บทที่ 14 เรื่อง จริยธรรมและการรักษาความปลอดภัยของสารสนเทศ

กรณีศึกษาบทที่ 14 การโมตีแบบฟิชชิ่งลูกค้าธนาคาร

1.การกระทำดังกล่าวเป็นเทคนิคการโจมตีแบบฟิชชิ่งอย่างไรคือ เป็นการฉ้อโกง โดยใช้คอมพิวเตอร์เป็นเครื่องมือในการทำธุรกรรม โดยทางผู้ไม่หวังดีจัดทำหน้าเว็บที่คล้ายกับหน้าเว็บจริงของธนาคารขึ้นมา เพื่อให้ลูกค้ากรอบข้อมูลส่วนตัว เกี่ยวกับการเงินไปยังกลุ่มที่ไม่หวังดี เช่น การส่งหมายเลขบัตรเครดิต รหัสผ่าน โดยที่ผู้ใช้ไม่รู้ตัว ว่ากำลังถูกหลอก2.ยกตัวอย่างกรณีศึกษาการโจมตึแบบฟิชชิ่งมา

2 ตัวอย่างคือ
2.1 การแอบอ้างตัว เช่น นาย ก. แอบอ้างตนว่าเป็นนาย ข. โดยการส่งอีเมล์และเอกสารปลอมที่เสดงตนว่าเป็นนาย ข. จริงเพื่อขอเปลี่ยนแปลงเจ้าของเว็บไซต์จากนาย ข. เป็นนาย ก. ดังนั้นนาย ก. ก็จะได้รับผลประโยชน์ต่าง ๆ โดยที่ไม่ต้องจ่ายค่าสิทธิในการใช้ที่อยู่อินเทอร์เน็ตนั้น
2.2 การฉ้อโกง หรือการสแกมทางคอมพิวเตอร์ คือ การส่งข้อความหรือโฆษณาบนเว็บไซต์ว่าท่านสามารถเดินทางเข้าพัก/ท่องเที่ยวแบบหรูในราคาถูก แต่เมื่อไปใช้บริการจริง กลับไม่เป็นอย่างที่บอกไว้หรือในบางครั้งอาจต้องมีการจ่ายเพิ่มเติมซึ่งไม่ได้แจ้งไว้ล่างหน้า

3.ท่านมีวิธีการหลีกเลี่ยงและป้องกันกลลวงจากฟิชชิ่งได้อย่างไรคือ
3.1. การใช้ Username หรือ User ID และรหัสผ่าน (Passwoed)
3.2. การใช้วัตถุใด ๆ เพื่อการเข้าสู่ระบบ ได้แก่ บัตรหรือกุญแจ3.3. เป็นการใช้อุปกรณ์ตรวจสอบลักษณะส่วนบุคคลเพื่อการอนุญาตให้ใช้ ระบบ เป็นต้น

คำถามท้ายบทที่ 14
1.อธิบาย เปรียบเทียบ พร้อมยกตัวอย่างของไวรัส เวิร์ม และม้าโทรจันไวรัส เวิร์ม
คำตอบ.
คือ โปรแกรม คอมพิวเตอร์ที่กระจายตัวเอง เช่นเดี่ยวกับไวรัส โดยการแพร่กระจาย จากคอมพิวเตอร์ สู่คอมพิวเตอร์เครื่องอื่น ๆ โดยผ่านอีเมล์และเครือข่ายอินเทอร์เน็ต เมื่อผู้ใช้เปิดไฟล์อ่าน เวิร์มจะเริ่มทำงานโดยการคัดลอกตัวเองและส่งผลจากจดหมายอิเล็กทรอนิกส์ไปยังเครื่องของคนอื่น ๆ ที่มีรายชื่ออยู่ใน E-mail เช่น “Nimda, “W32.Sobig”, W32.bugbeor” “W32.blaster” and “love bug” ซึ่งเป็นไฟล์ที่แนบมากับอีเมล์ที่กำหนดหัวเรื่องว่า “Love You”ม้าโทรจัน (Trojan torse) เป็นโปรแกรมรวมแต่แตกต่าง จากไวรัสและเวิร์มที่ ม้าโทรจัน จะไม่กระจายตัวเองไปยังคอมพิวเตอร์ เครื่องอื่น ๆ แต่ ม้าโทรจันจะแฝงอยู่กับโปรแกรมอื่น ๆ ที่อาจส่งผ่านมาทางอีเมล์ เช่น Ziped_filessexe. เมื่อมีการเรียกใช้ไฟล์ โปรแกรมก็จะลบไฟล์ที่อยู่ในฮาร์ดิสก์

2.สปายแวร์ Sotware คือ อะไร และมีวิธีการติดตั้งในเครื่องคอมฯ ได้อย่างไร
คำตอบ
คือ ไวรัสที่เป็นไฟล์ภาพกราฟิก มีขนาดเล็กและซ่อนตัวอยู่ที่เว็บเพจ ที่รวบรวมข้อมูลและพฤติกรรมการท่องโลกอินเทอร์เน็ตของผู้ใช้ แล้วส่งข้อมูลเหล่านั้นกลับไปยังเครื่องเซิร์ฟเวอร์ และวิธีการติดตั้งของเครื่อง คอมพิวเตอร์ คือ การติดตั้งจากแผ่น Driver หรือ การดาว์นโหลดจากอินเทอร์เน็ตมา เช่น โปรแกรมAd-aware ,Spycop เป็นต้น

