ฟิชชิ่งคืออะไร? 7 เคล็ดลับเพื่อความปลอดภัยในปี 2019

ฟิชชิ่งคืออะไร? 7 เคล็ดลับเพื่อความปลอดภัยในปี 2019
อีวาน พอร์ทเตอร์
โพสต์เมื่อ 24 กันยายน 2019

ในขณะที่แฮ็กเกอร์บางรายใช้วิธีแบบแอบซ่อนอย่างการทำให้คอมพิวเตอร์ของคุณติดไวรัสด้วยมัลแวร์เพื่อขโมยข้อมูลสุดล้ำค่า แต่แฮ็กเกอร์รายอื่นๆ นั้นอาจโจมตีซึ่งๆ หน้า หลักการนี้มีชื่อเรียกว่า “ฟิชชิ่ง” และมันเป็นหนึ่งในวิธีที่มีประสิทธิภาพมากที่สุดสำหรับการดักเหยื่อที่ไม่สงสัยอะไร

ฟิชชิ่งเป็นอาชญากรรมทางไซเบอร์ประเภทหนึ่งที่ช่วยให้แฮ็กเกอร์ปลอมตัวเป็นเจ้าหน้าที่ ตัวแทนฝ่ายบริการลูกค้าหรือแหล่งข้อมูลที่น่าเชื่อถืออื่นๆ เพื่อขโมยข้อมูลส่วนตัวอันแสนล้ำค่าของคุณ

การโจมตีฟิชชิ่งนั้นมักเกิดขึ้นทางอีเมล แต่มันก็สามารถเกิดขึ้นผ่านทางข้อความหรือแม้กระทั่งโทรศัพท์ก็ได้ แล้วคุณจะรู้ได้อย่างไรว่าอะไรที่ถูกต้องตามกฎหมายจริงๆ และอะไรที่หลอกลวง?

นี่คือคำแนะนำโดยสมบูรณ์ของเราในการจำแนกการโจมตีฟิชชิ่ง วิธีการป้องกันและต้องทำอย่างไรหากคุณตกเป็นเป้าหมายของอาชญากรรมทางไซเบอร์?

ฟิชชิ่งคืออะไร? 7 เคล็ดลับเพื่อความปลอดภัยในปี 2019

Unsplash

การโจมตีฟิชชิ่งทำงานอย่างไร?

แม้ว่ามันจะสามารถเกิดขึ้นได้ในหลายๆ รูปแบบ แต่หลักพื้นฐานของฟิชชิ่งคืออาขญากรจะพยายามหลอกคุณให้ส่งข้อมูลส่วนตัว เช่น หมายเลขบัตรเครดิต รหัสผ่าน หมายเลขบัญชีและอื่นๆ โดยสมัครใจ

มันอาจมีลักษณะแบบนี้:

ลองจิตนาการว่าคุณได้รับอีเมลฉุกเฉินจากบริษัทบัตรเครดิตของคุณที่ดูเหมือนว่าจะมีปัญหาเกิดขึ้นกับบัญชีของคุณและมันถูกปิดล็อกด้วยเหตุผลเพื่อความปลอดภัย

อีเมลอาจแจ้งให้คุณคลิกเพื่อไปหน้าเข้าสู่ระบบที่ที่คุณสามารถยืนยันตัวตนและปลดล็อกบัตรหรือบัญชีของคุณได้

คุณอาจดำเนินการตามขั้นตอนเหล่านี้ทั้งหมดโดยไม่ได้ตระหนักถึงเลยว่าอีเมลและหน้าเข้าสู่ระบบนั้นไม่ใช่ของจริงและคุณก็ตกเป็นเหยื่อของการโจมตีฟิชชิ่งแล้ว

ตัวอย่างทั่วไปของอีเมลฟิชชิ่งซึ่งจะแจ้งเตือนให้:

  • ปลดล็อกบัตรเครดิตหรือบัญชีธนาคาร
  • อัพเดทข้อมูลติดต่ออย่างเป็นทางการของคุณ
  • รีสตาร์ทบัญชีหรือการเป็นสมาชิกของคุณ
  • ยืนยันการจัดส่งพัสดุ
  • ขอรับเงินคืนหรือการชำระเงิน
  • ส่ง W-2 ของคุณหรือคนใครก็ตาม
  • อำนวยความสะดวกในการโอนเงิน

