Phishing (ฟิชชิง) ถ้าแผลงมาจากคำว่า "Fishing" ที่แปลว่าการ "ตกปลา" นั่นเองซึ่ง Phishing นั้นมีความหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้ เป็นหนึ่งในภัยร้ายบนโลกอินเทอร์เน็ตรูปแบบหนึ่ง ที่มีความอันตรายไม่แพ้การโจมตีจากมัลแวร์เลยแม้แต่น้อย
โดยลักษณะของการโจมตีแบบ Phishing จะเป็นการหลอกลวง (ทำให้เหยื่อหลงเชื่อ) ทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น การขอรหัสผ่าน หรือหมายเลขบัตรเครดิต ด้วยวิธีการส่งข้อความผ่านทางอีเมล หรือเมสเซนเจอร์ (โปรแกรมแชท)
ตัวอย่างของการ Phishing ก็อย่างเช่น การบอกแก่ผู้รับปลายทางว่าเป็นธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์ไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง
การ Phishing นี้ ยังสามารถแบ่งชื่อเรียกออกไปตามรูปแบบการโจมตีได้อีก 8 รูปแบบ ประกอบด้วยอะไรบ้าง มาทำความรู้จักกันดู
เทคนิค Phishing รูปแบบนี้เป็นรูปแบบที่ค่อนข้างแพร่หลาย และคนทั่วไปมีโอกาสพบเจอสูงสุด Email Phishing เป็นการ Phishing ด้วยการส่งอีเมลออกไปจำนวนมากแบบ "Spray and Pray" (การโจมตีแบบปูพรมแล้วหวังผลแค่ให้มีเหยื่อหลงเชื่อสักคนสองคนก็ถือว่าประสบความสำเร็จแล้ว)
เนื้อหาในอีเมลจะไม่มีการเจาะจงไปยังเหยื่อรายไหนเป็นพิเศษ เพราะการโจมตี (ส่งอีเมล) ด้วยเทคนิคนี้จะส่งอีเมลออกไปหาผู้ใช้ทีละหลายล้านคน แล้วหวังว่าจะมีใครสักคนที่หลงเชื่อคลิกลิงก์, ดาวน์โหลดไฟล์ หรือทำตามเนื้อหาหลอกลวงในอีเมล
หากสังเกตจะพบว่าผู้ส่งจะไม่มีระบุข้อมูลที่เป็นลักษณะเฉพาะบุคคล มักจะใช้คำว่า "เรียนเจ้าของบัญชี " หรือ " เรียนสมาชิกผู้มีอุปการคุณ" และบ่อยครั้งจะมีการใช้คำที่สามารถสร้างความหวาดวิตกให้แก่ผู้รับ อย่างเช่น ด่วนที่สุด, ลับเฉพาะ ฯลฯ เพื่อกดดันทางอ้อมให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์ หรือกดลิงก์อันตรายที่แนบมากับอีเมล
คำว่า "Spear" ที่แปลว่า "หอก" หรือ "ฉมวก" ซึ่งนี่เป็นการ Phishing ที่มีความซับซ้อนมากขึ้น Spear Phishing จะมีการโจมตีที่เลือกกลุ่มเป้าหมายแบบพุ่งเป้าเฉพาะเจาะจงไปยังเป้าหมาย โดยเทคนิคนี้นิยมใช้เมื่อแฮกเกอร์มืออาชีพต้องการแทรกซีมแฝงตัวเข้าไปล้วงเข้าไปภายในองค์กร
