Google ประมาณการว่ามากกว่า 12.3 ล้านคนตกเป็นเหยื่อฟิชชิ่งทุกปี แม้ว่าจะมีการบันทึกการโจมตีแบบฟิชชิ่งครั้งแรกเมื่อปลายศตวรรษที่ผ่านมา และวิธีการแบบเดิมค่อยๆ ลดลงในเบื้องหลัง การฉ้อโกงทางไซเบอร์ประเภทนี้ยังคงก่อให้เกิดอันตรายร้ายแรงต่อทั้งบุคคลและบริษัท
เพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อของฟิชชิ่ง คุณควรทำความคุ้นเคยกับการฉ้อโกงทางไซเบอร์ประเภทนี้โดยละเอียด
ฟิชชิ่งคืออะไร
ในกรณีส่วนใหญ่ ฟิชชิงคือการแจกจ่ายจดหมายในนามของบริษัทที่มีชื่อเสียงซึ่งมีลักษณะเป็นกลุ่ม ข้อความดังกล่าวมักจะมีลิงก์ที่นำไปสู่ไซต์ซึ่งเมื่อตรวจสอบคร่าวๆ ในเบื้องต้นแล้ว ก็ไม่ต่างจากของจริง โดยการป้อนข้อมูลที่เป็นความลับในช่องที่เหมาะสม ซึ่งนักต้มตุ๋นใช้กลอุบายต่างๆ ได้สำเร็จ ผู้ใช้จะอนุญาตให้อาชญากรไซเบอร์เข้าถึงบัญชีของตนได้
เริ่มต้นอย่างไร
การกล่าวถึงฟิชชิ่งที่เกี่ยวข้องกับ AOL ครั้งแรกปรากฏขึ้นในปี 1996
ผู้ฉ้อโกงซึ่งแอบอ้างเป็นพนักงานของบริษัทสื่อ ขอให้ผู้ใช้ระบุรหัสผ่านสำหรับบัญชีของตน และหลังจากเข้าถึงได้ พวกเขาก็ใช้เพื่อส่งสแปม การแจกจ่ายไปยังระบบการชำระเงินเริ่มขึ้นในต้นปี 2000 และในปี 2549 นักต้มตุ๋นทางไซเบอร์ได้ไปที่ MySpace โดยขโมยข้อมูลการลงทะเบียนผู้ใช้
เป้าหมายฟิชชิ่ง
เมื่อพิจารณาจากข้อเท็จจริงที่ว่าการโจมตีแบบฟิชชิ่งสามารถทำได้ทั้งกับบุคคลและในบริษัท เป้าหมายที่นักต้มตุ๋นไล่ตามก็ต่างกัน
ดังนั้น ในกรณีแรก เป้าหมายคือการเข้าถึงการเข้าสู่ระบบและรหัสผ่าน ตลอดจนหมายเลขบัญชีของผู้ใช้บริการธนาคาร ระบบการชำระเงินและเครือข่ายสังคมออนไลน์ นอกจากนี้ มักจะทำการโจมตีแบบฟิชชิงเพื่อติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนคอมพิวเตอร์ของผู้ที่อาจตกเป็นเหยื่อ
การจ่ายเงินออกจากบัญชีที่นักต้มตุ๋นเข้าถึงได้นั้นเป็นกระบวนการที่ค่อนข้างซับซ้อนจากมุมมองทางเทคนิค และมันง่ายกว่ามากที่จะจับผู้ที่เกี่ยวข้องกับการดำเนินการดังกล่าว
ดังนั้น เมื่อได้รับข้อมูลที่เป็นความลับ ผู้ฉ้อฉล ในกรณีส่วนใหญ่ ก็ขายข้อมูลดังกล่าวให้กับบุคคลอื่นโดยใช้วิธีการถอนเงินจากบัญชีที่ได้รับการพิสูจน์แล้ว ในกรณีที่มีการโจมตีแบบฟิชชิ่งในบริษัท เป้าหมายหลักคือการเข้าถึงบัญชีของพนักงานคนหนึ่งเพื่อโจมตีบริษัทโดยรวมในภายหลัง
วิธีการและรูปแบบฟิชชิ่ง
วิธีวิศวกรรมสังคม
