โดย…สาธิต บวรสันติสุทธิ์, CFP นักวางแผนการเงิน
เพิ่งเขียนเกี่ยวกับ phishing ไปว่ามักจะมีการแอบอ้างเป็นเว็บไซต์ที่น่าเชื่อถือ เช่น เว็บไซต์ธนาคาร ฯลฯ
มาวันนี้ก็เจอ phishing ที่มาจากหน่วยงานที่คาดไม่ถึงอย่างเช่น ไปรษณีย์ เพราะไม่ได้เกี่ยวกับเรื่องการเงินของเรา ส่วนมิจฉาชีพจะแอบอ้างไปรษณีย์หลอกเงินหรือข้อมูลเราอย่างไร เดี๋ยวเราจะคุยกันครับ
รายละเอียดรูปแบบ Phishing ที่พบบ่อย
1. Email phishing รูปแบบนี้เป็นรูปแบบที่มีโอกาสพบเจอสูงสุด เป็นการ Phishing ด้วยการส่งอีเมลออกไปจำนวนมากทีละหลายล้านคน แบบ “Spray and Pray” เนื้อหาในอีเมลจะไม่มีการเจาะจงไปยังเหยื่อรายไหนเป็นพิเศษ เพราะการหลอกลวงแบบปูพรม แล้วหวังว่าจะมีใครสักคนสองคนที่หลงเชื่อคลิกลิงก์, ดาวน์โหลดไฟล์ หรือทำตามเนื้อหาหลอกลวงในอีเมลก็ถือว่าประสบความสำเร็จแล้ว) วิธีสังเกตว่า email ที่เราได้รับเป็น Email Phishing หรือไม่ ก็จะสังเกตุได้ว่าจะไม่มีระบุข้อมูลที่เป็นลักษณะเฉพาะบุคคล มักจะใช้คำว่า “เรียน ลูกค้า” “เรียนเจ้าของบัญชี ” หรือ ” เรียนสมาชิกผู้มีอุปการคุณ” และบ่อยครั้งจะมีการใช้คำที่สามารถสร้างความหวาดวิตกให้แก่ผู้รับ อย่างเช่น ด่วนที่สุด, ลับเฉพาะ ฯลฯ เพื่อกดดันทางอ้อมให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์ หรือกดลิงก์อันตรายที่แนบมากับอีเมล
2. Spear Phishing “Spear” แปลว่า “หอก” หรือ “ฉมวก” การโจมตีประเภทนี้มักจะมุ่งเป้าไปที่บุคคลหรือบริษัทที่เฉพาะเจาะจง ก่อนส่ง email พวกมิจฉาชีพจะรวบรวมข้อมูลส่วนตัวของเรา เช่น ชื่อ ตำแหน่ง บริษัท ฯลฯ เอามาใช้เพื่อเพิ่มประสิทธิภาพและความน่าเชื่อถือของ email และทำให้เราตกเป็นเหยื่อง่ายขึ้นตามไปด้วย
3. Whaling phishing ก็คือ “Whale” คือ “ปลาวาฬ” Whale phishing ก็คือ“Spear phishing” ที่มุ่งเป้าไปยังปลาวาฬในที่นี้คือบุคคลที่มีตำแหน่งสูง หรือเป็นบุคคลสำคัญในองค์กร
4. Clone phishing “Clone” ก็คือ “การเลียนแบบ” การโจมตีประเภทนี้จึงเป็นการสร้างอีเมลลอกเลียนแบบอีเมลจริง เช่น อีเมลแจ้งเตือนจากธนาคาร เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลสำคัญ โดยมิจฉาชีพจะทำการเปลี่ยนลิงค์หรือไฟล์ที่แนบมากับอีเมลต้นฉบับ นอกจากนี้ อีเมลนี้ยังมักใช้ชื่ออีเมลที่คล้ายคลึงกับชื่อของผู้ส่งอีเมลจริงเพื่อให้ยากต่อการสังเกตุเห็นความผิดปกติ ที่เคยเจอก็เช่น ปลอมเป็นสรรพากร ออกเอกสารเลียนแบบเอกสารสรรพากร มี logo สรรพากรพร้อม หลอกเหยื่อว่าได้รับรางวัลแต่ต้องชำระภาษีก่อนถึงจะได้ โดยระบุชื่อ ที่อยู่ และเลขบัตรประชาชนเหยื่อได้อย่างถูกต้อง
5. Smishing มาจากคำว่า SMS Phishing เป็นรูปแบบการ Phishing ที่โจมตีผ่านทางข้อความสั้น หรือที่เรารู้จักกันในคำว่า “SMS” ซึ่งย่อมาจาก “Short Message Service” โดยมิจฉาชีพจะพยายามโน้มน้าวให้เราคลิกเปิดลิงก์ที่แนบมากับข้อความ SMS เพื่อเข้าสู่หน้าเว็บไซต์ปลอมที่ถูกสร้างเตรียมเอาไว้ แน่นอนว่าในเว็บดังกล่าวก็จะมีช่องให้กรอกข้อมูลส่วนตัวที่สำคัญ ข้อความ smishing ที่ส่งมาหลอกเราก็มีการเปลี่ยนแปลงไปเรื่อยๆ อย่างในช่วงที่ฉีดวัคซีน Covid-19 ก็จะมี smishing หลอกให้ลงข้อมูลเพื่อจองคิวฉีดวัคซีน เป็นต้น
