Phishing คืออะไร ยกตัวอย่าง

การรักษาข้อมูลส่วนตัว เช่น เลขบัตรประชาชน รหัสผ่านต่างๆ ไว้เป็นความลับถือเป็นเรื่องสำคัญ เพราะจะได้ไม่ถูกมิจฉาชีพนำไปใช้ในทางที่ผิด แต่ถึงจะระวังตัวแต่ก็อาจถูกหลอกจากเทคนิค Phishing (ฟิชชิ่ง) ของมิจฉาชีพทางออนไลน์ได้ ซึ่งจะหลอกลวงให้เราบอกรหัสผ่าน หรือข้อมูลส่วนตัวผ่านทางออนไลน์โดยไม่รู้ตัว ดังนั้นไปทำความรู้จักกับ Phishing เพื่อป้องกันตัวเองไว้ตั้งแต่เนิ่นๆ ดีกว่า

Phishing (ฟิชชิ่ง) คืออะไร?

Phishing (ฟิชชิ่ง) เป็นคำพ้องเสียงจากคำว่า Fishing (ฟิชชิ่ง) ที่หมายถึงการตกปลา สาเหตุที่ใช้คำพ้องเสียงเช่นนี้เพราะ Phishing คือรูปแบบหนึ่งของการหลอกลวงผ่านระบบคอมพิวเตอร์ โดยมักมาในรูปของอีเมล เพื่อล้วงข้อมูลความลับที่สำคัญจากเหยื่อ คล้ายกับการตกปลาโดยใช้เหยื่อล่อนั่นเอง ซึ่งเราสามารถแบ่งประเภทได้ดังนี้

• Phishing ทั่วไป คือการใช้อีเมลที่ไม่ระบุเป้าหมายแน่ชัด มักมาในรูปแบบของประกาศจากธนาคาร โซเชียลมีเดีย หรือบริษัทองค์กรต่างๆ โดยจะหลอกล่อให้เหยื่อกดลิงค์เข้าสู่เว็บไซต์ของมิจฉาชีพแล้วกรอกข้อมูลสำคัญ หรือหลอกให้ติดตั้ง Malware ที่สามารถขโมยข้อมูลส่วนตัวของเหยื่อได้ (อ่านเพิ่มเติม…Malware (มัลแวร์) คืออะไร?)
• Spear-Phishing คือการโจมตีโดยมีเป้าหมายแน่ชัด เป้าหมายมักเป็นบริษัทหรือองค์กรต่างๆ ซึ่งแฮ็คเกอร์จะหาข้อมูลเบื้องต้นของพนักงานบริษัทจากช่องทางต่างๆ เช่น โซเชียลมีเดีย แล้วสร้างอีเมลที่มีเนื้อหาสอดคล้องกับเหยื่อ ซึ่งถ้าโจมตีไปยังบุคคลสำคัญในองค์กร จะเรียกว่า Whaling ซึ่งเปรียบเหมือนการล่าปลาตัวใหญ่อย่างวาฬนั่นเอง

ข้อมูลสำคัญที่แฮ็คเกอร์ต้องการมักจะเป็น ชื่อยูสเซอร์ รหัสผ่าน หมายเลขบัตรเครดิต รวมถึงข้อมูลส่วนบุคคลอื่นๆ และหลายครั้ง มิจฉาชีพมักอาศัยเหตุการณ์สำคัญต่างๆ เพื่อเพิ่มโอกาสในการหลอกหลวงจนสำเร็จ เช่น เวลาเกิดภัยพิบัติ โดยปลอมเป็นอีเมลจากธนาคารหรือองค์กรต่างๆ เพื่อขอรับบริจาค เป็นต้น

วิธีตรวจสอบ Phishing (ฟิชชิ่ง)

1.ตรวจสอบอีเมลผู้ส่ง

เมื่อได้รับอีเมลที่ต้องการให้เราคลิกลิงค์บางอย่าง ควรตรวจสอบอีเมลผู้ส่งว่าเป็นอีเมลปลอมหรือไม่ ซึ่งอีเมลจาก Phishing ส่วนใหญ่จะใช้อีเมลที่สะกดใกล้เคียงกับอีเมลของผู้ใช้จริง หรืออาจใช้อีเมลโดเมนที่ดูไม่เป็นทางการ

2. ตรวจสอบชื่อผู้รับ

อีเมลที่เราได้รับ หากมาจากองค์กรหรือธนาคาร ควรระบุชื่อผู้รับให้ชัดเจน ถ้าชื่อเราไม่ตรงหรือไม่ระบุชื่อผู้รับอาจแปลได้ว่าเป็นอีเมลปลอมจากมิจฉาชีพ

