Phishing เป็นคำที่พ้องเสียงกับคำว่า Fishing ซึ่งแปลว่าการตกปลาโดยต้องมีการใส่เหยื่อลงไปและรอให้คนมาติดเบ็ดเอง นั่นมันหมายถึงการโจรกรรมข้อมูลทางอินเตอร์เน็ตในรูปแบบของการสร้าง Web Site เลียนแบบ โดยใช้เทคนิคแบบ Social Engineering ประกอบเพื่อเพิ่มความน่าเชื่อถือ ในการล่อลวงให้เหยื่อผู้เคราะห์ร้ายเปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์โดยอ้างอิงถึงบริษัทที่น่าเชื่อถือหรือว่ามาจากบริษัทที่เหยื่อเป็นสามาชิกอยู่ โดยบริษัทที่มักจะโดนกันไปบ่อยก็ได้แก่ eBay.com, PayPal.com และ Online banks ต่างๆ เป็นต้น
องค์ประกอบหลักของ Phishing
1. Email (Bait หรือ เหยื่อล่อ) ที่ถูกร่างขึ้นเพื่อสร้างความน่าเชื่อถือ และมีข้อความหลอกล่อต่างๆ เพื่อให้ผู้อ่านหลงเชื่อและ Click ไปยัง Link ที่เตรียมไว้
2. Fake Webpage คือหน้า webpage ที่ Phisher พยายามสร้างขึ้นมาให้เหมือนหรือใกล้เคียงกับsite จริงมากที่สุด เพื่อให้เหยื่อผู้หลงเชื่อกรอกข้อมูลส่วนตัวต่างๆ ที่ต้องการลงไป
ตัวอย่างอีเมล์หลอกลวงซึ่งมิได้ส่งจากธนาคาร
Email นี้ถูกส่งมาพร้อมกับ Logo ของธนาคารในรูปแบบที่เป็นทางการที่จะทำให้ท่านเชื่อได้ว่า email นี้น่าจะถูกส่งมาจากธนาคารนั้นจริงๆ เมื่อท่านได้อ่านข้อความแล้วหลงเชื่อ (ติดกับดัก)โดยเกรงว่า account จะถูกระงับจึงรีบ take action โดยคลิ๊กไปที่ Link ที่ระบุไว้ใน email จากนั้น เจ้า Internet Explorer ก็ทำการเปิดหน้า webpage ที่ดูแล้วก็น่าจะเป็น web ของธนาคารนั้นขึ้นมา ท่านจึงกรอก user name และ password ของท่านลงไป จากนั้นก็มีข้อความขึ้นมาว่า “การยืนยันสมบูรณ์ ขอบคุณที่ใช้บริการ” ท่านก็จะคิดว่าทุกอย่างเสร็จสิ้นสมบูรณ์ด้วยดี แต่อันที่จริงแล้ว ข้อมูลของท่านได้ตกไปอยู่ในมือของ Hacker หรือ Phisher เป็นที่เรียบร้อยแล้ว
จุดสังเกต:
จุดที่ 1. From: e-mail address ไม่ถูกต้อง
ตัวอย่าง e-mail จาก Phishing : Bank of Ayudhya [mailto:updatebofa@optusnet.com.au]
From: e-mail address ที่ถูกต้อง ต้องส่งจาก … @krungsri.com เท่านั้น
ตัวอย่าง e-mail address จากธนาคาร : krungsrionline@krungsri.com
จุดที่ 2. และ จุดที่ 3. ธนาคารไม่มีนโยบายในการสอบถามข้อมูลสำคัญทางการเงินหรือข้อมูลส่วนบุคคล เช่น รหัส
ประจำตัว รหัสผ่าน หมายเลขบัตรเอทีเอ็ม รหัสเอทีเอ็ม รหัสบัตรเครดิต หมายเลขบัญชี ผ่านทางอีเมล์ ทาง
เว็บไซต์ ทางโทรศัพท์ ทางจดหมาย หรือในระหว่างทำรายการผ่านบริการของธนาคาร
หากท่านได้รับอีเมล์ลักษณะดังกล่าว กรุณาแจง้ ธนาคารทันทีที่ KRUNGSRI Call Center 1572 ตลอด
24 ชั่วโมง หรือ อีเมล์ krungsrionline@krungsri.com
วิธีการป้องกันและรับมือกับการถูกโจมตีแบบ phishing
1. หยุดคิดและพิจารณาข้อมูลที่ได้รับทางอี-เมล์ ทุกครั้ง
2. ลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกข้อมูลให้พิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่าน่าเชื่อถือหรือไม่
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์
2. ลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกข้อมูลให้พิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่าน่าเชื่อถือหรือไม่
