รู้จักกับ Phishing (ฟิชชิง) การแฮ็กที่อันตรายและมีมูลค่าความเสียหายสูง

วิธีสังเกตว่า E-mail นี้อาจเป็นการ Phishing (ฟิชชิง)

            เราจำเป็นที่จะต้องสังเกตกันตั้งแต่ชื่อ “E-mail” ของผู้ส่งเลยค่ะว่าผู้ที่ส่งคนนี้เป็นใคร? โดยปกติผู้ที่จะกระทำการ Phishing นั้นจะแอบอ้างเป็นตัวแทนขององค์กรหนึ่ง อาทิเช่นเพื่อน ๆ ไปสมัครงานที่บริษัท A แต่แทนที่เพื่อน ๆ จะได้ E-mail ตอบกลับจากบริษัท A โดยตรง กลับได้รับการตอบกลับ E-mail จากใครก็ไม่รู้ที่แอบอ้างว่าเป็นพนักงานระดับสูงของบริษัท A หรืออีกแบบก็คือเราจำเป็นที่จะต้องคลิ๊กเข้าไปดูว่าชื่อ E-mail จริง ๆ ของผู้ส่งคืออะไรเป็นต้นค่ะ

              หากชื่อ E-mail ผู้ใช้ยังปกติสำหรับเรา ให้เราไปดูค่ะว่าเขาส่งข้อความอะไรมากันแน่? โดยปกติข้อความที่เหล่าผู้กระทำการ Phishing จะส่งมาจะเป็นข้อความแนวจิตวิทยาที่เล่นกับจิตใจมนุษย์ เช่นกระตุ้นการหวาดกลัวและกระตุ้นความสงสัย ปกติผู้กระทำการ Phishing มักจะใช้ภาษาข้อความที่เรียบง่าย ไม่เป็นทางการเท่าไหร่ แต่ที่เห็นชัด ๆ คือมีข้อความผิดพลาดในประโยคอยู่ เช่นอาจจะสะกดคำไม่ถูกต้อง รูปประโยคแปลก ๆ เป็นต้น

              แต่หากทั้งหมดที่เรากล่าวมายังปกติสำหรับเพื่อน ๆ อยู่ ก็ขอให้เพื่อน ๆ มาดูตรงที่สุดท้ายนั่นก็คือ “ข้อความบนลิงค์หรือชื่อลิงค์” มักพบความผิดปกติ เช่นสะกดคำผิด หรือเป็นลิงค์ที่นำเราเข้าสู่เว็บไซต์แปลก ๆ ที่สำคัญคือส่วนใหญ่จะต้องมีการให้ “ยืนยันข้อมูล” เช่นให้ใส่รหัสผ่านเพื่อเข้าสู่ระบบทำการเป็นต้น

รูปแบบของการ Phishing

              ประเด็นสุดท้ายที่อยากจะพูดถึงในวันนี้ก็คือ “รูปของการ Phishing” ซึ่งในปัจจุบันด้วยเทคโนโลยีที่ก้าวหน้ามากขึ้นทำให้มีการ Phishing ที่หลากหลายรูปแบบมากขึ้นเช่นกัน ดังนี้

              1. “Spear phishing” มีเป้าหมายเจาะจงไม่ว่าจะเป็นบุคคลหรือองค์กรต่าง ๆ ผู้กระทำจะเริ่มจากการรวบรวมข้อมูลของเหยื่อเบื้องต้นเพื่อเพิ่มความน่าเชื่อถือ จากนั้นก็จะทำการส่ง E-mail ติดต่อไปโดยแอบอ้างเป็นเพื่อนร่วมงาน คนรอบตัวเหยื่อหรือแม้แต่หัวหน้าองค์กร

              2. “Whalingหรือการล่าวาฬ” กลุ่มเป้าหมายก็คือเหล่าบุคคลระดับสูงของบริษัท เช่นประธานบริษัทหรือกลุ่มผู้บริหารอื่น ๆ  เพื่อหวังขโมยเงินก้อนโต เริ่มต้นด้วยการรวบรวมข้อมูลของบริษัทและบุคคล ๆ นั้น จากนั้นก็ทำการส่ง E-mail อ้างว่าบริษัททำผิดกฎหมายหรือแอบอ้างว่าเป็นเจ้าหน้าที่ศาลต้องโดนดำเนินคดี เหยื่อที่กลัวหน้าตาบริษัทจะเสียหายก็จะยอมยัดเงินปิดปาก โดยที่ไม่ทันรู้เลยว่าตนตกเป็นเหยื่อของการ Phishing ไปเสียแล้ว

              3. “Phishing Email” พบบ่อยมากที่สุด เป็นการกระจาย E-mail ส่งไปยังบุคคลที่ไม่มีการเจาะจง ผู้กระทำจะไม่มีการสืบข้อมูลของเหยื่อมาก่อน รูปแบบการเขียน E-mail จึงมักเริ่มต้นด้วยประโยคที่ไม่มีการเจาะจง เช่นเรียน เจ้าของบัญชีหรือเรียน ท่านลูกค้าผู้มีอุปการคุณเป็นต้น