6. Vishing หรือ Voice phishing การฟิชชิ่งด้วยเสียง หรือ แก๊งค์ Call center นั่นเอง วิธีคือ มิจฉาชีพจะปลอมแปลงเบอร์โทรศัพท์ที่ขึ้นแสดงในรายชื่อเบอร์โทรในโทรศัพท์ของเรา โดยทำให้ขึ้นเป็นเบอร์โทรขององค์กรนี่น่าเชื่อถือและเป็นที่รู้จักดี เช่น ธนาคาร เพื่อให้เราหลงกลและกดรับโทรศัพท์ จากนั้นก็จะปลอมตัวเป็นเจ้าหน้าที่และใช้กลยุทธ์ชั้นเชิงในการหลอกล่อให้เราโอนเงินให้ เช่น บัญชีเราถูกอายัด หรือเรามียอดค้างชำระกับธนาคารดังกล่าวอยู่ เป็นต้น
Gogolook ผู้พัฒนาแอพพลิเคชั่นป้องกันการฉ้อโกงชั้นนำระดับโลก ที่รู้จักกันดีในนาม Whoscall แอพพลิเคชั่นระบุตัวตนสายเรียกเข้าที่ไม่รู้จักและป้องกันสแปม แจ้งเตือนภัยจากกลุ่มผู้ไม่หวังดีที่ออกมาหลอกลวงประชาชนโดยการโทรหาเหยื่อและใช้กลโกงให้เหยื่อหลงเชื่อเพื่อหลอกเอาข้อมูลส่วนตัว โดยพบสายหลอกลวงมากกว่า 1.8 ล้านสายในประเทศไทยในช่วงเดือนมค. – ก.ค. 2564 ที่ผ่านมา พฤติกรรมของคนกลุ่มนี้จะใช้วิธีโทรศัพท์เข้าเบอร์ของเหยื่อแล้วอ้างว่าโทรมาจากหน่วยงานต่างๆ เช่น บริษัทโทรคมนาคม ธนาคาร สถาบันการเงิน บัตรเครดิต หรือจากหน่วยงานภาครัฐ เพื่อหลอกถามข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เลขบัตรประชาชน ที่อยู่ บัญชีธนาคาร เลขบัตรเครดิต และหมายเลข OTP เป็นต้น
7. BEC: Business Email Compromise เป็นการโจมตีผ่านการแฝงตัวเป็นผู้บริหาร โดยมิจฉาชีพจะปลอมแปลงตนเป็นผู้บริหารชั้นอาวุโสเพื่อหลอกลวงพนักงาน ลูกค้า และผู้ขายเพื่อโอนถ่ายการชำระเงินค่าสินค้าหรือบริการมายังบัญชีธนาคารอื่นแทน โดยข้อมูลจาก FBI’s 2019 Internet Crime Report ระบุว่าการโจมตีแบบ (BEC) ถือเป็นการโจมตีที่สร้างความเสียหายและมีประสิทธิภาพมากที่สุดในบรรดาอาชญากรรมไซเบอร์ทั้งหมดในปี 2019
8. Phishing through Search Engines เป็นการฟิชชิ่งด้วยการทำเว็บปลอม เช่น เว็บขายของออนไลน์ปลอมๆ ซึ่งนำเสนอสินค้าราคาถูกกว่าเจ้าอื่นในตลาดที่เราสามารถเสิร์ชเจอได้จาก search engine ต่างๆ เช่น google จากนั้นเว็บก็จะหลอกให้เรากรอกข้อมูลส่วนตัวเพื่อสมัครสมาชิกหรือเพื่อสั่งซื้อของ ซึ่งมิจฉาชีพก็จะขโมยข้อมูลของเราไปในตอนนั้น
……………………………………………………..
อ่านบทความอื่นๆ
ความจริงความคิด : อย่ากินเหยื่อที่เขาล่อ Phishing กลโกงออนไลน์ ตอนที่ 1
ความจริงความคิด : วัฏจักรเศรษฐกิจกับการลงทุน
ความจริงความคิด : กลโกงทางการเงิน 1
ความจริงความคิด : ธนาคารมีคุ้มครองเงินฝาก ประกันชีวิตก็มีเหมือนกัน
ความจริงความคิด : เมื่อนายจ้างไม่ส่งเงินสมทบประกันสังคม ลูกจ้างเสียอะไร
ความจริงความคิด : ซื้อของออนไลน์ป้องกันโกง ทำยังไง?
ความจริงความคิด : เรื่องต้องรู้ ลดหนี้ด้วยวิธีรีไฟแนนซ์
ความจริงความคิด : ความเสี่ยงของวัยเกษียณ