเปลี่ยนข้อมูลหรือบริการเพื่อโน้มน้าวให้เหยื่อกระทำการTailgating ,มิจฉาชีพจะอาศัยความไว้วางใจของมนุษย์เพื่อให้อาชญากรสามารถเข้าถึงอาคารหรือพื้นที่ที่ปลอดภัยได้Vishing หรือข้อความเสียงเร่งด่วนที่โน้มน้าวให้ผู้ที่ตกเป็นเหยื่อต้องดำเนินการอย่างรวดเร็วเพื่อป้องกันตนเองจากการถูกจับกุมหรือความเสี่ยงอื่นๆWater-Holing การโจมตีทางวิศวกรรมสังคมขั้นสูงที่ใช้ช่องว่างในระบบติดมัลแวร์ทั้งในเว็บไซต์และผู้เยี่ยมชม ตัวอย่างการโจมตีวิศวกรรมสังคมอาชญากรไซเบอร์ที่เก่งจะรู้ว่าวิศวกรรมสังคมทำงานได้ดีเมื่อใช้ประโยชน์จากอารมณ์ความรู้สึกของมนุษย์ซึ่งง่ายกว่าการแฮ็กเครือข่ายหรือมองหาช่องโหว่ด้านความปลอดภัย ตัวอย่างของวิศวกรรมสังคมที่ทำให้เห็นว่าอารมณ์ถูกใช้เพื่อโจมตีทางไซเบอร์ความกลัวอาชญากรทางไซเบอร์จะใช้อารมณ์ความกลัวเพื่อหลอกล่อให้ผู้คนปฏิบัติตามข้อความเสียง เช่น การรับข้อความเสียงที่ระบุว่าคุณกำลังถูกสอบสวนเรื่องการฉ้อโกงภาษี ทำให้คุณต้องโทรติดต่อทันทีเพื่อป้องกันการจับกุมและการสอบสวนทางอาญา ซึ่งจะทำให้คุณตกเป็นเหลื่ออย่างไม่คาดคิดความโลภอาชญากรไซเบอร์ใช้ความรู้สึกไว้วางใจและความโลภของมนุษย์ขั้นพื้นฐานเพื่อโน้มน้าวเหยื่อว่าพวกเขาสามารถได้รับบางสิ่งบางอย่างที่ไม่เป็นความจริง เช่น การหลอกเหยื่อด้วยการให้แจ้งข้อมูลบัญชีธนาคาร เพื่อที่จะโอนเงินความอยากรู้อาชญากรไซเบอร์ให้ความสนใจกับเหตุการณ์ที่มีการรายงานข่าวจำนวนมาก และใช้ประโยชน์จากความอยากรู้อยากเห็นของมนุษย์เพื่อหลอกล่อเหยื่อ
นโยบายการรักษาความปลอดภัยของข้อมูลมีบทบาทสำคัญในการกำกับดูแลความปลอดภัยของข้อมูล โดยจะมีหน้าที่สื่อสาร ถึงวัตถุประสงค์ ความคาดหวัง และความตั้งใจของผู้บริหารระดับสูง เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามวัตถุประสงค์ทางธุรกิจและความต้องการขององค์ก นโยบายข้อมูลความปลอดภัยโดยทั่วไป มีรายละเอียดดังต่อไปนี้: ขอบเขต (สินทรัพย์ บุคคล และกิจกรรมเป้าหมาย) การปฏิบัติตามกฎหมาย (เช่น พระราชบัญญัติความเป็นส่วนตัว) กฎระเบียบ หรือข้อกำหนดตามสัญญาขององค์กร หลักการหรือแนวทางปฏิบัติเพื่อให้เห็นถึงความพร้อม ความสมบูรณ์ และ ความลับของข้อมูลส่วนบุคคล การจัดการความเสี่ยงที่มีผลกระทบต่อข้อมูลส่วนบุคคล ข้อกำหนดด้านการฝึกอบรมและการรับรู้ในแง่ของความปลอดภัย การรายงานเหตุการณ์หรือการละเมิดกฎระเบียบด้านความปลอดภัย ความต่อเนื่องในกิจกรรมขององค์กร คำจำกัดความของบทบาทและความรับผิดชอบของผู้เกี่ยวข้องที่มีส่วนได้ส่วนเสียต่าง ๆ (การจัดการ ผู้จัดการ เจ้าหน้าที่รักษาความปลอดภัย เจ้าของหรือผู้ถือทรัพย์สินข้อมูล แหล่งข้อมูล ทรัพยากรบุคคล ผู้ใช้ ฯลฯ) การอ้างอิงถึงเอกสารหรือข้อบังคับที่มีรายละเอียดซึ่งจะช่วยสนับสนุนในการสร้างองค์ประกอบของนโยบาย
