fbpx
Blogs 30 November 2021

Phishing Attack มิจฉาชีพยุคไซเบอร์ มาไม้ไหนต้องตั้งรับให้เป็น

ช่วงนี้ใครหลายคนอาจเคยพบเหตุการณ์เหล่านี้ นอนหลับฝันได้เงินหมื่น นอนตื่นกลับพบว่าเงินหาย หายไปจากบัญชีเฉยๆ แบบไม่มีอะไรมากั้น เมื่อสำรวจตรวจสอบดูมักพบว่าเป็นยอดเรียกเก็บจากการใช้จ่ายต่างประเทศ หรือการนำมาซื้อไอเท็มเกมออนไลน์ต่างๆ ยาวเป็นหางว่าว ทั้งที่เราไม่เคยเล่นเกมเหล่านั้น เมื่อเปิดดูข่าว ก็ไม่รู้จะดีใจหรือเศร้าใจเมื่อพบเพื่อนร่วมชะตากรรมถูกโจรกรรมข้อมูลทางบัญชีรวมมูลค่าความเสียหายมากกว่าร้อยล้านบาทในเดือนที่ผ่านมา

การหักเงินในบัญชีผิดปกติ เป็นประเด็น Cyber Security ที่เข้ามาท้าทายการทำธุรกรรมที่แทบจะเคลื่อนย้ายตัวสูโลกอินเทอร์เน็ตเกือบหมดแล้ว เมื่อผู้ให้บริการหลายรายทั้งในแวดวงโรงพยาบาล สายการบิน อีคอมเมิร์ซ โรงแรม และธนาคาร ต่างออกมายอมรับว่า ถูกเจาะฐานข้อมูลทำให้ข้อมูลส่วนตัวของผู้ใช้งานรั่วออกไปสู่ตลาดมืด

ทว่านอกจากความบกพร่องที่ตัวระบบรักษาความปลอดภัยแล้ว มีกรณีอีกไม่น้อยเช่นกัน ที่ตัวผู้ใช้งานเองนี่แหละ เป็นคนที่เปิดช่องให้อาชญากรในโลกไซเบอร์เข้ามาล้วงลับข้อมูลส่วนตัวไปแบบไม่ทันรู้ตัว รูปแบบที่พลั้งเผลอกันบ่อยๆ หนีไม่พ้นอีเมลหรือข้อความสั้นทางโทรศัพท์ (เอสเอ็มเอส) ปลอมแปลงเป็นธนาคารหรือผู้ให้บริการต่างๆ อย่างน่าเชื่อถือ แถมปั้นแต่งเนื้อหาทำให้เรารู้สึกว่าตกใจ ฉงนสงสัย หรือวิตกจริต จนต้องรีบกดลิงค์เข้าไปดู เช่น บอกว่า คุณถอนเงินสำเร็จแล้ว! หรือบอกให้เปลี่ยนพาสเวิร์ดด่วน มิเช่นนั้นจะถูกระงับการใช้งาน ด้วยความตกใจเราอาจเผลอคลิกลิงค์ปลอมนั้น เท่านี้ข้อมูลพาสเวิร์ด หรือบัตรเครดิตคุณก็เรียบร้อยโรงเรียนโจรทันที

สิ่งเหล่านี้เรียกว่า Phishing Attack หรือการหลอกลวงข้อมูลโดยใช้จิตวิทยาผ่านระบบคอมพิวเตอร์ มักมาในรูปแบบของข้อความทางโทรศัพท์ อีเมล หรือบนเว็บไซต์ เพื่อให้เราเข้าใจอาณาจักรแห่งการตบทรัพย์ในโลกอินเทอร์เน็ต ลองมาทำความรู้จักวิธีการโจรกรรมที่พบเห็นบ่อยๆ ว่าอยู่ในรูปแบบใดบ้าง เพื่อจะได้ป้องกันและหลีกเลี่ยงการถูกดูดข้อมูล และตกเป็นเหยื่อของมือขยันที่มาช่วยเราใช้เงินแบบไม่ได้เชื้อเชิญ

