การหลอกลวงทางอินเทอร์เน็ต กรณีศึกษา

SOLUTIONS CORNER

Phishing คืออะไร ทำไมถึงผู้ใช้งานอินเทอร์เน็ตถึงต้องรู้จัก

อินเทอร์เน็ตกับการใช้งานคอมพิวเตอร์ในยุคปัจจุบันนี้ เราแทบจะเรียกได้เลยว่าทั้งสองอย่างนั้นเป็นของคู่กันที่แยกจากกันแทบไม่ได้ ไม่ว่าจะเป็นการใช้คอมพิวเตอร์เพื่อการทำงาน โดยเฉพาะอย่างยิ่งกับเรื่องบันเทิงและเกม อย่างจะเห็นว่าอินเทอร์เน็ตกลายเป็นสิ่งที่เข้ามามีบทบาทสำคัญกับการใช้ชีวิตของเราเป็นอย่างมากที่สุด และเมื่อเป็นเรื่องดี ๆ มีประโยชน์ก็เป็นธรรมดาที่จะมีเรื่องอันตรายที่น่าเป็นห่วงอยู่ในนั้นด้วยเสมอ และ phishing คือหนึ่งในเรื่องอันตรายเหล่านั้น

เรียนรู้ว่า Phishing คืออะไร

phishing คือรูปแบบของการหลอกลวงผ่านช่องทางการใช้งานอินเทอร์เน็ตของผู้ใช้ทั่วไป ซึ่งไม่ใช่การล่อลวงธรรมดาที่เราพบเห็นกันทั่วไป แต่จะเป็นกลยุทธ์การหลอกที่ใช้วิธีทางจิตวิทยาเข้าร่วมด้วย ส่วนใหญ่แล้วจะมาในรูปแบบของอีเมล์ เว็บไซต์ และสื่อสังคมออนไลน์ในรูปแบบต่าง ๆ ที่จะทำการหลอกให้ผู้ใช้กรอกข้อมูลส่วนบุคคลที่เป็นความลับ ไม่ว่าจะเป็นรหัสผ่าน หมายเลขบัตรประชาชน เลขที่ Passport รวมไปถึงข้อมูลลับทางการเงิน ทั้งเลขที่บัญชีและรหัสผ่าน หรือจะเป็นการหลอกให้กดยอมรับและติดตั้งไวรัสตัวร้ายเข้าสู่คอมพิวเตอร์ของตัวเอง

หากใครได้มานั่งอ่านเรื่องที่บอกว่า phishing คือวายร้ายอย่างนี้ ต่างก็จะบอกเหมือนกันว่าเราคงไม่มีทางยอมให้หลอกง่าย ๆ เด็ดขาด แต่อย่างที่บอกไปว่า การ phishing เป็นการหลอกลวงที่มีศิลปะทำให้เราหลงเชื่อได้ง่ายกว่า โดยส่วนใหญ่จะมาในรูปของอีเมล์แจ้งเตือน ทั้งจากธนาคาร เว็บ Social ที่เราใช้งานกันเป็นประจำอย่าง Facebook, Twitter ที่พอผู้ใช้หลายคนได้เห็นหัวข้อความก็จะเกิดความเชื่อว่าปลอดภัยและยอมทำตามโดยง่าย โดยทั่วไปจะนิยมให้กดที่ Link เพื่อย้ายไปยังหน้าเว็บอื่นเพื่อทำการกรอกข้อมูล แน่นอนว่าเว็บที่ Link พาไปก็จะทำเลียนแบบจนเกือบจะเหมือนกับต้นฉบับเลย

Phishing คือการล่อลวงที่มีรูปแบบที่แตกต่าง

หลังจากที่เราสามารถสรุปได้แล้วว่า phishing คือรูปแบบการหลอกลวงทางอินเทอร์เน็ตที่หากได้ลองพลาดแล้วก็ต้องมานั่งปวดหัวกันยาวเลยทีเดียว ซึ่งหากเราจะลองแบ่งประเภทของ phishing ดูแล้ว ก็จะแบ่งได้เป็น 2 ประเภท โดยจะเป็นแบบธรรมดาและแบบเจาะจง ซึ่งมีความแตกต่างกันตรงที่เรื่องของการระบุเป้าหมาย ซึ่ง phishing แบบธรรมดาจาเป็นการหว่านอีเมล์หรือ Link ไปเรื่อย เผื่อว่าจะโดนใครสักคนหนึ่งและก็จะได้ข้อมูลไปใช้ต่อ แต่สำหรับ phishing แบบเจาะจงจะเป็นการโจมตีโดยมุ่งเป้าหมายเฉพาะ และจะมีการเก็บข้อมูลของเหยื่อจากแหล่งต่าง ๆ จากนั้นก็จะได้จัดสรรทำอีเมล์หรือ Link ที่เป้าหมายมีโอกาสกดและยินดีจะใส่ข้อมูลให้ได้มากกว่า

