รู้จัก Phishing
"Phishing" การหลอกลวงผ่านอินเทอร์เน็ต พ้องเสียงมาจากคำว่า Fishing หมายถึงการตกปลา เป็นการเปรียบเทียบว่า มิฉาชีพจะใช้เหยื่อล่อมาหลอกลวง ส่วนใหญ่แล้วจะมาในรูปแบบของอีเมล เว็บไซต์ และสื่อสังคมออนไลน์รูปแบบต่าง ๆ เพื่อที่จะหลอกให้ผู้ใช้กรอกข้อมูลส่วนบุคคลที่เป็นความลับ ไม่ว่าจะเป็นรหัสผ่าน หมายเลขบัตรประชาชน เลขที่ Passport รวมไปถึงข้อมูลลับทางการเงิน ทั้งเลขที่บัญชีและรหัสผ่าน หรืออาจจะเป็นการหลอกให้กดยอมรับและติดตั้งมัลแวร์แปลก ๆ เข้าสู่อุปกรณ์อิเล็กทรอนิกส์ของตัวเอง และใช้ประโยชน์หลังการติดตั้งมัลแวร์อีกที เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน ทำให้ผู้อ่านหลงเชื่อว่าเป็นความจริงจนตกเป็นเหยื่อ
อย่างไรก็ตาม มันไม่ใช่การล่อลวงธรรมดา ๆ ที่เราอาจรู้ได้ทันทีว่าหลอกลวง แต่มักจะมีการใช้วิธีทางจิตวิทยาเข้าร่วมด้วยเพื่อให้ดูน่าเชื่อถือมากขึ้น หรือเล่นกับความรู้สึกของคน
ดังนั้น ภัย Phishing จึงเป็นการหลอกลวงอย่างมีศิลปะชวนให้เชื่อ ซึ่งจะทำให้เราหลงเชื่อได้ง่ายกว่า โดยอาจจะมาในรูปของอีเมลแจ้งเตือนทั้งจากธนาคาร เว็บไซต์สื่อสังคมออนไลน์ที่เราใช้งานกันเป็นประจำ ที่พอเราได้เห็นชื่อของผู้ส่งข้อความก็จะเกิดความเชื่อว่าปลอดภัยและยอมทำตามโดยง่าย หรืออาจมีการล่อลวงด้วยของฟรี เพื่อเล่นกับความรู้สึกอยากได้ของฟรีของมนุษย์ เช่น กดลิงก์นี้ก็จะได้รับเงินง่าย ๆ หรือหลอกลวงด้วยชื่อของสายการบินดัง โดยอ้างว่าคุณได้รับตั๋วเครื่องบินฟรี กดลิงก์นี้เพื่อรับตั๋วเครื่องบิน
โดยทั่วไป Phishing จะนิยมให้กดที่ลิงก์ที่แนบมาด้วย เพื่อพาเราไปยังหน้าเว็บอื่นเพื่อทำการกรอกข้อมูล แน่นอนว่าเว็บที่ลิงก์พาเราไปนั้น ก็จะทำเลียนแบบเว็บไซต์ของหน่วยงานหรือองค์กรที่มีอยู่จริงจนเกือบจะเหมือนกับต้นฉบับ หรืออาจจะแสร้งทำเป็นหน่วยงานปลอม ๆ ที่ไม่มีอยู่จริง แต่ทำหน้าตาเว็บไซต์ให้ดูน่าเชื่อถือก็ได้เช่นกัน
วิธีการที่ Phishing พยายามล้วงข้อมูลจากเรา มักเกี่ยวข้องกับ สิ่งสำคัญต่างๆ เหล่านี้
บัตรเครดิต / บัญชีธนาคาร
เร่งเหยื่อโดยกำหนดเงื่อนไขเวลา เพื่อให้รีบตัดสินใจคลิก URL โดยไม่คิดอะไรมาก เพื่ออัพเดทข้อมูลภายในเวลาที่กำหนด โดย Username / Password มักถูกดักจับทันที
อีเมลปลอม
เป็นคนรู้จักส่งอีเมลเพื่อลวงให้เหยื่อทำอะไรบางอย่าง รวมถึงการให้โอนเงินให้ หรือ ให้ดูเหมือนของหน่วยงานที่น่าเชื่อถือ เช่น ธนาคารโดยเขียนข้อความในอีเมลเชิงหลอกล่อเพื่อให้เหยื่อส่งข้อมูลส่วนตัวกลับไป
เว็บไซต์ปลอม
โดยใช้ Domain ที่มีชื่อที่ใกล้เคียงเว็บไซต์จริงหรือใช้ชื่อที่ผู้มักพิมพ์ผิดบ่อย ๆ ซึ่งเป็นช่องทางที่จะนำไปสู่บัญชีเก็บเงินของลูกค้า เมื่อเหยื่อหลงเชื่อกรอกข้อมูล รหัสประจำตัว และ Password มิจฉาชีพก็สามารถเข้าถึงและทำธุรกรรมทางการเงินของเราได้ทันที
ช่องทางในการล่อเหยื่อ
ทางโทรศัพท์ (Phone Call PHISHING)
อีเมล (Email PHISHING)
เว็บไซต์ (Website PHISHING)
ข้อความสั้น (SMS PHISHING)
โซเซียล มีเดียต่างๆ (Social Media PHISHING)
5 แนวทางป้องกัน "Phishing"
ระวัง : ไม่แชร์ข้อมูลส่วนตัวบนโลกออนไลน์ เช่น Facebook และ LinkedIn เนื่องจากแฮกเกอร์มืออาชีพมัก ชอบหาเบาะแสและศึกษาปูมหลังของเหยื่อเพื่อให้ได้แนวทางการสวมรอยเพื่อส่งอีเมลปลอมไปหาเหยื่อ
สังเกตุ : Domain ของเว็บไซต์ที่ส่งมา โดนทั่วไปผู้ไม่ประสงค์ดีมักชอบจดชื่อที่ผู้ใช้ชอบพิมพ์ผิดหรือชื่อที่ดูเผินๆ แล้วใกล้เคียงกับชื่อองค์กร ไม่คลิกลิงก์ที่แนบมาในอีเมล์ของคนที่เราไม่รู้จัก
ปกป้อง : บัญชีออนไลน์ของเราให้ดี เพื่อป้องกันกรณีถูกขโมยข้อมูลส่วนบุคคล ควรใช้มาตรการการยืนยันตนแบบสองปัจจัย (2FA) เป็นมาตรฐานความปลอดภัยหลัก
ตรวจสอบ : มองหาไอคอนรูปกุญแจ + https โดยปกติธนาคารจะใช้งาน HTTPS เพื่อป้องกันการโจมตีทางเครือข่าย ดังนั้นควรสังเกตให้แน่ใจว่าเว็บไซต์ที่ทำธุรกรรมออนไลน์เป็น HTTPS ก่อนให้ข้อมูลส่วนตัว
สงสัย : รับอีเมลให้คลิกลิงก์ หรือมีคนโทรสอบถามข้อมูลส่วนตัว หรือข้อมูลบัตรเครดิต เแอบอ้างองค์กรที่มีชื่อเสียง ก่อนให้ข้อมูลลองติดต่อ Call Center เบอร์โทรด้านหลังบัตรก่อน
และทั้งหมดนี้ คือ การหลวงลวงผ่านการหลอกให้ตอบแบบสอบถามด้วยวิธีต่าง ๆ หวังว่าทุกคนน่าจะพอเอาไปใช้ระวังตัวกันได้นะ