Clear
Lead Graphic Papers

รู้จัก Phishing และการป้องกัน

ผู้เขียน: วิศัลย์ ประสงค์สุข
วันที่เผยแพร่: 27 เม.ย. 2555
ปรับปรุงล่าสุดวันที่: 30 เม.ย. 2555

Share on Facebook Share on Twitter Share on Google+

ในปี 2554 ที่ผ่านมา สถิติภัยคุกคามที่แจ้งมายังไทยเซิร์ตมากที่สุดคือภัยคุกคามประเภทการฉ้อฉลฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์ (Fraud) ดังรูปที่ 1 ซึ่งแทบจะทั้งหมดเป็นเรื่องเกี่ยวกับ Phishing ดังนั้นบทความนี้จึงขอนำท่านผู้อ่านให้ทำความรู้จักและระวังตัวจากภัยชนิดนี้

Pp2012no0007-1.png
รูปที่ 1 สถิติภัยคุกคามระหว่างเดือนกรกฏาคมถึงธันวาคมปี 2554 จำแนกตามประเภทภัยคุกคาม [1]

Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น ในบทความนี้จะเน้นในเรื่องของ Phishing ที่มีจุดมุ่งหมายเพื่อหลอกลวงทางการเงิน เนื่องจากจะทำให้ผู้อ่านมองเห็นผลกระทบได้ง่าย

คำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่าย ๆ ผู้อ่านสามารถจินตนาการได้ว่า เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อที่เด่น ๆ ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าอีเมลฉบับนั้นถูกส่งออกมาจากธนาคารที่ผู้เสียหายใช้บริการอยู่ โดยเนื้อความในอีเมลแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า และธนาคารต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล เป็นต้น เมื่อผู้เสียหายคลิกที่ลิงก์ดังกล่าว ก็จะพบกับหน้าเว็บไซต์ปลอมของธนาคารซึ่งผู้โจมตีได้เตรียมไว้ เมื่อผู้เสียหายเข้าไปล็อกอิน ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านของผู้เสียหายไปในทันที ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น [2]

หน้าเว็บไซต์ปลอมบางหน้าจะใช้วิธีการที่แยบยล นั่นคือการฝังโทรจันที่สามารถขโมยข้อมูลที่ต้องการมากับหน้าเว็บไซต์ปลอมนั้นด้วย เช่น โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน ของระบบนั้นก็จะถูกส่งไปยังผู้ไม่ประสงค์ดี [3] [4]

ตัวอย่างของอีเมลและหน้าเว็บไซต์หลอกลวง มีอยู่มากมายเต็มไปหมดในโลกอินเทอร์เน็ต เช่นรูปที่ 2 ด้านล่าง เป็นรูปของสถาบันทางการเงินแห่งหนึ่ง หากสังเกตดีๆ จะเห็นว่า URL ที่แสดงขึ้นมา ไม่ใช่ URL ที่ถูกต้องของสถาบันการเงินนั้น

Pp2012no0007-2.png
รูปที่ 2 ตัวอย่างหน้าเว็บไซต์หลอกลวงของสถาบันการเงินแห่งหนึ่ง [6]


