แคสเปอร์สกี้ (Kaspersky) ออกมาเปิดเผยรายงานความปลอดภัยทางไซเบอร์เกี่ยวกับการโจมตีในประเทศไทยเมื่อปี 2565 พบและบล็อกอีเมลฟิชชิ่งเกือบ 6.3 ล้านรายการ
จากกรณีที่ แคสเปอร์สกี้ ออกมาเปิดเผยรายงาน ในปี 2565 ผลิตภัณฑ์ของแคสเปอร์สกี้ตรวจพบความพยายามในการโจมตีด้วยฟิชชิ่งจำนวน 6,283,745 ครั้งในทำให้ประเทศไทยรั้งอันดับ 3 ที่โดนฟิชชิ่งถูกโจมตีมากที่สุด
แล้ว ฟิชชิ่ง หรือ (Phishing) คืออะไร
ฟิชชิ่ง คือ การหลอกให้เข้าเว็บไซต์ปลอมเพื่อขโมยข้อมูลของเหยื่อ เป็นคำพ้องเสียงกับ Fishing ที่หมายถึง การตกปลา ซึ่งเหยื่อ ก็คือ ปลานั่นเอง
ฟิชชิ่ง Phishing คือ การล่อหลอกเหยื่อเข้าหน้าเว็บไซต์ปลอม ซึ่งทำให้ดูคล้ายกับหน้าล็อกอินของเว็บไซต์จริง จุดประสงค์เพื่อขโมยพาสเวิร์ด และนำไปสู่การขโมยข้อมูลอื่น ๆ โดยเฉพาะในเรื่องธุรกรรมทางการเงิน
Scam (สแคม) คือการแอบอ้างเพื่ออาศัยผลจากความเข้าใจผิด เช่น การสร้างหน้าเว็บไซต์ปลอมแอบอ้างว่าเป็นเว็บไซต์ของบริการที่มีชื่อเสียง หลอกให้ร่วมเล่นเกมเพื่อชิงรางวัล เพื่อขโมยข้อมูลส่วนบุคคล ซึ่งจะนำไปสู่การปลอมแปลงอื่น ๆ เพื่อผลประโยชน์ของผู้ไม่หวังดีต่อไป
การจะสร้างหน้าเว็บไซต์ฟิชชิ่งให้ดูแนบเนียน จำเป็นต้องอาศัยปัจจัยหลายอย่าง นอกจากทำหน้าตาของเว็บไซต์ปลอมให้ดูเหมือนเว็บไซต์จริงแล้ว สิ่งหนึ่งที่จะทำให้เหยื่อสังเกตเห็นความผิดปกติได้ยากคือ URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริง อย่างแนบเนียนมากที่สุด
โจมตีของ ฟิชชิ่ง แบ่งออกเป็น 2 รูปแบบ
- การจดโดเมนที่มีชื่อใกล้เคียงกับโดเมนของบริการที่มีอยู่จริง (Fake Domain)
- การเจาะระบบเว็บไซต์อื่น เพื่อนำหน้าเว็บไซต์ปลอมไปฝังไว้ (Compromised)
ตัวอย่างวิธีการโจมตีด้วย ฟิชชิ่ง มีดังนี้
- ส่งลิงก์ไปทางอีเมล, SMS, โปรแกรมแช็ต, โซเชียลมีเดีย, QR code
แนวทางป้องกันเบื้องต้น
- พิจารณาที่อยู่ผู้ส่ง หัวข้อ เนื้อหาในอีเมล และลิงก์ของเว็บไซต์ปลายทาง
- ไม่ควรคลิกลิงก์จากอีเมล ควรพิมพ์ URL เพื่อเข้าเว็บไซต์โดยตรง
- การสังเกตว่าเว็บไซต์เป็น HTTPS หรือไม่นั้นไม่สามารถช่วยแยกแยะเว็บไซต์ฟิชชิงได้ เพราะเว็บฟิชชิงจำนวนมากใช้ HTTPS แล้ว
- ตรวจสอบกับหน่วยงาน องค์กร ต้นทาง ว่ามีข่าวสารแจ้งเตือนหรือไม่ รวมทั้งติดตามข่าวสารด้าน Cybersecurity จากแหล่งที่น่าเชื่อถือ เช่น ThaiCERT เป็นต้น
แหล่งข้อมูล