วิศวกรรมสังคม (ฟิชชิงและเว็บไซต์หลอกลวง)
เนื้อหาด้านวิศวกรรมสังคมคือเนื้อหาที่หลอกลวงให้ผู้เข้าชมเว็บไซต์ทำสิ่งที่ไม่ปลอดภัย เช่น เปิดเผยข้อมูลลับหรือดาวน์โหลดซอฟต์แวร์ หาก Google ตรวจพบว่าเว็บไซต์ของคุณมีเนื้อหาด้านวิศวกรรมสังคม เบราว์เซอร์ Chrome อาจแสดงคำเตือน "มีเว็บไซต์ที่หลอกลวงอยู่ข้างหน้า" เมื่อผู้เข้าชมดูเว็บไซต์ คุณตรวจสอบได้ว่าหน้าใดในเว็บไซต์ที่ต้องสงสัยว่ามีการโจมตีแบบวิศวกรรมสังคมโดยไปที่รายงาน "ปัญหาด้านความปลอดภัย" ใน Search Console
เปิดรายงานปัญหาด้านความปลอดภัย
วิศวกรรมสังคมคืออะไร
การโจมตีแบบวิศวกรรมสังคมคือสถานการณ์ที่มีการหลอกลวงให้ผู้ใช้เว็บทำสิ่งที่ไม่ปลอดภัยทางออนไลน์
การโจมตีแบบวิศวกรรมสังคมมีหลายรูปแบบ ดังนี้
- ฟิชชิง: เว็บไซต์จะหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลส่วนบุคคล (เช่น รหัสผ่าน หมายเลขโทรศัพท์ หรือหมายเลขประกันสังคม) ในกรณีนี้ เนื้อหาที่ปลอมแปลงขึ้นจะแสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น เบราว์เซอร์ ระบบปฏิบัติการ ธนาคาร หรือรัฐบาล
- เนื้อหาหลอกลวง: เนื้อหาดังกล่าวจะพยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาทีมสนับสนุนทางเทคนิค การดาวน์โหลดซอฟต์แวร์ หรือเนื้อหาจะมีโฆษณาที่หลอกลวงว่าซอฟต์แวร์ของอุปกรณ์ล้าสมัยโดยเตือนให้ผู้ใช้ติดตั้งซอฟต์แวร์ไม่พึงประสงค์
- บริการของบุคคลที่สามที่ระบุไว้ไม่ชัดเจน: บริการของบุคคลที่สามคือบุคคลที่ดูแลเว็บไซต์หรือให้บริการในนามของอีกบุคคลหนึ่ง หากคุณ (บุคคลที่สาม) ดูแลการทำงานของเว็บไซต์ในนามของอีกฝ่ายหนึ่ง (บุคคลที่หนึ่ง) โดยไม่มีการระบุความสัมพันธ์ให้ชัดเจน การดูแลดังกล่าวอาจได้รับการแจ้งว่าเป็นวิศวกรรมสังคม เช่น หากคุณ (บุคคลที่หนึ่ง) ทำเว็บไซต์การกุศลที่ใช้เว็บไซต์ประเภทจัดการเงินบริจาค (บุคคลที่สาม) เพื่อรวบรวมเงินบริจาคสำหรับเว็บไซต์ของคุณ เว็บไซต์รวบรวมเงินบริจาคต้องระบุตัวตนให้ชัดเจนว่าตนเป็นแพลตฟอร์มบุคคลที่สามที่ดำเนินการในนามของเว็บไซต์การกุศลดังกล่าว มิฉะนั้นระบบอาจถือว่าเป็นวิศวกรรมสังคม
Google Safe Browsing ช่วยปกป้องผู้ใช้เว็บโดยเตือนผู้ใช้ก่อนเข้าชมหน้าเว็บที่มีส่วนร่วมในวิศวกรรมสังคมอย่างต่อเนื่อง
หน้าเว็บจะได้รับการพิจารณาเป็นวิศวกรรมสังคมในกรณีดังนี้
- แสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น อุปกรณ์ของคุณ เบราว์เซอร์ หรือตัวเว็บไซต์นั้นเอง หรือ
- พยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาฝ่ายสนับสนุนทางเทคนิค หรือการดาวน์โหลดซอฟต์แวร์