นับว่า phishing คืออันตรายในยุคปัจจุบันที่ทุกคนต้องรู้ให้ทันเพื่อความปลอดภัยของตัวเอง โดยเราสามารถจะป้องกันได้ด้วยการให้ความระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้น และสังเกตให้ดีว่าอีเมล์หรือ Link ที่เราได้รับมานั้นมีความน่าเชื่อถือมากน้อยเพียงใด และให้อ่านทุกข้อความโดยละเอียดอย่าใจร้อน ก็จะสามารถช่วยระวังภัยได้ในระดับหนึ่งแล้ว

ควิกเซิร์ฟ

• •  ติดต่อเรา
• •  เกี่ยวกับเรา
• •  ลูกค้าที่ไว้วางใจ
• •  สิทธิส่วนบุคคล
• •  แผนผังเว็บไซต์

สินค้า

• •  เซิร์ฟเวอร์
• •  ไฮเปอร์คอนเวิร์จ
• •  สตอเรจ
• •  เบรคเซิร์ฟเวอร์
• •  เครื่องสำรองไฟ
• •  อุปกรณ์เครือข่าย
• •  เวิร์คสเตชั่น
• •  อุปกรณ์ที่เกี่ยวข้อง
• •  โปรแกรมสำเร็จรูป

งานระบบ

• •  Domain Controller
• •  File & Print Sharing
• •  E-mail
• •  Virtualization
• •  Backup & Recovery
• •  Business Security
• •  Internet Data Center
• •  Internet Logging
• •  Internet Security

บริการ

• •  ขอรับใบเสนอราคา
• •  การชำระเงิน
• •  การจัดส่งสินค้า
• •  ระบบสมาชิก
• •  Technology Update
• •  Solution Conner

กิจกรรม

• •  กิจกรรมเพื่อสังคม
• •  กิจกรรมของบริษัทฯ

ออนไลน์

• •  Facebook
• •  YouTube
• •  Commercial
• •  Cloud Quickserv

Phishing ภัยหลอกลวงบนโลกออนไลน์ใกล้ตัว ที่ต้อง ระวัง กําลังระบาด!

Phishing ภัยหลอกลวงบนโลกออนไลน์ใกล้ตัว ที่ต้อง ระวัง กําลังระบาด!

แค่เจอข้อคามนี้ก็รีบกรอกแล้วหวังได้รางวัลแต่ คุณกําลังโดนหลอกให้ข้อมูลส่วนตัวให้เหล่า Hacker ในช่วงนี้ใครที่ใช้ อินเตอร์เน็ต ก็ต้องระวังพวกเว็บ Phishing ที่คอยหลอกลวงเหยื่อเอาข้อมูลส่วนตัวของเราไปใช้ ซึ่งตอนแรกมีระบาดมากผ่านทางอีเมล แต่ในช่วงหลังๆนี้จะระบาดไปทางพวกเว็บ Social Network หรือเว็บบอร์ดจากเว็บไซต์ชื่อดังเช่น facebook ,twitter โดยทั่วไปตามปกติจะ หลอกเพื่อหวังขโมยบัญชีบริการธนาคารออนไลน์ เช่น พวกหมายเลขบัตรเครดิตหรือบัญชีผู้ใช้งาน Internet Banking พร้อมกับข้อมูลส่วนตัวของเรา แต่ล่าสุด ยังลามมา ถึงขโมย Apple ID , PayPal ได้ด้วย เพราะบัญชีเหล่านี้สามารถที่จะสั่งซื้อแอพ และซื้อของออนไลน์ได้เช่นกัน

