6 การโจมตีทาง Cyber ที่ธนาคารต้องป้องกัน

Monday, April 8, 2024
1-6-การโจมตทางไซเบอรทธนาคารตองปองกน_1040.jpg
 
 

         การโจมตีทางไซเบอร์เป็นภัยคุกคามที่รุนแรงและไม่คาดคิดในโลกดิจิทัลที่เติบโตอย่างรวดเร็วในสมัยปัจจุบัน โดยเฉพาะในภาคการเงินซึ่งเป็นเป้าหมายที่น่าสนใจของผู้ไม่ประสงค์ดีที่ต้องการข้อมูลและเงินทอง ทางธนาคารต้องมีการป้องกันอย่างเข้มงวดเพื่อปกป้องข้อมูลลูกค้า และระบบของตนเอง
 
 

รูปแบบการโจมตีที่สถาบันการเงินอย่างธนาคารสามารถพบเจอได้ มีดังต่อไปนี้

 
1-01.jpg


 
  1. การโจมตีแบบ DDoS (Distributed Denial of Service) การโจมตีแบบ DDoS มุ่งไปที่การก่อให้เกิดการระบาดของการใช้งานในเครือข่ายซึ่งทำให้บริการของธนาคารไม่สามารถให้บริการลูกค้าได้ โดยอาจจะทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบการเงินออนไลน์หรือเว็บไซต์ของธนาคารได้เลย โดยมักใช้วิธีการดังนี้
1.1 การโจมตีด้วยการส่งการร้องขอมากมาย (Request Flood) ผู้ไม่ประสงค์ดีอาจจะส่งการร้องขอหรือคำขอบริการมากมายไปยังเซิร์ฟเวอร์ของธนาคาร โดยทำให้เซิร์ฟเวอร์มีการเต็มที่และไม่สามารถรับส่งข้อมูลกับผู้ใช้งานได้อย่างปกติ

1.2 การโจมตีด้วยการเลียนแบบการเชื่อมต่อ (Connection Flood) การโจมตีแบบนี้มุ่งหน้าที่การสร้างการเชื่อมต่อมากมายไปยังเซิร์ฟเวอร์ของธนาคาร โดยทำให้เซิร์ฟเวอร์มีการใช้ทรัพยากรเครือข่ายหรือแรงงานมากเกินไป ทำให้ไม่สามารถให้บริการแก่ผู้ใช้งานได้อย่างถูกต้อง

1.3 การโจมตีด้วยการเลียนแบบช่องโหว่ (Vulnerability Exploitation) การโจมตีแบบนี้ใช้ช่องโหว่ในระบบเพื่อโจมตีธนาคาร โดยการใช้เทคนิคการโจมตีอันตรายเช่น การส่งข้อมูลที่ไม่ถูกต้องหรือการทำให้ระบบขัดข้อง

1.4 การโจมตีแบบแปรผัน (Amplification Attack) การโจมตีแบบนี้ใช้การเปลี่ยนแปลงข้อมูลที่ส่งไปยังเซิร์ฟเวอร์ เพื่อให้มีการส่งข้อมูลกลับมาให้ผู้เรียกใช้มากขึ้น ทำให้เซิร์ฟเวอร์มีการใช้ทรัพยากรมากขึ้นและไม่สามารถให้บริการได้อย่างถูกต้อง

          การป้องกันการโจมตีแบบ DDoS ที่ธนาคารสามารถทำได้รวมถึงการใช้เทคโนโลยีที่มีความปลอดภัยสูง เช่น การใช้ระบบป้องกัน DDoS ที่มีการตั้งค่าและปรับแต่งอย่างถูกต้อง การใช้ CDN (Content Delivery Network) เพื่อช่วยลดความเสี่ยง และการดำเนินการแก้ไขช่องโหว่ที่เป็นไปได้ในระบบของธนาคาร
 
