Phishing ภัยหลอกลวงบนโลกออนไลน์ใกล้ตัว ที่ต้อง ระวัง กําลังระบาด!

Phishing ภัยหลอกลวงบนโลกออนไลน์ใกล้ตัว ที่ต้อง ระวัง กําลังระบาด!

flickr:8640240388

แค่เจอข้อคามนี้ก็รีบกรอกแล้วหวังได้รางวัลแต่ คุณกําลังโดนหลอกให้ข้อมูลส่วนตัวให้เหล่า Hacker ในช่วงนี้ใครที่ใช้ อินเตอร์เน็ต ก็ต้องระวังพวกเว็บ Phishing ที่คอยหลอกลวงเหยื่อเอาข้อมูลส่วนตัวของเราไปใช้ ซึ่งตอนแรกมีระบาดมากผ่านทางอีเมล แต่ในช่วงหลังๆนี้จะระบาดไปทางพวกเว็บ Social Network หรือเว็บบอร์ดจากเว็บไซต์ชื่อดังเช่น facebook ,twitter โดยทั่วไปตามปกติจะ หลอกเพื่อหวังขโมยบัญชีบริการธนาคารออนไลน์ เช่น พวกหมายเลขบัตรเครดิตหรือบัญชีผู้ใช้งาน Internet Banking พร้อมกับข้อมูลส่วนตัวของเรา แต่ล่าสุด ยังลามมา ถึงขโมย Apple ID , PayPal ได้ด้วย เพราะบัญชีเหล่านี้สามารถที่จะสั่งซื้อแอพ และซื้อของออนไลน์ได้เช่นกัน

flickr:8639138157

Phishing (ฟิชชิ่ง) คือเว็บปลอมที่หลอกเหยื่อ(ผู้ที่เชื่อ) มากรอก ข้อมูลส่วนตัว ทั้ง username , password , เลขบัตรประจําตัวประชาชน ชื่อ นามสกุล วันเกิด เบอร์โทรศัพท์ ไม้เว้นแม้ กระทั่งบัตรเครดิต ดูคล้ายลักษณะ การตกปลาออนไลน์ เพราะ Phishing ก็เหมือนกับการตกปลา ผ่านเหยื่อล่อที่ เรียกว่า ‘ของรางวัล’ หรือหลอกให้คุณตกใจอย่าง ‘บัญชีของคุณกําลังมีปัญหา’ เพื่อย้ำให้ผู้ที่เชื่อ(โดนหลอก) ให้รีบ กรอกข้อมูล ต่างๆนี้ โดย เหล่าแฮกเกอร์หรือผู้ไม่หวังดี จะทําการปลอมแปลง email หรือ Website อย่างแยบยล โดย Website ดังกล่าวจะมีหน้าตาเหมือนกับของจริงทุกประการ แต่จะแตกต่างกันที่ URL และ จากสถิติ ข้อมูลของ ผู้ที่ถูกหลอกจากภัย Phishing พบว่าผู้ใช้โทรศัพท์มือถือมีความเสี่ยงต่อการถูก Phishing ได้มากกว่าผู้ใช้คอมพิวเตอร์ทั่วไปถึง 3 เท่า
ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สําคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของ การหลอกลวงสําเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับ บริจาค หรือแม้กระทั่ง แนะนําขั้นตอนรับสติ๊กเกอร์ Line จากต่างประเทศ ฟรี เป็นต้น

flickr:8639138151

E-mail Phishing
จากกรณีศึกษาธนาคารแห่งหนึ่งพบว่าขั้นตอนของมิจฉาชีพมีดังนี้

1. มิจฉาชีพมักส่ง Email หลอกลวงว่าบัญชีมีปัญหา ทําให้เราติดกับต้อง click link ที่มากับ email นั้น
2. Link เชื่อมไปยังเว็บไซต์ปลอมหรือ phishing website ที่มีลักษณะหน้าจอเหมือน website ธนาคารทุกประการ
3. ใน website นั้นจะมีช่องว่างให้กรอกเลขบัญชี และ password ซึ่งข้อมูลของเราจะถูกส่งไปที่มิจฉาชีพโดยตรงไม่ใช่ ธนาคาร มิจฉาชีพจึงได้ข้อมูลของเราไปง่ายๆโดยที่เราไม่รู้ตัว

