โพสต์ Resume หางานในกลุ่ม Social Media? ระวัง! คุณอาจกำลังแจก “ข้อมูลส่วนตัว” ให้มิจฉาชีพฟรีๆ
By Jaruwit Singsom,
Penetration Tester Team, Datafarm Company Limited
จุดเริ่มต้นแห่งความหวัง… หรือจุดเริ่มต้นของความเสี่ยง
ในยุคที่เศรษฐกิจผันผวนและการแข่งขันในตลาดแรงงานสูงที่ลิ่ว ช่วงนี้หลายคนกำลังมองหางานและโอกาสใหม่ๆ ให้กับชีวิต และหนึ่งในวิธีที่ได้รับความนิยมมากที่สุด รวดเร็วที่สุด และดูเหมือนจะเข้าถึงฝ่ายบุคคล หรือ HR ได้ง่ายที่สุด ก็คือการ “โพสต์ Resume หางานลงในกลุ่ม Social Media”
ลองจินตนาการถึงกลุ่ม Facebook ยอดฮิตที่ชื่อว่า “หางาน…” หรือ “Job หาคน คนหางาน…” ที่มีสมาชิกหลักแสนคน ตัวอย่างเช่น กลุ่มหางานในพื้นที่ต่างๆ ที่มีคนโพสต์อัปเดตกันแทบทุกนาที เรามักจะเห็นโพสต์ประเภท “สวัสดีครับ ขออนุญาตฝากประวัติครับ พร้อมเริ่มงานทันที” พร้อมกับแนบรูปภาพ Resume สวยๆ 1 แผ่น ที่มีข้อมูลทุกอย่างครบถ้วน เพื่อหวังว่าจะมี HR ของสักบริษัทผ่านมาเห็นแล้วทักเรียกไปสัมภาษณ์
แต่สิ่งหนึ่งที่หลายคนอาจไม่เคยรู้ หรือมองข้ามไปในจังหวะที่กำลังร้อนใจอยากได้งานก็คือ Resume ที่คุณเพิ่งกดโพสต์ลงไปในพื้นที่สาธารณะนั้น อาจไม่ได้มีแค่ HR ที่กำลังมองดูอยู่ แต่คุณอาจกำลังเปิดเผย “ข้อมูลส่วนตัว” ให้กับแก๊งมิจฉาชีพ แก๊งคอลเซ็นเตอร์ และผู้ไม่หวังดีทั่วโลกอินเทอร์เน็ตได้เห็นและนำไปใช้แบบฟรีๆ
Resume 1 ใบ มีข้อมูลอะไรที่อันตรายกว่าที่คุณคิด?
เวลาที่เราทำ Resume หรือ CV เรามักจะถูกสอนมาว่า “ต้องใส่ข้อมูลให้ครบถ้วนที่สุด” เพื่อให้บริษัทรู้จักตัวตนของเรา ลองมาดูกันว่าใน Resume แผ่นเดียวที่คุณโพสหรือแปะไว้ในคอมเมนต์ มีอะไรอยู่บ้าง:
- ชื่อ-นามสกุลจริง
- เบอร์โทรศัพท์
- อีเมลส่วนตัว
- วันเดือนปีเกิด
- ที่อยู่ปัจจุบัน
- ลิงก์โปรไฟล์ Social Media (LinkedIn, Facebook, IG)
- ประวัติการศึกษาและการทำงาน
https://template.canva.com/EAFzfwx_Qik/4/0/1131w-T9RPR4DPdiw.jpg
มิจฉาชีพเอาข้อมูลเหล่านี้ไปทำอะไรได้บ้าง?