  1. การโจมตีทางเทคนิค (Technical Attacks) การโจมตีแบบนี้อาจเป็นการโจมตีที่เป็นเชิงเทคนิค เช่น การเจาะระบบ (Penetration Testing) เพื่อค้นหาช่องโหว่ในระบบคอมพิวเตอร์ของธนาคาร หรือการโจมตีผ่านทางช่องโหว่ในซอฟต์แวร์ที่ใช้งานอยู่ในธนาคาร โดยมักจะเป็นการโจมตีที่เน้นการเข้าถึงระบบคอมพิวเตอร์ของธนาคารหรือข้อมูลที่เกี่ยวข้อง ดังนี้
2.1การเจาะระบบ (Penetration Testing) ผู้ไม่ประสงค์ดีอาจพยายามเจาะระบบคอมพิวเตอร์ของธนาคารเพื่อเข้าถึงข้อมูลสำคัญ ซึ่งอาจใช้ช่องโหว่ในระบบหรือซอฟต์แวร์ที่มีช่องโหว่เพื่อเข้าถึงระบบได้

2.2การโจมตีด้วยซอฟต์แวร์ที่เสี่ยง (Exploiting Vulnerable Software): การโจมตีแบบนี้ใช้ช่องโหว่ในซอฟต์แวร์ที่ใช้ในระบบของธนาคาร เช่น ระบบปฏิบัติการ ซอฟต์แวร์เซิร์ฟเวอร์ หรือแอปพลิเคชันที่ใช้งานอยู่ในธนาคาร

2.3การโจมตีด้วยการยิงช่องโหว่ (Exploiting Vulnerabilities): ผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่ในระบบหรือซอฟต์แวร์ที่ไม่ได้รับการป้องกันอย่างเพียงพอเพื่อทำลายระบบหรือเข้าถึงข้อมูล

2.4การโจมตีด้วยซอฟต์แวร์ที่ไม่เชื่อถือได้ (Malware Attacks): การโจมตีนี้เป็นการลักลอบติดตั้งซอฟต์แวร์อันตรายในระบบของธนาคารเพื่อใช้ในการเข้าถึงข้อมูลหรือก่อความเสียหาย

2.5การโจมตีด้วยการแฮกเซสชัน (Session Hijacking): ผู้ไม่ประสงค์ดีอาจพยายามที่จะขโมยหรือแทรกแฮกเซสชันการเชื่อมต่อที่มีอยู่ระหว่างผู้ใช้และเซิร์ฟเวอร์ของธนาคาร เพื่อเข้าถึงข้อมูลที่ส่งผ่านระหว่างกัน

การป้องกันการโจมตีทางเทคนิคที่เป็นไปได้ต่อธนาคารมักจะปฏิบัติดังนี้

 
  • การใช้เทคโนโลยีที่มีความปลอดภัยสูง เช่น ระบบการตรวจสอบตัวตนสองชั้น (Two-Factor Authentication) และการเข้ารหัสข้อมูล
  • การทำความเข้าใจและป้องกันช่องโหว่ที่อาจเกิดขึ้น โดยการปรับปรุงระบบอย่างสม่ำเสมอ
  • การตรวจสอบและตรวจจับการโจมตีที่เป็นไปได้อย่างระบบต่อการเข้าถึงที่ไม่เป็นทางการและพยายามโจมตีที่เกิดขึ้น
  • การฝึกฝนพนักงานเพื่อเข้าใจและรับมือกับการโจมตีทางเทคนิคอย่างเหมาะสม


2-02.jpg
 
 
  1. การโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูลที่เผยแพร่หน้าเว็บ (Defacement) เป็นรูปแบบหนึ่งของการโจมตีทางไซเบอร์ที่ธนาคารอาจพบเจอ การโจมตีนี้มุ่งหน้าที่การเข้าถึงและแก้ไขหรือเปลี่ยนแปลงเนื้อหาของเว็บไซต์ของธนาคาร เพื่อแสดงข้อความหรือภาพที่ไม่เหมาะสม หรือเปลี่ยนแปลงข้อมูลเพื่อสร้างความสับสนหรือความไม่เชื่อถือในลูกค้าหรือผู้ใช้บริการได้ เช่น
3.1 การแสดงข้อความที่ไม่เหมาะสม โจมตีนี้อาจเป็นการแทรกข้อความหรือภาพที่ไม่เหมาะสมหรือไม่เหมาะสมบนหน้าเว็บไซต์ของธนาคาร เช่น ข้อความลามก เหยียดสถาบัน หรือประกาศข้อมูลเท็จ

3.2 การเปลี่ยนแปลงข้อมูล โจมตีนี้อาจทำให้เกิดการเปลี่ยนแปลงข้อมูลสำคัญหรือข้อมูลที่เผยแพร่บนเว็บไซต์ เช่น ข้อมูลติดต่อ ข้อมูลบัญชีผู้ใช้ หรือข้อมูลการทำธุรกรรม

