ក្រសួងប្រៃសណីយ៍ព្រមានពីវាយប្រហារបែបវិស្វកម្មសង្គមនិងការបោកបញ្ជោត

1778
ចែករម្លែក

ដោយ: ច្រាយ ចំណាន, ដេប៉ូ / ភ្នំពេញ: ក្រសួងប្រៃសណីយ៍ និងទូរគមនាគមន៍បានប្រកាសឲ្យមានការប្រុងប្រយ័ត្ន ចំពោះការកើនឡើងនូវការវាយប្រហារបែបវិស្វកម្មសង្គម (Social Engineering) និងការបោកបញ្ជោត (Phishing) ក្រោយពីមានការកើនឡើងប្រហារបែបវិស្វកម្មសង្គម ជាបន្តបន្ទាប់ចំពោះអ្នកប្រើប្រាស់តាមអ៊ីម៉ែល តាមបណ្តាញសង្គម តាមវេបសាយតាម Mobile Apps។

ការិយាល័យឆ្លើយតបបញ្ហាបន្ទាន់នៃកុំព្យូទ័រ (CamCERT) នៃក្រសួងប្រៃសណីយ៍និងទូរគមនាគមន៍បានចេញសេចក្តីប្រកាសនេះនៅព្រឹកថ្ងៃទី២៥ កក្កដានេះ ដើម្បីជូនដំណឹងដល់ប្រជាពលរដ្ឋ និងអ្នកបំរើការងារពាក់ព័ន្ឋនឹងបច្ចេកវិទ្យាមានការប្រុងប្រយ័ត្នចំពោះហានិភ័យនេះ ដោយសារកាលពីពេលថ្មីៗនេះ មានការកើនឡើងយ៉ាងច្រើននូវការវាយប្រហារបែបវិស្វកម្មសង្គម និងការបោកបញ្ជោត ដើម្បីលួចយកគណនី (ឈ្មោះ និងពាក្យសម្ងាត់) ដើម្បីបម្រើគោលបំណងទុច្ចរិតណាមួយ។ ការវាយប្រហារទាំងនោះកើត មានឡើងជាច្រើនទម្រង់ដូចជាតាមអ៊ីម៉ែល តាមបណ្តាញសង្គម តាមវេបសាយ តាម Mobile Apps ឬតាមតំណរ ភ្ជាប់ (links) …ល។

តើអ្វីទៅជាការវាយប្រហារបែបវិស្វកម្មសង្គម (Social Engineering Attack)?
ការវាយប្រហារបែបវិស្វកម្មសង្គម គឺជាការវាយប្រហារតាមអ៊ិនធឺណិតមួយបែបដែលអ្នកវាយប្រហារប្រើប្រាស់ប្រតិកម្មរបស់មនុស្ស (ជំនាញសង្គម) ដើម្បីទទួលបានព័ត៌មានអំពីអង្គភាពមួយ ។ អ្នកវាយប្រហារដែលអាចអះអាងថា ជាបុគ្គលិកថ្មីឬជាអ្នកផ្គត់ផ្គង់សេវា ឬជាអ្នកដទៃផ្សេងទៀត បានធ្វើការសាកសួរព័ត៌មានជាច្រើនពីអ្នក។ ក្នុងករណី ដែលមិនទាន់មានព័ត៌មានពេញលេញនោះទេអ្នកវាយប្រហារនោះនឹងធ្វើការស្វែងរកព័ត៌មានបន្ថែមទៀតពីប្រភពផ្សេងទៀត។

តើអ្វីទៅជាការវាយប្រហារបោកបញ្ជោត (Phishing Attack)? Phishing គឺជាទម្រង់មួយនៃការវាយប្រហារបែបវិស្វកម្មសង្គម។ ការវាយប្រហារ Phishing គឺប្រើប្រាស់នូវអ៊ីម៉ែល ឬក៏វេបសាយផ្ទុកមេរោគ ដើម្បីលួចយកព័ត៌មានផ្ទាល់ខ្លួន ដោយតាំងខ្លួនធ្វើជាអង្គភាពស្របច្បាប់ត្រឹមត្រូវ (តែជា ការបោកបញ្ជោតប៉ុណ្ណោះ)។ ជាឧទាហរណ៍ អ្នកវាយប្រហារអាចផ្ញើអ៊ីម៉ែលមួយដោយតាំងខ្លួនមកពីក្រុមហ៊ុន Credit Card ឬអង្គភាពហិរញ្ញវត្ថុណាមួយ ដែលធ្វើការស្នើសុំនូវព័ត៌មានគណនី (លេខគណនី, ឈ្មោះ, ពាក្យសម្ងាត់) ដោយហេតុផលមានបញ្ហាអ្វីមួយ។ នៅពេលដែលអ្នកប្រើប្រាស់ឆ្លើយតបទៅនឹងសំណើ អ្នកវាយប្រហារនឹងចូលទៅកាន់កាប់គណនីនោះតែម្តង (ដោយដូរពាក្យសម្ងាត់របស់អ្នកចេញ)។

