Phishing คืออะไร ทำความรู้จักและรู้ให้เท่าทันก่อนตกเป็นเหยื่อ
Phishing หรือฟิชชิ่ง คือภัยร้ายในโลกออนไลน์ที่เป็นภัยคุกคามทางไซเบอร์รูปแบบหนึ่งของการโจมตีโดยใช้เทคนิคจิตวิทยา “Social Engineering” ซึ่งการหลอกลวงแบบฟิชชิ่งนี้เป็นกลลวงที่อาชญากรทางไซเบอร์ หรือผู้ที่ไม่หวังดีใช้เพื่อหลอกให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลการเข้าสู่ระบบ รายละเอียดทางการเงิน หรือข้อมูลส่วนบุคคล เป็นต้น
คำว่า Phishing นี้ มีที่มาจากการใช้คำพ้องเสียงคำว่า Fishing ที่หมายถึงการตกปลา เนื่องจากการโจมตีแบบ Phishing คือรูปแบบการหลอกลวงเหยื่อให้ทำการต่าง ๆ ตามที่ผู้โจมตีต้องการ ซึ่งก็เปรียบเสมือนกับการใช้เหยื่อล่อในการตกปลานั่นเอง
เรียกได้ว่าการโจมตีแบบ Phishing คือหนึ่งในภัยคุกคามอันดับต้น ๆ ที่องค์กรทุกขนาดทั่วโลกต้องเผชิญเป็นอันดับต้น ๆ เลยก็ว่าได้ และด้วยประเภทของการโจมตี Phishing ที่มีอยู่หลากหลายและมีการพัฒนาอยู่ทุกวัน องค์กรต่าง ๆ ไม่เพียงต้องเรียนรู้วิธีป้องกัน Phishing ไม่ให้ส่งผลกระทบต่อองค์กรเท่านั้น แต่ยังต้องมีการเพิ่มพูนความรู้ความเข้าใจเกี่ยวกับการโจมตีแบบ Phishing ให้กับพนักงานภายในองค์กรเพื่อลดความเสี่ยงที่เกิดขึ้นจากภัยคุกคามทางไซเบอร์ที่ร้ายกาจเหล่านี้
Phishing มีกี่ประเภท วันนี้ SOSECURE (โซซีเคียว) ขอพาทุกคนไปรู้จักกับการโจมตี Phishing ให้มากยิ่งขึ้น พร้อมพาไปรู้จักว่า Phishing มีกี่ประเภท พร้อม ๆ กันในบทความนี้
Phishing มีกี่ประเภท แต่ละประเภทมีอะไรบ้าง
Phishing หรือฟิชชิ่ง คือภัยคุกคามทางไซเบอร์เกี่ยวกับเทคนิคการโจมตีทางไซเบอร์ที่เป็นการหลอกลวงให้บุคคลใดบุคคลหนึ่งทำตามความต้องการ แต่โดยทั่วไปแล้วการหลอกลวงแบบฟิชชิ่งนี้ จะเป็นการหลอกลวงที่มุ่งเน้นให้บุคคลเปิดเผยข้อมูลที่มีความละเอียดอ่อน สำหรับประเภทของ Phishing ก็จะมีหลากหลายมาก ๆ ซึ่งแต่ละประเภทก็จะได้รับการปรับแต่งเพื่อใช้ประโยชน์จากจิตวิทยาของมนุษย์และช่องโหว่ทางเทคโนโลยี ไม่เพียงเท่านั้น เพราะแต่ละประเภทก็จะวิธีการดำเนินการและเป้าหมายเฉพาะที่จะหลอกลวงแตกต่างกันไป โดยประเภทของ Phishing สามารถแบ่งออกได้เป็น 8 ประเภทหลัก ๆ ดังนี้
Email Phishing