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์
6. ติดตามข่าวสารและการแจ้งเตือน ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
ตัวอย่างลักษณะของฟิชชิงที่ควรระวัง
การร้องขอเปลี่ยน password ให้เราเปลี่ยน password เพราะว่า password เราเก่าแล้วควรจะเปลี่ยนได้แล้ว แต่ว่าหน้าเว็บทำเป็นหน้าหลอก(ไม่ใช่เว็บจริง) เช่นว่าเว็บจริงเป็นhotmail.com/newpassword แต่ว่าเว็บหลอกใช้ เป็น hotmail.com.newpassword2.ly/ คือพยายามทำให้ url ของตัวเองคล้ายกับเว็บจริงด้วย
เบราว์เซอร์สมัยใหม่ที่มีระบบป้องกันฟิชชิง
· โอเปร่า
· Safari ซาฟารี 5
Vishing
Vishing และ Smishing: คือการล่วงรู้ข้อมูลของผู้อื่นโดยมีการใช้โทรศัพท์ หรือที่เรียกว่า แก๊งคอลเซ็นเตอร์ ซึ่งพฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น
รูปแบบการหลอกลวง
ผู้ไม่ประสงค์ดีอาศัยหลักการทางจิตวิทยาหลอกล่อโดยการ โทรศัพท์มาหาเหยื่อเพื่อแจ้งข่าวให้เหยื่อตกใจ เช่น หลอกลวงว่าเหยื่อกำลังหลบหนีคดี หรือหลอกลวงว่าเหยื่อเป็นผู้โชคดีได้รับรางวัล เป็นต้น ประกอบกับผู้ไม่ประสงค์ดีอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ ส่งผลให้เหยื่อไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้จนทำให้หลงเชื่อและ แจ้งข้อมูลส่วนบุคคลของเหยื่อให้แก่ผู้ไม่ประสงค์ดีได้ ในบางกรณีการหลอกลวงข้อมูลนั้นผู้ไม่ประสงค์นี้อาจใช้ระบบโทรศัพท์อัตโนมัติ และหลอกลวงให้เหยื่อเชื่อว่าเป็นระบบยืนยันตัวตน เมื่อเหยื่อตอบโทรศัพท์กลับผู้ไม่ประสงค์ดีจะทำการบันทึกการสนทนา และนำข้อมูลนั้นออกไปใช้ได้
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืม เงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเอง นั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืม เงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเอง นั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
ผลกระทบที่อาจเกิดขึ้น
· ผู้เสียหายอาจถูกหลอกให้โอนเงินไปให้ผู้ไม่ประสงค์ดี หรือถูกหลอกลวงข้อมูลส่วนบุคคล
· ผู้ไม่ประสงค์ดีอาจนำข้อมูลส่วนบุคคลของเหยื่อเปิดเผยในอินเทอร์เน็ต หรือถูกนำไปใช้ในทางเสียหายได้
· ผู้ไม่ประสงค์ดีอาจทำการขู่กรรโชกทรัพย์ด้วยข้อมูลส่วนบุคคลของเหยื่อที่ให้ไปได้
วิธีแก้ไขและวิธีการป้องกัน
· ผู้ใช้งานโทรศัพท์มือถือควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของคู่สนทนาว่ามีความน่าเชื่อถือหรือไม่
· ห้ามรับสายโทรศัพท์ที่ไม่แน่ใจผู้โทรศัพท์
· เก็บข้อมูลการโทรศัพท์ เช่นหมายเลขโทรศัพท์ วันและเวลาที่ใช้ เพื่อใช้อ้างอิงเวลาเกิดเหตุการณ์การละเมิดความปลอดภัย
· หากไม่แน่ใจว่าถูกล่อลวงทางการเงินหรือไม่ ให้ทำการติดต่อไปยังธนาคารผ่านทางCall Center เพื่อตรวจสอบ และหาทางระงับการโอนเงินในกรณีที่พบว่าถูกหลอกลวง
· ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคง ปลอดภัยคอมพิวเตอร์ ผ่านทางอีเมล์ และเว็บไซต์ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