Phishing (ฟิชชิ่ง) คือเว็บปลอมที่หลอกเหยื่อ(ผู้ที่เชื่อ) มากรอก ข้อมูลส่วนตัว ทั้ง username , password , เลขบัตรประจําตัวประชาชน ชื่อ นามสกุล วันเกิด เบอร์โทรศัพท์ ไม้เว้นแม้ กระทั่งบัตรเครดิต ดูคล้ายลักษณะ การตกปลาออนไลน์ เพราะ Phishing ก็เหมือนกับการตกปลา ผ่านเหยื่อล่อที่ เรียกว่า ‘ของรางวัล’ หรือหลอกให้คุณตกใจอย่าง ‘บัญชีของคุณกําลังมีปัญหา’ เพื่อย้ำให้ผู้ที่เชื่อ(โดนหลอก) ให้รีบ กรอกข้อมูล ต่างๆนี้ โดย เหล่าแฮกเกอร์หรือผู้ไม่หวังดี จะทําการปลอมแปลง email หรือ Website อย่างแยบยล โดย Website ดังกล่าวจะมีหน้าตาเหมือนกับของจริงทุกประการ แต่จะแตกต่างกันที่ URL และ จากสถิติ ข้อมูลของ ผู้ที่ถูกหลอกจากภัย Phishing พบว่าผู้ใช้โทรศัพท์มือถือมีความเสี่ยงต่อการถูก Phishing ได้มากกว่าผู้ใช้คอมพิวเตอร์ทั่วไปถึง 3 เท่า
ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สําคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของ การหลอกลวงสําเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับ บริจาค หรือแม้กระทั่ง แนะนําขั้นตอนรับสติ๊กเกอร์ Line จากต่างประเทศ ฟรี เป็นต้น

E-mail Phishing
จากกรณีศึกษาธนาคารแห่งหนึ่งพบว่าขั้นตอนของมิจฉาชีพมีดังนี้
1. มิจฉาชีพมักส่ง Email หลอกลวงว่าบัญชีมีปัญหา ทําให้เราติดกับต้อง click link ที่มากับ email นั้น
2. Link เชื่อมไปยังเว็บไซต์ปลอมหรือ phishing website ที่มีลักษณะหน้าจอเหมือน website ธนาคารทุกประการ
3. ใน website นั้นจะมีช่องว่างให้กรอกเลขบัญชี และ password ซึ่งข้อมูลของเราจะถูกส่งไปที่มิจฉาชีพโดยตรงไม่ใช่ ธนาคาร มิจฉาชีพจึงได้ข้อมูลของเราไปง่ายๆโดยที่เราไม่รู้ตัว

