เมื่อเทคโนโลยีเป็นส่วนหนึ่งของชีวิตประจำวันไปแล้วในยุคปัจจุบัน ในฐานะผู้ใช้งานเทคโนโลยีเรามีความจำเป็นที่จะต้องเข้าใจการทำงานและความเสี่ยงที่มาพร้อมกับเทคโนโลยีแต่ละชนิดที่ใช้ ไม่ต่างจากที่คุณจะใช้มีดแล้วควรรู้ว่าการใช้อย่างไม่ระมัดระวังแบบใดบ้างที่อาจจะทำให้นิ้วคุณหายไปได้บ้าง หรือการที่คุณขับรถก็ควรที่จะรู้ว่าต้องบำรุงรักษาเบื้องต้นอย่างไรบ้าง
เช่นเดียวกันกับ QR Code ที่อำนวยความสะดวกในการไปยังเว็บไซต์ปลายทางหรือในการจ่ายเงินได้อย่างง่ายดายด้วยการเพียงยกมือถือเพื่อสแกน QR Code แต่รู้หรือไม่ว่าความสะดวกของ QR Code มาพร้อมกับความเสี่ยงในการถูก QR Code Phishing หรือ Quishing
ในบทความนี้เราจะพาไปทำความรู้จักกับ Quishing หรือ QR Phishing ซึ่งเป็นภัยคุกคามที่หลายคนอาจมองข้ามไปในยุคที่เราทุกคนต่างสแกนกันอย่างมันส์มือ พร้อมกับวิธีป้องกันที่ช่วยลดความเสี่ยงจากปัญหาด้าน Cyber Security ที่เกิดขึ้นจากสิ่งใกล้ตัวอย่าง QR Code
Quishing คืออะไร?
Quishing มาจากคำว่า QR Phishing คือ การใช้ QR Code ในการ Phishing โดยผู้โจมตีจะสร้าง QR Code ขึ้นมาสำหรับเว็บไซต์ปลอม แล้วนำ QR Code นั้นเผยแพร่ผ่านอีเมล โซเชียลมีเดีย เว็บไซต์ ข้อความ หรือแม้แต่กระทั่งบนกระดาษที่เราสามารถจับต้องได้ ผนวกกับเทคนิค Social Engineering เพื่อล่อลวงให้ผู้ใช้งานเข้าใจผิดแล้วใช้ Link ปลอมจาก QR Code ดังกล่าว
เมื่อผู้ใช้งานใช้สมาร์ทโฟนเพื่อสแกน QR Code ปลอมดังกล่าว ก็จะถูกพาไปยังเว็บไซต์ปลอมที่มี Script อันตรายเพื่อเริ่มต้นการดาวน์โหลดมัลแวร์ลงอุปกรณ์ หรือพาไปยังเว็บไซต์ปลอมที่ขอให้กรอกข้อมูลส่วนบุคคล รหัสผ่าน รายละเอียดทางการเงิน ข้อมูลการล็อกอิน หรือข้อมูลอื่น ๆ โดยอ้างว่าผู้ใช้ต้องกรอกข้อมูลเพื่อยืนยันตัวตนก่อน
หลังจากอาชญากรได้ข้อมูลที่ละเอียดอ่อนเหล่านี้ ก็จะนำข้อมูลเหล่านี้ไปใช้โดยตรงอย่างการนำไปใช้ล็อกอินโดยไม่ได้รับอนุญาต หรือโดยอ้อมอย่างการใช้เพื่อเดาข้อมูลการล็อกอินและการปลดล็อกบัญชีแบบฉุกเฉิน
จะเห็นว่า Quishing หรือ QR Phishing ก็คือการ Phishing ที่เปลี่ยนวิธีการจากการล่อให้กดลิงก์ผ่านช่องทางต่าง ๆ โดยเปลี่ยนไปใช้ QR Code เป็นเครื่องมือแทนการส่ง Link ปลอมโดยตรง
Quishing จึงพบได้ง่ายกว่าในสถานการณ์อย่างการสแกนเพื่อมร่วมสนุกกิจกรรมแจกรางวัลในงานอีเวนต์ ข้อความโฆษณา ป้ายบิลบอร์ด และในสถานการณ์ที่เร่งรีบต้องรีบสแกน QR Code เนื่องจากในภาวะเร่งรีบดังกล่าวเป็นสิ่งกระตุ้นชั้นดีให้เหยื่อรีบและขาดการตรวจสอบ Link ที่ QR Code พาไป
ปัญหาของ QR Code ที่กลายเป็นข้อได้เปรียบของ QR Phishing
พื้นฐานปัญหาที่สุดของ QR Code คือ เราไม่รู้ว่าข้างหลัง QR Code แท้จริงแล้วมี URL อะไรอยู่ จนกว่าเราจะสแกนแล้วพบว่า QR Code ดังกล่าวจะพาเราไปที่หน้าเว็บใด
ซึ่งนำไปสู่ปัญหาแรกที่เป็นความได้เปรียบแรกของมิจฉาชีพในการ Quishing คือการที่ผู้ใช้งานอาจเข้าใจผิดหรือพลาดกดลิงก์ปลอมดังกล่าว จะด้วยการที่ผู้ใช้งานติดพฤติกรรม “สแกนไว” มาจากความคุ้นชินในการใช้ QR Code จ่ายเงิน หรือจากการที่อะไร ๆ ในชีวิตประจำวันกลายเป็น QR Code หรือจากการที่แอปพลิเคชันที่ใช้ในการสแกน QR Code หลายตัวจะไม่แสดง URL เต็มที่นำไปสู่ความเสี่ยงจากเว็บไซต์ที่ใช้ปลอมที่คล้ายกัน