รูปแบบของการโจมตีแบบ Phishing ที่ผู้ไม่หวังดีส่งอีเมลหลอกลวงโดยอ้างว่ามาจากแหล่งที่น่าเชื่อถือ เพื่อหลอกให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการบางอย่าง โดยรูปแบบของการโจมตีประเภทนี้จะไม่ได้เจาะจงเป้าหมายกลุ่มใดเป็นพิเศษ เป็นการหว่านไปเน้นจำนวนมาก ๆ
เช่น: อีเมลที่อ้างว่ามาจากธนาคาร ขอให้ผู้รับคลิกลิงก์เพื่อยืนยันรายละเอียดบัญชี โดยลิงก์จะนำผู้รับไปยังเว็บไซต์ปลอมที่รวบรวมข้อมูลการเข้าสู่ระบบของผู้รับที่คลิก
Spear Phishing
เป็นรูปแบบของการโจมตีแบบ Phishing ที่มีการกำหนดเป้าหมายแบบเฉพาะ ซึ่งผู้ไม่หวังดีจะปรับแต่งข้อความของตนสำหรับบุคคลหรือองค์กรที่เฉพาะเจาะจง โดยมักใช้ข้อมูลที่รวบรวมจากโซเชียลมีเดียหรือแหล่งอื่น ๆ
เช่น: อีเมลที่ส่งถึงพนักงานในแผนกการเงินซึ่งดูเหมือนว่ามาจากผู้จัดการเพื่อขอโอนเงินเรื่องธุรกิจเร่งด่วน (แต่ไม่ได้มาจากผู้จัดการตัวจริง)
Whaling Phishing
รูปแบบของการโจมตีแบบ Phishing ที่คล้ายกับ Spear Phishing แต่จะมุ่งเป้าไปที่บุคคลที่มีชื่อเสียง เช่น CEO หรือผู้บริหารขององค์กรคนอื่น ๆ เป้าหมายของการหลอกลวงแบบฟิชชิ่งนี้ คือการหลอกให้บุคคลเหล่านั้นเปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่อาจเป็นอันตรายต่อองค์กร
เช่น: อีเมลที่แอบอ้างเป็น CEO ของบริษัท โดยสั่งให้ฝ่ายการเงินโอนเงินจำนวนมากเพื่อทำข้อตกลงทางธุรกิจที่เป็นความลับ ซึ่งผู้ไม่หวังดีบางคนอาจจะขอให้เหยื่อดาวน์โหลดไฟล์แนบเพื่อดูรายละเอียด และไฟล์แนบเหล่านี้มาพร้อมกับมัลแวร์ที่สามารถเข้าถึงคอมพิวเตอร์ได้
Vishing Phishing
เป็นรูปแบบของการโจมตีแบบ Phishing ที่เกี่ยวข้องกับการใช้โทรศัพท์เพื่อหลอกให้บุคคลให้ข้อมูลที่ละเอียดอ่อนหรือดำเนินการบางอย่าง หรือที่เรียกอีกอย่างว่าการหลอกลวงจากแก๊งคอลเซนเตอร์
เช่น: การโทรที่อ้างว่ามาจากหน่วยงานรัฐบาล โดยระบุว่าผู้รับต้องชำระภาษีและจะต้องถูกดำเนินคดีทางกฎหมายหากไม่ได้ให้ข้อมูลส่วนบุคคลเพื่อการตรวจสอบ
Smishing Phishing
รูปแบบของการโจมตีแบบ Phishing ที่ได้ส่งผ่านอีเมล แต่เป็นการส่งข้อความแบบสั้นเพื่อหลอกให้ผู้รับคลิกลิงก์ที่เป็นอันตรายหรือเปิดเผยข้อมูลส่วนบุคคล และยังเกี่ยวข้องกับการใช้ประโยชน์จากความนิยมของแพลตฟอร์มโซเชียลมีเดีย และการสร้างบัญชีสนับสนุนลูกค้าปลอมเพื่อหลอกล่อให้บุคคลให้ข้อมูลที่ละเอียดอ่อนอีกด้วย
เช่น: ข้อความที่อ้างว่ามาจากบริษัทจัดส่งที่ถูกต้องตามกฎหมาย ขอให้ผู้รับคลิกลิงก์เพื่อติดตามพัสดุ ซึ่งจริง ๆ แล้วนำไปสู่เว็บไซต์ปลอมที่หลอกให้ใส่ข้อมูลส่วนตัวลงไป
