Phishing คืออะไร ? พบกับการหลอกลวงแบบฟิชชิง 8 รูปแบบ ที่เราควรรู้จักเอาไว้

Phishing คืออะไร ? รู้จัก การหลอกลวงแบบฟิชชิงทั้งหมด 8 รูปแบบ !

Phishing (ฟิชชิง) ถ้าแผลงมาจากคำว่า "Fishing" ที่แปลว่าการ "ตกปลา" นั่นเองซึ่ง Phishing นั้นมีความหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้ เป็นหนึ่งในภัยร้ายบนโลกอินเทอร์เน็ตรูปแบบหนึ่ง ที่มีความอันตรายไม่แพ้การโจมตีจากมัลแวร์เลยแม้แต่น้อย

โดยลักษณะของการโจมตีแบบ Phishing จะเป็นการหลอกลวง (ทำให้เหยื่อหลงเชื่อ) ทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น การขอรหัสผ่าน หรือหมายเลขบัตรเครดิต ด้วยวิธีการส่งข้อความผ่านทางอีเมล หรือเมสเซนเจอร์ (โปรแกรมแชท)

ตัวอย่างของการ Phishing ก็อย่างเช่น การบอกแก่ผู้รับปลายทางว่าเป็นธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์ไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง

การ Phishing นี้ ยังสามารถแบ่งชื่อเรียกออกไปตามรูปแบบการโจมตีได้อีก 8  รูปแบบ ประกอบด้วยอะไรบ้าง มาทำความรู้จักกันดู

1. Email Phishing
(การหลอกลวงแบบฟิชชิง ด้วยการหว่าน หรือปูพรม)

เทคนิค Phishing รูปแบบนี้เป็นรูปแบบที่ค่อนข้างแพร่หลาย และคนทั่วไปมีโอกาสพบเจอสูงสุด Email Phishing เป็นการ Phishing ด้วยการส่งอีเมลออกไปจำนวนมากแบบ "Spray and Pray" (การโจมตีแบบปูพรมแล้วหวังผลแค่ให้มีเหยื่อหลงเชื่อสักคนสองคนก็ถือว่าประสบความสำเร็จแล้ว)

เนื้อหาในอีเมลจะไม่มีการเจาะจงไปยังเหยื่อรายไหนเป็นพิเศษ เพราะการโจมตี (ส่งอีเมล) ด้วยเทคนิคนี้จะส่งอีเมลออกไปหาผู้ใช้ทีละหลายล้านคน แล้วหวังว่าจะมีใครสักคนที่หลงเชื่อคลิกลิงก์, ดาวน์โหลดไฟล์ หรือทำตามเนื้อหาหลอกลวงในอีเมล

การสังเกต Email Phishing

หากสังเกตจะพบว่าผู้ส่งจะไม่มีระบุข้อมูลที่เป็นลักษณะเฉพาะบุคคล มักจะใช้คำว่า "เรียนเจ้าของบัญชี " หรือ " เรียนสมาชิกผู้มีอุปการคุณ" และบ่อยครั้งจะมีการใช้คำที่สามารถสร้างความหวาดวิตกให้แก่ผู้รับ อย่างเช่น ด่วนที่สุด, ลับเฉพาะ ฯลฯ เพื่อกดดันทางอ้อมให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์ หรือกดลิงก์อันตรายที่แนบมากับอีเมล

2. Spear Phishing
(การหลอกลวงแบบฟิชชิง ที่พุ่งเป้าเจาะจง)

คำว่า "Spear" ที่แปลว่า "หอก" หรือ "ฉมวก" ซึ่งนี่เป็นการ Phishing ที่มีความซับซ้อนมากขึ้น Spear Phishing จะมีการโจมตีที่เลือกกลุ่มเป้าหมายแบบพุ่งเป้าเฉพาะเจาะจงไปยังเป้าหมาย โดยเทคนิคนี้นิยมใช้เมื่อแฮกเกอร์มืออาชีพต้องการแทรกซีมแฝงตัวเข้าไปล้วงเข้าไปภายในองค์กร

ก่อนจะเริ่มโจมตีด้วยเทคนิคนี้ แฮกเกอร์จะต้องทำการค้นคว้าหาข้อมูลส่วนตัว พื้นเพของกลุ่มที่ต้องการโจมตี เพื่อให้เนื้อหาในอีเมลมีความเฉพาะเจาะจงต่อตัวบุคคล สร้างความน่าเชื่อถือให้มากยิ่งขึ้น และนั่นทำให้เหยื่อหลงเชื่อง่ายขึ้นตามไปด้วย

