การโจมตีแบบ Phishing เทคนิคหลอกลวงนี้อันตรายอย่างไรบ้าง

24 กุมภาพันธ์ 2022
Phishin

อินเทอร์เน็ตและคอมพิวเตอร์ปัจจุบัน เรียกได้เลยว่าทั้งคู่เป็นปัจจัยที่5 ในการใช้ชีวิตของคนในยุคนี้ไปแล้ว ไม่ว่าจะเป็นการใช้คอมพิวเตอร์เพื่อการทำงาน เรียน สร้างความบันเทิงและอำนวยความสะดวกสบาย นอกจากประโยชน์มากมายที่ได้รับแล้ว หลายคนก็อาจจะมองข้ามความอันตรายจากอินเทอร์เน็ตด้วยเช่นกัน และการโจมตี Phishing คือหนึ่งในเรื่องอันตรายที่หลายคนเจอโดยไม่รู้ตัวครับ

ยาวไปอยากเลือกอ่าน

การโจมตีแบบ Phishing คือ?

เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา อธิบายแบบสั้นๆ ก็คือ การใช้เหยื่อล่อในการตกปลา เป็นวิธีที่โจมตีในรูปแบบการหลอกลวงเหยื่อ

ซึ่งมักจะมาในรูปแบบการปลอมอีเมล การปลอมหน้าเว็บไซต์ที่อ่านแล้วหลงเชื่อ จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงโควิด19 โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้นครับ

8 ประเภท Phishing ที่อันตราย

เดี๋ยวนี้แฮกเกอร์มักจะมีวิธีมากมายเพื่อโจมตีเหยื่อทำให้กลัว เราสามารถแบ่งชื่อเรียก ประเภทของ Phishing ตามการโจมตีได้อีก 8 รูปแบบ ประกอบด้วยอะไรบ้าง มาทำความรู้จักกันดู

1. Email Phishing การหลอกลวงผ่านอีเมล

รูปแบบนี้เป็นรูปแบบมักจะเจอบ่าย เป็นการ Phishing ด้วยการส่งอีเมลออกไปจำนวนมาก ส่วนใหญ่มักจะมาจากบริษัทที่มีความน่าเชื่อถือ โดยเฉพาะธนาคารเนื้อหาในอีเมลจะไม่มีการเจาะจงเหยื่อ เป้าหมายคือมีเหยื่อหลงกลมาคลิกลิงก์, ดาวน์โหลดไฟล์ โดยข้อความในอีเมล

การสังเกต สามารถดูได้จากการไม่ระบุข้อมูลที่เป็นลักษณะเฉพาะบุคคล มักจะใช้คำว่า เรียนเจ้าของบัญชี รวมถึงใช้คำที่ส่งผลต่อความกลัว เช่น ด่วนที่สุด ลับเฉพาะ เพื่อกดดันให้ดาวน์โหลดหรือกดลิงก์อันตรายที่แนบมากับอีเมล

Phishing

2. Spear Phishing การหลอกลวงแบบพุ่งเป้า

เป็นวิธีการที่ค่อนข้างจะซับซ้อนขึ้น โดยมีการโจมตีที่เลือกกลุ่มเป้าหมายเจาะจง นิยมใช้เมื่อแฮกเกอร์มืออาชีพต้องแฝงตัวไปในระบบขององค์กร ความอันตรายที่รุนแรงของรูปแบบนี้คือ แฮกเกอร์จะมีการหาข้อมูลส่วนตัว เพื่อสร้างความน่าเชื่อถือให้มากยิ่งขึ้น ทำให้เหยื่อหลงเชื่อง่ายขึ้นครับ

การสังเกต หมั่นเช็คอีเมลและรูปแบบตัวอักษรให้ละเอียดว่ามาจากคนที่รู้จัก เช่น อีเมลในที่ทำงานจะใช้ Nylonth@gmail.com แต่เมลปลอมจากจะใช้ NyIonth@gmail.com (ใช้ตัว i พิมพ์ใหญ่แทนตัว l) ส่งมาหา เพื่อให้ดาวน์โหลดไฟล์ หรือคลิกลิงก์ที่อยู่ในอีเมล