3.3 การเปลี่ยนแปลงโลโก้หรือสัญลักษณ์ ผู้ไม่ประสงค์ดีอาจทำการเปลี่ยนแปลงโลโก้หรือสัญลักษณ์ของธนาคารเพื่อสร้างความสับสนหรือความไม่เชื่อถือในสิ่งที่ถูกแสดงบนเว็บไซต์

3.4 การเปลี่ยนแปลงหน้าเว็บไซต์ โจมตีนี้อาจทำให้เกิดการเปลี่ยนแปลงรูปแบบหรือโครงสร้างของหน้าเว็บไซต์ของธนาคาร ทำให้ผู้ใช้สับสนหรือไม่สามารถใช้งานได้อย่างปกติ


การป้องกันการโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูล (Defacement) ที่ธนาคารอาจจะพบได้รวมถึงการใช้มาตรการที่มีเอกสารที่เชื่อถือได้และแนวทางปฏิบัติที่ดี เช่น
  • การปรับปรุงระบบความปลอดภัยของเว็บไซต์อย่างสม่ำเสมอ
  • การตรวจสอบและป้องกันช่องโหว่ที่อาจมีอยู่ในระบบหรือซอฟต์แวร์ที่ใช้ในเว็บไซต์
  • การตรวจสอบและป้องกันการเข้าถึงที่ไม่ถูกต้องหรือการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต
  • การสร้างการสำรองข้อมูล (Backup) ของเว็บไซต์อย่างเสม่ำเสมอ เพื่อใช้กลับคืนข้อมูลในกรณีที่เกิดการโจมตี
  • การตรวจสอบและตรวจจับการโจมตีโดยใช้เทคโนโลยีการตรวจสอบความปลอดภัยเพื่อระบุการเข้าถึงที่ผิดกฎหมายและทำให้มีการแก้ไขอย่างรวดเร็ว
 
  1. การโจมตีทางวิศวกรรมสังคม(Social Engineering) เป็นวิธีการโจมตีทางไซเบอร์ที่ไม่ได้โจมตีโดยตรงที่ระบบคอมพิวเตอร์ แต่เน้นการใช้เทคนิคจิตวิทยาและการโกหกเพื่อขอข้อมูลสำคัญหรือเข้าถึงระบบในฐานะผู้ใช้หรือเจ้าหน้าที่ ให้เปิดเผยข้อมูลส่วนตัวหรือข้อมูลที่อาจมีความลับ เช่น รหัสผ่าน หรือข้อมูลบัตรเครดิต การโจมตีทางวิศวกรรมสังคมสามารถเกิดขึ้นได้กับธนาคารในลักษณะต่อไปนี้:
4.1 การโจมตีผ่านทางโทรศัพท์ (Vishing) โจมตีนี้เป็นการโทรหาเจ้าหน้าที่หรือลูกค้าของธนาคารแล้วใช้เทคนิคการโกหกเพื่อขอข้อมูลส่วนตัว เช่น ข้อมูลบัญชีธนาคารหรือรหัส OTP (One-Time Password) เพื่อทำการฉ้อโกงหรือการถอนเงินไม่ถูกต้อง

4.2 การโจมตีผ่านอีเมล (Phishing) โจมตีนี้เป็นการส่งอีเมลล์ปลอมเป็นจากธนาคารให้กับลูกค้า โดยเรียกใช้เทคนิคการโกหกเพื่อขอข้อมูลส่วนตัว เช่น ข้อมูลบัญชีธนาคาร รหัสผ่าน หรือข้อมูลบัตรเครดิต

4.3 การโจมตีผ่านสื่อสังคมออนไลน์ (Social Media Engineering) การโจมตีนี้มุ่งหน้าที่การโพสต์ข้อความหรือข้อมูลปลอมบนโซเชียลมีเดีย หรือการสร้างโพรไฟล์ปลอมเพื่อหลอกลวงลูกค้าหรือเจ้าหน้าที่ของธนาคาร

4.4 การโจมตีโดยการเข้าสังคม (In-person Social Engineering) การโจมตีนี้เกิดขึ้นโดยผู้ไม่ประสงค์ดีติดต่อกับเจ้าหน้าที่หรือลูกค้าของธนาคารโดยตรง แล้วใช้เทคนิคการโกหกเพื่อขอข้อมูลสำคัญหรือทำให้เข้าใจผิดเกี่ยวกับกระบวนการหรือนโยบายของธนาคาร

