Phishing (ฟิชชิ่ง) คืออะไร? ตรวจสอบและป้องกันได้อย่างไร?

การรักษาข้อมูลส่วนตัว เช่น เลขบัตรประชาชน รหัสผ่านต่างๆ ไว้เป็นความลับถือเป็นเรื่องสำคัญ เพราะจะได้ไม่ถูกมิจฉาชีพนำไปใช้ในทางที่ผิด แต่ถึงจะระวังตัวแต่ก็อาจถูกหลอกจากเทคนิค Phishing (ฟิชชิ่ง) ของมิจฉาชีพทางออนไลน์ได้ ซึ่งจะหลอกลวงให้เราบอกรหัสผ่าน หรือข้อมูลส่วนตัวผ่านทางออนไลน์โดยไม่รู้ตัว ดังนั้นไปทำความรู้จักกับ Phishing เพื่อป้องกันตัวเองไว้ตั้งแต่เนิ่นๆ ดีกว่า

Phishing (ฟิชชิ่ง) คืออะไร?

Phishing (ฟิชชิ่ง) เป็นคำพ้องเสียงจากคำว่า Fishing (ฟิชชิ่ง) ที่หมายถึงการตกปลา สาเหตุที่ใช้คำพ้องเสียงเช่นนี้เพราะ Phishing คือรูปแบบหนึ่งของการหลอกลวงผ่านระบบคอมพิวเตอร์ โดยมักมาในรูปของอีเมล เพื่อล้วงข้อมูลความลับที่สำคัญจากเหยื่อ คล้ายกับการตกปลาโดยใช้เหยื่อล่อนั่นเอง ซึ่งเราสามารถแบ่งประเภทได้ดังนี้

• Phishing ทั่วไป คือการใช้อีเมลที่ไม่ระบุเป้าหมายแน่ชัด มักมาในรูปแบบของประกาศจากธนาคาร โซเชียลมีเดีย หรือบริษัทองค์กรต่างๆ โดยจะหลอกล่อให้เหยื่อกดลิงค์เข้าสู่เว็บไซต์ของมิจฉาชีพแล้วกรอกข้อมูลสำคัญ หรือหลอกให้ติดตั้ง Malware ที่สามารถขโมยข้อมูลส่วนตัวของเหยื่อได้ (อ่านเพิ่มเติม…Malware (มัลแวร์) คืออะไร?)
• Spear-Phishing คือการโจมตีโดยมีเป้าหมายแน่ชัด เป้าหมายมักเป็นบริษัทหรือองค์กรต่างๆ ซึ่งแฮ็คเกอร์จะหาข้อมูลเบื้องต้นของพนักงานบริษัทจากช่องทางต่างๆ เช่น โซเชียลมีเดีย แล้วสร้างอีเมลที่มีเนื้อหาสอดคล้องกับเหยื่อ ซึ่งถ้าโจมตีไปยังบุคคลสำคัญในองค์กร จะเรียกว่า Whaling ซึ่งเปรียบเหมือนการล่าปลาตัวใหญ่อย่างวาฬนั่นเอง

ข้อมูลสำคัญที่แฮ็คเกอร์ต้องการมักจะเป็น ชื่อยูสเซอร์ รหัสผ่าน หมายเลขบัตรเครดิต รวมถึงข้อมูลส่วนบุคคลอื่นๆ และหลายครั้ง มิจฉาชีพมักอาศัยเหตุการณ์สำคัญต่างๆ เพื่อเพิ่มโอกาสในการหลอกหลวงจนสำเร็จ เช่น เวลาเกิดภัยพิบัติ โดยปลอมเป็นอีเมลจากธนาคารหรือองค์กรต่างๆ เพื่อขอรับบริจาค เป็นต้น

วิธีตรวจสอบ Phishing (ฟิชชิ่ง)

1.ตรวจสอบอีเมลผู้ส่ง

เมื่อได้รับอีเมลที่ต้องการให้เราคลิกลิงค์บางอย่าง ควรตรวจสอบอีเมลผู้ส่งว่าเป็นอีเมลปลอมหรือไม่ ซึ่งอีเมลจาก Phishing ส่วนใหญ่จะใช้อีเมลที่สะกดใกล้เคียงกับอีเมลของผู้ใช้จริง หรืออาจใช้อีเมลโดเมนที่ดูไม่เป็นทางการ

2. ตรวจสอบชื่อผู้รับ

อีเมลที่เราได้รับ หากมาจากองค์กรหรือธนาคาร ควรระบุชื่อผู้รับให้ชัดเจน ถ้าชื่อเราไม่ตรงหรือไม่ระบุชื่อผู้รับอาจแปลได้ว่าเป็นอีเมลปลอมจากมิจฉาชีพ

