Phishing (ฟิชชิ่ง)

 

Phishing (ฟิชชิ่ง) คืออะไร? ตรวจสอบและป้องกันได้อย่างไร?

Phishing (ฟิชชิ่ง) คืออะไร?

          Phishing (ฟิชชิ่ง) เป็นคำพ้องเสียงจากคำว่า Fishing (ฟิชชิ่ง) ที่หมายถึงการตกปลา สาเหตุที่ใช้คำพ้องเสียงเช่นนี้เพราะ Phishing คือรูปแบบหนึ่งของการหลอกลวงผ่านระบบคอมพิวเตอร์ โดยมักมาในรูปของอีเมล เพื่อล้วงข้อมูลความลับที่สำคัญจากเหยื่อ คล้ายกับการตกปลาโดยใช้เหยื่อล่อนั่นเอง ซึ่งเราสามารถแบ่งประเภทได้ดังนี้

       - Phishing ทั่วไป คือการใช้อีเมลที่ไม่ระบุเป้าหมายแน่ชัด มักมาในรูปแบบของประกาศจากธนาคาร โซเชียลมีเดีย หรือบริษัทองค์กรต่างๆ โดยจะหลอกล่อให้เหยื่อกดลิงค์เข้าสู่เว็บไซต์ของมิจฉาชีพแล้วกรอกข้อมูลสำคัญ หรือหลอกให้ติดตั้ง Malware ที่สามารถขโมยข้อมูลส่วนตัวของเหยื่อได้ (อ่านเพิ่มเติม…Malware (มัลแวร์) คืออะไร?)

 

         - Spear-Phishing คือการโจมตีโดยมีเป้าหมายแน่ชัด เป้าหมายมักเป็นบริษัทหรือองค์กรต่างๆ ซึ่งแฮ็คเกอร์จะหาข้อมูลเบื้องต้นของพนักงานบริษัทจากช่องทางต่างๆ เช่น โซเชียลมีเดีย แล้วสร้างอีเมลที่มีเนื้อหาสอดคล้องกับเหยื่อ ซึ่งถ้าโจมตีไปยังบุคคลสำคัญในองค์กร จะเรียกว่า Whaling ซึ่งเปรียบเหมือนการล่าปลาตัวใหญ่อย่างวาฬนั่นเอง

         ข้อมูลสำคัญที่แฮ็คเกอร์ต้องการมักจะเป็น ชื่อยูสเซอร์ รหัสผ่าน หมายเลขบัตรเครดิต รวมถึงข้อมูลส่วนบุคคลอื่นๆ และหลายครั้ง มิจฉาชีพมักอาศัยเหตุการณ์สำคัญต่างๆ เพื่อเพิ่มโอกาสในการหลอกหลวงจนสำเร็จ เช่น เวลาเกิดภัยพิบัติ โดยปลอมเป็นอีเมลจากธนาคารหรือองค์กรต่างๆ เพื่อขอรับบริจาค เป็นต้น

วิธีตรวจสอบ Phishing (ฟิชชิ่ง)

1.ตรวจสอบอีเมลผู้ส่ง

         เมื่อได้รับอีเมลที่ต้องการให้เราคลิกลิงค์บางอย่าง ควรตรวจสอบอีเมลผู้ส่งว่าเป็นอีเมลปลอมหรือไม่ ซึ่งอีเมลจาก Phishing ส่วนใหญ่จะใช้อีเมลที่สะกดใกล้เคียงกับอีเมลของผู้ใช้จริง หรืออาจใช้อีเมลโดเมนที่ดูไม่เป็นทางการ

2. ตรวจสอบชื่อผู้รับ

          อีเมลที่เราได้รับ หากมาจากองค์กรหรือธนาคาร ควรระบุชื่อผู้รับให้ชัดเจน ถ้าชื่อเราไม่ตรงหรือไม่ระบุชื่อผู้รับอาจแปลได้ว่าเป็นอีเมลปลอมจากมิจฉาชีพ