1. QR code phishing


เป็นภัยเงียบที่มาอย่างแนบเนียนมากขึ้นในยุคที่มีการระบาดของไวรัส เนื่องจากผู้ใช้งานมีความต้องการบริการแบบไร้สัมผัส (Touchless) มากขึ้น การสแกนคิวอาร์โค้ดที่แสนจะสะดวกรวดเร็วตอบโจทย์นั้น จึงได้รับความนิยมอย่างแพร่หลาย ไม่ว่าจะเป็นดูเมนูอาหาร ไปจนถึงเช็คอินขึ้นเครื่องบิน การที่คนร้ายสร้างคิวอาร์โค้ดขึ้นมา แล้วนำไปวางบนเว็บไซต์หรืออีเมลเพื่อให้เหยื่อให้สแกนแล้วส่งข้อมูลกลับผ่านมัลแวร์ที่ฝังไว้ในเว็บไซต์นั้นๆ จึงสามารถจู่โจมข้อมูลของเหยื่อได้ทันที

สิ่งที่น่ากลัวสำหรับวิธีนี้คือ กรอบสี่เหลี่ยมที่มีพิกเซลขาวดำหน้าตาคล้ายกันหมด จึงยากที่จะบอกว่าคิวอาร์โค้ดไหนจะจูงมือเราไปสู่เส้นทางจริงหรือเส้นทางโจร ดังนั้นวิธีการป้องกันเบื้องต้นที่ดีคือ ดูแหล่งที่มาของคิวอาร์โค้ดนั้นประกบมา อย่าสุ่มสี่สุ่มห้าสแกนผ่านอีเมลต้องสงสัย แม้กระทั่งอีเมลของเพื่อน เพราะอีเมลนั้นอาจถูกแฮกมาก่อนแล้วก็ได้ หรืออย่าไปหลงสติกเกอร์ที่แปะตามป้ายรถเมลหรือพื้นที่สาธารณะ หากไม่เหลือบ่ากว่าแรง การพิมพ์ URL เข้าเว็บไซต์ด้วยตัวเองได้ย่อมปลอดภัยที่สุด

2. Smishing Phishing


การโจมตีผ่านข้อความเอสเอ็มเอส โดยผู้ส่งจะใช้ข้อความกระตุ้นโน้มน้าวให้ผู้ใช้งานคลิก URL ที่ส่งมาด้วย ส่วนใหญ่จะใช้เทคนิคการหลอกลวงแบบที่ทำให้คนขาดสติและกดเข้าไปดูแบบชั่ววูบแบบไม่ทันยั้งคิด โดยอ้างว่าเป็นการส่งจากหน่วยงานหรือบริษัทที่มีความน่าเชื่อถือ หรือบางครั้งก็ส่งข้อความมาเป็นเหยื่อล่อชั้นที่หนึ่งให้ผู้ใช้โทรติดต่อกลับไป เช่น มีข้อความแสร้งว่าเป็นธนาคาร บอกว่าคุณมียอดใช้จ่ายน่าสงสัยให้รีบตรวจสอบด่วนหากใครขวัญอ่อนหลงเชื่อโทรเข้าไปจริงๆ ก็จะมีขบวนการรอปอกลอกข้อมูลส่วนตัวของคุณอยู่อย่างเป็นกระบวนการ

วิธีป้องกันตัวเองจากการเป็นเหยื่อ อาจจะง่ายหน่อยแต่ต้องใช้ความอดทนมากหน่อย คือเมินเฉยต่อข้อความเหล่านั้น และ Report Junk ด้วยเพื่อให้ผู้บริการเครือข่ายทราบความผิดสังเกต แม้ปัจจุบันบริษัทผู้ให้บริการเครือข่ายการติดต่อสื่อสาร ให้สิทธิผู้บริโภคในการงดรับเอสเอ็มเอสขยะเหล่านั้น เช่น ให้กด *137 แต่ปรากฎว่าการส่งข้อความแปลกๆ ก็ยังเล็ดลอดมีให้เห็นเป็นระยะ ดังนั้นการระวังตัวเอง ไม่กด URL ต้องสงสัย หรือตรวจสอบเบอร์โทรศัพท์ให้แน่ชัดก่อนจะโทรกลับหาใคร น่าจะเป็นการพึ่งพาตัวเองได้ดีที่สุด

3. Email Phishing


เป็นวิธีที่แพร่หลายและพบเจอได้บ่อยมาก ไม่ว่าจะในบริษัทหรือการใช้งานส่วนบุคคล และนักโจรกรรมเหล่านั้นจะใช้วิธีส่งปูพรมจำนวนมากแบบไม่เลือก เพราะหากมีคนหลงติดกับขึ้นมาหนึ่งหรือสองคนก็ถือว่าประสบความสำเร็จแล้ว และต้องยอมรับว่าสมัยนี้การใช้ Email Phishing ยิ่งทำได้แพรวพราวแนบเนียนมากขึ้นไปอีก เพราะมีการออกแบบใช้โลโก้หรือกระทั่งชื่ออีเมลที่คล้ายคลึงกับเจ้าของผลิตภัณฑ์ตัวจริงเสียงจริงมาก เช่น อีเมลหลอกหลวงจากธนาคารปลอม บริษัทขนส่งปลอม อีคอมเมิร์ซปลอม