flickr:8639138227

วิธีป้องกันจากภัย Phishing
1. ตรวจสอบว่าคุณได้เปิดบัญชี และ Internet Banking ของธนาคารอะไรบ้าง หากคุณไม่ได้เปิดบัญชีธนาคาร ตามที่เมลล์แจ้ง พึงระลึกไว้เสมอว่าอาจเป็นฟิชชิ่งให้ทําธุรกรรมการเงินผ่านทางเว็บไซต์ทางการของทางธนาคารเท่านั้นเช็คธุรกรรมการเงิน ผ่านทางแอพของธนาคาร
2. ตรวจสอบบราวเซอร์ว่าเมื่อเข้าเว็บธนาคารแล้วมีการเข้ารหัสความปลอดภัยหรือไม่หากลงแอพของธนาคารลงมือถือและ แท๊บเล็ต ต้องทําตามคําแนะนําของเว็บไซต์หลักของธนาคารหรือตามข้อแนะนําของตู้ ATM ของธนาคารนั้น
อ่านอีเมลล์ให้ดีว่า ใช่เมลล์จากธนาคารหรือไม่ ? ถ้าไม่แน่ใจควรนําสมาร์ทโฟนหรือแท็บเล็ตไปให้ทาง ธนาคารตรวจสอบให้
3. จําไว้เสมอว่า “ไม่มีธนาคารสักรายเดียวที่จะสอบถามข้อมูลส่วนตัวข้อมูลชื่อบัญชีและรหัสผ่านของเรา ผ่านทาง e-mail”
4. อย่าเปิดลิงก์ที่แนบมาใน Email เพราะผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้น จริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเองอย่าตอบเมลล์กลับไปยัง Phishing e-mail ให้ลบ e-mail นี้ทิ้งไป
5. ช่วยกันเป็นหูเป็นตา หากพบ e-mail ที่น่าสงสัยว่าแจ้งเตือนโดยธนาคารนี้จริงหรือไม่ ให้ติดต่อ ธนาคารที่ 
ถูกอ้าง เพื่อให้ทางธนาคารตรวจสอบว่า e-mail ฉบับนั้นๆแจ้งเตือนโดยทางธนาคารจริงหรือไม่ หรือใช่เว็บ ธนาคารหรือไม่ ถ้ามีข้อมูลว่าเป็น Phishing จริง หรือเว็บปลอมจริงๆ โปรดแจ้งทางธนาคารได้รับทราบ เพื่อ เตรียมหลักฐานตามจับกุมดําเนินคดีกับผู้ทําเว็บปลอม
6. หากรู้ตัวว่าเว็บไซต์นี้เป็นเว็บ Phishing ให้ทําการ copy url ที่อยู่เว็บไซต์นี้มา แล้วเข้าเว็บไซต์ whois.com แล้ว วางที่อยู่ url เว็บที่น่าสงสัยว่าจะเป็น Phishing เพื่อตรวจสอบข้อมูลว่าเว็บนี้จดทะเบียนโดยใคร ซึ่งอาจได้ ทราบชื่อเจ้าของเว็บปลอมได้
7. ควรติดตั้งโปรแกรมรักษาความปลอดภัยพวก Personal Firewall โปรแกรม Antivirus หมั่นอัพเดตให้เป็น เวอร์ชั่นล่าสุดอยู่เสมอ และหมั่นสแกนตรวจสอบไวรัสคอมพิวเตอร์บ่อยๆด้วย
8. อย่าดาวน์โหลด Applicationที่ผิดกฏหมายหรือไม่รู้ที่ไปที่มาชัดเจน เนื่องจาก Application ดังกล่าว อาจแฝงมา ด้วยไวรัสที่ส่งอีเมลเข้ามา และแปะลิงก์หลอกให้เหยื่อกดเข้าไป
เพียงเท่านี้คุณก็จะรอดพ้นและรู้ทันจากพวกอีเมลล์ฟิชชิ่งหลอกลวง และ เว็บไซต์ธนาคารปลอม อย่างไรก็ตามเวลา ใช้อินเตอร์เน็ตในด้านธุรกรรมการเงินการธนาคารผ่านทางออนไลน์ ควรระมัดระวังและตรวจสอบเว็บไซต์ก่อนพิมพ์ กรอกข้อมูลทุกครั้ง
บทสรุป
ในวิทยาการคอมพิวเตอร์ ฟิชชิง (phishing) คือการหลอกลวงทางอินเทอร์เน็ต เพื่อขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิตโดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ตัวอย่างของการฟิชชิง เช่น การบอกแก่ผู้รับปลายทางว่าเป็น ธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์ไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง phishing แผลงมาจากคำว่า fishing แปลว่าการตกปลาซึ่งมีความหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้
การดู url จริงของเว็บ

flickr:8640240342

จากรูปนี้ถ้าดูจากสีจะเห็นอยู่ 3 ส่วนก็คือ
สีเขียว https:
สีดำ mail.google.com/
สีเทา mail/?shva=1#inbox
ส่วนที่เป็น url จริงของเว็บก็คือ สีดำ
สีเขียวคือส่วนที่บอกว่ามีการเข้ารหัสมาแบบไหน มักจบด้วย :

