กลลวง Phishing … รู้ทัน! ก่อนโดนหย่อนเบ็ด
24 เมษายน 2019
Phishing คำที่อาจจะไม่ค่อยคุ้นหูสำหรับผู้ใช้ทั่วไปนัก แต่ถ้าบอกว่า Phishing คือการหลอกลวงทางอินเทอร์เน็ตก็จะนึกภาพออกขึ้นมาทันที เพราะเป็นภัยที่ถูกพบบ่อย จนถูกจัดอันดับให้เป็นเทคนิคที่ใช้กันมากที่สุดเป็นอันดับสามในการในการขโมยข้อมูล ในปีที่ผ่านมา เพราะทุกวันนี้เราทุกคนก็แทบจะโดนโจมตีด้วยเทคนิคนี้กันแทบทุกวันผ่านทางอีเมลอยู่แล้ว กลลวงประเภท Phishing เผยโฉมครั้งแรกในราวปี 2538 (ตามข้อมูลของ Phishing.org) ผ่านไปกว่าสองทศวรรษ Phishing ยังคงถูกนำมาใช้เป็นเครื่องมือโดยแฮกเกอร์ทุกระดับ ตามรายงานของ Verizon เครือข่ายมือถือชั้นนำของสหรัฐฯ เผยว่าในปี 2561 Phishing ถูกจัดอันดับว่าเป็นเทคนิคที่ใช้กันมากที่สุดเป็นอันดับสามในการในการขโมยข้อมูล และพบว่า 70% เป็นการปฏิบัติการโดยแฮกเกอร์ในระดับสูง เชื่อมโยงกับประเทศบางประเทศเลยทีเดียว แม้แฮกเกอร์มือใหม่ ยังนิยมใช้ Phishing นอกจากเริ่มต้นใช้งานได้ไม่ยาก ในปัจจุบันยังมีการรวมตัวกันเพื่อแชร์ความรู้และแบ่งปันเทคนิคกันภายในกลุ่มอย่างเป็นเรื่องเป็นราว
ตามข้อมูลของ Phishing.org กลลวง Phishing ทั่วๆ ไปมักเกี่ยวข้องกับ สิ่งสำคัญต่างๆ เหล่านี้:
- บัตรเครดิต / บัญชีธนาคาร – เร่งเหยื่อโดยกำหนดเงื่อนไขเวลา เพื่อให้รีบตัดสินใจคลิก URL โดยไม่คิดอะไรมาก เพื่ออัพเดทข้อมูลภายในเวลาที่กำหนด โดย Username / Password มักถูกดักจับทันที
- อีเมลสวมรอย – เป็นคนรู้จักส่งอีเมลเพื่อลวงให้เหยื่อทำอะไรบางอย่าง รวมถึงการให้โอนเงินให้
• เว็บไซต์ปลอม – โดยใช้ Domain ที่มีชื่อที่ใกล้เคียงเว็บไซต์จริงหรือใช้ชื่อที่ผู้มักพิมพ์ผิดบ่อย ๆ เพื่อหลอกให้กรอก Username / Password
ตัวอย่างเทคนิคที่แฮกเกอร์นิยมเลือกใช้เมื่อต้องการหลอกเหยื่อด้วยกลลวง Phishing อาทิ เช่น
หลอกลวงผ่านสื่อโซเชียลมีเดีย: โดยกลลวงใช้วิธีชักแม่น้ำทั้งห้าเพื่อโน้มน้าวให้เหยื่อคลิกที่ลิงค์ในอีเมล Phishing และแน่นอนมีการปลอมเป็นผู้ให้บริการชื่อดังบางเจ้า เพื่อให้เหยื่อตายใจว่าเป็นอีเมลแจ้งเตือนอย่างเป็นทางการจาก Facebook Google หรือ LinkedIn
การสวมรอยเป็นบุคคลอื่น: ผู้ใช้มักวางใจเปิดอ่านอีเมลเมื่อเชื่อว่าอีเมลถูกส่งมาจากต้นทางที่ถูกต้อง ดังนั้นแฮกเกอร์มักเลือกที่จะปลอมแปลงส่วนหัวของอีเมลหรือสวมรอยเป็นบุคคลที่เหยื่อรู้จักดีเพื่อให้ดูน่าเชื่อถือ เพิ่มโอกาสความสำเร็จของการโจมตี ในอดีตที่ผ่านมาพบว่าอีเมลปลอมก่อให้เกิดความเสียหายต่อองค์กรมูลค่าหลายพันล้านดอลลาร์สหรัฐฯ ในช่วงห้าปีที่ผ่านมา
การโคลนเว็บไซต์: สำหรับแฮกเกอร์ระดับสูงมักชอบจะใช้แพลตฟอร์มเช่น Metasploit หรือ Social Engineering Toolkit (SET) เพื่อคัดลอกเว็บไซต์และ URL ให้แทบเหมือนของจริงทั้งกระบิ อีกวิธีก็คือการก็อปปี้เว็บไซต์ทั้งก้อนแล้วแอบไปพักไว้ที่ Server อื่น (Mirror) โดยมันมีบริการที่ชื่อว่า XDAN CopySite ค่อยให้บริการอยู่ วิธีทำก็ไม่ยาก แค่ป้อนโดเมนของเว็บไซต์ที่ต้องการโคลนและภายในไม่กี่วินาทีก็จะได้เว็บไซต์แนวพื้นฐานเพียงพอที่ทำให้เหยื่อหลงเชื่อได้หากมองแค่ผิวเผิน
