ฟิชชิ่ง (Phishing) คืออะไร? รู้จักภัย 8 ประเภทบนโลกออนไลน์
Phishing คือ หนึ่งในภัยคุกคามประเภท Fraud ที่มีรูปแบบการหลอกลวงบนโลกออนไลน์ผ่านการแอบอ้างเป็นเว็บไซต์ต่าง ๆ ที่น่าเชื่อถือ เช่น เว็บไซต์ธนาคาร หรือบัญชีโซเชียลมีเดีย มาจากคำว่า “Fishing” ที่แปลว่า “ตกปลา” ดังนั้น Phishing จึงหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้ กล่าวคือ เมื่อผู้ใช้งานคลิกเข้าสู่ระบบ อาชญากรที่สร้างเว็บไซต์ปลอมเหล่านั้นก็จะล้วงข้อมูลส่วนบุคคลของผู้ใช้งานไปทันที ไม่ว่าจะเป็นหมายเลขบัตรเครดิต เลขบัตรประจำตัวประชาชน ตลอดจนรหัสผ่านในการเข้าสู่บัญชีต่าง ๆ การโจมตีรูปแบบนี้มักเป็นที่นิยมและพบได้บ่อยที่สุด โดยเฉพาะในยุคไซเบอร์ที่เราทุกคนต่างใช้อินเทอร์เน็ตกันเป็นกิจวัตรประจำวันเช่นนี้ ทำให้อาชญากรรมลักษณะนี้ทำได้ง่ายมากยิ่งขึ้น ดังนั้น เราจึงต้องมีความระมัดระวังเสมอเพื่อจะได้รู้เท่าทันภัยคุกคามและไม่ตกเป็นเหยื่อการโจมตีบนอินเทอร์เน็ต
Table of Contents
Phishing Attack คือ ข้อความแบบไหน?
- ข้อความที่ส่งลิงก์มาให้ และบนลิงก์มีการสะกดผิด เช่น จาก Paypal เป็น Paypai ซึ่งข้อผิดพลาดนี้คนมักไม่ค่อยสังเกต เมื่อคลิกเข้าไป ลิงก์เหล่านั้นก็จะทำให้เราหลงเชื่อ และนำพาเราไปยังโดเมนย่อยหรือเว็บไซต์น่าสงสัยอื่น ๆ ที่หลอกเอาข้อมูลส่วนบุคคล
- ข้อความที่ผู้ส่งใช้อีเมลส่วนตัวแทนอีเมลองค์กร และใช้บริการอีเมลสาธารณะ เช่น Gmail หรือ Hotmail เป็นต้น แต่แสร้งว่าเป็นองค์กรที่มีอยู่จริง
- ข้อความที่ถูกเขียนในลักษณะที่กระตุ้นให้ผู้อ่านรู้สึกหวาดกลัว
- ข้อความที่มักให้ผู้ใช้งานกรอกข้อมูลส่วนตัว เช่น รายละเอียดบัตรเดรดิต เลขประจำตัวประชาชน หรือรหัสผ่านต่าง ๆ
- ข้อความที่มักใช้ภาษาที่เรียบง่ายในการเขียน และมีการสะกดผิด
Phishing มีกี่ประเภท?
Phishing สามารถแบ่งตามรูปแบบการโจมตีได้อีก 8 ประเภท ดังนี้
1. Phishing Email
Phishing Email คือ การหลอกลวงด้วยการหว่านหรือปูพรม เป็นรูปแบบที่พบบ่อย เพราะ Phishing Email จะเป็นการส่งอีเมลออกครั้งละจำนวนมากแบบ “Spray and Pray” หรือการโจมตีแบบปูพรมโดยมีเป้าหมายให้เหยื่อหลงเชื่อ เพียงหนึ่งหรือสองคนก็นับว่าประสบความสำเร็จแล้ว ฉะนั้น เนื้อหาในอีเมลจึงจะไม่มีการเจาะจงไปที่เหยื่อรายไหนหรือกลุ่มใดเป็นพิเศษ และจะไม่ระบุข้อมูลที่เป็นลักษณะเฉพาะของเรา แต่จะใช้คำประมาณว่า “เรียน เจ้าของบัญชี” หรือ “เรียน ลูกค้าผู้มีอุปการคุณ” เป็นต้น หรืออาจใช้คำพูดที่สร้างความวิตกกังวลให้แก่ผู้อ่าน เช่น ด่วนที่สุด ลับเฉพาะ ฯลฯ เพื่อหลอกลวงให้เหยื่อคลิกลิงก์ที่แนบมา
2. Spear Phishing
Spear Phishing คือ การหลอกลวงด้วยการพุ่งเป้าเจาะจงไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งชัดเจน อาชญากรที่เลือกใช้วิธีนี้มักเป็นแฮกเกอร์มืออาชีพ เพราะจะต้องมีการล้วงข้อมูลส่วนตัวของเหยื่อหรือแฝงตัวเข้าไปในองค์กร เพื่อทำให้เนื้อหาในอีเมลมีความเฉพาะเจาะจงและสร้างความน่าเชื่อถือมากยิ่งขึ้น เช่น อาจใช้อีเมลที่มีชื่อคล้าย ๆ กับคนในองค์กร เพื่อแสร้งว่าเป็นบุคคลใกล้ตัว โดยที่เราอาจไม่ได้ดูให้ดีก่อนคลิกลิงก์ดังกล่าว
3. Whaling Phishing