ก่อนจะเริ่มโจมตีด้วยเทคนิคนี้ แฮกเกอร์จะต้องทำการค้นคว้าหาข้อมูลส่วนตัว พื้นเพของกลุ่มที่ต้องการโจมตี เพื่อให้เนื้อหาในอีเมลมีความเฉพาะเจาะจงต่อตัวบุคคล สร้างความน่าเชื่อถือให้มากยิ่งขึ้น และนั่นทำให้เหยื่อหลงเชื่อง่ายขึ้นตามไปด้วย
หมั่นสังเกตอีเมล และรูปแบบตัวอักษรของผู้ส่งให้ละเอียดว่ามาจากบุคคลที่คุณรู้จัก และเชื่อใจได้จริงๆ ตัวอย่างเช่น เพื่อนคุณใช้อีเมล olay@gmail.com แต่เมลปลอมจากแฮกเกอร์อาจจะใช้ 0Iay@gmail.com ส่งมาหา ก่อนที่จะดาวน์โหลดไฟล์ หรือคลิกลิงก์ที่อยู่ในอีเมล
Whaling Phishing จัดอีกหนึ่งการ Phishing ที่มีความซับซ้อนในระดับสูง มีความคล้ายคลึงกับ Spear Phishing แต่แทนที่จะมีกลุ่มเป้าหมายที่เฉพาะเจาะจง เป้าหมายของ Whaling จะเล็งไปที่บุคคลเพียงคนเดียวเลย และมักจะเป็นบุคคลที่มีตำแหน่งงานอยู่ในระดับสูง อย่าง ผู้จัดการ (Manager) หรือ ซีอีโอ (Chief Executive Officer - CEO) กันเลยทีเดียว
ในจดหมายจะมีการเอ่ยชื่อเป้าหมายอย่างเจาะจง เนื้อหามักจะอ้างถึงเหตุการณ์ที่มีกระทบรุนแรง เช่น เคลมว่าเป็นหมายศาล, สิ่งที่ต้องดำเนินการอย่างเร่งด่วนเนื่องจากการล่วงละเมิดต่อกฏหมาย หรือขอให้กระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาธุรกิจล้มละลาย
การจะสร้างอีเมลที่น่าเชื่อถือระดับนั้นได้ แฮกเกอร์จะต้องทำการสืบความลับของเป้าหมายจนรู้ข้อมูล ส่วนตัว และอำนาจที่เหยื่อมีอยู่
แฮกเกอร์นิยมส่งลิงก์หน้าเว็บไซต์ปลอม ให้เหยื่อที่หลงเชื่อกรอกข้อมูลส่วนตัวที่สำคัญ อย่างพวก บัญชี และรหัสผ่าน บางครั้งแฮกเกอร์จะแนบไฟล์แฝงมัลแวร์มาพร้อมกับอีเมล แล้วร้องขอให้เหยื่อดาวน์โหลดไฟล์ไปเปิดดู เพื่อติดตั้งมัลแวร์ลงคอมพิวเตอร์
Vishing มาจากคำว่า Voice Phishing เป็นการ Phishing อีกรูปแบบหนึ่ง โดยแทนที่อาชญากรเลือกที่จะขอข้อมูลบัญชี, รหัสผ่าน หรือข้อมูลธุรกรรมผ่านทางโทรศัพท์ แทนที่จะใช้อีเมล โดยแฮกเกอร์ ซึ่งในเมืองไทยเราอาจจะคุ้นหู หรือคุ้นเคยกับคำว่า "แก๊งคอลเซ็นเตอร์"
วิธีนี้ค่อนข้างโบราณ แต่ก็ยังไม่หายไปไหน อาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่ หรือคนรู้จักของเหยื่อ จากนั้นก็ขอข้อมูลส่วนตัว, รหัสผ่าน, หมายเลขบัตรเครดิต บ้างก็หลอกว่าคุณถูกรางวัลใหญ่ แต่ต้องจ่ายเงินบางส่วนก่อนถึงจะสามารถรับรางวัลได้อะไรทำนองนั้น หรือไม่ก็โจมตีทื่อๆ ด้วยการหลอกให้โอนเงิน
ซึ่งดูเหมือนว่าวิธีนี้จะได้ผลเสียด้วยซิ เพราะเรายังมักได้ยินข่าวคนที่โดนหลอกให้โอนเงินผ่านโทรศัพท์กันอยู่เป็นประจำ
