PHISHING รู้ทันกลโกงในโลกออนไลน์

PHISHING คืออะไร

Phishing คือ หนึ่งในอาชญากรรมประเภท Fraud ที่มีรูปแบบการหลอกลวงบนโลกออนไลน์ผ่านการแอบอ้างเป็นเว็บไซต์หรือองค์กรต่าง ๆ ที่น่าเชื่อถือ เช่น อ้างว่าติดต่อจากธนาคาร กรมสรรพากร หรือแบรนด์ใหญ่ ๆ เป็นต้น โดยคำว่า Phishing มาจากคำว่า Fishing หมายถึง ตกปลา ส่วน Phishing ในอาชญากรรมออนไลน์จึงหมายถึง การใช้เหยื่อล่อแล้วรอให้ปลามากิน กล่าวคือ เมื่อผู้ใช้งานคลิกเข้าสู่ระบบ อาชญากรที่สร้างเว็บไซต์ปลอมก็จะล้วงข้อมูลส่วนบุคคลของผู้ใช้งานไปทันที เช่น หมายเลขบัตรเครดิต เลขบัตรประจำตัวประชาชน ตลอดจนรหัสผ่านในการเข้าสู่บัญชีต่าง ๆ เป็นต้น

PHISHING ATTACK คือข้อความแบบไหน

• ข้อความที่แนบลิงก์มาด้วย ส่วนใหญ่บนลิงก์จะมีการสะกดผิดเพื่อให้เราไม่ทันสังเกต เช่น จาก Sumsung เป็น Sunsung เป็นต้น เมื่อเราคลิกเข้าไป ลิงก์ดังกล่าวก็จะพาเราไปยังโดเมนย่อย หรือเว็บไซต์น่าสงสัยอื่น ๆ ที่หลอกเอาข้อมูลส่วนบุคคล
• ข้อความที่ผู้ส่งใช้อีเมลส่วนตัวแทนอีเมลองค์กร และใช้บริการอีเมลสาธารณะ เช่น Gmail หรือ Hotmail แต่อ้างว่าเป็นองค์กรที่มีอยู่จริง
• ข้อความที่เขียนในลักษณะที่กระตุ้นให้ผู้อ่านรู้สึกหวาดกลัว เช่น เงินของคุณถูกถอนออกจากบัญชี 500,000 บาท ทำให้ผู้อ่านกดลิงก์เข้าไปดู
• ข้อความที่อ้างว่าคุณเป็นผู้โชคดี ได้รับเงินหรือรางวัล เพื่อหลอกล่อในคลิกลิงก์ เช่น ยินดีด้วย คุณเป็นผู้โชคดี ได้รับโทรศัพท์ไอโฟน14 กรอกข้อมูลเพื่อยืนยันสิทธิ์
• ข้อความที่ล่อลวงให้คุณกรอกข้อมูลส่วนตัว เช่น รายละเอียดบัตรเดรดิต เลขประจำตัวประชาชน หรือรหัสผ่านต่าง ๆ
• ข้อความที่ใช้ภาษาที่ไม่เป็นทางการ และมีการสะกดผิด

PHISHING มีกี่ประเภท

Phishing สามารถแบ่งออกได้หลายรูปแบบ โดยเฉพาะในปัจจุบันที่มิจฉาชีพมักคิดกลยุทธ์ใหม่ ๆ ขึ้นมาหลอกลวงผู้ใช้งาน แต่บทความนี้ เราจะยกรูปแบบ Phishing ที่พบบ่อยมาให้รู้จักกันทั้งหมด 9 ประเภท ดังนี้

1. Email Phishing

Email Phishing คือ การส่งข้อความหลอกลวงผ่านทางอีเมล เป็นหนึ่งในรูปแบบที่พบบ่อยที่สุด และถูกใช้มาอย่างยาวนานตั้งแต่ยุคแรก ๆ ของการมีอีเมลเลยทีเดียว โดยมิจฉาชีพจะใช้วิธีส่งอีเมลครั้งละจำนวนหลายฉบับ เพื่อเพิ่มโอกาสการตกหลุมพรางของผู้ใช้งานให้ได้มากที่สุด แม้จะมีแค่หนึ่งหรือสองคนก็นับว่าประสบความสำเร็จแล้ว

