Phishing คืออะไร ป้องกันอย่างไร

8 พฤษภาคม 2020

บรรณศักดิ์ ยุวมิตร
บรรณศักดิ์ ยุวมิตรทีมงานที่ดูแลด้านอุปกรณ์ Network Security

จากบทความที่ NT cyfence นำเสนอเรื่อง Social Engineer การหลอกลวงที่แฝงภัยจากแฮกเกอร์ ที่ผ่านมาจะเห็นได้ว่า Social Engineer เป็นพื้นฐานของการโจมตีภัยคุกคามทางไซเบอร์ ซึ่งจะใช้การล่อหลอกเป็นหลัก เพื่อขอข้อมูลผู้ใช้งาน และ เมื่อแฮกเกอร์รวบรวมข้อมูลมาได้แล้วก็จะปลอมแปลงตัวเองเป็นผู้ใช้งาน และนำข้อมูลสำคัญต่าง ๆ ที่ขโมยได้มาใช้เพื่อสร้างประโยชน์แก่ตัวเอง ตัวอย่างเช่น การขโมยเงินในบัญชีจาก E-Banking , การโจมตีระบบเครือข่ายขององค์กร หรือ ขโมยข้อมูลส่วนบุคคลของผู้ที่เข้ามาติดต่อกับผู้ใช้งาน เป็นต้น ซึ่งการหลอกล่อขอข้อมูลนั้น ใช้หลักการทำ “Phishing” มาช่วยเพื่อสร้างเว็บไซต์ปลอม หรือ ลิงก์ปลอม เพื่อให้ดูน่าเชื่อถือ โดยเหยื่อส่วนใหญ่ที่เป็นผู้ใช้งานทั่วไป อาจจะไม่มีความรู้เรื่องภัยคุกคาม หรืออาจไม่ได้ตระหนักถึงความปลอดภัยในการใช้งานเทคโนโลยีสารสนเทศมากนัก จึงทำให้มีคนจำนวนมากตกเป็นเหยื่อภัยคุกคามไซเบอร์ประเภทนี้

แล้ว Phishing คืออะไร

Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้ใช้งานเข้ามาติดเบ็ด และหลอกล่อผู้ใช้ให้กรอกข้อมูลส่วนตัวต่าง ๆ หรือ ส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่แฮกเกอร์ต้องการ ซึ่งการทำ Phishing ที่พบเห็นบ่อยในประเทศไทยมีอยู่ 2 รูปแบบ คือ

  1. Email Phishing
  2. Web Phishing

1. Email Phishing

Email Phishing เป็นการส่ง Email หลอกลวงต่าง ๆ โดยอาจจะใช้ความสัมพันธ์ของบุคคล สถาบันการเงิน หรือตำแหน่ง เช่น CEO, เจ้าของบริษัท หรือเจ้าหน้าที่ธนาคาร เพื่อให้ผู้ที่ได้รับ Email ไม่สงสัยและเชื่อถือ ซึ่งเนื้อหาใน Email นั้น อาจบอกถึงความจำเป็นเร่งด่วน ที่จะต้องกรอกข้อมูล หรือแจ้งการให้ข้อมูลส่วนบุคคล เช่น username และ password สำหรับเข้าระบบขององค์กร หรือจะเป็น username และpassword สำหรับใช้ในการทำธุรกรรมทาง การเงินอย่าง E-Banking เป็นต้น

ตัวอย่าง Email Phishing ของสถาบันการเงิน

Email phishing : ภาพตัวอย่างเมลปลอมจาก Paypal

ตัวอย่างเมล Phishing อ้างเป็น PayPal

2 . Web Phishing

Web Phishing คือ การปลอมแปลงหน้าเว็บไซต์จริง เพื่อหลอกเอาข้อมูลเช่น username&password ของผู้ใช้งาน ถ้าหากผู้ใช้งานไม่ระมัดระวังก็อาจจะกรอกข้อมูลต่าง ๆ ส่งให้แฮกเกอร์โดยที่ไม่รู้ตัว โดย Web Phishing มักจะเป็นลิงก์ปลอมที่แนบมากับอีเมล เมื่อเหยื่อกดเปิดก็จะเข้าสู่ Web Phishing (เว็บไซต์ปลอมที่ทำเลียนแบบเว็บไซต์ของจริง) ที่แฮกเกอร์สร้างขึ้นเพื่อหลอกให้เหยื่อกรอก username และ password หรือข้อมูลส่วนตัวอื่น ๆ ทันที โดยทั้งหมดทำผ่านหน้าเว็บที่คล้ายของจริง ที่แฮกเกอร์เป็นคนตั้งขึ้นมา เมื่อกรอกข้อมูลลงไป จึงส่งข้อมูลตรง ๆ ไปยังแฮกเกอร์

ตัวอย่าง Web Phishing ของสถาบันการเงิน

ตัวอย่าง URL ที่ทำขึ้นมาเพื่อหลอกให้เข้าไปกรอกข้อมูลส่วนบุคคล

นอกจาก Email Phishing และ Web Phishing แล้วยังมีเทคนิคอื่น ๆ ที่คล้ายกัน เช่น Vishing Smishing และ Spear-phishing