ในกรณีนี้ นักต้มตุ๋นที่ปลอมตัวเป็นพนักงานของบริษัทที่มีชื่อเสียง แจ้งให้ผู้ที่อาจเป็นเหยื่อทราบว่าจำเป็นต้องอัปเดตข้อมูลส่วนบุคคลหรือจัดหาให้ ซึ่งมักจะอธิบายได้จากความล้มเหลวหรือการสูญเสียของระบบ
โครงการนี้ใช้ข้อเท็จจริงที่ว่าผู้คนมักจะตอบสนองต่อเหตุการณ์สำคัญ ซึ่งเกี่ยวข้องกับการที่ผู้จัดการโจมตีแบบฟิชชิ่งพยายามกระตุ้นผู้ใช้ให้มากที่สุดเท่าที่จะเป็นไปได้ บังคับให้เขาดำเนินการตามที่นักต้มตุ๋นต้องการในทันที เป็นที่ยอมรับกันโดยทั่วไปว่าจดหมายที่มีวลี “หากต้องการกู้คืนการเข้าถึงบัญชี ให้ไปที่ลิงก์ … ” ในพาดหัวข่าวดึงดูดความสนใจของผู้ใช้ ทำให้เขาต้องคลิก
การหลอกลวงง่ายๆ
โครงการนี้ซึ่งผู้หลอกลวงส่งอีเมลในนามของบริษัทที่มีชื่อเสียง รวมทั้งคำขอให้ติดตามลิงก์ เป็นเรื่องปกติมากที่สุด ซึ่งช่วยให้สามารถส่งอีเมลขยะนับล้านภายในหนึ่งชั่วโมง เพื่อขโมยข้อมูลส่วนบุคคล ไซต์ฟิชชิ่งถูกสร้างขึ้นซึ่งในแวบแรก ภายนอกไม่แตกต่างจากไซต์จริง ในกรณีส่วนใหญ่ มีการใช้โดเมนที่แตกต่างจากโดเมนจริงตามตัวอักษรเพียงตัวเดียว
ฉมวกฟิชชิ่ง
ในกรณีนี้ การโจมตีไม่รุนแรง แต่เกิดขึ้นกับบุคคลใดบุคคลหนึ่ง โดยทั่วไปแล้ว แผนดังกล่าวจะใช้เพื่อหลีกเลี่ยงการป้องกันของบริษัทและดำเนินการโจมตีแบบกำหนดเป้าหมาย นักต้มตุ๋นทางไซเบอร์จะศึกษาเบื้องต้นเกี่ยวกับเหยื่อที่อาจตกเป็นเหยื่อโดยใช้เครือข่ายสังคมออนไลน์ ตลอดจนบริการอื่นๆ ดังนั้นจึงปรับข้อความทำให้พวกเขาน่าเชื่อถือมากขึ้น
“ปลาวาฬ”
วิธีการที่คล้ายกันนี้ใช้ในการโจมตีแบบฟิชชิงกับผู้จัดการระดับสูงและผู้บริหารของบริษัท และเพื่อให้ได้แนวคิดสูงสุดเกี่ยวกับคุณสมบัติส่วนบุคคลของผู้ที่อาจตกเป็นเหยื่อ นักต้มตุ๋นจึงใช้เวลาส่วนใหญ่ในการพยายามหาวิธีที่เหมาะสมที่สุดในการขโมย ข้อมูลที่เป็นความลับ
การกระจายไวรัส
บ่อยครั้ง การโจมตีแบบฟิชชิ่งไม่ได้ใช้เพื่อขโมยข้อมูลส่วนบุคคล แต่เพื่อทำร้ายคนกลุ่มใดกลุ่มหนึ่ง ในการทำเช่นนี้ ลิงก์จะถูกแทรกลงในข้อความฟิชชิ่ง โดยคลิกเพื่อดาวน์โหลดโปรแกรมที่เป็นอันตรายไปยังคอมพิวเตอร์ของเหยื่อ ซึ่งคุณสามารถควบคุมคอมพิวเตอร์ของผู้ใช้ได้อย่างเต็มที่
เกษตรกรรม
การใช้วิธีนี้ ซึ่งค่อนข้างใหม่ นักต้มตุ๋นจะได้รับข้อมูลส่วนบุคคลโดยใช้เว็บไซต์ทางการ ฟิชชิงดังกล่าว เมื่อที่อยู่ดิจิทัลของเว็บไซต์อย่างเป็นทางการของบริษัทบนเซิร์ฟเวอร์ DNS ถูกปลอมแปลง และผู้ใช้ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมโดยอัตโนมัติ นั้นอันตรายกว่าวิธีการแบบเดิมมาก เนื่องจากในกรณีนี้ การปลอมแปลงนั้นเป็นไปไม่ได้ที่จะเห็น Ebay และ PayPal ได้รับความเดือดร้อนจากรูปแบบฟิชชิ่งดังกล่าวแล้ว