3. Whaling Phishing การหลอกลวงบุคคลสำคัญ

จัดเป็นอีกหนึ่งวิธีการที่มีความซับซ้อนสูง โดยจะเจาะจงบุคคลเดียวเลยครับ และมักจะเป็นผู้ที่มีตำแหน่งงานอยู่ในระดับสูง อย่าง ผู้จัดการ เป็นต้น เนื้อหามักจะอ้างถึงเหตุการณ์ทางกฎหมาย

การสังเกต แฮกเกอร์มักจะส่งลิงก์หน้าเว็บไซต์ปลอม ให้เหยื่อรีบกรอกข้อมูลส่วนตัวที่สำคัญ อย่างพวก บัญชี และรหัสผ่าน

4. Vishing Phishing การหลอกลวงผ่านเสียง

รูปแบบนี้มักจะเจอบ่อยมากในไทยครับ เป็นการหลอกลวงผ่านเสียง หรือ แก๊งคอลเซ็นเตอร์ อาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่ เพื่อขอข้อมูลส่วนตัว หมายเลขบัตรเครดิต อย่างล่าสุดก็จะเป็นการอ้างว่าเป็นพนักงานขนส่งพัสดุ โดยแจ้งว่าเหยื่อมีพัสดุผิดกฎหมายตกค้าง เห็นเตือนภัยกันในโลกออนไลน์อยู่ช่วงนี้ ต้องระวังนะครับ

การสังเกต อาชญากรมักจะมีบันทึกเสียงจากบริการต่างๆ เพื่อหลอกให้เหยื่อเชื่อว่าเป็นสายที่โทรมาจากเจ้าของบริการจริงๆ แนะนำให้สอบถามชื่อคนในสาย หากเป็นเรื่องผิดกฎหมายจริงๆ ให้รีบแจ้งความแทนการให้ข้อมูลส่วนตัวครับ

5. Smishing Phishing การหลอกลวงแบบ SMS

มักเป็น SMS ทางโทรศัพท์ครับ จะมีโน้มน้าวในเรื่องรายได้จำนวนมาก เช่น ถูกรางวัล หรือ เสนออาชีพให้ทำรายได้ดี เพื่อให้เหยื่อคลิกเปิดลิงก์ที่แนบมากับข้อความ SMS เพื่อเข้าสู่หน้าเว็บไซต์ปลอมที่ถูกสร้างเตรียมเอาไว้

การสังเกต เนื้อหาคือจะเป็นการขอให้กรอกข้อมูลส่วนตัวครับ บางครั้งอาจมีแอดมินพูดคุยเพื่อสร้างความน่าเชื่อถือ ดังนั้นจึงไม่ควรตอบโต้ SMS ประเภทนี้เลยครับ หากเป็นการอ้างชื่อบริษัทที่มีชื่อ อาจใช้วิธีโทรสอบถามโดยตรงแทนดีกว่า

Phishing SMS

6. Angler Phishing การหลอกลวงทางโซเชียล

เป็นรูปแบบใหม่แบบใหม่ที่เพิ่งเข้ามา โดยแฮกเกอร์จะคอยดูพฤติกรรมการใช้งาน Social Media ของเรา แล้วสวมบทเป็นเจ้าหน้าที่มาหลอกลวง ตัวอย่างเช่น ถ้าคุณบ่นใน Facebook ว่าอินเทอร์เน็ตที่บ้านช้ามาก แฮกเกอร์ก็จะปลอมเป็นเจ้าหน้าที่จากเครือข่ายสัญญาณมาขอข้อมูลส่วนตัวครับ

วิธีการสังเกต หลังจากคุยกับแฮกเกอร์ที่ปลอมตัวมาแล้ว จะมีลิงก์ให้กรอกโดยอ้างว่าเป็นการยืนยันตัวตนครับ ต้องระวังเป็นอย่างมาก