Albatross CyberSec Purple Team นำเสนอรูปแบบ แนวทางด้านการเตรียมความพร้อมองค์กร เพื่อรับมือกับภัยคุกคามทางไซเบอร์ หรือ การโจมตีทางไซเบอร์ ในรูปแบบบริการระดับ Premium เพื่อป้องกัน และรับมือกับการโจมตีในโลกแห่งความเป็นจริง โดยมุ่งเน้นไปที่การปรับปรุงความสามารถและการกำหนดค่าของเทคโนโลยีความมั่คงปลอดภัย รูปแบบบริการ Purple Team หรือ ทีมสีม่วง ของ Albatross CyberSec จะเป็นรูปแบบการรวมตัวกันระหว่าง · Blue Team หรือ Defensive หรือ ทีมป้องกัน · Red Team หรือ Offensive ทีมโจมตี โดยที่
ปี 2021 ได้เห็นการเปลี่ยนแปลงทางดิจิทัลอย่างกว้างขวางและการปรับปรุงประสิทธิภาพการทำงานในหลายภาคส่วนและภูมิภาคทั่วโลก หมายถึงโอกาสที่มากขึ้นสำหรับภัยคุกคามทางไซเบอร์ที่มีความซับซ้อนมากขึ้น 1.Ransomware and Malware ในปี 2564 จากสถิติ และรายงานการโดนโจมตีจาก แรนซัมแวร์ (Ransomware) และ มัลแวร์ (Malware) ตามรายงานของ U.S. Treasury's Financial Crimes Enforcement Network พบว่า เงินประมาณ 2.2 ล้านดอลลาร์ถูกส่งมอบให้กับอาชญากรไซเบอร์ในการทำธุรกรรม และตัวเลขดังกล่าวก็ไม่คาดว่าจะลดลงในทศวรรษนี้เช่นกัน โดยมีการประเมินค่าใช้จ่ายที่เกี่ยวข้องกับความเสียหายมีโอกาสสูงกว่า 265 พันล้านดอลลาร์ ในปี 2574 สถิติเหล่านี้ควรพิสูจน์ได้ทุกครั้งว่าการป้องกันทางเทคโนโลยีเพียงอย่างเดียวไม่สามารถป้องกัน แรนซัมแวร์ (Ransomware) และการโจมตีมัลแวร์
7 ขั้นตอนในการสร้างรหัสผ่านที่แข็งแกร่ง อาชญากรไซเบอร์นั้นรู้ว่าคนส่วนใหญ่มักสร้างรหัสผ่านที่จำง่ายและมักจะใช้รหัสผ่านเดียวกันซ้ำในหลายบัญชี ด้วยเหตุนี้ การแฮ็กเข้าในบัญชีเดียวจึงเข้าถึงบัญชีที่เหลือได้อย่างง่ายดาย โดยแนวทางปฏิบัติสำหรับการสร้างรหัสผ่านที่รัดกุมมี ดังนี้ ไม่ควรใช้ตัวเลขหรือตัวอักษรต่อเนื่อง เช่น อย่าใช้ 1234, qwerty, jklm, 6789 เป็นต้น ไม่ควรใส่ปีเกิดหรือเดือนเกิดในรหัสผ่านของคุณและจำไว้ว่าอาชญากรไซเบอร์สามารถค้นหาข้อมูลนี้ได้โดยง่ายโดยการสอดส่องบัญชีโซเชียลมีเดียของคุณ ควรใช้ตัวอักษร ตัวเลข และสัญลักษณ์รวมกันอย่างน้อยแปดตัว ยิ่งรหัสผ่านของคุณยาวและใช้อักขระที่หลากหลายมากเท่าใดการคาดเดาได้ยากขึ้นเท่านั้น เช่น M0l#eb9Qv? ใช้ตัวอักษรพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ผสมกัน รวมคำที่ไม่เกี่ยวข้องกันในรหัสผ่านหรือข้อความรหัสผ่านของคุณ ซึ่งทำให้อาชญากรไซเบอร์คาดเดารหัสผ่านของคุณได้ยาก แต่ห้ามใช้วลีจากเพลงหรือภาพยนตร์ และควรใช้คำที่ยาวกว่า 3 หรือ 4 คำเพื่อสร้างข้อความรหัสผ่านของคุณ เช่น ndjf@lgjUV13213Wgdkde123 ไม่ควรใช้ชื่อหรือคำที่พบในพจนานุกรม