เมื่อ โปรไฟล์ ของคุณตกไปอยู่ในมือคนผิด นี่คือสิ่งที่คุณอาจจะต้องเจอในโลกความเป็นจริงครับ
- Social Engineering : มิจฉาชีพจะโทรหาคุณโดยอ้างตัวว่าเป็น HR จากบริษัทชั้นนำที่คุณเพิ่งใส่ไว้ใน “ประวัติที่เคยฝึกงาน” หรือบริษัทที่คุณโพสต์ว่าอยากทำ พวกเขาจะทักชื่อคุณถูก รู้ว่าคุณเรียนจบที่ไหน ทำให้คุณตายใจและลดกำแพงการป้องกันตัวลง จากนั้นอาจจะหลอกให้คุณ “โอนเงินค่ามัดจำอุปกรณ์ทำงาน” หรือ “ค่าตรวจประวัติอาชญากรรม” ก่อนเริ่มงาน ซึ่งมีคนตกเป็นเหยื่อมุกนี้เยอะมาก
- Phishing (การหลอกลวงผ่านอีเมลหรือลิงก์): เมื่อเขารู้อีเมล และรู้ว่าคุณกำลังรองาน เขาอาจจะส่งอีเมลที่หน้าตาเหมือนมาจากเว็บไซต์หางานชื่อดัง หัวข้ออีเมลเขียนว่า “ยินดีด้วย! คุณผ่านการคัดเลือกเบื้องต้น กรุณาคลิกลิงก์เพื่อกรอกข้อมูลบัญชีธนาคารสำหรับรับเงินเดือน” หากคุณเผลอกดลิงก์และกรอกข้อมูลไป หมายเลขบัญชีธนาคารของคุณอาจจะถูกนำไปใช้ในทางที่ไม่ดี
- Identity Theft (การสวมรอยขโมยตัวตน): สามารถถูกนำไปใช้สวมรอยเพื่อนำรูปภาพและชื่อของคุณไปสร้างโปรไฟล์ปลอมเพื่อหลอกลวงผู้อื่น ซึ่งอาจจะทำให้คุณอาจกลายเป็นผู้ต้องหาโดยไม่รู้ตัว
โพสต์แล้วลบก็ไม่ทัน…. ข้อมูลเหล่านี้ไปโผล่ที่ไหนได้บ้าง
หลายคนอาจคิดว่า “ฉันโพสต์ลงในกลุ่มแค่แป๊บเดียว พอได้งานแล้วฉันก็ลบทิ้ง คงไม่เป็นไรหรอก” นี่คือความเข้าใจผิดที่อันตรายที่สุดในยุคดิจิทัลครับ เพราะในโลกอินเทอร์เน็ต “สิ่งที่ถูกโพสต์ลงไปแล้ว จะไม่มีวันหายไปอย่างแท้จริง” หรือ Digital Footprint
ทันทีที่คุณกดปุ่มโพสต์ รูปภาพ Resume ของคุณไม่ได้ลอยอยู่แค่ในกลุ่มหางาน แต่มันอาจถูกเดินทางไปในเส้นทางเหล่านี้:
- Search Engine Indexing: ถึงแม้จะเป็นกลุ่ม Facebook แต่หากตั้งค่าเป็นสาธารณะ หรือคุณนำไปโพสต์ในเว็บบอร์ด ระบบของ Google หรือ Search Engine อื่นๆ จะเข้ามาเก็บข้อมูล ทำให้ใครก็ตามที่เสิร์ชชื่อของคุณในอนาคต จะเจอ Resume ใบนี้ตลอดไป
- Bot / Scraper : มิจฉาชีพไม่ได้มานั่งเลื่อนฟีดและกดเซฟรูปทีละคนครับ พวกเขาสามารถเขียนโปรแกรมบอทอัตโนมัติ ให้วิ่งกวาดรูปภาพทั้งหมดในกลุ่มหางานตลอด 24 ชั่วโมง จากนั้นใช้เทคโนโลยีแปลงภาพเป็นข้อความ หรือ OCR ดูดเอาเฉพาะชื่อ เบอร์โทร และอีเมลออกมาได้
- Spam : ข้อมูลที่บอทดูดมาได้ จะถูกนำมาใช้สำหรับส่ง SMS เว็บพนัน โฆษณาขยะ หรือส่งต่อให้แก๊งคอลเซ็นเตอร์
และที่น่ากลัวที่สุดคือ ข้อมูลเหล่านี้มักจะถูกนำไป “ขายต่อ” ในแพลตฟอร์มที่เรียกว่า Dark Web