วิชชิ่ง
ในกรณีนี้จะใช้การสื่อสารทางโทรศัพท์และหมายเลขโทรศัพท์ซึ่งต้องโทรออกเพื่อขจัด “ปัญหา” จะถูกระบุในจดหมายแจ้งลักษณะ นอกจากนี้ ในระหว่างการสนทนาทางโทรศัพท์โดยตรง ผู้หลอกลวงขอให้ผู้ใช้ระบุข้อมูลระบุตัวตน เพื่อให้สามารถแก้ไขปัญหาได้อย่างรวดเร็วที่สุด
วิธีป้องกันตนเองจากฟิชชิ่ง
ก่อนอื่น คุณควรเรียนรู้วิธีคำนวณฟิชชิ่งด้วยตัวเอง และเมื่อคุณได้รับจดหมายที่ขอให้คุณ “ยืนยัน” บัญชีของคุณ ให้ติดต่อบริษัททันทีเพื่อตรวจสอบความถูกต้องของข้อความ
แทนที่จะใช้ไฮเปอร์ลิงก์ คุณควรป้อน URL ของบริษัทในเบราว์เซอร์ของคุณด้วยตนเอง ข้อความส่วนใหญ่ที่มาจากบริการจริงมีข้อมูลบางอย่างที่ไม่สามารถใช้ได้กับฟิชเชอร์มือใหม่ เช่น ชื่อหรือตัวเลขสุดท้ายของบัญชี แม้ว่าจะลดความเสี่ยงเพียงเล็กน้อยเท่านั้น เป็นที่น่าสังเกตว่าลิงก์ไปยังไซต์ฟิชชิ่งอาจมีอยู่ในข้อความจากเพื่อนที่บัญชีถูกแฮ็ก
วิธีการทางเทคนิคเพื่อลดความเสี่ยง
เบราว์เซอร์จำนวนมากได้เตือนผู้ใช้อินเทอร์เน็ตเกี่ยวกับภัยคุกคามฟิชชิ่งแล้ว ซึ่งพวกเขาดูแลรายการไซต์ดังกล่าวของตนเอง บริการอีเมลยังต่อสู้ดิ้นรน ปรับปรุงตัวกรองสแปม และวิเคราะห์อีเมลฟิชชิ่ง บริษัทขนาดใหญ่ เพื่อลดความเสี่ยง ทำให้ขั้นตอนการอนุญาตซับซ้อนและปรับปรุงการปกป้องข้อมูลส่วนบุคคล
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล Mikhail Tereshkov ซึ่งเป็นตัวแทนของ JSC ER-Telecom Holding ให้วิธีการป้องกันฟิชชิ่งที่ค่อนข้างง่ายแต่มีประสิทธิภาพหลายวิธี คุณต้องให้ความสนใจเป็นพิเศษว่าไซต์นั้นมีใบรับรองความปลอดภัยที่ดูเหมือน https หรือไม่ และเปลี่ยนรหัสผ่านเริ่มต้นของเราเตอร์ด้วย เมื่อทำการซื้อ จะดีกว่าที่จะไม่ใช้ Wi-Fi สาธารณะ และเมื่อชำระเงินในร้านค้าออนไลน์ที่ไม่คุ้นเคย คุณควรรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับมัน
ผลลัพธ์
เมื่อพิจารณาจากข้อเท็จจริงที่ว่าการโจมตีทางไซเบอร์ได้เข้ามาในชีวิตเราเป็นเวลานาน การป้องกันอาชญากรไซเบอร์จึงกลายเป็นหนึ่งในภารกิจหลักขององค์กรที่พัฒนาบริการอีคอมเมิร์ซ อย่างไรก็ตาม ผู้ใช้ทั่วไปไม่ควรลืมมาตรการที่สามารถลดความเสี่ยงที่จะตก กับดักของอาชญากร