Angler Phishing
เป็นรูปแบบของการโจมตีแบบ Phishing ที่เกี่ยวข้องกับการใช้ประโยชน์จากความนิยมของแพลตฟอร์มโซเชียลมีเดียในปัจจุบัน โดยผู้ไม่หวังดีจะติดตามผู้ที่โพสต์เกี่ยวกับบริการต่าง ๆ บนโซเชียลมีเดีย จากนั้นก็จะแสร้งทำเป็นตัวแทนฝ่ายบริการลูกค้าจากบริษัทนั้น ๆ และการสร้างบัญชีสนับสนุนลูกค้าปลอมเพื่อหลอกล่อให้บุคคลให้ข้อมูลที่ละเอียดอ่อน
เช่น ในบัญชี Facebook ของเรา ได้มีโพสต์โวยวายเกี่ยวกับการฝากเงินล่าช้าหรือบริการธนาคารที่ไม่ดี และโพสต์นั้นมีชื่อธนาคารอยู่ ผู้ไม่หวังดีก็จะใช้ข้อมูลนี้เพื่อแสร้งทำเป็นว่ามาจากธนาคารแล้วติดต่อข้อมูลส่วนตัวเพื่อที่จะแก้ปัญหานั้นให้
CEO Fraud Phishing
รูปแบบของการโจมตีแบบ Phishing ที่มีความคล้ายคลึงกับ Whaling Phishing แต่หลักการของการหลอกลวงแบบฟิชชิ่งประเภทนี้ จะเน้นไปที่บุคคลที่การใช้บุคคลที่มีชื่อเสียง เช่น CEO หรือผู้บริหารขององค์กรคนอื่น ๆ เป็นเหยื่อล่อ โดยผู้ไม่หวังดีจะทำการแอบอ้างเป็นบุคคลเหล่านี้และส่งอีเมลถึงพนักงานในบริษัทเพื่อทำการหลอกล่อให้บุคคลให้ข้อมูลที่ละเอียดอ่อน
เช่น: อีเมลที่ดูเหมือนส่งมาจาก CEO สั่งให้แผนกบุคคลส่งข้อมูลเงินเดือนของพนักงานทุกคนเพื่อการตรวจสอบที่เป็นความลับ
Search Engine Phishing
เป็นรูปแบบของการโจมตีแบบ Phishing ที่ผู้โจมตีจะสร้างเว็บไซต์ปลอมแล้วปรับให้เป็นไปตาม หลัก SEO ให้เหมาะกับเครื่องมือค้นหา โดยมีเป้าหมายเพื่อหลอกให้ผู้ใช้คลิกลิงก์ที่เป็นอันตรายเมื่อค้นหา Keyword ที่มีความเฉพาะเจาะจง
เช่น: การสร้างเว็บไซต์ปลอมที่ออกแบบมาเพื่อเลียนแบบบริการออนไลน์ยอดนิยมและใช้เทคนิคการทำ SEO ให้หน้าเว็บไซต์ปลอมนี้แสดงผลลัพธ์อยู่ในอันดับต้น ๆ ของการค้นหา ส่งผลให้ผู้ใช้เชื่อถือเว็บไซต์หลอกลวงนั้น ๆ
หลังจากที่ได้รู้กันไปแล้วว่า Phishing มีกี่ประเภท ทุกคนคงจะเห็นแล้วใช่ไหมว่าแต่ละประเภทนั้นเป็นภัยทางไซเบอร์ที่น่ากลัวมาก ๆ ซึ่งหากเราเผลอคลิก หรือเผลอให้ข้อมูลที่ละเอียดอ่อนไปนั่นก็จะทำให้เกิดผลกระทบที่ร้ายแรงตามมาได้ ดังนั้นแต่ละองค์กรจึงควรมีการซ้อมรับมือภัยคุกคามทางไซเบอร์ หรือทำ Cyber Drill จำลองเหตุการณ์เสมือนถูกโจมตีด้วยเทคนิคต่าง ๆ เพื่อให้สามารถรับมือกับภัยร้ายเหล่านี้ได้อย่างทันท่วงที
จะป้องกันตนเองจากการโจมตีแบบ Phishing ได้อย่างไร?