อย่างไรก็ตาม ปัญหาข้างต้นสามารถเลวร้ายลงได้อีกขั้นด้วยการย่อ Link ด้วย URL Shortener ต่าง ๆ ไม่ว่าจะเป็นบริการย่อลิงก์ยอดนิยมอย่าง Bit.ly หรือด้วยการย่อลิงก์ด้วยวิธีใดและบริการใดก็ตาม แล้วนำ Link ที่ถูกย่อไปสร้าง QR Code อีกทอด การย่อลิงก์ใต้ QR Code จะทำให้ผู้ใช้ไม่สามารถ Preview ได้ว่า QR Code ดังกล่าวจะส่งไปยังเว็บไซต์ปลายทางใด (เพราะแอปพลิเคชันจะแสดงเพียงลิงก์ที่ถูกย่อแล้ว) ซึ่งเป็นโอกาสในการป้องกันความเสี่ยงเดียวของผู้ใช้งาน
นอกจากนั้น Quishing ยังสามารถทำได้ด้วยการแปะ QR Code ปลอมทับ QR Code จริง และการวาง QR Code ปลอมเอาไว้เพื่อหลอกเหยื่อ ทำให้การตรวจสอบ Link ปลายทางที่ได้จากการสแกน QR Code ยิ่งเป็นสิ่งสำคัญ
ผู้ใช้อย่างเราสามารถป้องกันการ Quishing อย่างไรบ้าง
สาระสำคัญของการป้องกันการ Quishing หรือ QR Code Phishing คือ การสังเกต URL ที่ถูกเปิดจาก QR Code อย่างรอบคอบ ไม่ต่างจากการป้องกันการ Phishing ที่ต้องตรวจสอบให้ดีก่อนว่า URL นั้นจะพาเราไปไหน รวมถึงรู้จัก Domain Name ที่ถูกต้องของแต่ละแบรนด์ที่คุณต้องกรอกข้อมูลลงไป
และอีกสิ่งสำคัญคือ ไม่รีบ (เรารู้ดีว่ามันน่าเบื่อ) แต่อย่ารีบจนข้ามการตรวจสอบ
ทั้งนี้ วิธีการที่เราแนะนำจริง ๆ คือ หลีกเลี่ยงการใช้ QR Code ในสิ่งที่ไม่สมเหตุสมผล ที่ไม่ได้ควรจะใช้ QR Code ตั้งแต่แรกแต่กลับใช้ เพราะปกติแล้วนอกจากการใช้ QR Code สแกนจ่ายเงินเราก็ไม่มีความจำเป็นที่จะต้องสแกน QR Code อยู่แล้ว
ตัวอย่างการใช้ QR Code ที่ไม่สมเหตุสมผลเช่น
- ร้านอาหารชื่อดังที่ให้ลูกค้าสแกนเพื่อดาวน์โหลดเมนูอาหารที่เป็นไฟล์ PDF ขนาดประมาณ 100 MB ลงเครื่อง เพื่อสั่งอาหารในปี 2024 อันเป็น User Experience ระดับเหลือเชื่อ และช่วยให้การสั่งอาหารไม่ได้รวดเร็วขึ้นเลย
- การส่ง QR Code เข้ามาผ่านทาง Email ให้คุณสแกนเพื่อทำอะไรบางอย่าง เช่น ใบเสนอราคา ใบเสร็จ และเอกสารต่าง ๆ แทนที่จะส่งเป็นลิงก์ (ระบบแสกนหาอีเมลที่ไม่ปลอดภัย จะมองข้ามภาพ QR Code และ QR Code ที่อยู่ในไฟล์ต่าง ๆ เช่นไฟล์ PDF)
และหลีกเลี่ยงการใช้ QR Code ที่สแกนแล้วพบว่ามีการย่อลิงก์ เพราะไม่มีเหตุผลดี ๆ ในการย่อลิงก์ที่ใช้ QR Code เพราะ QR Code เองก็เป็นการย่อลิงก์อยู่แล้ว และหากจะบอกว่าการย่อลิงก์ดังกล่าวใช้เพื่อเก็บสถิติ ด้านนักการตลาดเองสามารถเก็บสถิติจากฝั่งหน้าเว็บได้อยู่แล้ว การย่อลิงก์จึงไม่ได้จำเป็นมากขนาดนั้น
หากให้เราสรุปวิธีป้องกัน Quishing แบบง่ายสุด ๆ คือ คุณก็แค่ไม่ต้องสแกน QR Code อะไรก็ตาม ยกเว้นการสแกน QR จ่ายเงินหน้าร้าน … ย้ำว่าหน้าร้านเท่านั้น แต่การสแกนจ่ายเงินที่หน้าร้านคุณก็ยังคงต้องตรวจสอบให้เรียบร้อยทุกครั้ง
สุดท้ายนี้ สิ่งที่เราอยากจะฝากคือ Quishing ก็เหมือนกับกลโกงของมิจฉาชีพทุกครั้ง ที่ถ้าคุณรู้เท่าทันและพิจารณาอย่างมีสติก็จะสามารถป้องกันความความเสี่ยงนี้ได้ ซึ่งการ Scam ในลักษณะนี้ (และลักษณะอื่น ๆ) ก็จะยังคงเกิดขึ้นซ้ำต่อไปเรื่อย ๆ ตราบนานเท่านานบนพื้นฐานของการ “หว่านแห” เพื่อหาผู้โชคร้ายเพียงไม่กี่เปอร์เซ็นต์จากทั้งหมด ดังนั้นจึงเป็นสิ่งสำคัญที่จะออกมาเตือนคนใกล้ตัวถึงความเสี่ยงเหล่านี้เท่าที่เป็นไปได้เพื่อเพิ่มต้นทุนค่าเสียโอกาสของกลโกงในลักษณะนี้