3. ตรวจสอบ URL ของลิงค์

หากในอีเมลมีลิงค์ให้คลิก ควรตรวจสอบ URL ของลิงค์ก่อนเปิด โดยนำเคอร์เซอร์ไปวางบนลิงค์ก็จะแสดง URL ขึ้นมา หรือคลิกขวาแล้วกดคัดลอกที่อยู่ลิงค์แล้วไปวางที่อื่น ก็จะเจอ URL หรือเมื่อคลิกลิงค์แล้วให้ตรวจสอบ URL บนเว็บเบราเซอร์ดูว่าเป็นโดเมนของเว็บไซต์จริงหรือไม่

4. มีการร้องขอแบบแปลกๆ

อีเมลปลอมมักหลอกให้เหยื่อดาวโหลดโปรแกรมเพื่อติดตั้ง หรือเปิดไฟล์ต่าง เช่น  ไฟล์ PDF ใบเสร็จ ใบกำกับภาษี โอยอาจหลอกว่าเราได้มีการสั่งซื้อสินค้าบางอย่าง ให้เปิดดูใบเสร็จที่แนบมาเป็นไฟล์ PDF เป็นต้น ถ้ามั่นใจว่าไม่ได้สั่งซื้อสินค้าใดๆ ก็ไม่ควรเปิด หรือถ้ามีการสั่งซื้อสินค้า การจะตรวจสอบไฟล์แนบควรมั่นใจว่ามีการติดตั้งโปรแกรมป้องกัน Malware เอาไว้ในเครื่อง

5. มีการขอข้อมูลส่วนตัวผ่านอีเมล

โดยปกติองค์กรต่างๆ เช่น ธนาคาร มักไม่มีนโยบาลการขอข้อมูลส่วนตัว เช่น พาสเวิร์ด หมายเลขบัตรประชาชน ผ่านทางอีเมล ถ้ามีอีเมลลักษณะนี้เข้ามาให้สงสัยได้เลยว่าเป็น Phishing

การป้องกัน Phishing (ฟิชชิ่ง)

1. ไม่คลิกลิงค์หรือดาวโหลดไฟล์จากอีเมลที่ไม่ทราบผู้ส่งแน่ชัด

ควรสังเกตตั้งแต่หัวข้ออีเมล หากมีหัวข้อที่เข้าข่ายว่าจะ Phishing และมีการแนบลิงค์หรือให้ดาวโหลดไฟล์ด้วยแล้ว ควรต้องระวังให้มาก ถ้าหากจะล็อคอินเข้าไปใช้งานเพื่อตรวจสอบว่ามีความผิดปกติหรือไม่ ควรพิมพ์ชื่อเว็บไซต์ในเบราว์เซอร์แล้วเข้าโดยตรง แทนการคลิกผ่านลิงค์ที่แนบมากับอีเมล

2. อัพเดตซอฟแวร์ป้องกัน Malware สม่ำเสมอ

ซอฟต์แวร์ที่ไม่ได้รับการอัพเดตอย่างสม่ำเสมอ จะมีช่องโหว่ให้ Malware แฝงตัวอยู่ในคอมพิวเตอร์ได้ ซึ่งถ้าเราพลาดตกเป็นเหยื่อจากการหลอกลวงแบบ Phishing ก็จะทำให้เกิดความเสียหาย ดังนั้นควรอัพเดตซอฟต์แวร์อยู่เสมอ

3. ใช้โปรแกรมจัดการรหัสผ่านที่มีคุณภาพ

โปรแกรมจัดรหัสผ่านจะบันทึกข้อมูลว่ารหัสผ่านใดใช้กับเว็บใด ถ้าเราคลิกเข้าเว็บไซต์ปลอมที่หลอกให้กรอกพาสเวิร์ด ก็จะสามารถรู้ได้โดยง่าย

หากสงสัยว่าตัวเองกำลังได้รับอีเมลหลอกลวงหรือ Phishing เช่น ได้รับอีเมลขอรับบริจาคโดยตรงจากธนาคาร หรืออีเมลแจ้งให้ล็อคอิน Internet Banking ของธนาคาร ให้โทรหรือเดินทางไปสอบถามกับธนาคารโดยตรงว่าได้ส่งอีเมลแบบนี้มาให้คุณหรือไม่ หากทราบว่าเป็นอีเมลปลอม จะได้แจ้งทางธนาคารให้ประกาศเตือนไปยังคนอื่นๆ ที่อาจตกเป็นเหยื่อต่อไป

Table of Contents

• Phishing Attack คือ ข้อความแบบไหน?
• Phishing มีกี่ประเภท?
  • 1. Phishing Email
  • 2. Spear Phishing
  • 3. Whaling Phishing
  • 4. Vishing Phishing
  • 5. Smishing Phishing
  • 6. Angler Phishing
  • 7. CEO Fraud Phishing
  • 8. Search Engine Phishing

Phishing Attack คือ ข้อความแบบไหน?

