Home » การเงินส่วนบุคคล » Phishing คืออะไร? และ 5 วิธีพื้นฐานการป้องกันตัวจาก Phishing

Phishing คืออะไร? และ 5 วิธีพื้นฐานการป้องกันตัวจาก Phishing

บทความโดย

InsureThink

ใน

เผยแพร่เมื่อ

แก้ไขเมื่อ

Phishing คือ มิจฉาชีพ วิธีป้องกัน การ Phishing Attack ความหมาย ฟิชชิ่ง

ปัจจุบันข้อมูลส่วนบุคคลของคุณไม่ต่างจากเงินของคุณ เพราะข้อมูลส่วนบุคคลตลอดจนพฤติกรรมของคุณมักมีความสัมพันธ์กับข้อมูลด้านการเงินของคุณไม่ว่าทางใดก็ทางหนึ่ง ด้วยเหตุนี้การ Phishing จึงเป็นสิ่งที่ระบาดรุนแรงขึ้นมากทั่วโลก ซึ่งไม่แน่ว่าหากคุณเปิดกล่อง Email หรือ SMS ขึ้นมาตอนนี้คุณอาจพบว่า ในกล่อง Email และ SMS ของคุณเองก็มี Phishing Email และ Phishing SMS อยู่ไม่มากก็น้อย

ในบทความนี้เราจะพาไปทำความรู้จักกับการ Phishing ที่พบได้ทั่วไปในชีวิตประจำวันตั้งแต่ข้อความ SMS ที่เห็นก็รู้ว่าเป็นการ Phishing ไปจนถึง Email Phishing ที่หน้าตาเหมือนอีเมลของจริงในระดับที่คนทั่วไปแทบแยกไม่ออก พร้อมกับวิธีการแยกแยะและการป้องกันตัวจากการ Phishing

Phishing คืออะไร?

Phishing คือ การโจมตีทางออนไลน์เพื่อขโมยข้อมูลด้วยการปลอมตัวเป็นหน่วยงานที่น่าเชื่อถือแล้วหลอกให้เหยื่อบอกข้อมูลที่ต้องการด้วยวิธีการต่าง ๆ โดยทั่วไปเป็นการหลอกให้เหยื่อใส่ข้อมูลสำหรับการล็อกอินลงในหน้าเว็บปลอมที่ใช้ในการ Phishing

เป้าหมายของการ Phishing คือการทำให้เหยื่อเข้าใจผิดและให้ข้อมูลที่สำคัญที่อาชญากรต้องการ โดยทั่วไปคือการขโมยข้อมูลทางการเงินที่สำคัญเพื่อเข้าถึงบริการทางการเงินของเหยื่อ ไม่ว่าจะเป็นบัญชีธนาคาร บัตรเครดิต บัญชีหุ้น บัญชีคริปโทเคอร์เรนซี ตลอดจนบัญชีโซเชียลมีเดีย บัญชีเกม หรือบัญชีอะไรก็ตามที่มีค่าของเหยื่อ

คำว่า Phishing (ฟิชชิ่ง) เป็นการเล่นคำมาจากคำว่า Fishing หรือ การตกปลา ที่สะท้อนถึงการโยนเหยื่อใส่เป้าหมายและรอเป้าหมายมากินเหยื่อ ซึ่งเหยื่อของการ Phishing ก็คือกลยุทธ์ต่างๆ ที่มิจฉาชีพใช้เพื่อดึงดูดเหยื่อให้เข้ามาติดกับดัก อย่างการใช้ Email เป็นตัวล่อก็จะเรียกว่า Email Phishing

ตัวอย่างเช่น การส่งอีเมลที่แอบอ้างว่าเป็น Facebook เพื่อแจ้งว่าบัญชี Facebook ของเหยื่อกำลังถูกแฮค ให้กดที่ Link (ปลอม) ที่ส่งให้เพื่อรีเซ็ตรหัสผ่านโดยด่วน เมื่อเหยื่อหลงเชื่อและใส่ข้อมูลเข้าไปก็จะทำให้มิจฉาชีพได้ข้อมูลที่จำเป็นสำหรับการ Login Facebook ทั้งหมดที่เหยื่อใส่ลงไป

Phishing คือ การ ฟิชชิง หลอกข้อมูล วิธีการ ป้องกัน
ตัวอย่างกระบวนการ Email Phishing ตั้งแต่ต้นจนจบ

อ่านจนถึงตรงนี้ เชื่อว่าคุณน่าจะเข้าใจคอนเซ็ปต์เบื้องต้นของการ Phishing แล้ว แต่สิ่งที่อยู่เบื้องหลังความสำเร็จของการ Phishing (และการหลอกลวงวิธีใดก็ตาม) คือ Social Engineering หรือ วิศวะกรรมสังคม ที่มิจฉาชีพจะเริ่มจากการสร้างสิ่งกระตุ้นให้เหยื่อทำบางสิ่ง เพื่อให้เหยื่อตอบสนองบางอย่าง จากนั้นวิเคราะห์พฤติกรรมของเหยื่อเพื่อหาทางกระตุ้นเหยื่อ จนมองข้ามการตรวจสอบสิ่งที่ควรตรวจสอบ และทำในสิ่งที่มิจฉาชีพต้องการ

