การฟิชชิง (Phishing) เป็นกลลวงข้อมูลส่วนตัวอย่างหนึ่งโดยใช้อีเมลและเว็บไซต์ แม้จะเป็นวิธีการที่ใช้มาอย่างช้านาน แต่ด้วยเล่ห์เหลี่ยมและความแนบเนียนที่ซับซ้อนมากขึ้นในปัจจุบัน เรามารู้เท่าทันกลโกงของมิจฉาชีพไซเบอร์กัน

 

คำจำกัดความของ Phishing 

การฟิชชิงเป็นการโจมตีทางไซเบอร์ที่ใช้อีเมลแฝงเป็นวิธีการหลัก เป้าหมายก็เพื่อหลอกให้เหยื่อหลงเชื่อว่าอีเมลที่ได้รับนั้น มาจากทางธนาคารหรือเป็นข้อความจากเพื่อนร่วมงาน จากนั้นก็กดเข้าไปในลิงก์หรือดาวน์โหลไฟล์เอกสาร

สิ่งที่ทำให้เหยื่อปักใจเชื่อกดลิงก์เข้าไปก็คือ อีเมลแฝงที่ดูน่าเชื่อถือมาในรูปแบบคนใกล้ตัวหรือบริษัทที่เหยื่อทำงานด้วย การฟิชชิงเป็นหนึ่งในกลลวงที่เก่าแก่ที่สุดจากการโจมตีทางไซเบอร์ ซึ่งเป็นที่รู้จักกันแรก ๆ ย้อนไปในช่วง 1990 แต่ก็ยังถูกใช้อย่างแพร่หลายและเป็นภัยร้ายต่อข้อมูลส่วนตัว ที่มาพร้อมกับเทคนิคที่ซับซ้อนมากยิ่งขึ้น

“Phish” ออกเสียงเหมือนกับคำว่า “fish” เปรียบเทียบกับการโยนเหยื่อล่อปลา โดยหวังว่าเหยื่อจะติดกับของผู้ประสงค์ร้าย Phishing Scam เป็นที่รู้จักกันกลางทศวรรษ 1990 ท่ามกลางแฮกเกอร์ประสงค์ที่จะล่อลวงข้อมูลจากผู้ใช้งาน AOL ส่วนที่ใช้ “ph” เป็นคำสะกด เพราะเป็นธรรมเนียมในแวดวงแฮกเกอร์ และอาจมีอิทธิพลมาจากคำว่า “phreaking” ซึ่งเป็นการหลอกโทรศัพท์ฟรีในยุคก่อน 

กว่า 1 ใน 3 ของการล่อลวงข้อมูลออนไลน์มาจากการฟิชชิง เพราะความน่าเชื่อถือของอีเมลแฝงที่ออกมาแบบมาอย่างแนบเนียน ด้วยเทคโนโลยีที่ทันสมัยมากขึ้นทำให้เหยื่อหลงเชื่อเป็นจำนวนมาก

 

 

ไม่เพียงข้อมูลจากบุคคลธรรมดา แม้แต่ข้อมูลสำคัญของผู้ทรงอิทธิพลก็ถูกโจรกรรมได้

• ย้อนไปในปี 2016 ซึ่งถือเป็นประวัติศาสตร์การฟิชชิงครั้งใหญ่ ที่ส่งผลกระทบหลายประการ เมื่อแฮกเกอร์สามารถเข้ารหัสผ่าน Gmail ของประธานแคมเปญ Clinton จอห์น โพเดสตาได้
• ในปีเดียวกัน ข้อมูลเงินฝากของมหาวิทยาลัยแคนซัสในสหรัฐอเมริกา ถูกโจรกรรมผ่านการฟิชชิง ทำให้เงินค่าจ้างของพนักงานสูญหาย
• ภาพหลุดของเหล่าดาราชื่อดังถูกเปิดเผยต่อสาธารณะ โดยกลุ่มแฮกเกอร์นามว่า “The Fappening” ซึ่งตอนแรกเข้าใจว่าเป็นเซิฟเวอร์ระบบรักษาความปลอดภัยของ iCloud ขัดข้อง แท้จริงแล้วเกิดจากการโจรกรรมข้อมูลผ่านการฟิชชิง