วิธีการป้องกันตัวเองจากภัยเหล่านั้น ถึงจะเป็นเรื่องท้าทายมากขึ้น แต่หากทำตามหลักการต่อไปนี้ โอกาสจะตกเป็นเหยื่อย่อมน้อยลง เริ่มจากการตระหนักรู้เสมอว่า บริษัทหรือหน่วยงานทางการตัวจริงเสียงจริง มักจะไม่ขอข้อมูลส่วนตัวกันทางอีเมลแน่นอน หากมีอีเมลส่งมาพร้อมให้คลิกลิงค์เพื่อยืนยันข้อมูล มั่นใจได้เลยว่า Scam แท้แน่นอน และขอให้กด Report แบบรัวๆ

นอกจากนี้ ยังมีองค์ประกอบอื่นๆ ที่ของแท้มักจะมีแต่ของเทียมมักจะพลาด เช่น การระบุชื่อเรียกตัวเราได้อย่างถูกต้อง แทนที่จะใช้คำกลางๆ อย่าง “ท่านลูกค้าที่เคารพ” และเมื่อเลื่อนไปดูอีเมลที่ทำการติดต่อ ควรแน่ใจว่าเป็นโดเมน อีเมลของบริษัทเหล่านั้นจริง ไม่ใช่แค่คล้ายคลึงแต่สะกดคลาดเคลื่อน อีกทั้งการใช้ภาษาก็บ่งบอกได้เช่นกัน เพราะอีเมลหลอกลวงนั้นมักจะสะกดผิดหรือใช้ไวยากรณ์แปร่งประหลาดเสมอ และต้องจำไว้ว่าอีเมลของแท้เป็นทางการ มักจะไม่บังคับให้คุณกดเข้าลิงค์หรือกดเปิดไฟล์แนบใดๆ มาเด็ดขาด หากสงสัยในลิงค์ใดๆ สามารถเลื่อนเมาส์ไปวางบน URL นั้น (ห้ามกดเด็ดขาด) เพื่อเช็คอีกครั้งว่าเป็นที่อยู่ของเว็บไซต์ที่ดูต้องสงสัยว่าเป็นตัวปลอมหรือเปล่า

4.  Vishing


น่าจะเคยได้ยินกันมานานสำหรับคำว่า “แก๊งคอลเซ็นเตอร์” ที่อยู่ยืนยงคู่การฉกข้อมูลเพื่อหลอกเงินผู้คนมาหลายทศวรรษแบบรักเราไม่เก่าเลย Vishing หรือที่ย่อมาจาก Voice Phishing ก็คือการหลอกล่อด้วยการโทรเข้าไปหาเหยื่อแบบซื่อๆ นี่แหละ แล้วใช้กลวิธีหลอกถามข้อมูลส่วนตัวที่เกี่ยวข้องกับธุรกรรมการเงิน โดยส่วนใหญ่จะมาในมุกสร้างสถานการณ์บีบคั้นให้เรารู้สึกเร่งรีบและยอมจำนน เช่น แสร้งว่าเป็นธนาคารบอกว่ามีการถอนเงินจากบัญชีผิดปกติ ขอให้เราให้ข้อมูลยืนยันตัวตนมา หรือบางรายก็ใช้เงินรางวัลก้อนโตเป็นเหยื่อล่อ เช่น แจ้งข่าวดีว่าเราเป็นผู้โชคดีถูกรางวัลพิเศษ แต่ต้องจ่ายเงินบางส่วนก่อน ที่ผ่านมามีไม่น้อยเลยที่ผู้คนที่ขาดความรู้เรื่องการ Phishing ด้วยวิธีการนี้ ต้องตกเป็นเหยื่อแบบประเคนข้อมูลให้แบบเต็มใจให้หลอก

เมื่อวันดีคืนดีคุณได้รับสายปริศานาเหล่านั้น ตั้งสติให้มั่นแล้วลองตรวจสอบข้อมูลดูดีๆ ก็จะพบว่าแทบจะเป็นไปไม่ได้เลย เช่น คุณอาจไม่เคยใช้บริการของธนาคารแห่งนั้น หรือไม่เคยสั่งสินค้ากับเว็บไซต์นี้มาก่อน หรืออาจเคยทำธุรกรรมแต่ก็ไม่ใช่ช่วงเวลานี้ อย่าให้ข้อมูลส่วนตัวใดๆ ทั้งสิ้น และพยายามตรวจสอบยืนยันกลับ เช่น ขอชื่อและเบอร์โทรติดต่อกลับ เพื่อให้เราเช็คได้ว่าตรงกับเบอร์ติดต่อเป็นทางการตัวจริงหรือเปล่า