อีเมลเหล่านี้อาจดูเหมือนว่ามันมาจากใครก็ได้ตั้งแต่ผู้ให้บริการอินเตอร์เน็ตของคุณไปจนถถึงรัฐบาลสหรัฐอเมริกาและแม้กระทั่งเจ้านายที่ที่ทำงานของ

บ่อยครั้งที่คำของในข้อความนั้นเป็นข้อความฉุกเฉิน (บัญชีบัตรเครดิตของคุณถูกปิดกั้น) หรือล่อลวงสูง (ขอรับเงินคืนของคุณ)

การโจมตีฟิชชิ่งมักดำเนินการเป็นกลุ่มโดยใช้ “ชุดฟิชชิ่ง” หรือโคลนอีเมลหรือเว็บไซต์ที่ถูกกฎหมาย ยกตัวอย่างเช่น อาชญากรอาจโคลนหน้าเว็บเข้าสู่ระบบของธนาคารและแก้ไขรหัสเพื่อให้มันส่งข้อมูลความลับของคุณไปให้เขาหรือเธอทันทีที่คุณกรอกมัน

อย่างไรก็ตามในกรณีที่หาได้ยาก บุคคลอาจตกเป็นเป้าของการโจมตีฟิชชิ่งที่แฮ็กเกอร์สร้างขึ้นมาเองได้ สิ่งนี้เรียกว่า “การจับปลาโดยใช้ฉมวก (spear-fishing)” และมักประกอบไปด้วยอีเมลส่วนบุคคลที่รวมถึงข้อมูลเกี่ยวกับตัวคุณและคนที่คุณรู้จัก ยกตัวอย่างเช่น คุณอาจได้รับอีเมลฉุกเฉินที่ดูเหมือนมาจากเจ้านายของคุณซึ่งสอบถามให้คุณส่ง W-2 ให้กับทุกคนในแผนกของคุณ

“การจับปลาวาฬ (Whale-fishing)” คือการโจมตีฟิชชิ่งที่เป็นส่วนตัวและซับซ้อนซึ่งพุ่งเป้าไปยังเป้าหมายที่มีโปรไฟล์สูงอย่างประธานของบริษัทใหญ่ๆ

วิธีระบุและป้องกันการโจมตีฟิชชิ่งในปี 2019

วิธีระบุและป้องกันการโจมตีฟิชชิ่งในปี 2019

Pixabay

การโจมตีฟิชชิ่งอาจเป็นเรื่องที่น่ากลัวมากๆ ถ้าให้พูดให้เจาะจงก็คือเพราะพวกเขาสามารถพุ่งเป้าไปที่ใครก็ได้และพวกเขาได้รับการออกแบบมาเพื่อเลียนแบบการทำธุรกรรมแบบวันต่อวันที่ถูกต้องตามกฎหมายได้อย่างสมบูรณ์แบบ

คุณไม่จำเป็นต้องเข้าถึงเว็บไซต์ที่น่ากลัวหรือแบ่งปันไฟลผ่านเว็บไซต์อะไรเพื่อที่จะให้ถูกโจมตีโดยฟิชชิ่ง คุณสามารถพบอีเมลฉ้อโกงในกล่องจดหมายขาเข้าซึ่งดูเหมือนมาจาก Amazon, Netflix หรือธนาคารที่แจ้งให้คุณดำเนินการบางสิ่งอย่างเร่งด่วนได้ง่ายๆ ในวันพรุ่งนี้

การระบุการโจมตีฟิชชิ่งนั้นไม่ใช่เรื่องยากและการป้องกันก็เช่นเดียวกันหากคุณรู้ถึงสิ่งที่คุณต้องมองหา

นี่คือเคล็ดลับเล็กๆ ที่จะดูแลให้คุณปลอดภัยเมื่อตรวจสอบอีเมลและข้อความอื่นๆ

1. ให้ระวังข้อเสนอที่ ’ฟังดูดีเกินกว่าจะเป็นจริง’

ตรวจสอบข้อความที่คุณได้รับในกล่องจดหมายขาเข้าอย่างรอบคอบ โดยเฉพาะอย่างยิ่งหากคุณไม่รู้จักผู้ส่งเป็นการส่วนตัวหรือไม่คิดว่าจะได้รับข้อความอะไร

ข้อผิดพลาดธนาคารที่คุณต้องจัดการ? เงินคืนก่อนที่รอดำเนินการอยู่ใน Amazon? IRS ต้องการส่งเงินให้คุณฟรี?