7. CEO Fraud Phishing การหลอกลวงแบบใช้คนล่อ

มีเป้าหมายเป็นคนที่อยู่ในระดับผู้บริหาร ที่สำคัญขององค์กร แต่วิธีโจมตีจะรุนแรงกว่า Whaling Phishing มากครับ หลักการคือ จะใช้ชื่อของคนสำคัญล่อให้ผู้อื่นหลงเชื่อ ตัวอย่างเช่น แฮกเกอร์จะปลอมตัวเป็น CEO แล้วส่งอีเมลให้กับเพื่อนร่วมงาน เพื่อขอให้โอนเงินหรือส่งข้อมูลสำคัญที่เป็นความลับของบริษัทให้

การสังเกต คือ ข้อความในอีเมลจะระบุว่าเป็นเรื่องด่วนที่ต้องดำเนินการในทันที เพื่อให้เหยื่อไม่มีเวลาคิด ทางที่ดีในเมื่อเป็นผู้ร่วมงานของเราหรือหัวหน้า ควรโทรคุยเพื่อเป็นการตรวจสอบอีกทาง

8. Search Engine Phishing การหลอกลวงจากเครื่องมือค้นหา

เป็นรูปแบบล่าสุดที่พึ่งมีไม่นานเลยครับ โดยจะมาในรูปแบบข้อเสนอส่วนลดบริการ หรือแจกของฟรี แบบประกาศรับสมัครงานก็มีครับ จากนั้นก็จะใช้ SEO เพื่อให้เว็บไซต์ของตัวเองขึ้นหน้าแรกๆในการค้นหา เหยื่อที่มี Keyword ในเรื่องเดียวกันก็มักจะโดนหลอกโดยง่าย

การสังเกต เมื่อมีการค้นหาข้อมูลในอินเทอร์เน็ต ผลลัพธ์ที่แสดงอาจถูกปลอมได้ ให้ระวังการกรอกข้อมูลส่วนตัวที่มากเกินไปครับ ควรดูเว็บไซต์ให้ละเอียด มีตัวตนบริษัทจริง มีรีวิวที่น่าเชื่อถือ นอกจากนี้มีโซเชียลมีเดียที่อัปเดตความเคลื่อนไหวก็สำคัญ

วิธีป้องกันตัวเองจาก Phishing

  • ไม่คลิกลิงก์หรือดาวน์โหลดไฟล์ที่ไม่รู้ผู้ส่งแน่ชัด

ควรสังเกตให้ละเอียดตั้งแต่ ชื่ออีเมล หัวข้ออีเมล เนื้อหาภายใน หากทั้งหมดไม่มีความน่าเชื่อถือ เข้าข่ายว่าจะเป็นการ Phishing ก็ไม่ควรที่จะกดดาวน์โหลดไฟล์หรือคลิกลิงก์ครับ แต่หากตรวจสอบข้อมูลลิงก์น่าเชื่อถือหรือไม่ สามารถพิมพ์ชื่อเว็บไซต์ในเบราว์เซอร์แล้วค้นหาโดยตรงแทนการคลิกในอีเมล

  • อัปเดตซอฟต์แวร์ป้องกันสม่ำเสมอ

การที่คอมพิวเตอร์รวมถึงโทรศัพท์มือถือของเราไม่ได้รับการอัปเดตอย่างสม่ำเสมอ จะเป็นการเปิดช่องโหว่ให้ซอฟต์แวร์ที่อันตรายแฝงตัวอยู่ได้ ซึ่งหากพลาดตกเป็นเหยื่อจากการหลอกลวงแบบ Phishing ก็จะทำให้เกิดความเสียหายเกินป้องกันครับ