• ข้อความที่ส่งลิงก์มาให้ และบนลิงก์มีการสะกดผิด เช่น จาก Paypal เป็น Paypai ซึ่งข้อผิดพลาดนี้คนมักไม่ค่อยสังเกต เมื่อคลิกเข้าไป ลิงก์เหล่านั้นก็จะทำให้เราหลงเชื่อ และนำพาเราไปยังโดเมนย่อยหรือเว็บไซต์น่าสงสัยอื่น ๆ ที่หลอกเอาข้อมูลส่วนบุคคล

• ข้อความที่ผู้ส่งใช้อีเมลส่วนตัวแทนอีเมลองค์กร และใช้บริการอีเมลสาธารณะ เช่น Gmail หรือ Hotmail เป็นต้น แต่แสร้งว่าเป็นองค์กรที่มีอยู่จริง

• ข้อความที่ถูกเขียนในลักษณะที่กระตุ้นให้ผู้อ่านรู้สึกหวาดกลัว

• ข้อความที่มักให้ผู้ใช้งานกรอกข้อมูลส่วนตัว เช่น รายละเอียดบัตรเดรดิต เลขประจำตัวประชาชน หรือรหัสผ่านต่าง ๆ

• ข้อความที่มักใช้ภาษาที่เรียบง่ายในการเขียน และมีการสะกดผิด

Phishing มีกี่ประเภท?

Phishing สามารถแบ่งตามรูปแบบการโจมตีได้อีก 8 ประเภท ดังนี้

1. Phishing Email

Phishing Email คือ การหลอกลวงด้วยการหว่านหรือปูพรม เป็นรูปแบบที่พบบ่อย เพราะ  Phishing Email จะเป็นการส่งอีเมลออกครั้งละจำนวนมากแบบ “Spray and Pray” หรือการโจมตีแบบปูพรมโดยมีเป้าหมายให้เหยื่อหลงเชื่อ เพียงหนึ่งหรือสองคนก็นับว่าประสบความสำเร็จแล้ว ฉะนั้น เนื้อหาในอีเมลจึงจะไม่มีการเจาะจงไปที่เหยื่อรายไหนหรือกลุ่มใดเป็นพิเศษ และจะไม่ระบุข้อมูลที่เป็นลักษณะเฉพาะของเรา แต่จะใช้คำประมาณว่า “เรียน เจ้าของบัญชี” หรือ “เรียน ลูกค้าผู้มีอุปการคุณ” เป็นต้น หรืออาจใช้คำพูดที่สร้างความวิตกกังวลให้แก่ผู้อ่าน เช่น ด่วนที่สุด ลับเฉพาะ ฯลฯ เพื่อหลอกลวงให้เหยื่อคลิกลิงก์ที่แนบมา

2. Spear Phishing

Spear Phishing คือ การหลอกลวงด้วยการพุ่งเป้าเจาะจงไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งชัดเจน อาชญากรที่เลือกใช้วิธีนี้มักเป็นแฮกเกอร์มืออาชีพ เพราะจะต้องมีการล้วงข้อมูลส่วนตัวของเหยื่อหรือแฝงตัวเข้าไปในองค์กร เพื่อทำให้เนื้อหาในอีเมลมีความเฉพาะเจาะจงและสร้างความน่าเชื่อถือมากยิ่งขึ้น เช่น อาจใช้อีเมลที่มีชื่อคล้าย ๆ กับคนในองค์กร เพื่อแสร้งว่าเป็นบุคคลใกล้ตัว โดยที่เราอาจไม่ได้ดูให้ดีก่อนคลิกลิงก์ดังกล่าว

3. Whaling Phishing

Whaling Phishing เป็นอีกหนึ่งรูปแบบที่ค่อนข้างซับซ้อนคล้ายกับ Spear Phishing แต่จะมุ่งเป้าไปที่เหยื่อรายใดรายหนึ่งแบบเฉพาะเจาะจง และมักจะเป็นบุคคลที่มีตำแหน่งอยู่ในระดับสูง เช่น ซีอีโอ หรือผู้จัดการ เป็นต้น โดยในเนื้อหาอีเมลจะสร้างความหวั่นวิตกขั้นรุนแรง เช่น อ้างว่าส่งจากหมายศาล อ้างว่าทำผิดกฎหมาย ต้องดำเนินการอย่างเร่งด่วน หรือขอให้กระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาที่อาจส่งผลกระทบอย่างหนักต่อธุรกิจ

4. Vishing Phishing

Vishing เป็นการสมาสกันของคำว่า Voice และ Phishing แปลว่า การหลอกลวงผ่านรูปแบบของเสียง หรือที่เราคุ้นเคยกันดีในชื่อเรียก “แก๊งคอลเซ็นเตอร์” นั่นเอง โดยอาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่จากองค์กรใดองค์กรหนึ่ง และหลอกขอข้อมูลส่วนตัวต่าง ๆ แม้จะเป็นวิธีที่ค่อนข้างเก่าแต่ก็ยังใช้ได้ผลอยู่ เนื่องจากมีคนโดนหลอกด้วยวิธีนี้เป็นประจำ ทางที่ดี เมื่อได้รับสายจากอาชญากรเหล่านี้ควรวางสายทันที