4.5 การโจมตีผ่านทางสื่อสารอื่นๆ (Other Communication Channels) การโจมตีอาจเกิดขึ้นผ่านทางช่องทางอื่นๆ เช่น แอปพลิเคชันการสื่อสารทันตาม หรือการโทรศัพท์ที่ไม่ได้บอกชัดเจนถึงตัวตนของผู้โทรหา

การป้องกันการโจมตีทางวิศวกรรมสังคมที่เป็นไปได้ต่อธนาคารมักจะใช้วิธีการฝึกฝนพนักงานให้เข้าใจและระวังเรื่องการคุกคามทางไซเบอร์ เพื่อให้พวกเขาสามารถระบุและป้องกันการโจมตีได้ นอกจากนี้ยังสามารถใช้เทคโนโลยีป้องกันการโจมตีและการให้ความรู้แก่ลูกค้าเพื่อเพิ่มความตระหนักในการป้องกันการโจมตีทางวิศวกรรมสังคมด้วย
3-03.jpg

  1. การโจมตีด้านการเงิน (Financial Attacks) การโจมตีนี้มุ่งหน้าที่การขโมยเงินโดยเข้าถึงระบบการเงินของธนาคาร ซึ่งอาจเป็นการโจมตีแบบ Malware หรือการโจมตีแบบฟิชชิ่ง เพื่อขโมยข้อมูลการเงินของลูกค้าหรือธนาคารเอง เป็นอันตรายมากต่อธนาคารเนื่องจากการโจมตีเหล่านี้มุ่งหมายที่จะขโมยเงินหรือข้อมูลทางการเงินของลูกค้าหรือของธนาคารเอง นี่คือบางรูปแบบของการโจมตีด้านการเงินที่ธนาคารอาจพบเจอ
5.1 การโจมตีด้วยการโจมตีข้อมูลบัตรเครดิต (Credit Card Fraud) การโจมตีนี้เป็นการใช้ข้อมูลบัตรเครดิตของลูกค้าโดยไม่ได้รับอนุญาตในการทำธุรกรรมทางการเงิน เช่น การใช้หมายเลขบัตรเครดิตและข้อมูลต่าง ๆ ในการทำธุรกรรมออนไลน์หรือออฟไลน์

5.2 การโจมตีด้วยการโอนเงิน (Unauthorized Transfers) การโจมตีนี้เป็นการโอนเงินออกจากบัญชีของลูกค้าหรือของธนาคารโดยไม่ได้รับอนุญาต โจมตีนี้สามารถเกิดขึ้นผ่านช่องทางออนไลน์หรือทางออฟไลน์

5.3การโจมตีด้วยการปลอมแปลงตัวตน (Identity Theft) การโจมตีนี้เป็นการขโมยข้อมูลส่วนตัวของลูกค้าเพื่อใช้ในการทำธุรกรรมทางการเงินโดยเสมือนเป็นตนของเหยื่อ ซึ่งอาจมีผลกระทบทางการเงินร้ายแรงต่อเหยื่อ

5.4 การโจมตีด้วยการขโมยรหัสผ่าน (Credential Theft) การโจมตีนี้เป็นการขโมยรหัสผ่านการเข้าสู่ระบบของลูกค้าหรือของธนาคาร โดยใช้เทคนิคต่าง ๆ เช่น การฟิชชิ่ง การแฮกเซสชัน หรือการใช้ Malware

5.5 การโจมตีด้วยการโกงหรือการลวงโจมตี (Social Engineering) การโจมตีนี้เป็นการใช้เทคนิคจิตวิทยาและการโกหกให้ผู้ใช้หรือเจ้าหน้าที่ธนาคารทำตามคำสั่งของผู้ไม่ประสงค์ดี ซึ่งอาจทำให้เกิดความเสียหายทางการเงินได้

การป้องกันการโจมตีด้านการเงินที่ธนาคารอาจเจอมีหลายวิธี เช่น การใช้เทคโนโลยีการรักษาความปลอดภัยที่เข้มงวด เพื่อป้องกันการเข้าถึงข้อมูลทางการเงินโดยไม่ได้รับอนุญาต
 