เนื่องจากเป็นการส่งอีเมลแบบหว่าน ทำให้เนื้อหาใน Email Phishing จะไม่เจาะจงถึงผู้รับคนไหนเป็นพิเศษ ไม่มีการระบุข้อมูลใด ๆ ที่สื่อว่าเป็นตัวเรา แต่จะใช้คำเรียกรวม ๆ แทน เช่น “เรียน ลูกค้าผู้มีอุปการคุณ” และบางทีอาจใช้คำพูดที่กระตุ้นให้ผู้อ่านรู้สึกตื่นกลัวร่วมด้วย เช่น “เราตรวจสอบพบว่าคุณโอนเงินจำนวน 200,000 บาท ไปยังบัญชีธนาคาร xxx หากนี่ไม่ใช่คุณ กรุณาคลิกลิงก์ด้านล่างนี้เพื่อรายงาน” เพื่อหลอกล่อให้ผู้ใช้งานคลิกลิงก์ที่แนบมา

2. Web Phishing

Web Phishing คือ การหลอกล่อให้ผู้ใช้งานคลิกเข้าไปในเว็บไซต์ที่เป็นสแปม โดยมิจฉาชีพจะสร้างเว็บไซต์ขึ้นมาหน้าหนึ่ง แล้วปรับแต่งให้ดูคล้าย ๆ กับเว็บไซต์ขององค์กรที่มีอยู่จริงเพื่อตบตาเหยื่อ แต่วิธีสังเกตคือ URL จะต่างกันเล็กน้อย เช่น จาก google.co.th ก็ปลอมแปลงเป็น google.com ซึ่งถ้าหากเราไม่ระมัดระวัง หรือเป็นคนที่ไม่เคยรู้ URL ที่แท้จริงของเว็บไซต์องค์กรนั้น ๆ มาก่อนแล้วกดคลิกเข้าไป ก็อาจกลายเป็นผู้เสียหายได้ โดยจุดประสงค์ของเว็บไซต์เหล่านี้คือ การหลอกเอาข้อมูลของผู้ใช้งาน เช่น Username Password บัตรประชาชน บัตรเครดิต หรือข้อมูลส่วนตัวอื่น ๆ เป็นต้น

3. Spear Phishing

Spear Phishing คือ การหลอกลวงด้วยการพุ่งเป้าเจาะจงไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งชัดเจน โดยอาชญากรที่เลือกใช้วิธีนี้จะเป็นแฮกเกอร์มืออาชีพ เพราะจะต้องมีการล้วงข้อมูลส่วนตัวของเหยื่อ เพื่อทำให้เนื้อหาในอีเมลมีความเฉพาะเจาะจงและสร้างความน่าเชื่อถือมากยิ่งขึ้น เช่น อาจใช้อีเมลที่มีชื่อคล้าย ๆ กับคนในองค์กร เพื่อแอบอ้างว่าเป็นบุคคลใกล้ตัว โดยที่เราอาจไม่ได้ดูให้ดีก่อนคลิกลิงก์ดังกล่าว

4. Whaling Phishing

Whaling Phishing คล้ายกับ Spear Phishing แต่จะมุ่งเป้าไปที่เหยื่อรายใดรายหนึ่งแบบเฉพาะเจาะจง และมักจะเป็นบุคคลที่มีตำแหน่งอยู่ในระดับสูง เช่น ผู้บริหารระดับสูง CEO หรือผู้จัดการ เป็นต้น โดยในเนื้อหาอีเมลจะสร้างความหวั่นวิตกขั้นรุนแรง เช่น อ้างว่าเป็นหมายศาล อ้างว่าทำผิดกฎหมาย ต้องดำเนินการอย่างเร่งด่วน หรือขอให้ทำอะไรบางอย่างเพื่อหลีกเลี่ยงปัญหาที่อาจส่งผลกระทบอย่างหนักต่อธุรกิจ แนะนำว่าถ้าได้รับอีเมลประมาณนี้ ให้ตรวจสอบกับทางองค์กรต้นทางก่อนว่าเป็นอีเมลจริงหรือไม่ อย่าเพิ่งดำเนินการใด ๆ เพราะมีโอกาสสูงที่จะถูกหลอก

