วิศวกรรมสังคม (ฟิชชิงและเว็บไซต์หลอกลวง)

เนื้อหาด้านวิศวกรรมสังคมคือเนื้อหาที่หลอกลวงให้ผู้เข้าชมเว็บไซต์ทำสิ่งที่ไม่ปลอดภัย เช่น เปิดเผยข้อมูลที่เป็นความลับหรือดาวน์โหลดซอฟต์แวร์ หาก Google ตรวจพบว่าเว็บไซต์ของคุณมีเนื้อหาด้านวิศวกรรมสังคม เบราว์เซอร์ Chrome อาจแสดงคำเตือน "มีเว็บไซต์ที่หลอกลวงอยู่ข้างหน้า" เมื่อผู้เข้าชมดูเว็บไซต์ คุณตรวจสอบได้ว่าหน้าใดในเว็บไซต์ที่ต้องสงสัยว่ามีการโจมตีแบบวิศวกรรมสังคมโดยไปที่รายงาน "ปัญหาด้านความปลอดภัย" ใน Search Console

เปิดรายงานปัญหาด้านความปลอดภัย

วิศวกรรมสังคมคืออะไร

การโจมตีแบบวิศวกรรมสังคมคือสถานการณ์ที่มีการหลอกลวงให้ผู้ใช้เว็บทำสิ่งที่ไม่ปลอดภัยทางออนไลน์

การโจมตีแบบวิศวกรรมสังคมมีหลายรูปแบบ ดังนี้

  • ฟิชชิง: เว็บไซต์จะหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลส่วนบุคคล (เช่น รหัสผ่าน หมายเลขโทรศัพท์ หรือหมายเลขประกันสังคม) ในกรณีนี้ เนื้อหาที่ปลอมแปลงขึ้นจะแสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น เบราว์เซอร์ ระบบปฏิบัติการ ธนาคาร หรือรัฐบาล
  • เนื้อหาหลอกลวง: เนื้อหาดังกล่าวจะพยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาทีมสนับสนุนทางเทคนิค การดาวน์โหลดซอฟต์แวร์ หรือเนื้อหาจะมีโฆษณาที่หลอกลวงว่าซอฟต์แวร์ของอุปกรณ์ล้าสมัยโดยเตือนให้ผู้ใช้ติดตั้งซอฟต์แวร์ไม่พึงประสงค์
  • บริการของบุคคลที่สามที่ระบุไว้ไม่ชัดเจน: บริการของบุคคลที่สามคือบุคคลที่ดูแลเว็บไซต์หรือให้บริการในนามของอีกบุคคลหนึ่ง หากคุณ (บุคคลที่สาม) ดูแลการทำงานของเว็บไซต์ในนามของอีกฝ่ายหนึ่ง (บุคคลที่หนึ่ง) โดยไม่มีการระบุความสัมพันธ์ให้ชัดเจน การดูแลดังกล่าวอาจได้รับการแจ้งว่าเป็นวิศวกรรมสังคม เช่น หากคุณ (บุคคลที่หนึ่ง) ทำเว็บไซต์การกุศลที่ใช้เว็บไซต์ประเภทจัดการเงินบริจาค (บุคคลที่สาม) เพื่อรวบรวมเงินบริจาคสำหรับเว็บไซต์ของคุณ เว็บไซต์รวบรวมเงินบริจาคต้องระบุตัวตนให้ชัดเจนว่าตนเป็นแพลตฟอร์มบุคคลที่สามที่ดำเนินการในนามของเว็บไซต์การกุศลดังกล่าว มิฉะนั้นระบบอาจถือว่าเป็นวิศวกรรมสังคม

Google Safe Browsing ช่วยปกป้องผู้ใช้เว็บโดยเตือนผู้ใช้ก่อนเข้าชมหน้าเว็บที่มีส่วนร่วมในวิศวกรรมสังคมอย่างต่อเนื่อง