  1. การโจมตีด้านความเป็นส่วนตัว (Privacy Attacks) การโจมตีนี้เกี่ยวข้องกับการเข้าถึงข้อมูลส่วนตัวของลูกค้า ซึ่งอาจทำให้เป็นการละเมิดความเป็นส่วนตัวของข้อมูลลูกค้าหรือข้อมูลทางการเงินของธนาคาร ซึ่งอาจส่งผลกระทบต่อความเชื่อถือของลูกค้าและธนาคารเอง รูปแบบของการโจมตีด้านความเป็นส่วนตัวที่ธนาคารอาจพบเจอได้รวมถึง
6.1 การรั่วไหลของข้อมูล (Data Breaches) การรั่วไหลของข้อมูลเป็นการละเมิดความเป็นส่วนตัวที่รุนแรง ซึ่งอาจเกิดจากการบุกรุกทางไซเบอร์หรือความไม่ระมัดระวังในการจัดเก็บและป้องกันข้อมูล ผลของการรั่วไหลข้อมูลสามารถทำให้ข้อมูลทางการเงินของลูกค้าถูกเปิดเผยและถูกนำไปใช้โดยไม่ถูกต้อง

6.2 การสร้างข้อมูลที่ปลอดภัย (Identity Theft) การโจมตีแบบนี้มุ่งหน้าที่การใช้ข้อมูลส่วนตัวของลูกค้าเพื่อปลอมแปลงตัวตนเพื่อทำธุรกรรมทางการเงินหรือการสร้างบัญชีใหม่ในชื่อของเหยื่อ

6.3 การเจาะข้อมูลการทำธุรกรรม (Transaction Data Interception) การโจมตีนี้เกิดขึ้นเมื่อผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลการทำธุรกรรมทางการเงินของลูกค้าหรือธนาคาร และสามารถจับกลุ่มข้อมูลที่สำคัญเพื่อใช้ในการปลอมแปลงหรือใช้ในวัตถุประสงค์ที่ไม่เชื่อถือได้

6.4 การโจมตีแบบ Man-in-the-Middle (MITM) การโจมตี MITM เป็นการแทรกตัวระหว่างการสื่อสารระหว่างลูกค้ากับธนาคาร ซึ่งอาจทำให้ข้อมูลส่วนตัวหรือข้อมูลการเงินถูกเหยื่อถูกดักรับหรือถูกเปลี่ยนแปลง

6.5 การเปิดเผยข้อมูลบัญชีผู้ใช้ (Account Information Disclosure) การโจมตีแบบนี้มุ่งหน้าที่การเข้าถึงข้อมูลบัญชีผู้ใช้โดยไม่ได้รับอนุญาต เช่น การเจาะระบบหรือการโจมตี Phishing ซึ่งอาจทำให้ข้อมูลส่วนตัวหรือข้อมูลการเงินถูกเปิดเผย

การป้องกันการโจมตีด้านความเป็นส่วนตัวที่ธนาคารอาจเจอมีการดำเนินการป้องกันข้อมูลอย่างเข้มงวด การใช้เทคโนโลยีการเข้ารหัสข้อมูล การเพิ่มมาตรการความปลอดภัยในการเข้าถึงข้อมูล และการฝึกอบรมพนักงานเพื่อเพิ่มความตระหนักในการรักษาความเป็นส่วนตัวของข้อมูลลูกค้าและข้อมูลทางการเงินของธนาคารเอง





 


ติดต่อสอบถามขอรายละเอียดสินค้าที่ VSM365
ศูนย์รวมซอฟต์แวร์ที่ได้รับการคัดสรรมาเพื่อธุรกิจและองค์กรของคุณ ได้ที่

Email : [email protected]
Line : http://line.me/ti/p/~@vsm365
Inbox : https://m.me/vsm365
Youtube : https://www.youtube.com/vsm365
Spotify : https://spoti.fi/3pBhF2c
Blockdit : https://www.blockdit.com/vsm365
ดูสินค้าเพิ่มเติม : www.vsm365.com/th/Store
ทดลองใช้โปรแกรม : www.vsm365.com/th/Contact
ขอใบเสนอราคา : www.vsm365.com/th/Contact
ติดต่อฝ่ายขาย :

Tags:
 

แชร์บทความของเรา

VIEWS
1268

All

Lastest Article

1697

บทความแนะนำ