Home > Medias & Articles > Cyber Threat The Series : Ep.02 Phising
Back
March 12, 2022

Cyber Threat The Series : Ep.02 Phising

Wannakorn Bangpisuttikul

รู้จัก ‘Phishing’ การหลอกลวงทางไซเบอร์ที่สร้างความเสียหายมหาศาล

ในโลกไซเบอร์นั้น สำนวนที่ว่า “รู้หน้าไม่รู้ใจ” นั้นไม่เกินจริง คนที่ดูคุ้นเคยอาจไม่ใช่ตัวจริง หน้าเว็บหรือลิงก์ที่ดูคุ้นตา เมื่อคลิกไปแล้วก็กลายเป็นว่าเผลอติดกับดักของอาชญากรโดยไม่รู้ตัว การหลอกลวงแบบรู้หน้าไม่รู้ใจในรูปแบบนี้เองมีชื่อเรียกว่าการ ‘Phishing’ ซึ่งเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่พบได้เป็นประจำ อีกทั้งยังทำได้ไม่ยาก ต้นทุนไม่สูง แต่กลับสร้างความเสียหายได้อย่างมหาศาล

Phishing มาจากไหน?

Phishing คือหนึ่งในภัยคุกคามทางไซเบอร์ในประเภทของการทำ Social Engineering โดยเป็นการหลอกลวงทางจิตวิทยาผ่านการปลอมตัวเป็นองค์กรหรือบุคคลที่ดูน่าเชื่อถือ เพื่อหลอกล่อให้เหยื่อตายใจและยินยอมให้ข้อมูลสำคัญ เช่น ข้อมูลทางการเงิน หรือรหัสผ่าน ทำให้อาชญากรสามารถบรรลุเป้าหมายในการโจรกรรมข้อมูล การโจรกรรมเงิน หรือการขโมยตัวตนบนโลกไซเบอร์ได้ในที่สุด

Phishing ไม่เพียงเล็งเหยื่อไปที่คนทั่วไป แต่ยังเน้นไปที่องค์กรขนาดใหญ่ หรือแม้กระทั่งรัฐบาลที่มีข้อมูลที่มีมูลค่าสูงเช่นเดียวกัน โดยหากมีพนักงานพลาดตกเป็นเหยื่อ ก็สามารถทำให้อาชญากรเข้าถึงอุปกรณ์ของพนักงานคนนั้นได้ จากนั้นการจะเข้าควบคุมระบบเครือข่ายทั้งองค์กรก็ไม่ใช่เรื่องยากอีกต่อไป จากผลสำรวจแสดงให้เห็นว่าบริษัทใหญ่ ๆ ในสหรัฐอเมริกาต่างพลาดท่าตกเป็นเหยื่อให้กับภัยทางไซเบอร์ประเภทนี้ จนสร้างความเสียหายมูลค่าโดยเฉลี่ยกว่า 15 ล้านดอลลาร์สหรัฐฯ ต่อปีเลยทีเดียว เรียกได้ว่าเป็นภัยง่าย ๆ จิ๋ว ๆ แต่สร้างผลกระทบได้อย่างใหญ่หลวง

ประเภทของ Phishing มีอะไรบ้าง?

การโจมตีทางไซเบอร์ในรูปแบบ Phishing สามารถแบ่งออกได้มากมายหลายประเภทตามวิธีการและช่องทางที่ใช้ ในที่นี้จะขอยกตัวอย่างแค่บางประเภทที่มักพบได้ทั่วไป

1. Spear PhishingSpear Phishing คือการโจมตีด้วยวิธี Phishing แบบเจาะจงตัวบุคคล โดยอาจเป็นการมุ่งการโจมตีไปที่บุคคลใดบุคคลหนึ่ง หรือองค์ใดเป็นการเฉพาะก็ได้ กรณีที่เป็นการเจาะจงไปที่ผู้บริหารหรือบุคลากรระดับสูงขององค์กร ก็จะเรียกการทำ Phishing ในลักษณะนั้นว่า “Whaling”