การสังเกต Spear Phishing

หมั่นสังเกตอีเมล และรูปแบบตัวอักษรของผู้ส่งให้ละเอียดว่ามาจากบุคคลที่คุณรู้จัก และเชื่อใจได้จริงๆ ตัวอย่างเช่น เพื่อนคุณใช้อีเมล olay@gmail.com แต่เมลปลอมจากแฮกเกอร์อาจจะใช้ 0Iay@gmail.com ส่งมาหา ก่อนที่จะดาวน์โหลดไฟล์ หรือคลิกลิงก์ที่อยู่ในอีเมล

3. Whaling Phishing
(การหลอกลวงแบบฟิชชิง ที่พุ่งเป้าเจาะจงไปที่บุคคลสำคัญ)

Whaling Phishing จัดอีกหนึ่งการ Phishing ที่มีความซับซ้อนในระดับสูง มีความคล้ายคลึงกับ Spear Phishing แต่แทนที่จะมีกลุ่มเป้าหมายที่เฉพาะเจาะจง เป้าหมายของ Whaling จะเล็งไปที่บุคคลเพียงคนเดียวเลย และมักจะเป็นบุคคลที่มีตำแหน่งงานอยู่ในระดับสูง อย่าง ผู้จัดการ (Manager) หรือ ซีอีโอ (Chief Executive Officer - CEO) กันเลยทีเดียว

ในจดหมายจะมีการเอ่ยชื่อเป้าหมายอย่างเจาะจง เนื้อหามักจะอ้างถึงเหตุการณ์ที่มีกระทบรุนแรง เช่น เคลมว่าเป็นหมายศาล, สิ่งที่ต้องดำเนินการอย่างเร่งด่วนเนื่องจากการล่วงละเมิดต่อกฏหมาย หรือขอให้กระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาธุรกิจล้มละลาย

การจะสร้างอีเมลที่น่าเชื่อถือระดับนั้นได้ แฮกเกอร์จะต้องทำการสืบความลับของเป้าหมายจนรู้ข้อมูล ส่วนตัว และอำนาจที่เหยื่อมีอยู่

การสังเกต Whaling

แฮกเกอร์นิยมส่งลิงก์หน้าเว็บไซต์ปลอม ให้เหยื่อที่หลงเชื่อกรอกข้อมูลส่วนตัวที่สำคัญ อย่างพวก บัญชี และรหัสผ่าน บางครั้งแฮกเกอร์จะแนบไฟล์แฝงมัลแวร์มาพร้อมกับอีเมล แล้วร้องขอให้เหยื่อดาวน์โหลดไฟล์ไปเปิดดู เพื่อติดตั้งมัลแวร์ลงคอมพิวเตอร์

4. Vishing Phishing
(การหลอกลวงแบบฟิชชิง ผ่านทางเสียง หรือการสนทนา)

Vishing มาจากคำว่า Voice Phishing เป็นการ Phishing อีกรูปแบบหนึ่ง โดยแทนที่อาชญากรเลือกที่จะขอข้อมูลบัญชี, รหัสผ่าน หรือข้อมูลธุรกรรมผ่านทางโทรศัพท์ แทนที่จะใช้อีเมล โดยแฮกเกอร์ ซึ่งในเมืองไทยเราอาจจะคุ้นหู หรือคุ้นเคยกับคำว่า "แก๊งคอลเซ็นเตอร์"

วิธีนี้ค่อนข้างโบราณ แต่ก็ยังไม่หายไปไหน อาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่ หรือคนรู้จักของเหยื่อ จากนั้นก็ขอข้อมูลส่วนตัว, รหัสผ่าน, หมายเลขบัตรเครดิต บ้างก็หลอกว่าคุณถูกรางวัลใหญ่ แต่ต้องจ่ายเงินบางส่วนก่อนถึงจะสามารถรับรางวัลได้อะไรทำนองนั้น หรือไม่ก็โจมตีทื่อๆ ด้วยการหลอกให้โอนเงิน 

ซึ่งดูเหมือนว่าวิธีนี้จะได้ผลเสียด้วยซิ เพราะเรายังมักได้ยินข่าวคนที่โดนหลอกให้โอนเงินผ่านโทรศัพท์กันอยู่เป็นประจำ