สิ่งเหล่านี้ถือเป็นสัญญาณอันตรายอย่างรุนแรงที่คุณต้องทำการตรวจสอบอย่างรอบคอบ

ให้ระมัดระวังข้อความเร่งด่วนสูงที่ดูเหมือนจะต้องการให้คุณดำเนินการโดยทันทีโดยไม่มีบริบทมากนัก

2. ตรวจสอบ URL และที่อยู่อีเมลอย่างรอบรอบ

คุณได้รับอีเมลจาก Amazon สอบถามให้คุณขอรับเงินคืนจากการคิดเงินผิดพลาด มันฟังดูดีเกินกว่าจะเป็นเรื่องจริง แต่คุณควรจะทำอย่างไรกับเรื่องนี้?

ตรวจสอบที่อยู่อีเมลของผู้ส่งอย่างรอบคอบ มันดูเป็นที่อยู่ที่ถูกต้องไหมสำหรับคุณ?

หากใครบางคนอ้างตัวเป็นเจ้าหน้าที่จาก Amazon ผ่านทางอีเมลของคุณ ที่อยู่อีเมลของพวกเขาควรมีหน้าตา [email protected] หรือมีตัวแปรหรือซับโดเมนมาด้วย (เช่น support.amazon.com)

หากอีเมลนี้มาจากโดเมนที่มีการสะกดผิด (เช่น Amazonn.com) หรือถูกส่งต่อมาจากโดเมนขยะหรือโดเมนที่ไม่รู้จัก นั่นถือเป็นสัญญาณว่าคุณกำลังเผชิญกับอีเมลฟิชชิ่ง

ตรวจสอบให้แน่ใจว่าคุณเลื่อนเมาส์ไปชี้ลิงก์ใดๆ ในอีเมลก่อนที่จะคลิกมัน การกระทำนี้จะเปิดเผย URL เป้าหมายของลิงก์ วิธีนี้สามารถนำไปใช้งานได้เช่นเดียวกับชื่อผู้ส่ง

อย่าไปเว็บไซต์ที่เป็น URL ที่ไม่รู้จักและอย่าตอบกลับอีเมลที่ถูกส่งต่อมาจากโดเมนขยะ

3. ยืนยันความถูกต้องก่อนให้ข้อมูลที่สำคัญ

หาได้ยากที่ผู้ให้บริการลูกค้าที่ถูกกฎหมายจะขอหมายเลขบัญชี หมายเลขบัตรเครดิตหรือข้อมูลส่วนบุคคลอื่นๆ อย่างเต็มรูปแบบ ส่วนใหญ่แล้วพวกเขาจะใช้ข้อมูลแค่บางส่วนเท่านั้น (หมายเลขบัญชี 4 หลักสุดท้ายหรือชื่อถนนที่อยู่ของคุณ) เพื่อยืนยันตัวตนของคุณ

อย่างไรก็ตามในบางกรณีคุณอาจต้องให้ข้อมูลมากกว่านี้

หากการโต้ตอบดูน่าสงสัย ให้พยายามยืนยันความถูกต้องของคำขอในวิธีการใดๆ ที่เป็นไปได้

กลยุทธ์ที่ดีคือการโทรติดต่อหมายเลขโทรศัพท์ศูนย์บริการลูกค้าที่ถูกกฎหมายที่ระบุอยู่บนเว็บไซต์บริษัทและพูดคุยกับใครสักคนที่นั่นหรือหาช่องทางการสื่อสารที่เป็นทางการอื่นๆ ของพวกเขาที่ไม่ใช่ข้อความอีเมลที่มีปัญหา

4. ใช้ผู้ให้บริการอีเมลที่น่าเชื่อถือ

ผู้ให้บริการอีเมลที่ดีส่วนใหญ่ในปี 2019 จะให้การป้องกันการโจมตีฟิชชิ่งและอีเมลสแปมอื่นๆ ในระดับหนึ่ง

เช่น Outlook และ Gmail มีสิทธิ์ในการเข้าถึงข้อมูลมากมายที่ได้รับการรายงานว่าเป็นสแกมหรือข้อความอันตราย บ่อยครั้งที่พวกเขาสามารถคัดกรองอีเมลที่เป็นอันตรายได้ก่อนที่คุณจะเห็นอีเมลเหล่านั้นมากกว่าผู้ให้บริการขนาดเล็กอื่นๆ