              4. “CEO Fraud Phishing” หลาย ๆ คนเห็นชื่อแล้วก็คงสามารถสันนิฐานได้ทันทีว่าเกี่ยวข้องกับบุคคลระดับสูงแน่นอน แต่หากเป็นเช่นนั้นมันก็จะเหมือนกับ “Whaling(วาฬลิ่ง)หรือการล่าวาฬ” หรือเปล่า? แม้ว่าเป้าหมายจะเป็นบุคคลระดับสูงเช่นเดียวกัน แต่ผลลัพธ์ร้ายแรงและมีวิธีการที่แตกต่างกันมาก โดยการ Phishing นี้ ผู้กระทำจะปลอมตัวหรือแอบอ้างเป็นผู้บริหารระดับสูงของบริษัทเพื่อให้พนักงานในบริษัทยินยอมส่งข้อมูลของบริษัทหรือเงินจำนวนหนึ่งมาให้ เรียกได้ว่านอกจากจะได้ประโยชน์แล้ว ยังทำให้บุคคลที่โดนแอบอ้างเสียหน้าไปพักหนึ่งเลยด้วย

              5. “Vishing Phishing” มีที่มาจากการรวมกันของคำว่า “Voice” และ “Phishing” ซึ่งหมายความว่า การหลอกลวงผ่านรูปแบบของเสียงหรือ “การโทร” พูดมาถึงตรงนี้หลาย ๆ คนคุ้นเคยกันดีกับอีกชื่อหนึ่งของมันอย่าง “แก๊งคอลเซนเตอร์” แม้จะเป็นวิธีการที่ล้าสมัยมาก แต่ก็มีการพัฒนาตัวเองเรื่อย ๆ จนทำให้ผู้กระทำบางคนแค่เหยื่อรับสายนานเกิน 1 นาทีก็สามารถดูดข้อมูลมาจนหมดเปลือกแล้ว ส่วนใหญ่มักแอบอ้างเป็นคนขององค์กรต่าง ๆ เช่นขนส่งเป็นต้น

              6. “Search Engine Phishing” วิธีการนี้มีการแพร่ระบาดไม่น้อยอยู่ในสังคมตอนนี้ โดยจะเป็นการ “สร้างเว็บไซต์ของบริษัทหนึ่งหลอก ๆ ” ออกมา จากนั้นก็นำเว็บไซต์นี้ไปใช้หลอกผู้คน โดยลวงว่าตอนนี้ได้รับส่วนลดสินค้าต่าง ๆ หรือคูปองฟรี หนักสุดก็คือการทำเป็นประกาศรับสมัครงานปลอม ๆ ขึ้นมาอีก เป็นอีกช่องทางการทำ Phishing ที่เหยื่อมีความปลอดภัยทางด้านร่างกายและทรัพย์สินต่ำมาก

              7. “Smishing Phishing” วิธีการนี้เป็นวิธีการที่ล้าสมัยยิ่งกว่าเหล่าแก๊งคอลเซนเตอร์เสียอีก เพราะเป็นการทำ Phishing ที่จะส่งข้อความมาทาง SNS รูปประโยคมักเป็นคำพูดแนวเชื้อเชิญหรือทำให้เหยื่อเกิดความสงสัย เป็นข้อความสั้น ๆ ไม่ยาว เช่น “ยินดีด้วย! คุณได้สิทธิชิงโชค” จากนั้นก็จะให้เรากรอกข้อมูลต่าง ๆ เพื่อยืนยันรับสิทธิค่ะ

              8. “Angler Phishing” วิธีการสุดท้ายนี้เป็นวิธีการใหม่ ๆ ที่หลายคนอาจจะคิดไม่ถึงกันเลยทีเดียว โดยผู้กระทำจะทำการเฝ้าติดตามโซเชียลของเหยื่ออย่างเป็นระยะ ๆ เมื่อเห็นช่องว่างก็จะสวมรอยเป็นเจ้าหน้าที่เข้าไปให้ความช่วยเหลือเหยื่อ อาทิเช่นหากเพื่อน ๆ ไปบ่นลงในแพลตฟอร์มโซเชียลหนึ่งถึงการบริการไม่ดีของแอปพลิเคชั่นหนึ่ง เมื่อผู้กระทำเห็นก็จะสวมรอยเป็นเจ้าหน้าที่ของแอปพลิเคชั่นเหล่านั้น เพื่อกล่าวขอโทษและแก้ไขปัญหาให้ พร้อมยื่นข้อเสนอ เช่นจะมอบสิทธิพิเศษหรือบริการเล็ก ๆ น้อย ๆ ให้แทนคำขอโทษ พร้อมให้ลิงก์มา ซึ่งแน่นอนว่าภายในลิงก์ก็จะมีการให้เรา “ยืนยันตัวตน”

ติดตามกันต่อได้ที่ intrendมาใหม่ อัพเดทข่าวสาร สาระดีๆ เพิ่มเติมที่ The7days

#สาระความรู้ #Phishing