วิธีป้องกันจากภัย Phishing
1. ตรวจสอบว่าคุณได้เปิดบัญชี และ Internet Banking ของธนาคารอะไรบ้าง หากคุณไม่ได้เปิดบัญชีธนาคาร ตามที่เมลล์แจ้ง พึงระลึกไว้เสมอว่าอาจเป็นฟิชชิ่งให้ทําธุรกรรมการเงินผ่านทางเว็บไซต์ทางการของทางธนาคารเท่านั้นเช็คธุรกรรมการเงิน ผ่านทางแอพของธนาคาร
2. ตรวจสอบบราวเซอร์ว่าเมื่อเข้าเว็บธนาคารแล้วมีการเข้ารหัสความปลอดภัยหรือไม่หากลงแอพของธนาคารลงมือถือและ แท๊บเล็ต ต้องทําตามคําแนะนําของเว็บไซต์หลักของธนาคารหรือตามข้อแนะนําของตู้ ATM ของธนาคารนั้น อ่านอีเมลล์ให้ดีว่า ใช่เมลล์จากธนาคารหรือไม่ ? ถ้าไม่แน่ใจควรนําสมาร์ทโฟนหรือแท็บเล็ตไปให้ทาง ธนาคารตรวจสอบให้
3. จําไว้เสมอว่า “ไม่มีธนาคารสักรายเดียวที่จะสอบถามข้อมูลส่วนตัวข้อมูลชื่อบัญชีและรหัสผ่านของเรา ผ่านทาง e-mail”
4. อย่าเปิดลิงก์ที่แนบมาใน Email เพราะผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้น จริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเองอย่าตอบเมลล์กลับไปยัง Phishing e-mail ให้ลบ e-mail นี้ทิ้งไป
5. ช่วยกันเป็นหูเป็นตา หากพบ e-mail ที่น่าสงสัยว่าแจ้งเตือนโดยธนาคารนี้จริงหรือไม่ ให้ติดต่อ ธนาคารที่ ถูกอ้าง เพื่อให้ทางธนาคารตรวจสอบว่า e-mail ฉบับนั้นๆแจ้งเตือนโดยทางธนาคารจริงหรือไม่ หรือใช่เว็บ ธนาคารหรือไม่ ถ้ามีข้อมูลว่าเป็น Phishing จริง หรือเว็บปลอมจริงๆ โปรดแจ้งทางธนาคารได้รับทราบ เพื่อ เตรียมหลักฐานตามจับกุมดําเนินคดีกับผู้ทําเว็บปลอม
6. หากรู้ตัวว่าเว็บไซต์นี้เป็นเว็บ Phishing ให้ทําการ copy url ที่อยู่เว็บไซต์นี้มา แล้วเข้าเว็บไซต์ whois.com แล้ว วางที่อยู่ url เว็บที่น่าสงสัยว่าจะเป็น Phishing เพื่อตรวจสอบข้อมูลว่าเว็บนี้จดทะเบียนโดยใคร ซึ่งอาจได้ ทราบชื่อเจ้าของเว็บปลอมได้
7. ควรติดตั้งโปรแกรมรักษาความปลอดภัยพวก Personal Firewall โปรแกรม Antivirus หมั่นอัพเดตให้เป็น เวอร์ชั่นล่าสุดอยู่เสมอ และหมั่นสแกนตรวจสอบไวรัสคอมพิวเตอร์บ่อยๆด้วย
8. อย่าดาวน์โหลด Applicationที่ผิดกฏหมายหรือไม่รู้ที่ไปที่มาชัดเจน เนื่องจาก Application ดังกล่าว อาจแฝงมา ด้วยไวรัสที่ส่งอีเมลเข้ามา และแปะลิงก์หลอกให้เหยื่อกดเข้าไป
เพียงเท่านี้คุณก็จะรอดพ้นและรู้ทันจากพวกอีเมลล์ฟิชชิ่งหลอกลวง และ เว็บไซต์ธนาคารปลอม อย่างไรก็ตามเวลา ใช้อินเตอร์เน็ตในด้านธุรกรรมการเงินการธนาคารผ่านทางออนไลน์ ควรระมัดระวังและตรวจสอบเว็บไซต์ก่อนพิมพ์ กรอกข้อมูลทุกครั้ง
บทสรุป
ในวิทยาการคอมพิวเตอร์ ฟิชชิง (phishing) คือการหลอกลวงทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิตโดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ตัวอย่างของการฟิชชิง เช่น การบอกแก่ผู้รับปลายทางว่าเป็น ธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์ไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง phishing แผลงมาจากคำว่า fishing แปลว่าการตกปลาซึ่งมีความหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้
การดู url จริงของเว็บ