ด้วยความที่การหลอกลวงแบบฟิชชิ่งมีความซับซ้อนจากอดีตมากขึ้น และก่อให้เกิดภัยคุกคามที่สำคัญต่อทั้งตัวบุคคลเองและองค์กร ซึ่งการป้องกันตัวเองจากการโจมตีแบบ Phishing จะต้องอาศัยความตระหนักรู้ การเฝ้าระวัง และมาตรการเชิงรุกที่ผสมผสานกัน โดยวิธีป้องกันก็จะมีดังนี้
- ไม่คลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก โดยเฉพาะอย่างยิ่งอีเมลที่กระตุ้นให้คุณคลิกลิงก์หรือให้ข้อมูลที่ละเอียดอ่อน ซึ่งปกติองค์กรที่ถูกต้องตามกฎหมายจะไม่ขอข้อมูลที่ละเอียดอ่อนทางอีเมล ดังนั้นจึงควรตรวจสอบตัวตนของผู้ส่งโดยการตรวจสอบที่อยู่อีเมลอย่างระมัดระวัง เนื่องจากผู้ไม่หวังดีอาจจะใช้ที่อยู่ของอีเมลที่ทำให้เกิดความสับสนได้ง่าย เช่น การใช้ตัว l แทนตัว i พิมพ์ใหญ่ URL เป็นต้น
- อัปเดตซอฟต์แวร์ให้อยู่ในเวอร์ชันล่าสุดเป็นประจำและเปิดใช้งานการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าระบบปฏิบัติการ โปรแกรมป้องกันไวรัส รวมถึงเบราว์เซอร์ได้รับการติดตั้งแพตช์รักษาความปลอดภัยล่าสุด โดยการติดตั้งตัวป้องกันไวรัสและมัลแวร์ที่มีชื่อเสียงเพื่อตรวจจับและบล็อกความพยายามในการโจมตีแบบ Phishing จากผู้ไม่หวังดี และเพื่อรับรู้ถึงภัยคุกคามที่อาจเกิดขึ้นควรมีความระมัดระวังเมื่อแชร์ข้อมูลส่วนบุคคลบนโซเชียลมีเดีย เนื่องจากผู้ไม่หวังดีมักจะรวบรวมรายละเอียดจากโปรไฟล์สาธารณะเพื่อทำการโจมตีแบบ Phishing ทั้งนี้ควรหลีกเลี่ยงการใช้ Wi-Fi สาธารณะเพื่อเข้าถึงบัญชีที่ละเอียดอ่อน และพิจารณาใช้ VPN เพื่อเพิ่มความปลอดภัย
- ใช้โปรแกรมตรวจสอบรหัสผ่าน โดยโปรแกรมจัดการรหัสผ่านก็จะมีหลากหลาย เช่น Dashlane, Lastpass หรือ KeypassXC ซึ่งโปรแกรมเหล่านี้จะบันทึกรหัสผ่านที่เกี่ยวข้องกับเว็บไซต์ต่าง ๆ อย่างครอบคลุม ในกรณีที่ป้อนรหัสผ่านบนเว็บไซต์ที่ฉ้อโกงโดยไม่ได้ตั้งใจ โปรแกรมเหล่านี้สามารถระบุการละเมิดความปลอดภัยได้ทันที ที่สำคัญโปรแกรมตรวจสอบรหัสผ่านยังสามารถช่วยเสริมความปลอดภัยออนไลน์โดยรวมได้ดียิ่งขึ้น
ถึงแม้การโจมตีแบบ Phishing หรือการหลอกลวงแบบฟิชชิ่ง นั้นจะเป็นภัยคุกคามทางไซเบอร์ที่มีความน่ากลัว แต่ SOSECURE (โซซีเคียว) ขอบอกเลยว่าหากทุกคนรู้ถึงรายละเอียดต่าง ๆ ของการโจมตี Phishing และรู้ว่า Phishing มีกี่ประเภท ก็จะทำให้สามารถรับมือกับภัยร้ายนี้ได้อย่างทันท่วงที โดยแต่ละองค์กรสามารถป้องกันการโจมตีแบบ Phishing หรือการหลอกลวงแบบฟิชชิ่ง ได้ด้วยการซ้อมรับมือภัยคุกคามทางไซเบอร์ หรือทำ Cyber Drill จำลองเหตุการณ์เสมือนถูกโจมตีด้วยเทคนิคต่าง ๆ เพื่อให้สามารถรับมือ แก้ไข และป้องกันผลกระทบที่อาจเกิดขึ้นจากภัยร้ายนี้ได้ดียิ่งขึ้น