หน้าเว็บจะได้รับการพิจารณาเป็นวิศวกรรมสังคมในกรณีดังนี้

  • แสดงพฤติกรรมหรือมีรูปลักษณ์คล้ายกับสิ่งที่น่าเชื่อถือ เช่น อุปกรณ์ของคุณ เบราว์เซอร์ หรือตัวเว็บไซต์นั้นเอง หรือ
  • พยายามหลอกลวงให้คุณทำบางอย่างที่คุณจะทำกับหน่วยงานที่น่าเชื่อถือเท่านั้น เช่น การแชร์รหัสผ่าน การโทรหาฝ่ายสนับสนุนทางเทคนิค หรือการดาวน์โหลดซอฟต์แวร์

วิศวกรรมสังคมในเนื้อหาที่ฝังไว้

เนื้อหาวิศวกรรมสังคมอาจปรากฏในเนื้อหาที่ฝังอยู่ในเว็บไซต์ที่ดูไม่มีปัญหาอะไร ซึ่งโดยปกติจะอยู่ในโฆษณา เนื้อหาวิศวกรรมสังคมที่ฝังไว้ถือเป็นการละเมิดนโยบายของหน้าโฮสต์

บางครั้งเนื้อหาวิศวกรรมสังคมที่ฝังไว้จะปรากฏให้ผู้ใช้เห็นในหน้าโฮสต์ ดังที่แสดงในตัวอย่าง ในกรณีอื่นๆ เว็บไซต์โฮสต์จะไม่มีโฆษณาให้เห็น แต่นำผู้ใช้ไปยังหน้าวิศวกรรมสังคมทางป๊อปอัป ป๊อปอันเดอร์ หรือใช้วิธีเปลี่ยนเส้นทางประเภทอื่น จากทั้ง 2 กรณี เนื้อหาวิศวกรรมสังคมที่ฝังไว้ประเภทนี้จะถือเป็นการละเมิดนโยบายของหน้าโฮสต์

แต่ฉันไม่ได้มีส่วนเกี่ยวข้องกับวิศวกรรมสังคม

เนื้อหาวิศวกรรมสังคมที่หลอกลวงอาจอยู่ในทรัพยากรที่ฝังในหน้านั้นๆ เช่น รูปภาพ คอมโพเนนต์อื่นๆ ของบุคคลที่สาม หรือโฆษณา เนื้อหาหลอกลวงเช่นนี้อาจหลอกลวงให้ผู้เข้าชมเว็บไซต์ดาวน์โหลดซอฟต์แวร์ไม่พึงประสงค์

นอกจากนี้ แฮ็กเกอร์ยังควบคุมเว็บไซต์ที่ไม่มีส่วนรู้เห็นและใช้เว็บไซต์เหล่านั้นเพื่อโฮสต์หรือกระจายเนื้อหาวิศวกรรมสังคมได้อีกด้วย แฮ็กเกอร์อาจเปลี่ยนแปลงเนื้อหาของเว็บไซต์หรือเพิ่มหน้าอื่นๆ ในเว็บไซต์นั้น โดยมักจะมีจุดประสงค์เพื่อหลอกลวงให้ผู้เข้าชมเปิดเผยข้อมูลส่วนบุคคล เช่น หมายเลขบัตรเครดิต คุณสามารถดูได้ว่าเว็บไซต์ของคุณถูกระบุว่าเป็นเว็บไซต์ที่โฮสต์หรือเผยแพร่เนื้อหาวิศวกรรมสังคมหรือไม่โดยตรวจสอบรายงาน "ปัญหาด้านความปลอดภัย" ใน Search Console