การสังเกต Vishing

ในการโน้มน้าวให้เหยื่อหลงเชื่อ อาชญากรมักจะเตรียมเทปบันทึกเสียงจากบริการต่างๆ ที่มีอยู่ในท้องถิ่นของเหยื่อมาเปิดให้เหยื่อฟังด้วย เพื่อหลอกให้เหยื่อเชื่อว่าเป็นสายที่โทรมาจากเจ้าของบริการจริงๆ

ในการระวังตัว ผู้เชี่ยวชาญได้เตือนว่าผู้ใช้ไม่ควรเปิดเผยข้อมูลส่วนตัวที่มีความสำคัญผ่านทางโทรศัพท์โดยเด็ดขาด (ซึ่งโดยปกติเจ้าหน้าที่ธนาคารก็จะไม่ขอข้อมูลส่วนตัวอยู่แล้ว) ทางที่ดีให้รีบวางสาย แล้วติดต่อไปยังธนาคารด้วยตนเองทันที

5. Smishing Phishing
(การหลอกลวงแบบฟิชชิง ผ่านทางข้อความสั้น SMS)

Smishing มาจากคำว่า SMS Phishing เป็นรูปแบบการ Phishing ที่โจมตีผ่านทางข้อความสั้น หรือที่เรารู้จักกันในคำว่า "SMS" ซึ่งย่อมาจาก "Short Message Service" โดยผู้ส่งจะพยายามโน้มน้าวให้ผู้อ่านคลิกเปิดลิงก์ที่แนบมากับข้อความ SMS เพื่อเข้าสู่หน้าเว็บไซต์ปลอมที่ถูกสร้างเตรียมเอาไว้ แน่นอนว่าในเว็บดังกล่าวก็จะมีช่องให้กรอกข้อมูลส่วนตัวที่สำคัญ หากเหยื่อหลงเชื่อกรอกลงไป ก็เสร็จโจรทันที

การสังเกต Smishing

เนื้อหาที่ใช้หลอกลวงของ Smishing มักจะเหมือนกับ Vishing แต่โดยส่วนใหญ่จะนิยมอ้างว่าคุณถูกรางวัล แล้วขอให้คุณกรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัล สำหรับการป้องกันตัวก็ให้ยึดกฏสามัญ อย่างคลิก หรือตอบข้อความที่ส่งมาจากคนไม่รู้จัก โดยเฉพาะอย่างยิ่งเมื่อมีลิงก์แนบติดมาด้วย

6. Angler Phishing
(การหลอกลวงแบบฟิชชิง ชนิดสังเกตพฤติกรรมทางโซเชียล)

นี่เป็นเทคนิค Phishing แบบใหม่ที่เพิ่งเกิดขึ้นในยุคที่ Social Media เฟื่องฟู แฮกเกอร์จะเฝ้าจับตาพฤติกรรมการใช้งาน Social Media ของเหยื่อ แล้วสวมรอยเป็นเจ้าหน้าที่มาหลอกลวงเหยื่อให้หลงเชื่อ

ตัวอย่างเช่น คุณบ่นลงใน Facebook ของคุณว่าได้รับบริการที่ไม่ดีจากธนาคาร แฮกเกอร์ก็จะปลอมตัวเป็นเจ้าหน้าที่จากธนาคาร โดยอาศัยข้อมูลที่เจอจาก Facebook ของคุณมากุเรื่องว่าจะแก้ปัญหาให้

การสังเกต Angler Phishing

หลังจากสนทนากันสักพักแฮกเกอร์ก็จะส่งลิงก์ให้คุณกรอกข้อมูลโดยอ้างว่าเพื่อเป็นการ "ยืนยันตัวตน" หากคุณหลงเชื่อ ทุกอย่างก็จบ

หากคุณเจอกับเหตุการณ์เช่นนั้น สิ่งที่คุณควรทำ คือ วางสายแล้วรีบติดต่อกับเจ้าหน้าที่ฝ่ายบริการของบริษัท หรือหน่วยงานที่คุณมีปัญหาอยู่ เพื่อตรวจสอบสถานการณ์จริงที่เกิดขึ้น