วิธีป้องกันการถูก Phishing

ก่อนอื่นคุณต้องเข้าใจก่อนว่า “โจทย์ของมิจฉาชีพในการ Phishing คือ การส่ง Link ให้เหยื่อ เพื่อให้เหยื่อกด Link และกรอกข้อมูลที่ต้องการลงไป”

ดังนั้นแล้วมิจฉาชีพจะกระตุ้นคุณด้วยเหตุผลที่ฟังดูน่าเชื่อถือ เพื่อสร้างสถานการณ์เร่งด่วนที่ไม่มีจริงขึ้นมา พร้อมกับการยืนยันความน่าเชื่อถือเพื่อให้คุณที่กำลังร้อนลนเชื่อฟังและกด Link ไปเพื่อกรอกข้อมูล (หรือโอนเงิน ในกรณีของการหลอกให้โอนเงิน)

การเข้าใจข้อเท็จจริงทั้ง 5 ข้อนี้จึงเป็นสิ่งที่จะช่วยคุณป้องกันคุณจากการ Phishing หรือช่วยให้สามารถแยกได้ว่าสถานการณ์ที่เกิดขึ้นคือ Phishing หรือไม่

1) ถ้าบอกว่าคุณทำผิดกฎหมาย สิ่งที่คุณจะได้รับคือหมายเรียก

ไม่มีใครโทรหาคุณอย่างแน่นอน (ยิ่งการส่ง SMS, Email, หรือ Line ยิ่งเป็นไปไม่ได้)

ถ้าหากคุณทำผิดจริง สิ่งที่คุณจะได้รับจริง ๆ มีเพียงแค่หมายเรียกจากตำรวจและหมายศาล และตอนจบคือเรื่องนี้มีเพียงการไปพบตำรวจตามนัดหรือไปศาลตามนัด การที่อยู่ ๆ เริ่มต้นด้วยการพูดคุยทางโทรศัพท์หรือทางออนไลน์เป็นเรื่องเป็นไปไม่ได้

เหตุผลที่เจ้าหน้าที่ตำรวจจะโทรหาคุณเอง คือการที่คุณเคยไปพบแล้วเจ้าหน้าที่ขอเบอร์คุณไว้

2) บางครั้งมิจฉาชีพอาจติดต่อหาคุณก่อน

เพื่อให้เหตุผลเหยื่อว่าทำไมต้องไปที่ Link หรือขอช่องทางติดต่อคุณเพื่อส่ง Link สำหรับการ Phishing อีกทั้งยังช่วยเพิ่มความน่าเชื่อถือในกับสถานการณ์ปลอมที่สร้างขึ้น

เป้าหมายหลักคือทำให้คุณติดต่อกลับมาตามคำเตือน เพื่อที่มิจฉาชีพจะรับบทเป็นผู้ช่วยเหลือ (Savior) และในฐานะที่คุณเป็นฝ่ายติดต่อไปเองเป็นเรื่องง่ายที่คุณจะเชื่ออะไรก็ตามที่มิจฉาชีพบอก

ในการพูดคุยในขั้นตอนนี้ห้ามคุณให้ข้อมูลอะไรก็ตาม ให้ตอบเพียงแค่ใช่หรือไม่และถามปลายเปิดเท่านั้น เพราะแม้ว่าข้อมูลส่วนบุคคล (อาจจะ) หลุดไปแล้ว แต่คุณยังสามารถซ่อนข้อมูลด้านพฤติกรรมต่าง ๆ ของคุณได้อยู่

และไม่ต้องตกใจหากข้อมูลทุกอย่างจะดูน่าเชื่อถือ หรือเป็นข้อมูลจริงที่มิจฉาชีพไม่น่าจะรู้ เพราะประเทศเรามีข้อมูลหลุดกันเป็นปกติในทุกภาคส่วน สุดท้ายแล้วอะไรที่คุณไม่เคยทำ คุณไม่เคยทำ

3) หลีกเลี่ยงการกด Link ใน Email ให้มากที่สุด

การไม่กด Link และการไม่ให้ข้อมูลที่มิจฉาชีพต้องการคือวิธีพื้นฐานที่สุดในการป้องกันมิจฉาชีพ