ในการโน้มน้าวให้เหยื่อหลงเชื่อ อาชญากรมักจะเตรียมเทปบันทึกเสียงจากบริการต่างๆ ที่มีอยู่ในท้องถิ่นของเหยื่อมาเปิดให้เหยื่อฟังด้วย เพื่อหลอกให้เหยื่อเชื่อว่าเป็นสายที่โทรมาจากเจ้าของบริการจริงๆ
ในการระวังตัว ผู้เชี่ยวชาญได้เตือนว่าผู้ใช้ไม่ควรเปิดเผยข้อมูลส่วนตัวที่มีความสำคัญผ่านทางโทรศัพท์โดยเด็ดขาด (ซึ่งโดยปกติเจ้าหน้าที่ธนาคารก็จะไม่ขอข้อมูลส่วนตัวอยู่แล้ว) ทางที่ดีให้รีบวางสาย แล้วติดต่อไปยังธนาคารด้วยตนเองทันที
Smishing มาจากคำว่า SMS Phishing เป็นรูปแบบการ Phishing ที่โจมตีผ่านทางข้อความสั้น หรือที่เรารู้จักกันในคำว่า "SMS" ซึ่งย่อมาจาก "Short Message Service" โดยผู้ส่งจะพยายามโน้มน้าวให้ผู้อ่านคลิกเปิดลิงก์ที่แนบมากับข้อความ SMS เพื่อเข้าสู่หน้าเว็บไซต์ปลอมที่ถูกสร้างเตรียมเอาไว้ แน่นอนว่าในเว็บดังกล่าวก็จะมีช่องให้กรอกข้อมูลส่วนตัวที่สำคัญ หากเหยื่อหลงเชื่อกรอกลงไป ก็เสร็จโจรทันที
เนื้อหาที่ใช้หลอกลวงของ Smishing มักจะเหมือนกับ Vishing แต่โดยส่วนใหญ่จะนิยมอ้างว่าคุณถูกรางวัล แล้วขอให้คุณกรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัล สำหรับการป้องกันตัวก็ให้ยึดกฏสามัญ อย่างคลิก หรือตอบข้อความที่ส่งมาจากคนไม่รู้จัก โดยเฉพาะอย่างยิ่งเมื่อมีลิงก์แนบติดมาด้วย
นี่เป็นเทคนิค Phishing แบบใหม่ที่เพิ่งเกิดขึ้นในยุคที่ Social Media เฟื่องฟู แฮกเกอร์จะเฝ้าจับตาพฤติกรรมการใช้งาน Social Media ของเหยื่อ แล้วสวมรอยเป็นเจ้าหน้าที่มาหลอกลวงเหยื่อให้หลงเชื่อ
ตัวอย่างเช่น คุณบ่นลงใน Facebook ของคุณว่าได้รับบริการที่ไม่ดีจากธนาคาร แฮกเกอร์ก็จะปลอมตัวเป็นเจ้าหน้าที่จากธนาคาร โดยอาศัยข้อมูลที่เจอจาก Facebook ของคุณมากุเรื่องว่าจะแก้ปัญหาให้
หลังจากสนทนากันสักพักแฮกเกอร์ก็จะส่งลิงก์ให้คุณกรอกข้อมูลโดยอ้างว่าเพื่อเป็นการ "ยืนยันตัวตน" หากคุณหลงเชื่อ ทุกอย่างก็จบ
หากคุณเจอกับเหตุการณ์เช่นนั้น สิ่งที่คุณควรทำ คือ วางสายแล้วรีบติดต่อกับเจ้าหน้าที่ฝ่ายบริการของบริษัท หรือหน่วยงานที่คุณมีปัญหาอยู่ เพื่อตรวจสอบสถานการณ์จริงที่เกิดขึ้น