ดูความช่วยเหลือสำหรับเว็บไซต์ที่ถูกแฮ็ก หากคุณเชื่อว่าเว็บไซต์ของคุณถูกแฮ็ก

ตัวอย่างการละเมิดด้วยวิศวกรรมสังคม

ตัวอย่างเนื้อหาหลอกลวง

ตัวอย่างของหน้าที่มีส่วนเกี่ยวข้องกับแนวทางปฏิบัติด้านวิศวกรรมสังคมมีดังนี้

ป๊อปอัปวิศวกรรมสังคมที่พยายามทำให้ผู้ใช้ติดตั้งแอปพลิเคชันไม่พึงประสงค์
ป๊อปอัปหลอกลวงที่มีเจตนาล่อลวงให้ผู้ใช้ติดตั้งมัลแวร์

ตัวอย่างความพยายามด้านวิศวกรรมสังคมที่อ้างว่าจำเป็นต้องมีการอัปเดตเบราว์เซอร์
ป๊อปอัปหลอกลวงที่ระบุว่าจะช่วยผู้ใช้อัปเดตเบราว์เซอร์

หน้าการเข้าสู่ระบบ Google ปลอม
หน้าการเข้าสู่ระบบ Google ปลอม

ตัวอย่างโฆษณาหลอกลวง

ต่อไปนี้คือตัวอย่างของเนื้อหาหลอกลวงภายในโฆษณาแบบฝัง โฆษณาเหล่านี้จะดูเหมือนเป็นอินเทอร์เฟซของหน้ามากกว่าเป็นโฆษณา

โฆษณาหลอกลวงที่อ้างว่าเป็นการอัปเดตโปรแกรมเล่นสื่อในหน้าเว็บ
ป๊อปอัปหลอกลวงที่อ้างว่าซอฟต์แวร์ของผู้ใช้ล้าสมัย

โฆษณาหลอกลวงที่อ้างว่าเป็นโปรแกรมติดตั้งสำหรับคอมโพเนนต์ที่จำเป็น
ป๊อปอัปหลอกลวงที่ระบุว่ามาจากนักพัฒนาซอฟต์แวร์ FLV

โฆษณาหลอกลวงที่อ้างว่าเป็นปุ่มควบคุมการเล่นในหน้าโฮสต์
โฆษณาที่มีลักษณะเป็นปุ่มการทำงานของหน้า

การแก้ปัญหา

หากมีการแจ้งว่าเว็บไซต์ของคุณมีวิศวกรรมสังคม (เนื้อหาหลอกลวง) โปรดตรวจสอบว่าหน้าเว็บไม่ได้มีส่วนเกี่ยวข้องกับแนวทางปฏิบัติใดๆ จากนั้นทำตามขั้นตอนต่อไปนี้

  1. ตรวจสอบใน Search Console
    • ยืนยันใน Search Console ว่าคุณเป็นเจ้าของเว็บไซต์และไม่มีการเพิ่มเจ้าของรายใหม่ที่น่าสงสัย

    • ตรวจสอบรายงานปัญหาด้านความปลอดภัยว่าเว็บไซต์ของคุณอยู่ในรายการที่มีเนื้อหาหลอกลวงหรือไม่ (คำที่ใช้รายงานสำหรับวิศวกรรมสังคม) หากรายงานมีตัวอย่าง URL ที่ได้รับแจ้งว่าไม่เหมาะสม ให้ลองเข้าไปที่ URL เหล่านั้นในรายงานโดยใช้คอมพิวเตอร์ที่ไม่ได้อยู่ในเครือข่ายที่ให้บริการเว็บไซต์ของคุณ (แฮ็กเกอร์ที่ฉลาดจะปิดการโจมตีของตนได้หากคิดว่าผู้เข้าชมเป็นเจ้าของเว็บไซต์)

      หากรายงานไม่มีตัวอย่าง URL และคุณมั่นใจว่าเว็บไซต์ของคุณไม่มีวิศวกรรมสังคม (เนื้อหาหลอกลวง) ให้ขอรับการตรวจสอบด้านความปลอดภัยในรายงานการรักษาความปลอดภัย

