Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น ในบทความนี้จะเน้นในเรื่องของ Phishing ที่มีจุดมุ่งหมายเพื่อหลอกลวงทางการเงิน เนื่องจากจะทำให้ผู้อ่านมองเห็นผลกระทบได้ง่าย

คำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่าย ๆ ผู้อ่านสามารถจินตนาการได้ว่า เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อที่เด่น ๆ ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าอีเมลฉบับนั้นถูกส่งออกมาจากธนาคารที่ผู้เสียหายใช้บริการอยู่ โดยเนื้อความในอีเมลแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า และธนาคารต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล เป็นต้น เมื่อผู้เสียหายคลิกที่ลิงก์ดังกล่าว ก็จะพบกับหน้าเว็บไซต์ปลอมของธนาคารซึ่งผู้โจมตีได้เตรียมไว้ เมื่อผู้เสียหายเข้าไปล็อกอิน ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านของผู้เสียหายไปในทันที ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น

หน้าเว็บไซต์ปลอมบางหน้าจะใช้วิธีการที่แยบยล นั่นคือการฝังโทรจันที่สามารถขโมยข้อมูลที่ต้องการมากับหน้าเว็บไซต์ปลอมนั้นด้วย เช่น โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน ของระบบนั้นก็จะถูกส่งไปยังผู้ไม่ประสงค์ดี

ตัวอย่างของอีเมลและหน้าเว็บไซต์หลอกลวง มีอยู่มากมายเต็มไปหมดในโลกอินเทอร์เน็ต เช่นรูปที่ 2 ด้านล่าง เป็นรูปของสถาบันทางการเงินแห่งหนึ่ง หากสังเกตดีๆ จะเห็นว่า URL ที่แสดงขึ้นมา ไม่ใช่ URL ที่ถูกต้องของสถาบันการเงินนั้น

ตัวอย่างอีเมล์ Phishing

• Vishing และ Smishing: หลายคนคงเคยได้ยินหรือเคยประสบกับแก๊งคอลเซ็นเตอร์อยู่บ้าง พฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น [9]
• Spear-phishing และ Whaling: อย่างที่กล่าวมาแล้วในข้างต้นเกี่ยวกับกลวิธีของ Phishing ในการนำไปใช้งาน ผู้ไม่ประสงค์ดีบางคนก็ได้เล็งองค์กร หรือบุคคลที่เป็นเป้าหมายไว้ชัดเจนอยู่แล้ว บุคคลที่มักตกเป็นเป้าหมายส่วนใหญ่จะเป็นผู้ที่มีบทบาทสำคัญในองค์กร มีความสามารถหรือรู้วิธีการเข้าถึงข้อมูลสำคัญขององค์กร การหลอกลวงแบบ Phishing ที่มีเป้าหมายชัดเจนนี้มีคำเรียกเฉพาะคือ Spear-phishing และหากเป้าหมายของ Spear-phishing นี้เป็นบุคคลที่มีตำแหน่งสูงหรือเป็นบุคคลสำคัญในองค์กร จะเรียกการหลอกลวงนี้ว่า Whaling (ตลกร้ายที่เปรียบเทียบบุคคลสำคัญเป็นปลาตัวโต ในที่นี้คือปลาวาฬนั่นเอง)

แล้วผู้อ่านควรระวังตัวอย่างไร? ข้อแนะนำต่อไปนี้ สามารถลดโอกาสไม่ให้ผู้อ่านถูกหลอกลวงได้

1. ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากมีโอกาสสูงที่จะถูกหลอกลวง เพราะบางครั้งลิงก์ที่มองเห็นในอีเมลว่าเป็นเว็บไซต์ของธนาคาร แต่เมื่อคลิกไปแล้วอาจจะไปที่เว็บไซต์ปลอมที่เตรียมไว้ก็เป็นได้ เนื่องจากในการสร้างลิงก์นั้นสามารถกำหนดให้แสดงข้อความหรือรูปภาพได้ตามต้องการ ดังนั้นบางเว็บไซต์ปลอมจึงทำ URL ให้สังเกตความแตกต่างจาก URL จริงได้ยาก
2. พึงระวังอีเมลที่ขอให้กรอกข้อมูลส่วนบุคคล โดยเฉพาะหากเป็นอีเมลที่มาจากสถาบันการเงิน ทั้งนี้ธนาคารหลายแห่งได้แจ้งอย่างชัดเจนว่า ธนาคารไม่มีนโยบายในการขอให้ลูกค้าเปิดเผยเลขประจำตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ ผ่านทางอีเมลโดยเด็ดขาด
3. ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากในปัจจุบัน ผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้นจริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเอง
4. สังเกตให้แน่ใจว่าเว็บไซต์ที่ใช้งานเป็น HTTPS ก่อนให้ข้อมูลส่วนบุคคลที่สำคัญ เช่น เลขบัตรเครดิต หรืออื่น ๆ
5. ลบอีเมลน่าสงสัยออกไป เพื่อไม่ให้พลั้งเผลอกดเปิดครั้งถัดไป
6. ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนื่องจากผลพลอยได้อย่างหนึ่งของการติดตั้ง Firewall คือสามารถทำการยับยั้งไม่ให้โทรจันแอบส่งข้อมูลออกไปจากระบบได้ นอกจากนี้ ผู้ใช้ควรหมั่นศึกษาและอัพเดทโปรแกรมดังกล่าวให้เป็นรุ่นปัจจุบันเสมอ
7. หากท่านผู้อ่านพบเห็นเว็บไซต์หลอกลวงซึ่งมีจุดประสงค์ในการขโมยข้อมูลส่วนบุคคล สามารถแจ้งเหตุภัยคุกคามได้ที่เจ้าของบริการเหล่านั้น หรือส่งอีเมลมาที่ report[@]thaicert.or.th ตลอด 24 ชั่วโมงหรือโทร 02-123-1212 ในเวลา 8.30-17.30 ทุกวันทำการ

หากรู้ตัวว่าพลาดท่าไปแล้ว จะทำอย่างไรดี? ข้อแนะนำต่อไปนี้เป็นสิ่งที่ผู้เสียหายควรปฏิบัติตามโดยทันที

1. ในกรณีที่เป็นข้อมูลสำคัญขององค์กร ผู้เสียหายควรแจ้งเรื่องไปยังบุคคลที่เหมาะสมรวมทั้งผู้ดูแลระบบ เพื่อเป็นการเตรียมมาตราการปกป้ององค์กรต่อไป
2. ในกรณีที่เป็นข้อมูลบัญชีธนาคาร ผู้เสียหายควรแจ้งเรื่องไปยังธนาคารที่ใช้บริการ และทำการปิดบัญชีที่คาดว่าสามารถถูกขโมยได้ หรือเฝ้าระวังการใช้งานบัญชีอย่างต่อเนื่อง
3. ทำการเปลี่ยนรหัสผ่าน ในทุกระบบที่ใช้รหัสผ่านเดียวกัน และไม่กลับมาใช้รหัสผ่านนั้นอีก

ถึงแม้ Phishing เป็นภัยคุกคามที่สร้างความเสียหายมากมาย แต่ก็สามารถระมัดระวังตัวได้ หากผู้ใช้มีความตระหนักในการใช้งานอินเทอร์เน็ต รวมถึงปฏิบัติตามคำแนะนำข้างต้น

อ้างอิง : https://www.etda.or.th/th/Our-Service/ThaiCERT/Incident-Coordination/Information/Published-documents/General/papers-general/%E0%B8%A3%E0%B8%88%E0%B8%81-Phishing-%E0%B9%81%E0%B8%A5%E0%B8%B0%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9B%E0%B8%AD%E0%B8%87%E0%B8%81%E0%B8%99.aspx

Phakdee Todang

นักวิชาการคอมพิวเตอร์ ฝ่ายคอมพิวเตอร์และเครือข่าย (ระบบเซิร์ฟเวอร์)