5. Vishing Phishing

Vishing เป็นการหลอกลวงผ่านรูปแบบของเสียง ซึ่งพบเจอได้บ่อยมากในยุคนี้ หรือที่เราคุ้นเคยกันดีในชื่อเรียก แก๊งคอลเซ็นเตอร์ นั่นเอง แม้จะเป็นวิธีที่ค่อนข้างเก่าแต่ก็ยังใช้ได้ผลอยู่ เนื่องจากมีคนโดนหลอกด้วยวิธีนี้เป็นประจำ และแก๊งคอลเซ็นเตอร์มักหามุกใหม่ ๆ มาหลอกเหยื่อเสมอ เช่น อ้างว่าโทรจากกรมสรรพากร อ้างว่าเป็นคนรู้จักของเหยื่อ อ้างว่าเหยื่อได้รับรางวัล แล้วให้แอดไลน์เพื่อรับรางวัลนั้น เป็นต้น

6. Smishing Phishing

Smishing Phishing เป็นรูปแบบอาชญากรรมไซเบอร์ที่เราพบได้เยอะมากในยุคนี้ นั่นก็คือการส่งผ่าน SMS นั่นเอง เราได้รับ SMS จากมิจฉาชีพมากกว่า SMS จากคนรู้จักหรือองค์กรจริง ๆ เสียอีก แม้คนส่วนใหญ่จะรู้เท่าทันอาชญากรรมรูปแบบนี้แล้ว แต่ก็ยังมีคนหลงตกเป็นเหยื่ออยู่เรื่อย ๆ Smishing Phishing จึงยังไม่หมดไป แต่สังเกตได้ไม่ยาก โดยข้อความเหล่านี้มักจะถูกส่งมาจากเบอร์แปลกที่เป็นเบอร์ส่วนตัวของบุคคลทั่วไป เช่น “พัสดุของคุณจัดส่งไม่สำเร็จ กรุณาคลิกลิงก์เพื่อดำเนินการจัดส่งต่อ” คนที่สั่งของออนไลน์บ่อย ๆ ก็อาจจะหลงกลแล้วคลิกเข้าไป กรอกข้อมูลต่าง ๆ เพราะคิดว่าเป็น SMS จากขนส่งจริง หรืออาจจะเป็น SMS ที่หลอกล่อให้เราคลิกเข้าไปในเว็บไซต์ปลอมที่มิจฉาชีพสร้างขึ้นก็ได้

7. Angler Phishing

Angler Phishing วิธีนี้ มิจฉาชีพจะคอยสังเกตพฤติกรรมการเล่นอินเทอร์เน็ตของเหยื่อ แล้วหาจังหวะเพื่อที่จะเข้าไปสวมรอยเพื่อมีปฏิสัมพันธ์ด้วยอย่างแนบเนียน เช่น หากเราบ่นลงทวิตเตอร์ว่าได้รับบริการที่ไม่ดีจากค่ายมือถือ อาชญากรก็จะสวมรอยเป็นเจ้าหน้าที่จากค่ายมือถือนั้น ๆ มาหลอกเราว่าจะแก้ปัญหาให้ และขอข้อมูลของเราไป โดยอาจเป็นการหลอกถามตามกระบวนการ หรือส่งลิงก์มาเพื่อหลอกให้กรอกฟอร์ม หากเจอสถานการณ์เช่นนี้ ควรเช็กกับองค์กรดังกล่าวให้ชัวร์ก่อน ทางที่ดี ไม่ควรไปยุ่งเกี่ยวหรือทำธุรกรรมใด ๆ ด้วยเลย หากมีปัญหาที่ต้องการการแก้ไข แนะนำให้ติดต่อเบอร์ขององค์กรหรือเข้าไปที่ศูนย์โดยตรง

8. CEO Fraud Phishing

วิธีนี้คล้าย ๆ กับ Whaling Phishing กล่าวคือ เป้าหมายของอาชญากรจะเป็นบุคคลระดับสูง แต่ระดับการโจมตีจะรุนแรงกว่ามาก โดยจะใช้บุคคลสำคัญเป็นตัวล่อให้เหยื่อหลงเชื่อเพื่อกระทำการอย่างใดอย่างหนึ่ง เช่น ปลอมตัวเป็น CEO และส่งอีเมลให้คนในบริษัท เพื่อขอให้บุคคลนั้นส่งข้อมูลสำคัญ หรือโอนเงินให้ในทันที