  • ใช้โปรแกรมตรวจสอบรหัสผ่าน

โปรแกรมจัดรหัสผ่านจะบันทึกข้อมูลว่ารหัสผ่านใดใช้กับเว็บใด ถ้าเราคลิกเข้าเว็บไซต์ปลอมที่หลอกให้กรอกพาสเวิร์ด ก็จะสามารถรู้ได้โดยง่าย เช่น โปรแกรม Dashlane ,โปรแกรม Lastpass ,โปรแกรม KeypassXC

ต้องทำอย่างไรหากโดน Phishing แล้ว

ขั้นตอนที่ 1 : เปลี่ยนรหัสผ่านใหม่ทั้งหมด เพื่อป้องกันความเสี่ยง ซึ่งไม่ควรใช้ชื่อภาษาอังกฤษ, เลขบัตรประชาชน, วัน/เดือน/ปี เกิด, ในการตั้งรหัส แต่ควรเป็นรหัสผ่านใหม่ให้แตกต่างกันในแต่ละระบบ

Phishing

ขั้นตอนที่ 2 : ระงับการใช้งานธุรกรรมทางการเงินครับ โดยการโทรติดต่อ Call Center ระงับบัตรเครดิต เดบิต พร้อมแจ้งให้แอดมินทราบเพื่อให้มีการป้องกันการโอนเงินหลังจากนี้

ขั้นตอนที่ 3 : รวบรวมหลักฐานแจ้งความที่สถานีตำรวจ ให้รวบรวมหลักฐานทั้งหมดที่เกิดขึ้นครับ โดยควรทำสำเนาหลายชุดไว้ยื่นให้กับเจ้าหน้าที่และสำรองติดตัวไว้ การไปแจ้งความที่สถานีตำรวจให้แจ้งเจ้าหน้าที่ว่า ให้ดำเนินการระงับบัญชี รวมทั้งบัญชีอื่นๆ ที่เกี่ยวข้องกับการรับโอนยอดเงินดังกล่าว เพื่อป้องกันการถูกเกี่ยวข้องกับการโจรกรรมคดีอื่นด้วยครับ

ซึ่งหากความเสียหายเมื่อโดน Phishing ที่พบบ่อย คือ การนำบัตรเครดิตไปซื้อสินค้า หรือถูกถอนเงิน นอกจากนี้ก็ยังอาจจะเกี่ยวข้องกับการเงินอีกมากมาย ดังนั้นการป้องกันที่มีประสิทธิภาพนั้น คือ การระมัดระวังตัวเพิ่มขึ้น พร้อมกับการติดตั้งซอฟต์แวร์ป้องกันไวรัส บนอุปกรณ์ของเราเองและของบริษัท นอกจากนี้ในระดับบริษัท ควรมีการให้ความรู้ความเข้าใจกับพนักงานทุกคน เพื่อป้องกันความเสียหายที่อาจจจะเกิดขึ้นอย่างรุนแรงได้ หมั่นตรวจสอบข้อมูลทั้งออนไลน์และออฟไลน์ (โทรติดต่อโดยตรง) อย่างสม่ำเสมอ เพียงเท่านี้ก็ลดความน่ากลัวของ Phishing ได้แล้วครับ

บทความล่าสุด
ออกแบบเว็บไซต์
23 กันยายน 2022
ออกแบบเว็บไซต์สำหรับมือใหม่ ควรเริ่มอย่างไรดี?
บริษัทรับทำเว็บไซต์
23 กันยายน 2022
บริษัทรับทำเว็บไซต์ ผู้ช่วยปลุกปั้นเว็บคนสำคัญสำหรับคนอยากทำเว็บไซต์
call to action
23 กันยายน 2022
CALL TO ACTION (CTA) กลยุทธ์กระตุ้นต่อมนิ้วผู้ใช้งาน ให้อดใจไม่ได้จนต้อง “คลิก!”
คุณภาพเว็บไซต์
19 กันยายน 2022
คุณภาพเว็บไซต์นั้นสำคัญไฉน ตรวจสอบได้ด้วยวิธีใดบ้าง