เทคนิค CEO Fraud Phishing รูปแบบนี้ มีความคล้ายคลึงกับเทคนิค Whaling (ที่กล่าวไปแล้วในข้อ 3.) โดยเป้าหมายของแฮกเกอร์ คือ ซีอีโอ หรือคนที่อยู่ในระดับผู้บริหาร (Management Level) ที่เป็นบุคคลสำคัญขององค์กร แต่วิธีการโจมตีนั้นจะรุนแรงกว่ามาก หลักการคือ จะเป็นการใช้บุคคลสำคัญเป็นตัวล่อให้ผู้อื่นหลงเชื่อ เพื่อกระทำการอย่างใดอย่างหนึ่ง
ตัวอย่างเช่น แฮกเกอร์จะปลอมตัวเป็น CEO จากนั้นก็ส่งอีเมลออกไป (ในนามของ CEO) ให้กับเพื่อนร่วมงาน หรือลูกน้อง หรือผู้ที่เกี่ยวข้องอื่นๆ (Other Stakeholders) เพื่อขอให้ผู้รับอีเมล ทำการโอนเงิน หรือส่งข้อมูลสำคัญที่เป็นความลับของบริษัทกลับมาให้
แฮกเกอร์มักจะพุ่งเป้าโจมตีไปยังคนที่มีอำนาจในการโอนเงิน หรือผู้ที่ครอบครองข้อมูลสำคัญ บ่อยครั้งที่ข้อความในอีเมลจะระบุว่าเป็นเรื่องด่วนที่ต้องดำเนินการในทันที เพื่อให้เหยื่อไม่มีเวลาคิด หรือตรวจสอบว่ามันเป็นเรื่องจริงหรือไม่
รูปแบบ Search Engine Phishing เป็นเทคนิค Phishing รูปแบบใหม่ ที่จะวางเหยื่อล่อเป้าหมายผ่านผลลัพธ์การค้นหาของเครื่องมือค้นหา (Search Engine) หรือ บริการค้นหาเว็บไซต์ เช่น Google, Bing เป็นต้น
แฮกเกอร์จะสร้างเว็บไซต์ที่ยื่นข้อเสนอส่วนลด, บริการ, แจกของฟรี หรือแม้แต่ประกาศรับสมัครงาน จากนั้นก็อาศัยเทคนิคการปรับแต่งเครื่องมือค้นหา หรือที่เรียกว่า "SEO (Search Engine Optimization)" ในการทำให้เว็บปลอมที่สร้างขึ้นมาติดอยู่ในผลลัพธ์การค้นหาที่สูง เพื่อทำให้เหยื่อหลงเชื่อ* ก่อนจะเข้าไปกรอกข้อมูลสำคัญๆ
หมายเหตุ* : ส่วนมาก คนเราเมื่อเห็นว่าเว็บเพจหน้าไหน ที่ติดอันดับในหน้าแสดงผลการค้นหาสูงๆ ก็จะ มีความเชื่อว่าเว็บนั้นน่าเชื่อถือ
เมื่อเราค้นหาอะไรก็ตาม พึงระลึกไว้ว่าผลลัพธ์ที่แสดงอยู่อาจจะมีเว็บไซต์ปลอมถูกแสดงผลขึ้นมาด้วยก็ได้ ในเว็บเหล่านั้นมักจะมีข้อเสนอที่คุณกำลังมองหาอยู่ แต่ก่อนจะได้มา มันจะขอให้คุณกรอกข้อมูลส่วนตัวก่อน ซึ่งเว็บไซต์ที่ดีมักไม่ทำแบบนั้น เราไม่ควรหลงเชื่อกรอกข้อมูลให้ไป จนกว่าจะมั่นใจว่าเว็บไซต์นั้นมีการดำเนินการที่โปร่งใส
ความจริงแล้ว การรู้ว่า Phishing แต่ละรูปแบบมีชื่อเรียกว่าอะไรไม่ใช่เรื่องสำคัญเท่ากับการรู้จักลักษณะการโจมตี เพื่อที่เราจะสามารถรับมือเมื่อตกอยู่ในสถานการณ์เช่นนั้นได้อย่างถูกต้อง นอกจากนี้ เราควรระมัดระวังตัว ไตร่ตรองอย่างถี่ถ้วนทุกครั้งที่จำเป็นต้องส่งต่อข้อมูลที่มีความสำคัญให้แก่ผู้อื่น
|
แอดมินสายเปื่อย ชอบลองอะไรใหม่ไปเรื่อยๆ รักแมว และเสียงเพลงเป็นพิเศษ |