นอกจาก Phishing แล้วยังมีเทคนิคการหลอกลวงอื่น ๆ ที่คล้ายคลึงกัน ซึ่งแต่ละวิธีก็มีชื่อเรียกแตกต่างกันออกไป เช่น
  • Vishing และ Smishing: หลายคนคงเคยได้ยินหรือเคยประสบกับแก๊งคอลเซ็นเตอร์อยู่บ้าง พฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น [9]
  • Spear-phishing และ Whaling: อย่างที่กล่าวมาแล้วในข้างต้นเกี่ยวกับกลวิธีของ Phishing ในการนำไปใช้งาน ผู้ไม่ประสงค์ดีบางคนก็ได้เล็งองค์กร หรือบุคคลที่เป็นเป้าหมายไว้ชัดเจนอยู่แล้ว บุคคลที่มักตกเป็นเป้าหมายส่วนใหญ่จะเป็นผู้ที่มีบทบาทสำคัญในองค์กร มีความสามารถหรือรู้วิธีการเข้าถึงข้อมูลสำคัญขององค์กร การหลอกลวงแบบ Phishing ที่มีเป้าหมายชัดเจนนี้มีคำเรียกเฉพาะคือ Spear-phishing และหากเป้าหมายของ Spear-phishing นี้เป็นบุคคลที่มีตำแหน่งสูงหรือเป็นบุคคลสำคัญในองค์กร จะเรียกการหลอกลวงนี้ว่า Whaling (ตลกร้ายที่เปรียบเทียบบุคคลสำคัญเป็นปลาตัวโต ในที่นี้คือปลาวาฬนั่นเอง) [10]
แล้วผู้อ่านควรระวังตัวอย่างไร? ข้อแนะนำต่อไปนี้ สามารถลดโอกาสไม่ให้ผู้อ่านถูกหลอกลวงได้ [2] [6] [7] [8]
  1. ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากมีโอกาสสูงที่จะถูกหลอกลวง เพราะบางครั้งลิงก์ที่มองเห็นในอีเมลว่าเป็นเว็บไซต์ของธนาคาร แต่เมื่อคลิกไปแล้วอาจจะไปที่เว็บไซต์ปลอมที่เตรียมไว้ก็เป็นได้ เนื่องจากในการสร้างลิงก์นั้นสามารถกำหนดให้แสดงข้อความหรือรูปภาพได้ตามต้องการ ดังนั้นบางเว็บไซต์ปลอมจึงทำ URL ให้สังเกตความแตกต่างจาก URL จริงได้ยาก
  2. พึงระวังอีเมลที่ขอให้กรอกข้อมูลส่วนบุคคล โดยเฉพาะหากเป็นอีเมลที่มาจากสถาบันการเงิน ทั้งนี้ธนาคารหลายแห่งได้แจ้งอย่างชัดเจนว่า ธนาคารไม่มีนโยบายในการขอให้ลูกค้าเปิดเผยเลขประจำตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ ผ่านทางอีเมลโดยเด็ดขาด
  3. ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากในปัจจุบัน ผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้นจริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเอง
  4. สังเกตให้แน่ใจว่าเว็บไซต์ที่ใช้งานเป็น HTTPS ก่อนให้ข้อมูลส่วนบุคคลที่สำคัญ เช่น เลขบัตรเครดิต หรืออื่น ๆ
  5. ลบอีเมลน่าสงสัยออกไป เพื่อไม่ให้พลั้งเผลอกดเปิดครั้งถัดไป
  6. ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนื่องจากผลพลอยได้อย่างหนึ่งของการติดตั้ง Firewall คือสามารถทำการยับยั้งไม่ให้โทรจันแอบส่งข้อมูลออกไปจากระบบได้ นอกจากนี้ ผู้ใช้ควรหมั่นศึกษาและอัพเดทโปรแกรมดังกล่าวให้เป็นรุ่นปัจจุบันเสมอ
  7. หากท่านผู้อ่านพบเห็นเว็บไซต์หลอกลวงซึ่งมีจุดประสงค์ในการขโมยข้อมูลส่วนบุคคล สามารถแจ้งเหตุภัยคุกคามได้ที่เจ้าของบริการเหล่านั้น หรือส่งอีเมลมาที่ report[@]thaicert.or.th ตลอด 24 ชั่วโมงหรือโทร 02-123-1212 ในเวลา 8.30-17.30 ทุกวันทำการ
หากรู้ตัวว่าพลาดท่าไปแล้ว จะทำอย่างไรดี? ข้อแนะนำต่อไปนี้เป็นสิ่งที่ผู้เสียหายควรปฏิบัติตามโดยทันที [2]
  1. ในกรณีที่เป็นข้อมูลสำคัญขององค์กร ผู้เสียหายควรแจ้งเรื่องไปยังบุคคลที่เหมาะสมรวมทั้งผู้ดูแลระบบ เพื่อเป็นการเตรียมมาตราการปกป้ององค์กรต่อไป
  2. ในกรณีที่เป็นข้อมูลบัญชีธนาคาร ผู้เสียหายควรแจ้งเรื่องไปยังธนาคารที่ใช้บริการ และทำการปิดบัญชีที่คาดว่าสามารถถูกขโมยได้ หรือเฝ้าระวังการใช้งานบัญชีอย่างต่อเนื่อง
  3. ทำการเปลี่ยนรหัสผ่าน ในทุกระบบที่ใช้รหัสผ่านเดียวกัน และไม่กลับมาใช้รหัสผ่านนั้นอีก
ถึงแม้ Phishing เป็นภัยคุกคามที่สร้างความเสียหายมากมาย แต่ก็สามารถระมัดระวังตัวได้ หากผู้ใช้มีความตระหนักในการใช้งานอินเทอร์เน็ต รวมถึงปฏิบัติตามคำแนะนำข้างต้น

อ้างอิง

1. http://www.thaicert.or.th/statistics2011.html
2. http://www.us-cert.gov/cas/tips/ST04-014.html
3. http://www.focus.com/fyi/44-ways-protect-phishing/
4. http://www.theregister.co.uk/2007/02/23/trojan_phishing_attack/
5. http://www.bustspammers.com/phishing_links.html
6. http://www.scb.co.th/th/about-scb/phishing-mail
7. http://www.kasikornbank.com/TH/Phishing_Website_Report/Pages/PhishingWebsiteReport.aspx
8. http://www.tmbbank.com/personal/e-banking/popup/Phishing.html
9. http://www.usatoday.com/tech/news/story/2011-10-18/smishing-bank-scam/50817688/1
10. http://blogs.iss.net/archive/SpearPhishing.html

Clear