5. Dark Web เกี่ยวอะไรกับเรื่องนี้?
ใน Dark Web จะมีเว็บบอร์ดและพื้นที่สำหรับซื้อขายสิ่งของผิดกฎหมายมากมาย ซึ่งรวมถึง การซื้อขาย ข้อมูลส่วนบุคคล และข้อมูลต่างๆ ด้วย
ลองนึกภาพตามนะครับ แฮกเกอร์อาจจะนำรายชื่อและอีเมลที่ดูดมาจาก Resume ของคุณ ไปตั้งกระทู้ขายในหมวดหมู่ Email Lists หรือ Personal Data Database ในราคาเพียงหลักสิบหรือหลักร้อยบาทต่อ 1,000 รายชื่อ
ความน่ากลัวทวีคูณขึ้นเมื่อแฮกเกอร์นำข้อมูลที่ดูเหมือนไม่มีอะไรจาก Resume ของคุณ ไป เชื่อมโยงกับฐานข้อมูลรหัสผ่านที่เคยรั่วไหลจากเว็บไซต์ใหญ่ๆ ในอดีต เช่น คุณเคยใช้ Email เดียวกันนี้สมัครเว็บไซต์ช้อปปิ้งออนไลน์ที่โดนแฮกเมื่อ 3 ปีก่อน แฮกเกอร์ก็จะจับคู่ Email จาก Resume ของคุณ เข้ากับ Password ที่เคยหลุดออกมา กลายเป็น Credentials ที่สมบูรณ์แบบ
เมื่อโปรไฟล์ของคุณสมบูรณ์และถูกนำไปขายใน Dark Web มันจะนำไปสู่การโจมตีที่ “แม่นยำและเฉพาะเจาะจงมากขึ้น เช่น:
- Spear Phishing: การส่งอีเมลหลอกลวงที่แนบเนียนขั้นสุด เพราะเขารู้ประวัติทั้งหมดของคุณ
- Scam Targeting: การถูกล็อกเป้าโดยแก๊งต้มตุ๋นข้ามชาติ ที่รู้แม้กระทั่งว่าคุณมีแนวโน้มจะเชื่อเรื่องอะไร
สิ่งสำคัญที่คนยุคดิจิทัลต้องตระหนัก
จากเรื่องราวทั้งหมด เราจะเห็นได้ว่าในยุคที่ Data มีมูลค่ามหาศาล และเทคโนโลยีสามารถค้นหา รวบรวม รวมถึงซื้อขายข้อมูลได้อย่างง่ายดาย การเปิดเผยข้อมูลส่วนตัวเพียงเล็กน้อยในพื้นที่ที่ไม่เหมาะสม อาจนำไปสู่ความเสี่ยงที่คาดไม่ถึง และอาจสร้างความเสียหายต่อทรัพย์สินและชื่อเสียงของคุณไปตลอดชีวิต
การหางานไม่ใช่เรื่องผิด และการนำเสนอตัวเองก็เป็นเรื่องจำเป็น แต่เราต้องทำอย่างฉลาดและปลอดภัยครับ ตัวอย่างเช่น หากต้องโพสต์ประวัติลงที่สาธารณะ ควรปิดบังหรือเบลอเบอร์โทรศัพท์ อีเมล และที่อยู่ปัจจุบันเอาไว้ หรือให้ระบุเพียงจังหวัด และแจ้งว่า “หากสนใจประวัติ สามารถทักแชทส่วนตัว เพื่อขอ Resume ฉบับเต็มได้” เป็นต้น เพื่อเป็นการคัดกรองคนที่จะเข้าถึงข้อมูลส่วนตัวของเราได้ในระดับหนึ่ง
จากภัยระดับบุคคล สู่ความเสี่ยงระดับองค์กร
เรื่องราวของ Resume ที่รั่วไหล เป็นเพียงภาพสะท้อนระดับ “บุคคล” เท่านั้นครับ แต่คุณรู้หรือไม่ว่า กระบวนการที่แฮกเกอร์ใช้ค้นหา รวบรวม และนำข้อมูลไปขายใน Dark Web นั้น เป็นวิธีเดียวกันกับที่พวกเขาใช้โจมตี “องค์กรและธุรกิจ” ขนาดใหญ่!