แต่ถ้าหากพิจารณาจากข้อเท็จจริง ปัจจุบันแทบไม่มีความจำเป็นที่เราจะต้องกด Link ที่ถูกส่งมาทาง Email เว้นแต่การกดยืนยันตัวตนเพื่อสมัครบัญชีอะไรบางอย่าง (ซึ่งคุณจะรู้ตัวอยู่แล้ว) และแน่นอนว่าการกรอกข้อมูลลงในหน้าเว็บที่คุณต้องกดลิงก์จาก Email ยิ่งเป็นเรื่องเป็นไปไม่ได้

ส่วนกรณีของ Link ที่ถูกส่งมาทาง SMS แนะนำว่าให้ห้ามกดอย่างสิ้นเชิง เพราะไม่มีเหตุผลอะไรเลยที่เราจะรับ Link จาก SMS

อีกประเด็นสำคัญคือ กรณีที่คุณดูออกว่าเป็นการ Phishing แนะนำให้ลบอีเมลหรือข้อความนั้นออกทันทีโดยไม่ต้องกดอะไรที่อยู่ในอีเมลนั้นทั้งสิ้น เพราะแม้ว่านั่นจะไม่ใช่ Phishing ก็ยังมีความเสี่ยงที่จะเป็น Link อันตรายที่เริ่มต้นการดาวน์โหลด Malware หรือ Script อันตรายต่าง ๆ

4) ตรวจสอบที่มาของ Email ของผู้ส่งหากต้องกด Link

หากจำเป็นที่คุณจะต้องกด Link ให้ตรวจสอบให้ดีว่าเป็น Email จากผู้ส่งที่ถูกต้องหรือไม่จาก Domain ที่ถูกต้องของแบรนด์

สิ่งแรกที่คุณควรรู้คือ “อีเมลของผู้ส่ง” ที่แสดงอยู่ด้านบนเมื่อคุณเปิดอ่านอีเมล (แสดงอยู่ตรงลูกศรแดงในภาพ) เป็นสิ่งที่สามารถปลอมได้ เรียกว่า Email Spoofing การโดน Email Phishing ในลักษณะนี้เป็นอะไรที่ค่อนข้างยากที่จะแยกแยะเพราะทุกอย่างจะเหมือนจริงมากจนถึงมากที่สุด

ดังนั้น คุณจึงต้องตรวจที่มาของอีเมลที่แท้จริงจาก 2 วิธี คือจาก Email Header และ Reply-to ว่าตรงกับที่แสดงอยู่ในชื่อ Email ของผู้ส่งเมื่อเราเปิดอ่านหรือไม่ (อีเมลที่แสดงอยูใต้ชื่อเรื่องของอีเมลในภาพ)

วิธีการดู Email Header ใน Gmail ให้เปิด Email ที่ต้องการตรวจสอบ แล้วไปที่จุดแนวตั้ง 3 จุด (มุมบนขวาในภาพ) แล้วเลือก <> Show original (แสดงต้นฉบับ ในภาษาไทย) แล้วข้อมูล Email Header จะปรากฏใน Tab ใหม่

วิธีการดู Email Header ใน Outlook ให้เลือกอีเมลที่ต้องการแล้วไปที่ File > Properties ใน Outlook โดย Email Header จะแสดงอยู่ในส่วน Internet Header และ Reply-to จะแสดงอยู่ที่ Have replies sent to

5) Preview Link ทุกครั้งก่อนกด Link

การ Preview Link สำหรับผู้ที่ใช้คอมพิวเตอร์ สามารถทำได้โดยการใช้เมาส์ชี้ที่จะ Link โดยไม่ต้องกด จากนั้น Browser จะแสดงปลายทางที่ Link ดังกล่าวจะพาไปที่มุมล่างซ้ายของ Browser ของคุณ

การ Preview Link สำหรับผู้ใช้งานสมาร์ทโฟน สามารถทำได้โดยการใช้นิ้วกดข้างที่ Link ที่ต้องการ โดยไม่ต้องกด จากนั้น Browser จะแสดงกล่องข้อความในลักษณะเดียวกับภาพตัวอย่าง ที่จะบอกว่าการกด Link จะพาคุณไปที่ไหน

วิธีป้องกันการ Phishing คือ การตรวจสอบ Link Phishing Email

ลองนำเมาส์มาชี้ที่กล่องข้อความด้านล่าง (สำหรับผู้ใช้คอมพิวเตอร์) หรือกดค้างที่กล่องข้อความด้านล่าง (สำหรับผู้ใช้สมาร์ทโฟน)

Facebook ของ InsureThink

สำหรับใครที่อยากทดสอบความสามารถในการแยกแยะ Email Phishing สามารถลองทำแบบทดสอบของ Google ได้ที่ https://phishingquiz.withgoogle.com/ (withgoogle.com เป็นของ Google ไม่ต้องกลัว)

ข้อมูลบางส่วนอ้างอิงจาก: National Cyber Security Centre (NCSC) และ Cloudflare

เกี่ยวกับ:

ติดตามเราได้ที่:

บทความล่าสุด

มีอะไรเกิดขึ้นบ้าง