วิศวกรรมสังคมในเนื้อหาที่ฝังไว้
เนื้อหาวิศวกรรมสังคมอาจปรากฏในเนื้อหาที่ฝังอยู่ในเว็บไซต์ที่ดูไม่มีปัญหาอะไร ซึ่งโดยปกติจะอยู่ในโฆษณา เนื้อหาวิศวกรรมสังคมที่ฝังไว้ถือเป็นการละเมิดนโยบายของหน้าโฮสต์
บางครั้งเนื้อหาวิศวกรรมสังคมที่ฝังไว้จะปรากฏให้ผู้ใช้เห็นในหน้าโฮสต์ ดังที่แสดงในตัวอย่าง ในกรณีอื่นๆ เว็บไซต์โฮสต์จะไม่มีโฆษณาให้เห็น แต่นำผู้ใช้ไปยังหน้าวิศวกรรมสังคมทางป๊อปอัป ป๊อปอันเดอร์ หรือใช้วิธีเปลี่ยนเส้นทางประเภทอื่น จากทั้ง 2 กรณี เนื้อหาวิศวกรรมสังคมที่ฝังไว้ประเภทนี้จะถือเป็นการละเมิดนโยบายของหน้าโฮสต์
แต่ฉันไม่ได้มีส่วนเกี่ยวข้องกับวิศวกรรมสังคม
เนื้อหาวิศวกรรมสังคมที่หลอกลวงอาจอยู่ในทรัพยากรที่ฝังในหน้านั้นๆ เช่น รูปภาพ คอมโพเนนต์อื่นๆ ของบุคคลที่สาม หรือโฆษณา เนื้อหาหลอกลวงเช่นนี้อาจหลอกลวงให้ผู้เข้าชมเว็บไซต์ดาวน์โหลดซอฟต์แวร์ไม่พึงประสงค์
นอกจากนี้ แฮ็กเกอร์ยังควบคุมเว็บไซต์ที่ไม่มีส่วนรู้เห็นและใช้เว็บไซต์เหล่านั้นเพื่อโฮสต์หรือกระจายเนื้อหาวิศวกรรมสังคมได้อีกด้วย แฮ็กเกอร์อาจเปลี่ยนแปลงเนื้อหาของเว็บไซต์หรือเพิ่มหน้าอื่นๆ ในเว็บไซต์นั้น โดยมักจะมีจุดประสงค์เพื่อหลอกลวงให้ผู้เข้าชมเปิดเผยข้อมูลส่วนบุคคล เช่น หมายเลขบัตรเครดิต คุณสามารถดูได้ว่าเว็บไซต์ของคุณถูกระบุว่าเป็นเว็บไซต์ที่โฮสต์หรือเผยแพร่เนื้อหาวิศวกรรมสังคมหรือไม่โดยตรวจสอบรายงาน "ปัญหาด้านความปลอดภัย" ใน Search Console
ดูความช่วยเหลือสำหรับเว็บไซต์ที่ถูกแฮ็ก หากคุณเชื่อว่าเว็บไซต์ของคุณถูกแฮ็ก
ตัวอย่างการละเมิดด้วยวิศวกรรมสังคม
ตัวอย่างเนื้อหาหลอกลวง
ตัวอย่างของหน้าที่ใช้กลลวงด้วยวิศวกรรมสังคมมีดังนี้
ตัวอย่างโฆษณาหลอกลวง
ต่อไปนี้คือตัวอย่างของเนื้อหาหลอกลวงภายในโฆษณาแบบฝัง โฆษณาเหล่านี้จะดูเหมือนเป็นอินเทอร์เฟซของหน้ามากกว่าเป็นโฆษณา
การแก้ปัญหา
หากมีการแจ้งว่าเว็บไซต์ของคุณมีวิศวกรรมสังคม (เนื้อหาหลอกลวง) โปรดตรวจสอบว่าหน้าเว็บไม่ได้มีส่วนเกี่ยวข้องกับกลลวงใดๆ จากนั้นทำตามขั้นตอนต่อไปนี้
-
ตรวจสอบใน Search Console
- ยืนยันใน Search Console ว่าคุณเป็นเจ้าของเว็บไซต์และไม่มีการเพิ่มเจ้าของรายใหม่ที่น่าสงสัย
-
ตรวจสอบรายงานปัญหาด้านความปลอดภัยว่าเว็บไซต์ของคุณอยู่ในรายการที่มีเนื้อหาหลอกลวงหรือไม่ (คำที่ใช้รายงานสำหรับวิศวกรรมสังคม) หากรายงานมีตัวอย่าง URL ที่ได้รับแจ้งว่าไม่เหมาะสม ให้ลองเข้าไปที่ URL เหล่านั้นในรายงานโดยใช้คอมพิวเตอร์ที่ไม่ได้อยู่ในเครือข่ายที่ให้บริการเว็บไซต์ของคุณ (แฮ็กเกอร์ที่ฉลาดจะปิดการโจมตีของตนได้หากคิดว่าผู้เข้าชมเป็นเจ้าของเว็บไซต์)