តើត្រូវធ្វើដូចម្តេចដើម្បីជៀសវាងពីបញ្ហានេះ? (មិនក្លាយខ្លួនទៅជាជនរងគ្រោះ)? ក្រសួងប្រៃសណីយ៍ និងទូរគមនាគមន៍បានផ្តល់ជាយោបល់ថា សូមមានការប្រុងប្រយ័ត្នចំពោះការទទួលទូរស័ព្ទពីអ្នកមិនស្គាល់ ហើយតាំងខ្លួនថាជាអ្នកនេះឬអ្នកនោះ, ការចូលមើលវេបសាយមិនមានប្រភពច្បាស់លាស់ ឬទទួលបានអ៊ីម៉ែលសាកសួរអំពីព័ត៌មានផ្ទៃក្នុងអង្គភាព។ បើមិនមែនជាបុគ្គលដែលអ្នកស្គាល់ ហើយតាំងខ្លួនមកពីអង្គភាពណាមួយ អ្នកត្រូវតែព្យាយាមធ្វើការផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់បុគ្គលនោះ ពីអង្គភាពនោះដោយផ្ទាល់។

មិនត្រូវផ្តល់នូវព័ត៌មានផ្ទាល់ខ្លួន ឬព័ត៌មានអំពីអង្គភាពរបស់អ្នក ដោយមានទាំងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ (network infrastructure) លុះត្រាតែអ្នកប្រាកដឲ្យបានច្បាស់អំពីបុគ្គលម្នាក់នោះ។ មិនត្រូវបញ្ចេញនូវព័ត៌មានផ្ទាល់ខ្លួន ឬព័ត៌មានហិរញ្ញវត្ថុនៅក្នុងអ៊ីម៉ែល និងមិនត្រូវឆ្លើយតបទៅនឹងអ៊ីម៉ែល មិនមានប្រភពច្បាស់លាស់ ដោយរួមមានទាំងតំណរភ្ជាប់ (links) នៅក្នុងអ៊ីម៉ែលផងដែរ ដោយមិនត្រូវផ្ញើរនូវព័ត៌មានសំងាត់ (sensitive) តាមអ៊ីម៉ែល ឬអ៊ិនធឺណិតដោយមិនបានធ្វើកូដនីយកម្ម (encrypt) នោះឡើយ។ សូមមានការចាប់អារម្មណ៍អំពីអស័យដ្ឋានរបស់វេបសាយ (URL)។ អស័យដ្ឋានវេបសាយក្លែងក្លាយអាចស្រដៀងគ្នាទៅនឹងវេបសាយពិតប្រាកដ។

ធ្វើការអាប់ដេតប្រព័ន្ធប្រតិបតិ្តការ (Operating System) និងកម្មវិធីទាំងអស់ដែលមានក្នុងម៉ាស៊ីនកុំព្យូទ័ររបស់អ្នក ព្រមទាំងតំឡើង និងអាប់ដេតកម្មវិធីកំចាត់មេរោគឲ្យបានទៀងទាត់។ បើកមុខងារ anti-phishing ដែលមាននៅក្នុង web browsers និងកម្មវិធីអ៊ីម៉ែល (email client)

តើត្រូវធ្វើដូចម្តេចបើសិនជាអ្នកគិតថាខ្លួនជាជនរងគ្រោះ? បើសិនជាអ្នកជឿជាក់ថា អ្នកបានបញ្ចេញព័ត៌មានអំពីអង្គភាពអ្នក សូមធ្វើការរាយការណ៍ទៅកាន់បុគ្គលទទួលខុសត្រូវនៅក្នុងអង្គភាព ដោយអាចមានអភិបាលគ្រប់គ្រងប្រព័ន្ធព័ត៌មានជាដើម។ បើសិនជាអ្នកជឿជាក់ថា ព័ត៌មានហិរញ្ញវត្ថុរបស់អ្នកត្រូវបានលួច សូមធ្វើការទាក់ទងទៅកាន់គ្រឹះស្ថានហិរញ្ញវត្ថុរបស់អ្នកជាបន្ទាន់ ហើយបិទគណនីដែលរងគ្រោះ។ ធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ជាបន្ទាន់បើសិន ជាអ្នកបានបញ្ចេញដោយប្រការណាមួយនោះ។ បើសិនជាអ្នកប្រើប្រាស់ពាក្យសម្ងាត់ដូចៗគ្នា ជាច្រើនវេបសាយនោះ សូមធ្វើការផ្លាស់ប្តូរវាម្តងមួយៗ ហើយមិនត្រូវ ប្រើប្រាស់ពាក្យសម្ងាត់នោះនៅថ្ងៃខាងក្រោយទៀតឡើយ។

សូមប្រុងប្រយ័ត្នចំពោះសញ្ញាណនៃការលួចអត្តសញ្ញាណ។ សូមចូលទៅកាន់ព័ត៌មានបន្ថែម https://www.camcert.gov.kh/identity-theft/។
អ្នកអាចរាយការណ៍អំពីបញ្ហានេះមកកាន់ការិយាល័យ CamCERT តាមរយៈអ៊ីម៉ែល incident@camcert.gov.kh ឬចូលទៅកាន់វេបសាយ https://www.camcert.gov.kh ឬអ្នកក៏អាចធ្វើការប្តឹងទៅស្ថាប័ននគរបាលជាតិ (នាយកដ្ឋានប្រឆាំងបទល្មើសបច្ចេកវិទ្យានៃអគ្គស្នងការនគរបាលជាតិ)។
ជាចុងក្រោយសន្តិសុខនិងសុវត្ថិភាព នៃការប្រើប្រាស់បច្ចេកវិទ្យាគឺស្ថិតនៅក្នុងដៃរបស់លោកអ្នក៕