Vishing หลายคนอาจเคยได้ทราบข่าวแก๊งค์คอลเซ็นเตอร์ ซึ่งมีพฤติกรรมโทรเข้ามาหาเหยื่อหลอกล่อให้กระทำการใดๆ ซึ่งเข้าข่ายการทำ Vishing ซึ่งตัวอักษร “V” มาจากคำว่า Voice หรือ “เสียง” นั่นเอง การทำ Vishing จึงเป็นการใช้เสียงร่วมกับการทำ Phishing ซึ่งมักเป็นการหลอกลวงผ่านทางโทรศัพท์นั่นเอง

Smishing เป็นการใช้ Short Message Service หรือที่เรียกกันว่า “SMS” ใช้ส่งข้อความหลอกลวงผ่านทางโทรศัพท์ เช่น การได้รับ SMS อ้างว่ามาจาก สถาบันการเงิน หรือสรรพากร อ้างว่าบัญชีการเงินมีปัญหา หรือมีการโอนเงินผิดพลาด กรุณาติดต่อกลับที่หมายเลข 081-234-XXXX ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการทำ Vishing ต่อไป
Spear-phishing และ Whaling คือการที่แฮกเกอร์กำหนดเป้าหมายไว้อยู่แล้ว ซึ่งอาจจะเป็นบุคคลสำคัญ หรือ อาจเป็นเพียงบุคคลธรรมดาที่สามารถเข้าถึงข้อมูลขององค์กรได้ เป็นต้น โดยการหลอกลวงแบบ Phishing ในรูปแบบนี้เรียกว่า Spear-Phishing เปรียบเทียบเหมือนหอกที่พุ่งตรงไปยังเป้าหมาย ซึ่งหากเป้าหมายนั้นเป็นบุคคลสำคัญ หรือมีตำแหน่งสูงในองค์กรด้วยจะเรียกว่าเป็นการทำ Whaling โดยเปรียบบุคคลสำคัญเป็นปลาตัวโต หรือ วาฬ นั่นเอง

เราจะป้องกัน Phishing ได้อย่างไร

แฮกเกอร์ต้องการที่จะทำให้ Email หรือ Website นั้น มีรายละเอียด และลักษณะเหมือนกับของจริงมาก เพราะมีโอกาสที่จะหลอกลวงเหยื่อให้หลงเชื่อกดลิงก์ที่ส่งมากับ Email, ดาวน์โหลดไฟล์แนบ หรือกรอกข้อมูลสำคัญที่หน้า Website ปลอมก็มีมากขึ้น การจะสังเกตว่า Email หรือ Website ที่ส่งมาเป็น Phishing หรือไม่ มีวิธีง่ายๆ สำหรับผู้ใช้งานทั่วไป ดังนี้

  • ควรตรวจสอบเนื้อหา ข้อความ ภาษาที่ใช้ใน Email ไม่ว่าจะเป็นภาษาอังกฤษ หรือภาษาไทย มักมีจุดที่สะกดผิด ใช้คำที่ไม่ถูกหลักภาษา หรือ ใช้ภาษาพูด
  • เช็ค Email ผู้ส่ง เพราะ Email Phishing ส่วนมากที่พบมักจะใช้ชื่อไม่ตรงกับชื่อหน่วยงานในเนื้อหาของอีเมล หรือ ใช้ชื่อที่คล้ายกัน เช่น no-reply@paypal.con ซึ่งที่ถูกต้องคือ no-reply@paypal.com เป็นต้น
  • หมั่นสังเกต URL หรือ Address ที่เชื่อมโยง โดยเมื่อกดลิงก์ที่แนบมาเพื่อเข้าหน้าเว็บไซต์ทางการของหน่วยงาน องค์กร ฯลฯ สังเกตว่าจะต้องมี HTTPS เสมอ

วิธีป้องกันสำหรับองค์กร

สำหรับบริษัทและองค์กรต่าง ๆ ควรอบรมและให้ความรู้แก่พนักงานในองค์กรเป็นประจำทุกปี เกี่ยวกับภัยคุกคามบนโลกไซเบอร์รูปแบบต่าง ๆ สร้างความตระหนักถึงความอันตรายและการป้องกันตนเองจากภัยคุกคาม และต้องตระหนักถึงสิ่งที่ส่งมากับ Email ด้วย หากพนักงานไม่ระมัดระวัง ก็อาจจะนำพาองค์กรไปสู่ความเสี่ยงของการโจมตีทางไซเบอร์ได้ นอกจากนี้ หากองค์กรมีหน่วยงานด้าน IT และมีงบประมาณเพียงพอที่สามารถจัดหาอุปกรณ์ หรือระบบป้องกันภัยคุกคามไอที ก็จะช่วยป้องกันองค์กรไม่ให้เป็นเป้าโจมตีของแฮกเกอร์ได้

เรียบเรียง บรรณศักดิ์ ยุวมิตร

ข้อมูลจาก : facebook.com/informationcovid19 , www.krungthai.com

บทความที่เกี่ยวข้อง