  2. นำเนื้อหาที่หลอกลวงออก ตรวจสอบว่าไม่มีหน้าใดในเว็บไซต์ที่มีเนื้อหาหลอกลวง หากคุณเชื่อว่า Google Safe Browsing จัดประเภทหน้าเว็บผิดพลาด โปรดรายงาน
  3. ตรวจสอบทรัพยากรของบุคคลที่สามที่อยู่ในเว็บไซต์ ตรวจดูว่าโฆษณา รูปภาพ หรือทรัพยากรบุคคลที่สามอื่นๆ ที่ฝังอยู่ในหน้าเว็บไซต์ไม่มีลักษณะที่หลอกลวง
    • โปรดทราบว่าเครือข่ายโฆษณาอาจหมุนเวียนโฆษณาที่แสดงอยู่ในหน้าเว็บไซต์ ดังนั้น คุณอาจต้องรีเฟรชหน้าเว็บ 2-3 ครั้ง จึงจะเห็นโฆษณาวิศวกรรมสังคมปรากฏขึ้น
    • โฆษณาบางอย่างอาจแสดงต่างกันบนอุปกรณ์เคลื่อนที่และคอมพิวเตอร์เดสก์ท็อป คุณอาจใช้เครื่องมือตรวจสอบ URL เพื่อดูเว็บไซต์ทั้งในมุมมองอุปกรณ์เคลื่อนที่และเดสก์ท็อป
    • ทำตามหลักเกณฑ์สำหรับบริการของบุคคลที่สามสำหรับบริการของบุคคลที่สามทั้งหมดที่คุณใช้ในเว็บไซต์ เช่น บริการการชำระเงิน
  4. ขอรับการตรวจสอบ หลังจากที่นำเนื้อหาวิศวกรรมสังคมทั้งหมดออกจากเว็บไซต์แล้ว คุณสามารถส่งคำขอให้เราตรวจสอบความปลอดภัยได้ในรายงาน "ปัญหาด้านความปลอดภัย" การตรวจสอบอาจใช้เวลาหลายวัน

หลักเกณฑ์สำหรับบริการของบุคคลที่สาม

หากคุณรวมบริการของบุคคลที่สามไว้ในเว็บไซต์ เราขอแนะนําให้คุณปฏิบัติตามเงื่อนไขต่อไปนี้เพื่อไม่ให้ได้รับป้ายกํากับว่าเป็นวิศวกรรมสังคม

  • ในทุกๆ หน้า เว็บไซต์ของบุคคลที่สามจะต้องใส่แบรนด์ของบุคคลที่สามไว้อย่างชัดเจนเพื่อให้ผู้ใช้ทราบว่าใครเป็นผู้ดูแลการทำงานของเว็บไซต์ เช่น ใส่แบรนด์ของบุคคลที่สามไว้ที่ด้านบนของหน้า
  • ในทุกๆ หน้าที่มีแบรนด์ของบุคคลที่หนึ่ง ให้ระบุความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามไว้อย่างชัดแจ้ง และใส่ลิงก์ไปยังข้อมูลเพิ่มเติมด้วย เช่น ให้ใส่ข้อความแบบตัวอย่างด้านล่าง

    บริการนี้โฮสต์โดย Example.com ในนามของ Example.charities.com ข้อมูลเพิ่มเติม

หลักการด้านความสามารถในการใช้งานที่ดีอย่างหนึ่งคือ ทำอย่างไรให้ผู้ใช้ที่ดูหน้าเว็บได้ทราบเสมอว่าตนกำลังใช้งานเว็บไซต์ใด และเข้าใจถึงความสัมพันธ์ระหว่างบุคคลที่หนึ่งและบุคคลที่สามของเว็บไซต์นั้น

หากคุณเป็นผู้ใช้ Search Console และประสบปัญหาด้านความปลอดภัยอย่างต่อเนื่องหรือแก้ไขไม่ได้ในเว็บไซต์ของคุณ โปรดแจ้งให้เราทราบ

รายงานปัญหาด้านความปลอดภัย