นอกจากนั้น เราอาจจะใช้แอปพลิเคชันอย่าง Whoscall ที่บอกได้ว่า นั่นเป็นเบอร์ต้องสงสัยหรือเปล่า เพราะมีฐานข้อมูลเบอร์โทรขนาดใหญ่ และสามารถบล็อกเบอร์โทรที่มีความเสี่ยงเหล่านั้นได้ทันที


5. Search Engine Phishing


รูปแบบใหม่ของการหลอกลวงในโลกไซเบอร์ ที่มาพร้อมกับการทุ่มทุนสร้างเว็บไซต์ปลอมขึ้นมาทั้งดุ้น แล้วนำเสนอสินค้ามีส่วนลดล่อใจ ให้บริการเสริม เงินกู้ดอกเบี้ยต่ำ แจกของฟรี เปิดสมัครงาน โดยเจ้าเว็บไซต์เหล่านี้จะโผล่ขึ้นมาเป็นอันดับต้นๆ หลังจากเรากรอกคำค้นหาใน Search Engine ทำให้คนหลงเชื่อว่าเป็น Offical Website แน่นอน เพราะพอส่องหน้าตาของเว็บไซต์แล้ว บางครั้งแทบจะแยกแยะความแตกต่างไม่ออก เมื่อเข้าไปแล้วหลงให้ข้อมูลส่วนตัว เพื่อแลกกับสิ่งล่อใจปลอมๆ เหล่านั้น จึงต้องเป็นเหยื่อไปโดยปริยาย

เมื่อเจอวิธีการสุดแนบเนียนนี้เขาไป หลายคนอาจจะทดท้อและถอนหายใจว่า “โลกนี้ช่างอยู่ยาก” แต่เดี๋ยวก่อนอย่าเพิ่งยอมแพ้ หลักการเอาตัวรอดจาก Search Engine Phishing นั้น ตามจริงก็ไม่ต่างจากข้ออื่นๆ คือ ต้องระมัดระวังในการเผยแพร่ข้อมูลส่วนตัวของเราให้มาก และต้องจดจำไว้ว่าหากเป็นเว็บไซต์ทางการ เขาจะไม่ขอข้อมูลที่มีความอ่อนไหวเหล่านั้นแน่นอน อย่าไปลงทะเบียนง่ายๆ เพียงแค่เห็นแก่ของฟรีแสนถูกแบบพิสดาร และพวกเว็บไซต์เสนองานทำก็เช่นกัน แม้ว่าเว็บปลอมเรานั้นจะแนบลิงค์ของบริษัทจริงมาให้ดูแนบเนียน แต่ควรไปเช็คให้รอบคอบที่บริษัทต้นทาง ก่อนให้ข้อมูลกับตัวปลอมเหล่านั้นไป

Phishing Attack อาจเข้ามาคุกคามมากขึ้นหากวันหนึ่งข้อมูลส่วนตัวของเรา เช่น เบอร์โทรศัพท์และอีเมลรั่วไหลจากฐานข้อมูลของผู้ให้บริการที่เราเคยทำธุรกรรมไว้ การรู้จักวิธีป้องกันดังที่กล่าวมา รวมถึงตื่นตัวกับความเคลื่อนไหวแปลกๆ ที่เข้ามาประสงค์ร้าย หมั่นตั้งกำแพงตั้งรับไว้เสมอ เช่น เปลี่ยนพาสเวิร์ดให้มีความซับซ้อนสูง หรือใช้ Two factor authentication หรือ Multi factor authentication ตั้งค่าอีเมลป้องกันอีเมลขยะ แจ้งผู้ให้บริการเครือข่ายยกเลิกข้อความขายสินค้า และไม่หลงให้ข้อมูลส่วนตัวอย่างเด็ดขาด หากพิสูจน์ที่มาอย่างเป็นทางการไม่ได้ ย่อมช่วยให้เราอยู่รอดปลอดภัยได้แน่นอน

ขอบคุณข้อมูลจาก เซนส์ – เทวนาถ คลังนาค Software Tester จากทีม Digital Excellence & Delivery

ข้อมูลเพิ่มเติม

[1], [2], [3], [4], [5], [6]