3. ตรวจสอบ URL ของลิงค์

          หากในอีเมลมีลิงค์ให้คลิก ควรตรวจสอบ URL ของลิงค์ก่อนเปิด โดยนำเคอร์เซอร์ไปวางบนลิงค์ก็จะแสดง URL ขึ้นมา หรือคลิกขวาแล้วกดคัดลอกที่อยู่ลิงค์แล้วไปวางที่อื่น ก็จะเจอ URL หรือเมื่อคลิกลิงค์แล้วให้ตรวจสอบ URL บนเว็บเบราเซอร์ดูว่าเป็นโดเมนของเว็บไซต์จริงหรือไม่

4. มีการร้องขอแบบแปลกๆ

          อีเมลปลอมมักหลอกให้เหยื่อดาวโหลดโปรแกรมเพื่อติดตั้ง หรือเปิดไฟล์ต่าง เช่น  ไฟล์ PDF ใบเสร็จ ใบกำกับภาษี โอยอาจหลอกว่าเราได้มีการสั่งซื้อสินค้าบางอย่าง ให้เปิดดูใบเสร็จที่แนบมาเป็นไฟล์ PDF เป็นต้น ถ้ามั่นใจว่าไม่ได้สั่งซื้อสินค้าใดๆ ก็ไม่ควรเปิด หรือถ้ามีการสั่งซื้อสินค้า การจะตรวจสอบไฟล์แนบควรมั่นใจว่ามีการติดตั้งโปรแกรมป้องกัน Malware เอาไว้ในเครื่อง

5. มีการขอข้อมูลส่วนตัวผ่านอีเมล

          โดยปกติองค์กรต่างๆ เช่น ธนาคาร มักไม่มีนโยบาลการขอข้อมูลส่วนตัว เช่น พาสเวิร์ด หมายเลขบัตรประชาชน ผ่านทางอีเมล ถ้ามีอีเมลลักษณะนี้เข้ามาให้สงสัยได้เลยว่าเป็น Phishing

การป้องกัน Phishing (ฟิชชิ่ง)

1. ไม่คลิกลิงค์หรือดาวโหลดไฟล์จากอีเมลที่ไม่ทราบผู้ส่งแน่ชัด

          ควรสังเกตตั้งแต่หัวข้ออีเมล หากมีหัวข้อที่เข้าข่ายว่าจะ Phishing และมีการแนบลิงค์หรือให้ดาวโหลดไฟล์ด้วยแล้ว ควรต้องระวังให้มาก ถ้าหากจะล็อคอินเข้าไปใช้งานเพื่อตรวจสอบว่ามีความผิดปกติหรือไม่ ควรพิมพ์ชื่อเว็บไซต์ในเบราว์เซอร์แล้วเข้าโดยตรง แทนการคลิกผ่านลิงค์ที่แนบมากับอีเมล

2. อัพเดตซอฟแวร์ป้องกัน Malware สม่ำเสมอ

          ซอฟต์แวร์ที่ไม่ได้รับการอัพเดตอย่างสม่ำเสมอ จะมีช่องโหว่ให้ Malware แฝงตัวอยู่ในคอมพิวเตอร์ได้ ซึ่งถ้าเราพลาดตกเป็นเหยื่อจากการหลอกลวงแบบ Phishing ก็จะทำให้เกิดความเสียหาย ดังนั้นควรอัพเดตซอฟต์แวร์อยู่เสมอ

3. ใช้โปรแกรมจัดการรหัสผ่านที่มีคุณภาพ

          โปรแกรมจัดรหัสผ่านจะบันทึกข้อมูลว่ารหัสผ่านใดใช้กับเว็บใด ถ้าเราคลิกเข้าเว็บไซต์ปลอมที่หลอกให้กรอกพาสเวิร์ด ก็จะสามารถรู้ได้โดยง่าย

 

         หากสงสัยว่าตัวเองกำลังได้รับอีเมลหลอกลวงหรือ Phishing เช่น ได้รับอีเมลขอรับบริจาคโดยตรงจากธนาคาร หรืออีเมลแจ้งให้ล็อคอิน Internet Banking ของธนาคาร ให้โทรหรือเดินทางไปสอบถามกับธนาคารโดยตรงว่าได้ส่งอีเมลแบบนี้มาให้คุณหรือไม่ หากทราบว่าเป็นอีเมลปลอม จะได้แจ้งทางธนาคารให้ประกาศเตือนไปยังคนอื่นๆ ที่อาจตกเป็นเหยื่อต่อไป