ลองเปลี่ยนบริบทจาก คนหางาน เป็น พนักงานในบริษัท หรือ นักพัฒนาซอฟต์แวร์ ดูสิครับ
บ่อยครั้งที่ปัญหาการรั่วไหลของข้อมูลองค์กร ไม่ได้เกิดจากการถูกเจาะระบบด้วยเทคโนโลยีล้ำยุค แต่เกิดจาก ความผิดพลาดของคน (Human Error) คล้ายกับการโพสต์ Resume ทิ้งไว้ เช่น:
- โปรแกรมเมอร์เผลออัปโหลดโค้ดที่มี API Key หรือ รหัสผ่าน ของเซิร์ฟเวอร์ ไปไว้บนเว็บไซต์สาธารณะอย่าง GitHub
- พนักงานนำไฟล์เอกสารสำคัญ โฟลเดอร์งาน หรือ Email ของลูกค้า ไปฝากไว้บน Public Cloud เช่น Google Drive, Amazon S3 แล้วตั้งค่าลิงก์เป็นแบบ “ ใครที่มีลิงก์ก็เข้าถึงได้ “ โดยลืมปิดสิทธิ์
- ระบบหลังบ้าน ของบริษัท ถูกเปิดทิ้งไว้ให้ Search Engine เข้ามาเจอได้
หากข้อมูลสำคัญขององค์กรเหล่านี้ไปปรากฏอยู่ในพื้นที่สาธารณะ หรือเลวร้ายไปกว่านั้นคือ ถูกแฮกเกอร์ดูดไปรวมและตั้งขายอยู่ใน Dark Web ความเสี่ยงที่องค์กรจะถูกโจมตีทางไซเบอร์ หรือถูกขโมยความลับทางการค้า ก็จะเพิ่มขึ้น
ปกป้ององค์กรของคุณก่อนสายเกินแก้ ด้วย Personar
“ในโลกของความมั่นคงปลอดภัยไซเบอร์ หากข้อมูลรั่วไหลไปแล้ว สิ่งที่สำคัญที่สุดคือ คุณรู้ตัวเร็วแค่ไหน?”
เพราะถ้าหากข้อมูลสำคัญเหล่านั้นถูกแฮกเกอร์นำไปเผยแพร่หรือขายใน Dark Web แล้ว แต่องค์กรของคุณยังไม่รู้ตัวเลย นั่นหมายถึงหายนะกำลังก่อตัวขึ้นอย่างเงียบๆ และนี่คือจุดที่เทคโนโลยี Threat Intelligence เข้ามามีบทบาทสำคัญครับ
สำหรับธุรกิจและองค์กรที่ตระหนักถึงความเสี่ยงนี้ “Personar” แพลตฟอร์ม Threat Intelligence และ Data Leak Monitoring สัญชาติไทยที่พัฒนาโดยทีมผู้เชี่ยวชาญจาก Datafarm คือคำตอบที่ตอบโจทย์ที่สุด
Personar ช่วยทำอะไรให้องค์กรของคุณได้บ้าง? ระบบของ Personar เปรียบเสมือน “ยามเฝ้าสังเกตการณ์” ดิจิทัลที่ทำงานตลอด 24 ชั่วโมง โดยจะคอยทำหน้าที่:
- สแกนและตรวจสอบ: ค้นหาว่ามีข้อมูลสำคัญขององค์กร เช่น API Key, Credentials, อีเมลของพนักงาน, หรือข้อมูลลูกค้า หลุดรอดออกไปปรากฏอยู่ในแหล่งข้อมูลสาธารณะ เว็บบอร์ดแฮกเกอร์ หรือแม้แต่ Dark Web หรือไม่
- เฝ้าระวัง Digital Assets: ตรวจสอบโดเมน ไอพีแอดเดรส ของบริษัท ว่าถูกเปิดเผยออกสู่ภายนอกหรือไม่
- แจ้งเตือนแบบเรียลไทม์: ทันทีที่ระบบค้นพบข้อมูลที่เป็นขององค์กรคุณหลุดรอดออกไป Personar จะแจ้งเตือนให้ทีม IT หรือผู้ดูแลระบบทราบทันที เพื่อดำเนินการแก้ไข ระงับสิทธิ์ หรือเปลี่ยนรหัสผ่านได้ก่อนที่ผู้ไม่หวังดีจะนำข้อมูลนั้นไปใช้โจมตี
จำไว้เสมอว่า… หากผู้เชี่ยวชาญด้านความปลอดภัยสามารถใช้ระบบค้นหาข้อมูลที่รั่วไหลขององค์กรคุณจนเจอได้ ก็มีความเป็นไปได้สูงลิบลิ่วว่า แฮกเกอร์และผู้ไม่หวังดีก็สามารถค้นพบข้อมูลเหล่านั้นได้เช่นเดียวกันครับ
อย่าปล่อยให้ความผิดพลาดเล็กๆ น้อยๆ ไม่ว่าจะเป็นการโพสต์ Resume ของบุคคล หรือการลืมตั้งค่าความปลอดภัยของพนักงานในองค์กร กลายมาเป็นต้นทุนความเสียหายที่ประเมินค่าไม่ได้ในอนาคต.