ถึงแม้เหล่าแฮกเกอร์มุ่งพัฒนาเทคนิคต่าง ๆ ให้ก้าวหน้าขึ้น แต่ปัจจุบันพบว่าผู้ใช้ก็ไม่ได้ติดกับกลลวงมากเหมือนในอดีต ผู้เชี่ยวชาญเผยว่าในปี 2561 โดยเฉลี่ยแล้วมีเพียง 4% ของผู้ใช้หลงกล Phishing ซึ่งถือว่าเป็นจำนวนที่ไม่มากนัก แต่ถึงกระนั้น หากมีเหยื่อเพียงรายเดียวที่หลงเชื่อไป สำหรับพวกแฮกเกอร์ก็อาจจะคุ้มเกินคุ้มเลยทีเดียว
การป้องกันเป็นสิ่งสำคัญ เราจึงขอแนะนำ 5 แนวทาง ที่ทั้งองค์กรและระดับผู้ใช้ทั่วไปสามารถนำไปปฏิบัติเพื่อลดความเสี่ยงจากการถูกโจมตีแบบ Phishing ได้ ดังนี้:
- จำกัด: ข้อมูลเพียงใดที่องค์กรและพนักงานสามารถแชร์บนโลกออนไลน์อาทิ เช่น Facebook และ LinkedIn เนื่องจากแฮกเกอร์มืออาชีพมักชอบหาเบาะแสและศึกษาปูมหลังของเหยื่อเพื่อให้ได้แนวทางการสวมรอยเพื่อส่งอีเมลปลอมไปหาเหยื่อ
- ตรวจสอบ: การลงทะเบียน Domain ของเว็บไซต์ที่ผู้ไม่ประสงค์ดีมักชอบจดชื่อที่ผู้ใช้ชอบพิมพ์ผิดหรือชื่อที่ดูเผินๆ แล้วใกล้เคียงกับชื่อองค์กร ใช้เพื่อเลียนแบบแบรนด์ของเราได้ พวกนี้มักใช้เพื่อส่งอีเมลปลอมหรือใช้โฮสต์เว็บไซต์ Phishing
- ดำเนินการ: นำมาตรการความปลอดภัยเพิ่มเติมเช่น Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) และ DomainKeys Identified Mail (DKIM) มาตรการเหล่านี้ช่วยให้การปลอมแปลงโดเมนทำได้ยากขึ้น
- ปกป้อง: บัญชีออนไลน์ของเราให้ดี เพื่อป้องกันกรณีถูกขโมยข้อมูลส่วนบุคคล ควรมีการรณรงค์ให้ใช้มาตรการการยืนยันตนแบบสองปัจจัย (2FA) เป็นมาตรฐานความปลอดภัยหลักของทั้งองค์กรและดำเนินการอย่างเคร่งครัด
- อบรม: พนักงานให้รู้จักวิธีสังเกตอีเมลแนว Phishing และรู้จักประสานไปยังทีม IT Support ทันทีที่ไม่แน่ใจ
สำหรับผู้ใช้ทั่วไป สามารถพึ่งพาเครื่องมือออนไลน์เพื่อตรวจสอบว่าสื่อออนไลน์นั้นๆ เข้าข่ายกลลวง Phishing หรือไม่ โดยเข้าไปที่ https://isitphishing.org/ หลังจากนั้นพิมพ์ URL (เช่น http://……com), ชื่อแบรนด์ (เช่น PayPal) หรือ เลข Subnet เท่านั้น ระบบก็จะแสดงผลให้เราทราบ เครื่องมือดังกล่าวทำงานโดยอาศัยหลักการ Heuristic ร่วมกับเทคโนโลยี Machine Learning มีประสิทธิภาพในการแสกนตรวจสอบเว็บไซต์ได้ภายใน 1.8 วินาทีหลังจากคลิก
ถึงเวลาแล้วจริงๆ ที่องค์กรและผู้ใช้ต้องตื่นตัวและให้สำคัญในเรื่องกลลวง Phishing ที่สำคัญต้องมีมาตรการที่เคร่งครัดในการเฝ้าระวังและคัดกรองอีเมลและการสื่อสารที่เข้ามายังองค์กรสม่ำเสมอ ต้องยอมรับว่าภัยไซเบอร์ประเภทนี้คงไม่หายไปง่ายๆ เนื่องจาก Phishing เป็นกลลวงที่ไม่ต้องอาศัยความรู้ความสามารถทางเทคนิคอะไรมากมาย เชื่อได้เลยว่า จากนี้ไปจะมีแฮกเกอร์หน้าใหม่ก้าวเข้ามาลองวิชามากขึ้นเรื่อยๆ
อ้างอิงที่มา:
บทความที่เกี่ยวข้อง