3. ตรวจสอบ URL ของลิงค์

หากในอีเมลมีลิงค์ให้คลิก ควรตรวจสอบ URL ของลิงค์ก่อนเปิด โดยนำเคอร์เซอร์ไปวางบนลิงค์ก็จะแสดง URL ขึ้นมา หรือคลิกขวาแล้วกดคัดลอกที่อยู่ลิงค์แล้วไปวางที่อื่น ก็จะเจอ URL หรือเมื่อคลิกลิงค์แล้วให้ตรวจสอบ URL บนเว็บเบราเซอร์ดูว่าเป็นโดเมนของเว็บไซต์จริงหรือไม่

4. มีการร้องขอแบบแปลกๆ

อีเมลปลอมมักหลอกให้เหยื่อดาวโหลดโปรแกรมเพื่อติดตั้ง หรือเปิดไฟล์ต่าง เช่น  ไฟล์ PDF ใบเสร็จ ใบกำกับภาษี โอยอาจหลอกว่าเราได้มีการสั่งซื้อสินค้าบางอย่าง ให้เปิดดูใบเสร็จที่แนบมาเป็นไฟล์ PDF เป็นต้น ถ้ามั่นใจว่าไม่ได้สั่งซื้อสินค้าใดๆ ก็ไม่ควรเปิด หรือถ้ามีการสั่งซื้อสินค้า การจะตรวจสอบไฟล์แนบควรมั่นใจว่ามีการติดตั้งโปรแกรมป้องกัน Malware เอาไว้ในเครื่อง

5. มีการขอข้อมูลส่วนตัวผ่านอีเมล

โดยปกติองค์กรต่างๆ เช่น ธนาคาร มักไม่มีนโยบาลการขอข้อมูลส่วนตัว เช่น พาสเวิร์ด หมายเลขบัตรประชาชน ผ่านทางอีเมล ถ้ามีอีเมลลักษณะนี้เข้ามาให้สงสัยได้เลยว่าเป็น Phishing

การป้องกัน Phishing (ฟิชชิ่ง)

1. ไม่คลิกลิงค์หรือดาวโหลดไฟล์จากอีเมลที่ไม่ทราบผู้ส่งแน่ชัด

ควรสังเกตตั้งแต่หัวข้ออีเมล หากมีหัวข้อที่เข้าข่ายว่าจะ Phishing และมีการแนบลิงค์หรือให้ดาวโหลดไฟล์ด้วยแล้ว ควรต้องระวังให้มาก ถ้าหากจะล็อคอินเข้าไปใช้งานเพื่อตรวจสอบว่ามีความผิดปกติหรือไม่ ควรพิมพ์ชื่อเว็บไซต์ในเบราว์เซอร์แล้วเข้าโดยตรง แทนการคลิกผ่านลิงค์ที่แนบมากับอีเมล

2. อัพเดตซอฟแวร์ป้องกัน Malware สม่ำเสมอ

ซอฟต์แวร์ที่ไม่ได้รับการอัพเดตอย่างสม่ำเสมอ จะมีช่องโหว่ให้ Malware แฝงตัวอยู่ในคอมพิวเตอร์ได้ ซึ่งถ้าเราพลาดตกเป็นเหยื่อจากการหลอกลวงแบบ Phishing ก็จะทำให้เกิดความเสียหาย ดังนั้นควรอัพเดตซอฟต์แวร์อยู่เสมอ

3. ใช้โปรแกรมจัดการรหัสผ่านที่มีคุณภาพ

โปรแกรมจัดรหัสผ่านจะบันทึกข้อมูลว่ารหัสผ่านใดใช้กับเว็บใด ถ้าเราคลิกเข้าเว็บไซต์ปลอมที่หลอกให้กรอกพาสเวิร์ด ก็จะสามารถรู้ได้โดยง่าย

หากสงสัยว่าตัวเองกำลังได้รับอีเมลหลอกลวงหรือ Phishing เช่น ได้รับอีเมลขอรับบริจาคโดยตรงจากธนาคาร หรืออีเมลแจ้งให้ล็อคอิน Internet Banking ของธนาคาร ให้โทรหรือเดินทางไปสอบถามกับธนาคารโดยตรงว่าได้ส่งอีเมลแบบนี้มาให้คุณหรือไม่ หากทราบว่าเป็นอีเมลปลอม จะได้แจ้งทางธนาคารให้ประกาศเตือนไปยังคนอื่นๆ ที่อาจตกเป็นเหยื่อต่อไป