ในยามที่บริษัท องค์กรต่าง ๆ นั้นประสบกับภัยไซเบอร์ หลายครั้งฝ่ายบริหารหรือแม้แต่ฝ่ายเทคนิคก็อาจจะกล่าวว่าข้อผิดพลาดเกิดขึ้นนั้นเกิดมาจากทางบริษัทยังไม่มีเครื่องมือ หรือเทคโนโลยีรับมือที่เพียงพอ แต่แท้จริงแล้วปัญหานั้นไม่ได้อยู่ที่เครื่องมือแต่อย่างใด
จากรายงานโดยเว็บไซต์ LegalDive ได้รายงานว่า ปัญหาต่าง ๆ ที่เกิดขึ้นกับระบบไซเบอร์ภายในองค์กรตั้งแต่การถูก Scam ผ่านทางโค้ด QR ไปจนถึงการติดแรนซัมแวร์ (มัลแวร์เพื่อการเรียกค่าไถ่) เมื่อสืบสาวราวเรื่องไปแล้ว ต้นเรื่องมักมาจากการที่ตัวพนักงานเองนั้นไม่ได้รับการศึกษา และปฏิบัติตามมาตรการด้านความปลอดภัยไซเบอร์อย่างเพียงพอ
ซึ่งสอดคล้องกับคำกล่าวของผู้บริหารด้านสารสนเทศ (Chief Information Officer หรือ CIO) จากองค์กร NASA คุณ Renee Wynn ที่ได้กล่าวว่า “ข้อผิดพลาดเหล่านี้มักมาจากความย่ามใจของพนักงานที่มองว่า เหตุร้ายคงจะไม่เกิดกับตนเอง แล้วก็พลาด” พร้อมทั้งได้ให้ข้อแนะนำว่า “ในขั้นแรกสำหรับการป้องกันคือ ต้องให้การศึกษากับพนักงานอย่างเพียงพอก่อน เพราะปัญหาด้านความปลอดภัยไซเบอร์ไม่ใช่เรื่องทางเทคนิคเลย แต่เป็นเรื่องการกระทำของคน โดยเริ่มต้นแฮกเกอร์ที่มีความพยายามที่อยากจะขโมยข้อมูลจนใช้ทุกวิถีทางเพื่อให้ได้มา
นอกจากนั้นแล้ว ในงานสัมมนาออนไลน์ด้านความปลอดภัยไซเบอร์ที่ถูกจัดโดยองค์กร Travelers Institute นั้น ผู้เชี่ยวชาญรายอื่นก็ได้ออกมาสนทนาแลกเปลี่ยนถึงประเด็นที่เกี่ยวข้องกับที่กล่าวไว้ข้างต้น ซึ่งทุกรายเห็นตรงกันว่า วิธีการหลอกลวงด้วยการทำ Phishing ซึ่งเป็นการล่อลวงให้เหยื่อทำตามที่แฮกเกอร์ต้องการนั้น ยังคงเป็นวิธีการที่แพร่หลายเป็นอันดับ 1 เนื่องจากเป็นวิธีการที่ง่ายมากรวมทั้งได้ผลดี ซึ่งการทำ Phishing นั้นหลายครั้งเรียบง่ายเพียงแค่ส่งอีเมลที่ปลอมตัวเป็นองค์กรที่มีความน่าเชื่อถือก็เพียงพอแล้ว
นอกจากนั้น ทางผู้บริหารจากองค์กร Travelers Institute คุณ Tim Francis ยังได้กล่าวถึงประเด็นของแรนซัมแวร์อีกว่า แฮกเกอร์นั้นมีความยินดีที่จะโจมตีองค์กร ธุรกิจขนาดเล็กมากไม่แพ้องค์กรขนาดใหญ่ ถ้าองค์เหล่านั้นเปิดช่องโหว่ให้สามารถทำการโจมตี และกรรโชกทรัพย์ได้ แสดงให้เห็นถึงอันตรายว่าธุรกิจทุกขนาดล้วนตกอยู่ภายใต้ความเสี่ยงทั้งหมด ซึ่งสอดคล้องกับความเห็นของคุณ Tony Collings ตัวแทนจากองค์กร CISA (Cybersecurity and Infrastructure Security Agency) ถึงการที่ในปัจจุบัน แฮกเกอร์นั้นเพ่งเล็งโจมตีองค์กรขนาดเล็กมากขึ้นเนื่องจากมองว่า วงเงินประกันภัยขององค์กรขนาดเล็กมักครอบคลุมค่าไถ่ที่ทางแฮกเกอร์ร้องเรียก ทำให้ไม่มีปัญหาที่จะจ่ายค่าไถ่หลังจากที่ระบบติดแรนซัมแวร์
ไม่เพียงเท่านั้น ทาง CISA ยังได้ทำการจำแนกการก่ออาชญากรรมไซเบอร์ด้วยวิธีการ Phishing ออกเป็นหลากรูปแบบด้วยกัน ซึ่งการ Phishing นั้นถูกแบ่งออกเป็น 4 รูปแบบดังนี้
- Vishing : การหลอกลวงผ่านทางบนสนทนาทางโทรศัพท์ เพื่อขโมยข้อมูลส่วนบุคคล
- Quishing : การหลอกลวงให้สแกน QR เพื่อเข้าสู่เว็บไซต์กับดักที่แฮกเกอร์วางเอาไว้
- Smishing : การส่งข้อความ SMS (Short Message Service) เพื่อหลอกลวงเหยื่อให้ดาวน์โหลดมัลแวร์ หรือเข้าสู่เว็บไซต์หลอกลวง
- Spear Phishing : การหลอกลวงแบบพุ่งเป้าตัวบุคคลหรือองค์กรใดองค์กรหนึ่ง ด้วยการใช้ข้อมูล รวมทั้งการปลอมตัวหลากรูปแบบเพื่อสร้างความไว้วางใจ