Whaling Phishing เป็นอีกหนึ่งรูปแบบที่ค่อนข้างซับซ้อนคล้ายกับ Spear Phishing แต่จะมุ่งเป้าไปที่เหยื่อรายใดรายหนึ่งแบบเฉพาะเจาะจง และมักจะเป็นบุคคลที่มีตำแหน่งอยู่ในระดับสูง เช่น ซีอีโอ หรือผู้จัดการ เป็นต้น โดยในเนื้อหาอีเมลจะสร้างความหวั่นวิตกขั้นรุนแรง เช่น อ้างว่าส่งจากหมายศาล อ้างว่าทำผิดกฎหมาย ต้องดำเนินการอย่างเร่งด่วน หรือขอให้กระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาที่อาจส่งผลกระทบอย่างหนักต่อธุรกิจ
4. Vishing Phishing
Vishing เป็นการสมาสกันของคำว่า Voice และ Phishing แปลว่า การหลอกลวงผ่านรูปแบบของเสียง หรือที่เราคุ้นเคยกันดีในชื่อเรียก “แก๊งคอลเซ็นเตอร์” นั่นเอง โดยอาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่จากองค์กรใดองค์กรหนึ่ง และหลอกขอข้อมูลส่วนตัวต่าง ๆ แม้จะเป็นวิธีที่ค่อนข้างเก่าแต่ก็ยังใช้ได้ผลอยู่ เนื่องจากมีคนโดนหลอกด้วยวิธีนี้เป็นประจำ ทางที่ดี เมื่อได้รับสายจากอาชญากรเหล่านี้ควรวางสายทันที
5. Smishing Phishing
อีกหนึ่งภัยคุกคามที่เรารู้จักกันดี คือการฟิชชิ่งทาง SMS นั่นเอง โดยอาชญากรจะเขียนข้อความสั้น ๆ ที่โน้มน้าวให้เหยื่อคลิกเข้าไปในเว็บไซต์ปลอม เช่น มักจะอ้างว่า “ยินดีด้วย! คุณถูกรางวัล” ให้เรากรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัลนั้น เป็นต้น
6. Angler Phishing
Angler Phishing เป็นเทคนิคแบบใหม่ที่หลาย ๆ คนอาจยังไม่คุ้นชิน วิธีนี้แฮกเกอร์จะเฝ้าจับตามองพฤติกรรมการใช้โซเชียลมีเดียของเหยื่อ และสวมรอยเป็นเจ้าหน้าที่จากองค์กรมาหลอกให้เหยื่อหลงเชื่อ เช่น หากเราบ่นลงทวิตเตอร์ว่าได้รับบริการที่ไม่ดีจากค่ายมือถือ อาชญากรก็จะสวมรอยเป็นเจ้าหน้าที่จากค่ายมือถือนั้น ๆ มาหลอกเราว่าจะแก้ปัญหาให้ และขอข้อมูลของเราไปโดยจะส่งลิงก์ให้แล้วอ้างว่าเป็นการ “ยืนยันตัวตน”
7. CEO Fraud Phishing
วิธีนี้คล้าย ๆ กับ Whaling Phishing ที่ได้กล่าวไปในข้อสาม กล่าวคือ เป้าหมายของอาชญากรจะเป็นบุคคลระดับสูง แต่ระดับการโจมตีจะรุนแรงกว่ามาก โดยจะใช้บุคคลสำคัญเป็นตัวล่อให้เหยื่อหลงเชื่อเพื่อกระทำการอย่างใดอย่างหนึ่ง เช่น ปลอมตัวเป็นซีอีโอและส่งอีเมลให้แก่คนในบริษัท เพื่อขอให้บุคคลนั้นส่งข้อมูลสำคัญ หรือโอนเงินให้ในทันที เป็นต้น
8. Search Engine Phishing
อีกหนึ่งเทคนิคที่เพิ่งเกิดขึ้นใหม่ คือการสร้างความน่าเชื่อถือจากเครื่องมือค้นหา หรือ Search Engine โดยจะสร้างเว็บไซต์ที่ยื่นเสนอผลประโยชน์ให้แก่เรา เช่น ส่วนลดสินค้าต่าง ๆ แจกของฟรี หรือประกาศรับสมัครงาน และจะมีการทำ SEO เพื่อให้เว็บไซต์ดังกล่าว Ranking ทำให้คนกดเข้ามาเยอะอีกด้วย
สรุปได้ว่า Phishing คือ ภัยคุกคามที่หลอกล่อให้เหยื่อคลิกเข้าไปในหน้าเว็บไซต์ปลอมที่ทำให้ดูคล้ายกับหน้าเว็บไซต์จริง มีเป้าหมายเพื่อขโมยรหัสผ่าน และนำไปสู่การขโมยข้อมูลส่วนบุคคลอื่น ๆ โดยเฉพาะในเรื่องธุรกรรมทางการเงิน ซึ่งการจะสร้างหน้าเว็บไซต์ให้ดูแนบเนียนนั้น จำเป็นต้องอาศัยปัจจัยหลายอย่าง สิ่งหนึ่งคือ URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริงแต่จะสะกดผิด และส่วนใหญ่จะเป็น HTTP แทนที่จะเป็น HTTPS โดยในจุดนี้เหยื่อมักจะไม่ทันสังเกต ดังนั้น หากได้รับข้อความที่มีลักษณะคล้ายที่กล่าวไปนี้ เราจึงไม่ควรกรอกข้อมูลสุ่มสี่สุ่มห้า แต่ควรเช็กให้ดีก่อนว่าเว็บไซต์นั้นไว้ใจได้หรือไม่ เพื่อลดความเสี่ยงในการถูกคุกคามบนโลกไซเบอร์ให้น้อยที่สุด
Join the discussion - 0 Comment