 

เครื่องมือการฟิชชิง

ด้วยเครื่องมือการฟิชชิงที่หลากหลายให้เลือกบนอินเตอร์เน็ต เหล่าอาชญากรไซเบอร์แม้แต่ผู้มีทักษะน้อย ก็สามารถผลิตสื่อแฝงได้เพียงแค่ติดตั้งโปรแกรมและเครื่องมือที่จำเป็นลงบนเซิฟเวอร์ เมื่อเตรียมการเสร็จสิ้นก็เหลือเพียงส่งอีเมลแฝงให้กับเหยื่อ ทั้งโปรแกรมและรายชื่ออีเมลเหยื่อสามารถหาได้ทั่วไปบนเว็บมืด (Dark web) เครื่องมือบางชนิดสามารถตบตาเหยื่อได้ด้วยแบรนด์ชื่อดังที่น่าเชื่อถือ ซึ่งเพิ่มโอกาสความสำเร็จให้เหยื่อหลงเชื่อกดลิงก์ปลอมได้

การวิเคราะห์เครื่องมือการฟิชชิงทำให้ทีมรักษาความปลอดภัยสามารถติดตามตัวคนร้ายได้ นายจอร์แดน ไรท์ วิศวกร R&D อาวุโส กล่าวว่า “การวิเคราะห์เครื่องมือการฟิชชิงทำให้เราได้ข้อมูลสถานที่ที่เหยื่อส่งข้อมูลส่วนตัวให้คนร้าย โดยการติดตามที่อยู่อีเมลที่พบในครื่องมือการฟิชชิง ซึ่งสามารถเจาะจงผู้ใช้งานเครื่องมือการฟิชชิงชนิดเฉพาะได้ ไม่เพียงแต่ว่าเราเห็นว่าข้อมูลถูกส่งไปที่ไหน แต่เราสามารถรู้ว่าถูกส่งมาจากที่ไหนด้วย”

 

ประเภทของการฟิชชิง

ลักษณะร่วมกันของการฟิชชิงก็คือการอำพราง ผู้ประสงค์ร้ายจะปลอมที่อยู่อีเมลให้ดูเหมือนว่าส่งมาจากบุคคลอื่นจริง ๆ แล้วลิงก์ไปยังเว็บไซต์เลียนแบบที่ทำให้เหยื่อหลงเชื่อ และใช้ตัวอักษรที่ไม่คุ้นเคยเพื่อปิดบัง URLs

การฟิชชิงมีเทคนิคหลากหลายรูปแบบ สิ่งที่แยกประเภทของการฟิชชิงก็คือจุดประสงค์ของผู้ประสงค์ร้าย โดยทั่วไปแล้วการฟิชชิงพยายามที่จะให้เหยื่อทำ 1 ใน 2 สิ่งต่อไปนี้

1. ส่งข้อมูลที่อ่อนไหว ข้อความหว่านล้อมเพื่อให้เหยื่อเปิดเผยข้อมูลสำคัญ ส่วนใหญ่จะเป็นบัญชีและรหัสผ่าน วิธีการก็คือส่งอีเมลทางการที่ปลอมแปลงมาจากธนาคารสุ่มไปยังอีเมลนับล้านคน เพราะอาจมีบางส่วนหลงเชื่อและมีบัญชีของธนาคารนั้นจริง จากนั้นเหยื่อก็กดลิงก์ที่แนบมากับอีเมล และลิงก์ไปยังเว็บเลียนแบบธนาคารดังกล่าว โดยหวังว่าเหยื่อจะกรอกชื่อบัญชีและรหัสผ่าน
2. ดาวน์โหลด Malware เช่นเดียวกับการสแปมส่วนใหญ่ การฟิชชิงประเภทนี้มีเป้าหมายให้คอมพิวเตอร์ของเหยื่อติดมัลแวร์ ตัวอย่าง อาจเป็นไฟล์แฝงอยู่ในใบสมัครงานให้กับเจ้าหน้าที่ HR โดยแนบไฟล์ .zip หรือนามสกุล .doc ที่มาพร้อมกับโปรแกรมที่ไม่พึงประสงค์ โดยประเภทที่พบได้ทั่วไปจะเป็น Ransomware ในปี 2017 มีการประมาณว่าร้อยละ 93 ของอีเมลแฝงจะมี Ransomware แนบมาด้วย