7. CEO Fraud Phishing
(การหลอกลวงแบบฟิชชิง ที่ใช้บุคคลสำคัญเป็นตัวล่อ)

เทคนิค CEO Fraud Phishing รูปแบบนี้ มีความคล้ายคลึงกับเทคนิค Whaling (ที่กล่าวไปแล้วในข้อ 3.) โดยเป้าหมายของแฮกเกอร์ คือ ซีอีโอ หรือคนที่อยู่ในระดับผู้บริหาร (Management Level) ที่เป็นบุคคลสำคัญขององค์กร แต่วิธีการโจมตีนั้นจะรุนแรงกว่ามาก หลักการคือ จะเป็นการใช้บุคคลสำคัญเป็นตัวล่อให้ผู้อื่นหลงเชื่อ เพื่อกระทำการอย่างใดอย่างหนึ่ง

ตัวอย่างเช่น แฮกเกอร์จะปลอมตัวเป็น CEO จากนั้นก็ส่งอีเมลออกไป (ในนามของ CEO) ให้กับเพื่อนร่วมงาน หรือลูกน้อง หรือผู้ที่เกี่ยวข้องอื่นๆ (Other Stakeholders) เพื่อขอให้ผู้รับอีเมล ทำการโอนเงิน หรือส่งข้อมูลสำคัญที่เป็นความลับของบริษัทกลับมาให้

การสังเกต CEO Fraud Phishing

แฮกเกอร์มักจะพุ่งเป้าโจมตีไปยังคนที่มีอำนาจในการโอนเงิน หรือผู้ที่ครอบครองข้อมูลสำคัญ บ่อยครั้งที่ข้อความในอีเมลจะระบุว่าเป็นเรื่องด่วนที่ต้องดำเนินการในทันที เพื่อให้เหยื่อไม่มีเวลาคิด หรือตรวจสอบว่ามันเป็นเรื่องจริงหรือไม่

8. Search Engine Phishing
(การหลอกลวงแบบฟิชชิง ที่สร้างความน่าเชื่อถือจาก เครื่องมือค้นหา)

รูปแบบ Search Engine Phishing เป็นเทคนิค Phishing รูปแบบใหม่ ที่จะวางเหยื่อล่อเป้าหมายผ่านผลลัพธ์การค้นหาของเครื่องมือค้นหา (Search Engine) หรือ บริการค้นหาเว็บไซต์ เช่น Google, Bing เป็นต้น

แฮกเกอร์จะสร้างเว็บไซต์ที่ยื่นข้อเสนอส่วนลด, บริการ, แจกของฟรี หรือแม้แต่ประกาศรับสมัครงาน จากนั้นก็อาศัยเทคนิคการปรับแต่งเครื่องมือค้นหา หรือที่เรียกว่า "SEO (Search Engine Optimization)" ในการทำให้เว็บปลอมที่สร้างขึ้นมาติดอยู่ในผลลัพธ์การค้นหาที่สูง เพื่อทำให้เหยื่อหลงเชื่อ* ก่อนจะเข้าไปกรอกข้อมูลสำคัญๆ

หมายเหตุ* : ส่วนมาก คนเราเมื่อเห็นว่าเว็บเพจหน้าไหน ที่ติดอันดับในหน้าแสดงผลการค้นหาสูงๆ ก็จะ มีความเชื่อว่าเว็บนั้นน่าเชื่อถือ

การสังเกต Search Engine Phishing

เมื่อเราค้นหาอะไรก็ตาม พึงระลึกไว้ว่าผลลัพธ์ที่แสดงอยู่อาจจะมีเว็บไซต์ปลอมถูกแสดงผลขึ้นมาด้วยก็ได้ ในเว็บเหล่านั้นมักจะมีข้อเสนอที่คุณกำลังมองหาอยู่ แต่ก่อนจะได้มา มันจะขอให้คุณกรอกข้อมูลส่วนตัวก่อน ซึ่งเว็บไซต์ที่ดีมักไม่ทำแบบนั้น เราไม่ควรหลงเชื่อกรอกข้อมูลให้ไป จนกว่าจะมั่นใจว่าเว็บไซต์นั้นมีการดำเนินการที่โปร่งใส

ความจริงแล้ว การรู้ว่า Phishing แต่ละรูปแบบมีชื่อเรียกว่าอะไรไม่ใช่เรื่องสำคัญเท่ากับการรู้จักลักษณะการโจมตี เพื่อที่เราจะสามารถรับมือเมื่อตกอยู่ในสถานการณ์เช่นนั้นได้อย่างถูกต้อง นอกจากนี้ เราควรระมัดระวังตัว ไตร่ตรองอย่างถี่ถ้วนทุกครั้งที่จำเป็นต้องส่งต่อข้อมูลที่มีความสำคัญให้แก่ผู้อื่น