ไม่ว่าคุณจะเลือกเปิดบัญชีอีเมลกับผู้ให้บริการใดก็ตาม ตรวจสอบให้แน่ใจว่าได้ตรวจสอบการตั้งค่าสแปมของพวกเขาและหากจำเป็นให้สอบถามฝ่ายบริการลูกค้าหากพวกเขามีคำแนะนำในการป้องกันฟิชชิ่งหรือไม่

5. ให้ระมัดระวังการกุศลต่างๆ ตามเหตุการณ์สำคัญๆ รอบโลก

เมื่อเกิดภัยพิบัติทางธรรมชาติหรือการโจมตีจากการก่อการร้าย นักฉ้อโกงบ่อยครั้งจะตั้งการกุศลปลอมๆ ขึ้นเพื่อรวบรวมเงินจากคนขี้สงสัยที่ตั้งใจจะทำสิ่งที่ดี

ฝึกฝนพฤติกรรมการใช้อีเมลที่ปลอดภัยเสมอ แต่ก็อย่าลดความระมัดระวังลงโดยเฉพาะอย่างยิ่งในช่วงที่มีกิจกรรมรวบรวมเงินบริจาคสำหรับเหตุการณ์ครั้งใหญ่และอย่าให้หมายเลขบัตรเครดิตของคุณ ยกเว้นแต่ว่าคุณจะมั่นใจ 100 เปอร์เซ็นต์แล้วว่ามันถูกกฎหมาย

หากคุณชอบมีส่วนร่วมในการเมืองหรือทางด้านมนุษยธรรม ให้มองหาองค์กรที่เชื่อถือได้เพื่อทำการบริจาคโดยตรง

6. ติดตั้งแอนตี้ไวรัสที่มีการป้องกันฟิชชิ่ง

โปรแกรมแอนตี้ไวรัสที่ดีที่สุดจะมาพร้อมกับฟีเจอร์เสริมที่จะช่วยให้คุณปลอดภัยจากการฉ้อโกงฟิชชิ่ง

พวกเขาจะสามารถเสริมสร้างการป้องกันที่คุณได้รับจากผู้ให้บริการอีเมลและคัดกรองสแปมได้ดียิ่งขึ้นโดยการเข้าถึงไลบรารี่ฟิชชิ่งและการโจมตีอื่นๆ ที่มีการรายงานเข้ามา

7. รายงานการโจมตีฟิชชิ่งที่อาจเกิดขึ้น

เป็นพลเมืองดีและแจ้งให้ธนาคาร ผู้ให้บริการอินเตอร์เน็ตหรือบริษัทอื่นๆ ทราบว่ามีนักโจมตีกำลังพยายามบุกโจมตีภายใต้ชื่อของพวกเขา

พวกเขาอาจใช้มาตรการความปลอดภัย เช่น ส่งคำเตือนหรือปรับแต่งรูปแบบของหน้าเข้าสู่ระบบเพื่อให้ผู้อื่นปลอดภัยมากยิ่งขึ้น

สรุป – พิจารณาให้รอบคอบเพื่อรักษาความปลอดภัย

การโจมตีฟิชชิ่งเป็นสิ่งที่ค่อนข้างหลีกเลี่ยงได้ง่ายหากคุณทราบถึงวิธีการทำงานของมัน

ไม่เหมือนกับการโจมตีจากหนอนคอมพิวเตอร์หรือการโจมตีจากมัลแวร์ที่ร้ายแรง ฟิชชิ่งจะพึ่งพาให้คุณลดการป้องกันลงและส่งข้อมูลของคุณให้เอง

วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยคืออย่าให้ข้อมูลความลับหรือข้อมูลสำคัญทางออนไลน์กับใครก็ตาม ยกเว้นแต่ว่าคุณจะมั่นใจ 100 เปอร์เซ็นต์ว่าพวกเขานั้นเชื่อถือได้

แน่นอนว่าสิ่งนี้พูดง่ายกว่าลงมือทำเพราะฟิชเชอร์ที่ทันสมัยสามารถจำลองหน้าชำระเงิน หน้าเข้าสู่ระบบและเว็บพอร์ทัลสำคัญอื่นๆ ได้อย่างสมบูรณ์แบบ

แต่หากคุณคอยเฝ้าระวังและตรวจสอบที่อยู่อีเมลและ URL ก่อนที่คุณจะมีส่วนร่วม คุณมักจะสามารถระบุการโจมตีได้ก่อนที่คุณจะตกเป็นเหยื่อ