จากรูปนี้ถ้าดูจากสีจะเห็นอยู่ 3 ส่วนก็คือ
สีเขียว https:
สีดำ mail.google.com/
สีเทา mail/?shva=1#inbox
ส่วนที่เป็น url จริงของเว็บก็คือ สีดำ
สีเขียวคือส่วนที่บอกว่ามีการเข้ารหัสมาแบบไหน มักจบด้วย :
ส่วนที่ 2 ที่เป็น url จริงจะไม่มี / ขั้น ถ้าเกิดว่ามีแสดงว่า url จบแค่นั้น
เช่น hotmail.com/xxxxxxx/yyyyy/zzzz แสดงว่าจบแค่ hotmail.com/
หรือ hotmail.com.newpassword2.ly/ แสดงว่าจบที่ hotmail.com.newpassword2.ly/ (เว็บหลอก)
วิธีการดูชื่อเว็บที่แท้จริงก็คือย้อนกลับไป 2-3 จุด
อย่างตัวอย่าง hotmail.com.newpassword2.ly/ เว็บจริงก็คือ newpassword2.ly/
หรืออาจจะเป็น hotmail.com.newpassword2.co.th/ เว็บจริงก็คือ newpassword2.co.th/
ซึ่งทั้งสองไม่ใช่เว็บจริง(hotmail.com) แต่เป็นเว็บที่สร้างขึ้นมาเพื่อหลอกดักเอา password
บทวิจารณ์
อนาคตของภัยมืดจากอินเทอร์เน็ตและอาชญากรรมไซเบอร์ที่ทุกคนควรรู้ในมุมมองของผู้เชี่ยวชาญระดับประเทศได้เผยข้อมูล ว่าในช่วง 5 ปีที่ผ่านมา cyber crime เป็นภัยทางอินเทอร์เน็ตอันดับต้นๆ โดยเฉพาะการหลอกลวงฉ้อโกงจากการใช้บริการออนไลน์ เป็นที่น่าเสียดายที่ผู้ที่มีความรู้ด้านการแฮกเกือบทั้งหมด ก็นําความรู้นี้ไปใช้ในทางด้านลบและ ยังมีส่วนน้อยมากที่นําความรู้นี้มาใช้ในการ ช่วยออกแบบระบบป้องกัน โดนเฉพาะปัญหาเดือดร้อนจากวิกฤตเศรษฐกิจ เลยเริ่มที่จะ หาเงินใช้ด้วยการเจาะระบบของธนาคาร ซึ่งล่าสุดสามารถเจาะการเข้ารหัสแบบ SSL wfh แล้วด้วย ดังนั้นทาง สถาบันการเงินที่ให้บริการธุรกรรมการเงินออนไลน์ จึงจําเป็นต้องมีระบบป้องกันอีกชั้น รองรับ เช่น One Time Password (OTP) ที่จะต้องกรอกรหัสที่หลังจากระบุชื่อผู้ใช้แล้ว ธนาคารจะส่งโค้ดลับผ่านทาง SMS บนมือถือคุณ ให้ คุณนําหมายเลขใน SMS มากรอกที่เว็บเพื่อยืนยันตัวตนว่าเป็นเจ้าของบัญชีอีก
ในส่วนของผู้ใช้สื่อสังคม (Social Network) ต้องระวังด้วยหากไม่มีสติในการใช้งาน ก็จะมีโอกาสพลาดอย่างมากจากการโพสต์ หรือ ทวีต เพราะ บริษัทต่างๆเค้าเริ่มตรวจสอบประวัติของคุณบน facebook , twitter, linkedin ด้วย ซึ่งถ้าเราไปโพสต์ข้อความอะไรไม่ดีไว้ ก็อาจถูกปฎิเสธไม่รับเข้าทํางานได้เช่นกัน หรืออาจกระทบการงานจนต้องลาออกดัง เช่น กรณีที่เพิ่งเกิดขึ้นกับแอร์โฮสเตส ที่โพสต์ข้อความ ใน facebook ส่วนตัว เป็นต้น
อีกภัยใกล้ตัวสําหรับกลุ่มคนทํางานที่ทั้งเจ้าของบริษัทหรือองค์กรต่างๆ ต้องระมัดระวังคือเรื่องข้อมูลเอกสารต่างๆ ของบริษัท เพราะทั้งผู้บริหารและพนักงานมักจะนําสมาร์ทโฟนและแท็บเล็ตของตัวเองมาใช้ในการทํางานและมีการเก็บข้อมูลสําคัญของบริษัทเอาไว้ ในอุปกรณ์เหล่านี้ ซึ่งบางคนก็ยังเก็บไว้บน Cloud Services ต่างๆ เช่น iCloud Dropbox, SkyDrive Google Drive เป็นต้น ดังนั้นถ้าชื่อผู้ใช้และรหัสผ่านของบริการเหล่านี้ถูกแฮค หรือตัว อุปกรณ์ไอทีโดนขโมย หรือลืมไว้แล้วหายไป ข้อมูลสําคัญของบริษัท ก็อาจถูกเปิดเผยไปด้วยได้ และ ถ้าพนักงาน ตั้งรหัสผ่านที่อ่อนแอเกินไปจนเดาได้ง่าย ยิ่งอันตรายมากขึ้นตามไปด้วย ดังนั้น องค์กรต่างๆก็ต้องทําความเข้าใจ ระหว่างผู้บริหารและพนักงาน ในเรื่องการปฏิบัติงานและความปลอดภัยของข้อมูลด้วย
อ้างอิง
1 http://www.it24hrs.com/2013/phishing-online/
2 http://www.it24hrs.com/2012/phishing-warning/
3 http://www.it24hrs.com/2012/warning-smartphone-tablet-browser-risk-to-phishing/