5. Smishing Phishing

อีกหนึ่งภัยคุกคามที่เรารู้จักกันดี คือการฟิชชิ่งทาง SMS นั่นเอง โดยอาชญากรจะเขียนข้อความสั้น ๆ ที่โน้มน้าวให้เหยื่อคลิกเข้าไปในเว็บไซต์ปลอม เช่น มักจะอ้างว่า “ยินดีด้วย! คุณถูกรางวัล” ให้เรากรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัลนั้น เป็นต้น

6. Angler Phishing

Angler Phishing เป็นเทคนิคแบบใหม่ที่หลาย ๆ คนอาจยังไม่คุ้นชิน วิธีนี้แฮกเกอร์จะเฝ้าจับตามองพฤติกรรมการใช้โซเชียลมีเดียของเหยื่อ และสวมรอยเป็นเจ้าหน้าที่จากองค์กรมาหลอกให้เหยื่อหลงเชื่อ เช่น หากเราบ่นลงทวิตเตอร์ว่าได้รับบริการที่ไม่ดีจากค่ายมือถือ อาชญากรก็จะสวมรอยเป็นเจ้าหน้าที่จากค่ายมือถือนั้น ๆ มาหลอกเราว่าจะแก้ปัญหาให้ และขอข้อมูลของเราไปโดยจะส่งลิงก์ให้แล้วอ้างว่าเป็นการ “ยืนยันตัวตน”

7. CEO Fraud Phishing

วิธีนี้คล้าย ๆ กับ Whaling Phishing ที่ได้กล่าวไปในข้อสาม กล่าวคือ เป้าหมายของอาชญากรจะเป็นบุคคลระดับสูง แต่ระดับการโจมตีจะรุนแรงกว่ามาก โดยจะใช้บุคคลสำคัญเป็นตัวล่อให้เหยื่อหลงเชื่อเพื่อกระทำการอย่างใดอย่างหนึ่ง เช่น ปลอมตัวเป็นซีอีโอและส่งอีเมลให้แก่คนในบริษัท เพื่อขอให้บุคคลนั้นส่งข้อมูลสำคัญ หรือโอนเงินให้ในทันที เป็นต้น

8. Search Engine Phishing

อีกหนึ่งเทคนิคที่เพิ่งเกิดขึ้นใหม่ คือการสร้างความน่าเชื่อถือจากเครื่องมือค้นหา หรือ Search Engine โดยจะสร้างเว็บไซต์ที่ยื่นเสนอผลประโยชน์ให้แก่เรา เช่น ส่วนลดสินค้าต่าง ๆ แจกของฟรี หรือประกาศรับสมัครงาน และจะมีการทำ SEO เพื่อให้เว็บไซต์ดังกล่าว Ranking ทำให้คนกดเข้ามาเยอะอีกด้วย

สรุปได้ว่า Phishing คือ ภัยคุกคามที่หลอกล่อให้เหยื่อคลิกเข้าไปในหน้าเว็บไซต์ปลอมที่ทำให้ดูคล้ายกับหน้าเว็บไซต์จริง มีเป้าหมายเพื่อขโมยรหัสผ่าน และนำไปสู่การขโมยข้อมูลส่วนบุคคลอื่น ๆ โดยเฉพาะในเรื่องธุรกรรมทางการเงิน ซึ่งการจะสร้างหน้าเว็บไซต์ให้ดูแนบเนียนนั้น จำเป็นต้องอาศัยปัจจัยหลายอย่าง สิ่งหนึ่งคือ URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริงแต่จะสะกดผิด และส่วนใหญ่จะเป็น HTTP แทนที่จะเป็น HTTPS โดยในจุดนี้เหยื่อมักจะไม่ทันสังเกต ดังนั้น หากได้รับข้อความที่มีลักษณะคล้ายที่กล่าวไปนี้ เราจึงไม่ควรกรอกข้อมูลสุ่มสี่สุ่มห้า แต่ควรเช็กให้ดีก่อนว่าเว็บไซต์นั้นไว้ใจได้หรือไม่ เพื่อลดความเสี่ยงในการถูกคุกคามบนโลกไซเบอร์ให้น้อยที่สุด

Phishing คืออะไร ยกตัวอย่าง ประกอบ

ข้อใดคือความหมายของฟิชชิง (ฟิชชิ่ง)

ข้อใดต่อไปนี้เป็นตัวอย่างของฟิสชิ่ง

รายงานฟิชชิง คืออะไร