3.ท่านมีวิธิการหลีกเลี่ยงการเป็นเป้าหมายของสแปมเมล์อย่างไรบ้าง
คำตอบ.
คือ
3.1 เป็นการบล็อกสแปมเมล์ก่อนที่เมล์เหล่านั้นจะถูกส่งไปยังกล่องจดหมาย
3.2 การติดตั้งโปรแกรม แอนตี้สแปม (Aati-Spam Program) ที่ช่วยกรองและกำจัดสแปมเมล์ก่อนที่เมล์เหล่านั้นจะถูกส่งไปยังกล่องเมล์

4. ท่านคิดว่าปัญหาในเรื่องความปลอดภัยใดบ้างที่มีแนวโน้มที่เพิ่มขึ้นจากการใช้งานอินทราเน็ตและเอ็กซ์ทราเน็ตในองค์การธุรกิจ และจะมีวิธีป้องกันหรือแก้ไข้ปัญหาอย่างไร
คำตอบ.
คือ ปัญหาในเรื่องอาชญากรรมคอมพิวเตอร์ ซึ่งเป็นปัจจัยหลักในการเพิ่มความปลอดภัยให้มากขึ้นโดยป้องกันปัญหานั้น คือ ควรมีระบบตรวจสอบการเข้าใช้ เพื่อทำการอนุญาตการใช้ระบบนั้น เช่น การตรวจสอบเสียง ลายนิ้วมือ ฝ่ามอ ลายเซ็น และรูปหน้า เป็นต้น โดยอุปกรณ์จะทำการแปลงลักษณะส่วนบุคคลให้อยู่ในรูปของดิจิทัล แล้วทำการเปรียบเทียบกับข้อมูลใน คอมพิวเตอร์ ถ้าข้อมูลไม่ตรงกับคอมพิวเตอร์แม่ข่าย ก็จะปฏิเสธการเข้าสู่ระบบ

5. ท่านคิดว่าการทำสำเนาแผ่นซีดีเพลงเป็นการผิดจริยธรรมหรือไม่ เพราะเหตุใด และการดาว์นโหลดเพลงจากอินเทอร์เน็ต คิดว่าอย่างไร
คำตอบ.
คือ การทำสำเนาแผ่นซีดีเพลงเป็นการกระทำที่ผิดจริยธรรม เพราะซีดีเพลงที่ได้มานั้น ไม่ได้มาโดยง่ายเลย และยังเป็นลิขสิทธิ์ ของค่ายเพลงนั้นๆ ด้วย และการดาวน์โหลดเพลงจากอินเทอร์เน็ต ถือว่าผิดจริยธรรมเหมือนกัน แต่ปัจจุบันเทคโนโลยีได้มีการพัฒนาสูง ดังนั้นการดาว์นโหลดเพลงจากอินเทอร์เน็ตถือว่าเป็นเรื่องปกติ

6.1.คำตอบ.
คิดว่าการสอดส่องของผู้บริหารฝ่ายจัดการข้อมูลนั้น ได้ผิดจริยธรรม เพราะว่าพนักงานถึงจะใช้ระบบอีเมล์เป็นเรื่องส่วนตัว แต่ก็ต้องดูด้วยว่าใช้ในเวลาทำงาน หรือว่าเวลาว่างไม่ควรด่าว่าให้กับพนักงาน

6.2.คำตอบ.
การใช้อีเมล์เพื่อการสื่อสารส่านตัวของพนักงาน คิดว่า ไม่ผิดจริยธรรม เพราะว่าการใช้อีเมล์ของ นอกจากที่ได้กล่าวไว้แล้ว อาจใช้ติดต่อกับลูกค้าเป็นการส่วนตัวก็ได้

6.3.คำตอบ.
การที่ผู้จัดการฝ่ายความปลอดภัยได้ส่งรายชื่อพนักงานให้กับผู้บริหาร ไม่ผิดจริยธรรม แต่การทำงานร่วมกันควรตักเตือนก่อนและให้คำเสนอแนะที่ดีแก่พนักงานเหล่านั้น

6.4.คำตอบ.
การลงทาพนักงานที่กระทำผิดในกรณีนี้เป็นการกระทำผิดจริยธรรม เพราะว่า การลงโทษพนักงานที่ทำงานมาด้วยกัน ไม่รู้กี่ปีต่อกี่ปี นั้น อาจทำให้พนักงานเสียขวัญและกำลังใจในการทำงานก็ได้ และพนักงานบางคนอาจลาออกจากงาน ก็จะส่งผลกระทบในตำแหน่งงานนั้นด้วยตามมา

6.5.คำตอบ.
คิดว่าบริษัทควรแก้ไขในการดำเนินครั้งนี้ คือ ควรจัดการอบรมให้กับพนักงานทั้งหมดในเรื่องของการใช้อีเมล์ และกำหนดให้ใช้อีเมล์ในการติดต่อกับลูก