9. Search Engine Phishing

เป็นการสร้างความน่าเชื่อถือผ่านเครื่องมือค้นหา หรือ Search Engine โดยอาศัยการทำ SEO เพื่อให้เว็บไซต์ติดอันดับต้น ๆ บนหน้าแรกของ Google แล้วใช้คีย์เวิร์ดที่คนค้นหาบ่อย เช่น สมัครงาน หางานแถวปริมณฑล เป็นต้น ซึ่งเมื่อมีผู้ใช้งานเสิร์ชหาคำดังกล่าวแล้วเจอเว็บไซต์เหล่านี้อยู่อันดับต้น ๆ ก็จะคลิกเข้าไปทันทีโดยไม่ทันได้ตรวจสอบให้ดีก่อน เพราะส่วนมาก เว็บไซต์ที่ติดอันดับต้น ๆ ก็มักจะเป็นเว็บไซต์ที่เชื่อถือได้

แนวทางการป้องกัน PHISHING

1. ตรวจสอบชื่อหรือเบอร์โทรผู้ส่งอีเมลหรือข้อความให้ดีก่อน
2. ไม่คลิกลิงก์หรือดาวน์โหลดไฟล์ที่มาจากแหล่งที่ไม่น่าเชื่อถือ
3. ตรวจสอบเนื้อหาภายในข้อความว่าใช้ภาษาที่เป็นทางการ สมเหตุสมผลกับที่ส่งมาจากองค์กรใหญ่ ๆ หรือไม่
4. ติดตั้งโปรแกรมแอนติไวรัส และอัปเดตโปรแกรมอยู่เสมอ เพราะซอฟต์แวร์ที่ไม่ได้รับการอัปเดตมักถูกแฮกได้ง่าย
5. หากตรวจสอบแล้วพบว่าได้รับอีเมล Phishing ให้แจ้ง Microsoft ได้เลย ด้วยการทำให้อีเมลดังกล่าวไปอยู่ใน Junk แล้วเลือก Phishing
6. สังเกต URL ของเว็บไซต์ก่อนเสมอ โดยเว็บไซต์ที่เป็นของจริงจะมี https อยู่ข้างหน้า ไม่ใช่ http เฉย ๆ
7. สำหรับองค์กรที่มีงบประมาณ ควรลงทุนติดตั้งระบบป้องกันภัยคุกคามเพื่อไม่ให้องค์กรตกเป็นเหยื่อ Phishing ได้ง่าย โดยเฉพาะองค์กรที่มีชื่อเสียง มักถูกมิจฉาชีพนำชื่อไปแอบอ้าง

ในการใช้สื่อโซเชียลออนไลน์ให้ปลอดภัยนั้น การระวังตัวจาก Phishing เป็นส่วนหนึ่งที่ทุกองค์กรควรให้ความสำคัญ แต่ยังไม่หมดเพียงเท่านี้ เพราะในโลกเทคโนโลยีที่กว้างใหญ่ มีปัจจัยอีกหลายอย่างที่ผู้ประกอบการต้องเรียนรู้เพื่อนำพาให้ธุรกิจของคุณไปสู่ความสำเร็จที่วัดผลได้ และ Eden Agency เราเป็น บริษัท Digital Marketing Agency ที่พร้อมเป็นที่ปรึกษาธุรกิจการตลาดออนไลน์ให้ทุกท่านแบบครบวงจร โดยมีทีมงานคนรุ่นใหม่ที่มีประสบการณ์ในการทำงานในด้านต่าง ๆ ทั้ง SEO , การตลาด , เว็บไซต์ และการออกแบบ เรื่องกราฟฟิก ด้วยงานที่มีคุณภาพด้านต่าง ๆ ของเราไม่ว่าคุณจะทำธุรกิจอะไรงานของคุณก็จะได้รับการดูแลจากทางเราอย่างดีที่สุด