การฟิชชิงผ่านอีเมลอาจเฉพาะเจาะจงเป้าหมายหรือไม่ก็ได้ โดยการส่งอีเมลแบบวงกว้างให้เหยื่อหลายรายพร้อมกัน พยายามให้เหยื่อกดลิงก์ไปยังเว็บไซต์ชื่อดังที่สร้างมาปลอม ๆ ตัวเลขจำนวนมากมาจากแบรนด์ชื่อดังที่แฮกเกอร์ใช้ล่อลวงเหยื่อ

เว็บไซต์ล็อกอินปลอมกว่า 50,000 เว็บที่ได้ทดลองตรวจสอบข้อมูลที่ผู้ประสงค์ร้ายส่วนใหญ่ใช้มีดังนี้

• PayPal: 22%
• Microsoft: 19%
• Facebook: 15%
• eBay: 6%
• Amazon: 3%

นอกจากนี้ แฮกเกอร์จะเล็งกลุ่มพนักงานบริษัท โดยส่วนใหญ่จะเป็นเจ้าหน้าที่ HR ที่ต้องคัดเลือกใบสมัครงานที่แนบมากับอีเมล แม้แฮกเกอร์จะไม่รู้จักเหยื่อเป็นการส่วนตัว บางกลุ่มจะเจาะจงเหยื่อให้กรอกข้อมูลการล็อกอินหรือทำอันตรายต่อคอมพิวเตอร์ และมักจะสแปมไปยังบุคคลที่มีฐานะหน้าที่การงานที่สูง เพราะผลประโยชน์จะสูงกว่า

Spear phishing

แฮกเกอร์ที่เจาะจงกลุ่มเป้าหมายเฉพาะจะเรียกว่า Spear Phishing เหมือนชาวประมงเล็งปลาด้วยฉมวกเป็นตัว ๆ ไปแทนที่จะใช้เหยื่อล่อ มิจฉาชีพจะหาเป้าหมาย บางครั้งผ่านเว็บหางาน และส่งอีเมลไปหาเหยื่อโดยแสร้งว่ามาจากเพื่อนร่วมงาน ตัวอย่างเช่น กลุ่มมิจฉาชีพเล็งเหยื่อที่ทำงานในแผนกการเงิน และอ้างว่าเป็นผู้จัดการที่ต้องการจะโอนเงินจำนวนหนึ่ง โดยไม่ได้บอกล่วงหน้ามาก่อนกับพนักงานการเงิน

Whaling

เป็นรูปแบบหนึ่งของ Spear Phishing แต่มีเป้าหมายปลาตัวใหญ่กว่าอย่าง CEOs หรือตำแหน่งงานในระดับสูง โดยส่วนมากมิจฉาชีพจะกำหนดเป้าหมายอย่างคณะกรรมการบริษัทยักษ์ใหญ่ หรือคนที่มีสถานะสูงในบริษัท ซึ่งจะใช้อีเมลส่วนตัวแทนที่จะเป็นอีเมลของทางบริษัทที่มีระบบรักษาความปลอดภัยที่ดีกว่า เพราะไม่ได้ทำงานประจำบริษัท ทำให้ตกเป็นเป้าหมายได้