หากรายงานไม่มีตัวอย่าง URL และคุณมั่นใจว่าเว็บไซต์ของคุณไม่มีวิศวกรรมสังคม (เนื้อหาหลอกลวง) ให้ขอรับการตรวจสอบด้านความปลอดภัยในรายงานการรักษาความปลอดภัย
- นำเนื้อหาที่หลอกลวงออก ตรวจสอบว่าไม่มีหน้าใดในเว็บไซต์ที่มีเนื้อหาหลอกลวง หากคุณเชื่อว่า Google Safe Browsing จัดประเภทหน้าเว็บผิดพลาด โปรดรายงาน
-
ตรวจสอบทรัพยากรของบุคคลที่สามที่อยู่ในเว็บไซต์ ตรวจดูว่าโฆษณา รูปภาพ หรือทรัพยากรบุคคลที่สามอื่นๆ ที่ฝังอยู่ในหน้าเว็บไซต์ไม่มีลักษณะที่หลอกลวง
- โปรดทราบว่าเครือข่ายโฆษณาอาจหมุนเวียนโฆษณาที่แสดงอยู่ในหน้าเว็บไซต์ ดังนั้น คุณอาจต้องรีเฟรชหน้าเว็บ 2-3 ครั้ง จึงจะเห็นโฆษณาวิศวกรรมสังคมปรากฏขึ้น
- โฆษณาบางอย่างอาจแสดงต่างกันบนอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป คุณอาจใช้เครื่องมือตรวจสอบ URL เพื่อดูเว็บไซต์ทั้งในมุมมองอุปกรณ์เคลื่อนที่และเดสก์ท็อป
- ทำตามหลักเกณฑ์สำหรับบริการของบุคคลที่สามสำหรับบริการของบุคคลที่สามทั้งหมดที่คุณใช้ในเว็บไซต์ เช่น บริการการชำระเงิน
- ขอรับการตรวจสอบ หลังจากที่นำเนื้อหาวิศวกรรมสังคมทั้งหมดออกจากเว็บไซต์แล้ว คุณสามารถส่งคำขอให้เราตรวจสอบความปลอดภัยได้ในรายงาน "ปัญหาด้านความปลอดภัย" การตรวจสอบอาจใช้เวลาหลายวัน
หลักเกณฑ์สำหรับบริการของบุคคลที่สาม
หากคุณรวมบริการของบุคคลที่สามไว้ในเว็บไซต์ เราขอแนะนําให้คุณปฏิบัติตามเงื่อนไขต่อไปนี้เพื่อไม่ให้ได้รับป้ายกํากับว่าเป็นวิศวกรรมสังคม
- ในทุกๆ หน้า เว็บไซต์ของบุคคลที่สามจะต้องใส่แบรนด์ของบุคคลที่สามไว้อย่างชัดเจนเพื่อให้ผู้ใช้ทราบว่าใครเป็นผู้ดูแลการทำงานของเว็บไซต์ เช่น ใส่แบรนด์ของบุคคลที่สามไว้ที่ด้านบนของหน้า
- ในทุกๆ หน้าที่มีแบรนด์ของบุคคลที่หนึ่ง ให้ระบุความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามไว้อย่างชัดแจ้ง และใส่ลิงก์ไปยังข้อมูลเพิ่มเติมด้วย เช่น ให้ใส่ข้อความแบบตัวอย่างด้านล่าง
บริการนี้โฮสต์โดย Example.com ในนามของ Example.charities.com ข้อมูลเพิ่มเติม
หลักการด้านความสามารถในการใช้งานที่ดีอย่างหนึ่งคือ ทำอย่างไรให้ผู้ใช้ที่ดูหน้าเว็บได้ทราบเสมอว่าตนกำลังใช้งานเว็บไซต์ใด และเข้าใจถึงความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามของเว็บไซต์นั้น
หากคุณเป็นผู้ใช้ Search Console และประสบปัญหาด้านความปลอดภัยอย่างต่อเนื่องหรือแก้ไขไม่ได้ในเว็บไซต์ของคุณ โปรดแจ้งให้เราทราบ