2. Email Phishingการทำ Phishing ผ่านอีเมลถือเป็นหนึ่งในเทคนิคการโจมตีที่เล่นกับจำนวน โดยอาชญากรไซเบอร์จะส่งอีเมลที่ได้ทำการปลอมแปลงขึ้นมาออกไปเป็นจำนวนมาก วิธีนี้อาจดูหวังผลได้น้อย แต่ลองสมมติดูว่าหากมีคนหลงเชื่อจำนวน 10% จากจำนวนที่ส่งไปทั้งหมด แต่หากส่งออกไปหมื่นฉบับ ก็แปลว่ามีผู้ตกเป็นเหยื่อถึงหนึ่งพันคน นับเป็นหนึ่งในการโจมตีทางไซเบอร์ที่ประมาทไม่ได้เลยทีเดียว

3. VishingVishing เป็นเทคนิคการหลอกลวงผ่านการโทร (Voice Call) หาเหยื่อ พร้อมแอบอ้างตัวตนที่ดูน่าเชื่อเพื่อตบตาเหยื่อ จากนั้นจึงยื่นข้อเสนอที่ดูล่อตาล่อใจ หรืออาจข่มขู่เรียกทรัพย์ก็ได้กรณีข่าวของขบวนการมิจฉาชีพโทรแอบอ้างเป็นเจ้าหน้าที่ DHL ไล่หลอกลวงประชาชนที่โด่งดังไปทั่วประเทศ สร้างมูลค่าความเสียหายมากกว่าสิบล้านบาท ก็ใช้วิธีการโจมตีแบบ Vishing ด้วยเช่นกัน

4. Smishingหรือ SMS phishing เป็นการทำ Phishing โดยใช้ข้อความมือถือ SMS เป็นสื่อกลางการโจมตี และมีลักษณะการโจมตีที่เหมือนกับ Email Phishing นั่นคืออาชญากรไซเบอร์จะส่งข้อความ SMS ชวนเชื่อออกไปเป็นจำนวนมาก และยังแนบลิงก์อันตรายเอาไว้ด้วย เมื่อเหยื่อเข้าลิงก์ดังกล่าว ก็อาจถูกมิจฉาชีพต้มตุ๋นหลอกลวง ถูกหลอกถามข้อมูลส่วนตัว หรืออื่น ๆ ที่อาจนำไปสู่การสูญเสียทรัพย์สินได้

จะป้องกัน Phishing ได้อย่างไร?

1. หลีกเลี่ยงการคลิกลิงก์ที่มีข้อความกระตุ้นความสนใจ เช่น ได้รับข้อเสนอที่ให้ผลตอบแทนง่าย และไม่ต้องลงทุน หรือข้อความที่กระตุ้นให้คลิกทันที

2. ควรตรวจสอบที่อยู่อีเมลของผู้ส่งทุกครั้งที่ได้รับอีเมล และไม่ควรดาวน์โหลดไฟล์หรือคลิกลิงก์ใด ๆ ที่ดูน่าสงสัย

3. ใช้งานโปรแกรม Antivirus เพื่อป้องกัน Malware หรือภัยคุกคามอื่น ๆ ที่แฝงมากับการ Phishing

4. ทำการตั้งค่าเบราว์เซอร์ให้มีการแจ้งเตือนเมื่อเรากำลังจะเข้าสู่เว็บไซต์ที่ดูไม่ปลอดภัย

5. อย่าใช้รหัสผ่านเดียวกันในทุก ๆ บัญชี และรหัสผ่านควรมีความยาวที่พอเหมาะและไม่ใช้คำหรือตัวเลขที่คาดเดาง่าย เช่น วันเกิด, ชื่อเล่น, 1234 เป็นต้น

หากทำตามคำแนะนำข้างต้นอย่างเคร่งครัดก็จะสามารถหลีกเลี่ยงการตกเป็นเหยื่อของการ Phishing ได้อย่างแน่นอน

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

References :

Imperva., 2021. Study: Phishing attacks[online]

Imperva. Available at: <https://www.imperva.com/…/applica…/phishing-attack-scam/> [Accessed 13 December 2021].IT Governance., 2021. Phishing attacks and how to avoid them [online] IT Governance. Available at: <https://www.itgovernance.co.uk/phishing> [Accessed 13 December 2021].Phishing.org., 2021. What Is Phishing? [online] Phishing.org. Available at: <https://www.phishing.org/what-is-phishing> [Accessed 13 December 2021].SC Media., 2021. Study: Phishing scams cost large US companies about $15 million a year [online] SC Media. Available at: <https://www.scmagazine.com/…/study-phishing-scams-cost…> [Accessed 13 December 2021].