แม้จะใช้เวลาในการรวบรวมข้อมูลพอสมควรก่อนจะทำการลงมือหลอกเหยื่อที่สำคัญ แต่ผลตอบแทนก็คุ้มค่าแก่การรอคอย ในปี 2008 กลุ่มอาชญากรรมไซเบอร์ลวงข้อมูลจาก CEOs ของบริษัทแห่งหนึ่ง โดยแสร้งว่ามีหมายศาลจาก FBI แนบมา แต่แท้จริงแล้วแฮกเกอร์ได้ฝังเครื่องมือดักจับข้อมูลการใช้งาน (keylogger) บนคอมพิวเตอร์ของผู้บริหาร และสามารถขโมยข้อมูลของเหยื่อได้มากกว่า 2 พันคน แม้โอกาสสำเร็จจะมีเพียงร้อยละ 10 

ทั้งนี้การฟิชชิงยังมีอีกหลายรูปแบบอย่าง Clone phishing, Vishing และ Snowshoeing แต่จะอธิบายเพียงแค่ความแตกต่างของการฟิชชิงพอสังเขปเท่านั้น

 

Phishing ระบาดช่วงวิกฤตสำคัญ

อาชญากรอาศัยการหลอกลวงและโอกาสจากความตื่นตระหนกของผู้คนเป็นเครื่องมือหากิน ในช่วงโรคระบาดโควิด 19 เป็นโอกาสทองสำหรับมิจฉาชีพไซเบอร์ เพื่อตักตวงผลประโยชน์จากผู้คนที่ต้องการข้อมูลข่าวสาร โครงการช่วยเหลือจากรัฐ ข้อมูลธนาคาร หรือการจองคิวฉีดวัคซีน ที่ต้องเข้ายืนยันตัวตนโดยกรอกข้อมูลส่วนตัว ถ้าเหยื่อหลงเชื่อกดลิงก์แฝงจะทำให้อุปกรณ์ติดไวรัสหรือถูกโจรกรรมข้อมูลบัญชีได้

 

 

 

 

 

วิธีป้องกันการฟิชชิง

ทางที่ตรวจสอบอีเมลแฝงหรือเว็บปลอมที่ดีที่สุด ก็คือการเรียนรู้จากตัวอย่างเว็บปลอมทั่วไป หรือสามารถศึกษาข้อมูลได้จากวิดีโอผ่านอินเตอร์เน็ตเพิ่มเติม

• ตรวจสอบลิงก์ URLs ในอีเมลที่ส่งมา ก่อนจะกดเข้าหรือป้อนข้อมูลที่อ่อนไหว
• ระวังการลิงก์เข้าไปยังเว็บที่มีลักษณะคล้ายกับต้นฉบับ ซึ่งอาจทำให้สับสนกับเว็บปลอมได้
• ถ้าหากได้รับอีเมลจากแหล่งที่มาที่คุ้นเคย แต่สังเกตถึงความผิดปกติอย่ากดตอบกลับ ให้ร่างจดหมายใหม่ติดต่อกลับแทน
• อย่าโพสต์ข้อมูลส่วนตัวเช่นวันเกิด แผนเดินทาง ข้อมูลที่อยู่ หรือเบอร์มือถือบนสื่อโซเชียล

วิธีการสังเกต Phishing Scam เบื้องต้น

หากมีอีเมลส่งมาในลักษณะดังนี้

• อ้างว่ามีกิจกรรมต้องสงสัยหรือมีการพยายามล็อกอินเข้าบัญชีคุณ
• อ้างว่ามีปัญหาเกี่ยวกับบัญชีหรือข้อมูลชำระเงิน
• ต้องยืนยันข้อมูลส่วนตัว
• มีใบชำระหนี้ปลอมแนบมากับอีเมล
• ต้องการให้กดเข้าลิงก์เพื่อชำระเงิน
• บอกว่าคุณได้รับสิทธิพิเศษจากรัฐบาล
• เสนอคูปองแลกรับสินค้าฟรี