ส่วนที่ 2 ที่เป็น url จริงจะไม่มี / ขั้น ถ้าเกิดว่ามีแสดงว่า url จบแค่นั้น
เช่น hotmail.com/xxxxxxx/yyyyy/zzzz แสดงว่าจบแค่ hotmail.com/
หรือ hotmail.com.newpassword2.ly/ แสดงว่าจบที่ hotmail.com.newpassword2.ly/ (เว็บหลอก)
วิธีการดูชื่อเว็บที่แท้จริงก็คือย้อนกลับไป 2-3 จุด
อย่างตัวอย่าง hotmail.com.newpassword2.ly/ เว็บจริงก็คือ newpassword2.ly/
หรืออาจจะเป็น hotmail.com.newpassword2.co.th/ เว็บจริงก็คือ newpassword2.co.th/
ซึ่งทั้งสองไม่ใช่เว็บจริง(hotmail.com) แต่เป็นเว็บที่สร้างขึ้นมาเพื่อหลอกดักเอา password
บทวิจารณ์
อนาคตของภัยมืดจากอินเทอร์เน็ตและอาชญากรรมไซเบอร์ที่ทุกคนควรรู้ในมุมมองของผู้เชี่ยวชาญระดับประเทศได้เผยข้อมูล ว่าในช่วง 5 ปีที่ผ่านมา cyber crime เป็นภัยทางอินเทอร์เน็ตอันดับต้นๆ โดยเฉพาะการหลอกลวงฉ้อโกงจากการใช้บริการออนไลน์ เป็นที่น่าเสียดายที่ผู้ที่มีความรู้ด้านการแฮกเกือบทั้งหมด ก็นําความรู้นี้ไปใช้ในทางด้านลบและ ยังมีส่วนน้อยมากที่นําความรู้นี้มาใช้ในการ ช่วยออกแบบระบบป้องกัน โดนเฉพาะปัญหาเดือดร้อนจากวิกฤตเศรษฐกิจ เลยเริ่มที่จะ หาเงินใช้ด้วยการเจาะระบบของธนาคาร ซึ่งล่าสุดสามารถเจาะการเข้ารหัสแบบ SSL wfh แล้วด้วย ดังนั้นทาง สถาบันการเงินที่ให้บริการธุรกรรมการเงินออนไลน์ จึงจําเป็นต้องมีระบบป้องกันอีกชั้น รองรับ เช่น One Time Password (OTP) ที่จะต้องกรอกรหัสที่หลังจากระบุชื่อผู้ใช้แล้ว ธนาคารจะส่งโค้ดลับผ่านทาง SMS บนมือถือคุณ ให้ คุณนําหมายเลขใน SMS มากรอกที่เว็บเพื่อยืนยันตัวตนว่าเป็นเจ้าของบัญชีอีก
ในส่วนของผู้ใช้สื่อสังคม (Social Network) ต้องระวังด้วยหากไม่มีสติในการใช้งาน ก็จะมีโอกาสพลาดอย่างมากจากการโพสต์ หรือ ทวีต เพราะ บริษัทต่างๆเค้าเริ่มตรวจสอบประวัติของคุณบน facebook , twitter, linkedin ด้วย ซึ่งถ้าเราไปโพสต์ข้อความอะไรไม่ดีไว้ ก็อาจถูกปฎิเสธไม่รับเข้าทํางานได้เช่นกัน หรืออาจกระทบการงานจนต้องลาออกดัง เช่น กรณีที่เพิ่งเกิดขึ้นกับแอร์โฮสเตส ที่โพสต์ข้อความ ใน facebook ส่วนตัว เป็นต้น
อีกภัยใกล้ตัวสําหรับกลุ่มคนทํางานที่ทั้งเจ้าของบริษัทหรือองค์กรต่างๆ ต้องระมัดระวังคือเรื่องข้อมูลเอกสารต่างๆ ของบริษัท เพราะทั้งผู้บริหารและพนักงานมักจะนําสมาร์ทโฟนและแท็บเล็ตของตัวเองมาใช้ในการทํางานและมีการเก็บข้อมูลสําคัญของบริษัทเอาไว้ ในอุปกรณ์เหล่านี้ ซึ่งบางคนก็ยังเก็บไว้บน Cloud Services ต่างๆ เช่น iCloud Dropbox, SkyDrive Google Drive เป็นต้น ดังนั้นถ้าชื่อผู้ใช้และรหัสผ่านของบริการเหล่านี้ถูกแฮค หรือตัว อุปกรณ์ไอทีโดนขโมย หรือลืมไว้แล้วหายไป ข้อมูลสําคัญของบริษัท ก็อาจถูกเปิดเผยไปด้วยได้ และ ถ้าพนักงาน ตั้งรหัสผ่านที่อ่อนแอเกินไปจนเดาได้ง่าย ยิ่งอันตรายมากขึ้นตามไปด้วย ดังนั้น องค์กรต่างๆก็ต้องทําความเข้าใจ ระหว่างผู้บริหารและพนักงาน ในเรื่องการปฏิบัติงานและความปลอดภัยของข้อมูลด้วย
อ้างอิง
1 http://www.it24hrs.com/2013/phishing-online/
2 http://www.it24hrs.com/2012/phishing-warning/
3 http://www.it24hrs.com/2012/warning-smartphone-tablet-browser-risk-to-phishing/

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License