เทคนิคที่ใช้หลอกลวง
วายร้ายฟิชชิ่ง จะใช้เทคนิค คือ การปลอมแปลง เพื่อหลอกล่อ ให้ "คลิกลิงค์" เพื่อไปยังเว็บไซต์ หรือ ช่องทางอื่นใดที่เป็นเป้าหมายที่ วายร้ายฟิชชิ่ง วางไว้
การปลอมแปลง มีได้หลายรูปแบบ ได้แก่ ทำหน้าเว็บไซต์ปลอมมาหลอก ส่งอีเมล์ปลอมมาแจ้งเรื่องหลอกๆ ให้คลิกลิงค์ ส่ง SMS ปลอมมาหลอกให้คลิก ส่งไลน์ปลอมเข้ามา รวมถึงช่องทางอื่นๆ ที่สามารถใส่ลิงค์ ให้ "คลิก" ได้ ก็สามารถจะใช้หลอกฟิชชิ่งได้ทั้งนั้น ไม่ว่าจะเป็น แมสเซนเจอร์ ทวิตเตอร์ วอทซ์แอพ
คำว่า ฟิชชิ่ง ในภาษาอังกฤษ เขียนว่า Phishing นัยยะหนึ่งก็คล้องกับ คำ Fishing ที่หมายถึง การตกปลา นั่นเอง ที่คนหลอก กำลังหลอก "ตกข้อมูล" ของเหยื่อผู้ไร้เดียงสาบนโลกอินเตอร์เน็ต
และการเขียนด้วย "Ph" เป็น "Phishing" นั้น ก็มีอิทธิพลจากคำภาษาอังฤษ ที่เป็นพฤติกรรมหลอกลวงในยุคโบราณสมัยใช้โทรศัพท์ ที่เรียกว่า "Phreaking" มาจาก คำว่า "phone freak" หมายถึง การใช้ความถี่เสียงต่างๆ เพื่อจัดการกับระบบโทรศัพท์ สามารถสลับการโทรจากเครื่องโทรศัพท์ ทำให้สามารถโทรฟรีได้ทั่วโลก
ทำไมเหยื่อถึงถูกหลอก
การถูกหลอกไม่ใช่เรื่องเป็นไปไม่ได้ในโลกอินเตอร์เน็ต แม้แต่ผู้ที่เชี่ยวชาญ มีประสบการณ์หรือคุ้นเคยกับการใช้งานอินเตอร์เน็ต อีเมล์ และเครื่องมือต่างๆ อย่างช่ำชองคุ้นเคย ก็ไม่วายตกเป็นเหยื่อได้ จึงไม่ต้องแปลกใจว่าทำไม ผู้ที่เป็นมือใหม่ ผู้ใช้รายใหม่ๆ ที่เพิ่งเริ่มใช้งาน โดยไม่ต้องคำนึงถึงวัย จะตกเป็นเหยื่อต่อมิจฉาชีพได้ง่ายดายเพียงใด
รูปแบบการหลอกลวง มีมากมายสารพัด
หลักใหญ่ของมิจฉาชีพฟิชชิ่ง คือ การสร้างสถานการณ์ให้เหยื่อตกใจ เข้าใจผิด หรือเข้าใจว่าตนเองทำผิดพลาด หรือละเลย หรือ กระตุ้นไปยังความรู้สึกของเหยื่อ เรื่องความปลอดภัย ที่หากไม่ทำตามจะก่อให้เกิดผลเสีย ปัญหาร้ายแรง ต่างๆ เกิดขึ้น
ข้อมูลส่วนตัวที่สำคัญ คือ เป้าหมายที่ วายร้ายฟิชชิ่ง ประสงค์
ความตื่นตระหนกของเหยื่อ คือ ประตูเปิดต้อนรับ วายร้ายฟิชชิ่ง อย่างง่ายดายนั่นเอง
ดังนั้น สติ จึงสำคัญ ที่สุด สำหรับกรณี พบฟิชชิ่ง ในอีเมล์หรือผ่านมาทาง SMS หรือ ไลน์ ของคุณในวันใดวันหนึ่ง
วิธีของมิจฉาชีพ
วิธีการของมิจฉาชีพ ด้วยวิธีหลอกลวงฟิชชิ่ง มีหลายแบบ ได้แก่
หลอกขอข้อมูลส่วนตัวเพื่อเปิดใช้งาน Internet Banking ลูกค้าได้รับอีเมลหลอกลวง อ้างว่าเป็นระบบรักษาความปลอดภัยของธนาคาร และขอข้อมูลส่วนบุคคลและให้กรอก OTP ที่ได้รับจากโทรศัพท์มือถือ มิจฉาชีพ นำข้อมูลไปสมัครบริการ Internet Banking และโอนเงินไปยังบัญชีมิจฉาชีพ
หลอกขอข้อมูลบัตรเครดิต
ผู้ใช้งานโปรแกรมดูหนังออนไลน์ ได้รับอีเมลหลอกลวง แจ้งว่าบัญชีโปรแกรมดูหนังออนไลน์ถูกระงับชั่วคราวให้ผู้ใช้คลิกลิงก์ปลอม เพื่อปรับปรุงข้อมูลส่วนบุคคลของบัญชีโปรแกรมดูหนังออนไลน์ แล้วมิจฉาชีพจึงนำข้อมูลดังกล่าวไปสวมตัวตน เพื่อทำธุรกรรมทางอินเทอร์เน็ตได้
หลอกติดตั้งโปรแกรมมัลแวร์เรียกค่าไถ่
เหยื่อได้รับอีเมลจากมิจฉาชีพ หลอกให้ติดตั้งโปรแกรมที่ส่งมากับอีเมลเพื่อความปลอดภัยของคอมพิวเตอร์เมื่อหลงเชื่อติดตั้งโปรแกรมมัลแวร์แล้ว ข้อมูลต่างๆ ในคอมพิวเตอร์จะถูกเข้ารหัส ทำให้ต้องจ่ายเงินค่าไถ่ให้กับมิจฉาชีพ หากต้องการเปิดไฟล์ที่ถูกเข้ารหัส
วิธีสังเกต แบบไหนเป็นฟิชชิ่งหลอกลวง
1. ใช้อีเมล์/ผู้ส่ง/SMS ที่ไม่รู้จัก แต่คล้ายจริง
2. ใช้ภาษา ไม่เป็นทางการ ผิดไวยากรณ์ บางทีฟังดูเหมือนใช้โปรแกรมแปลภาษามา ไม่ใช่ภาษาเขียนแบบปกติทั่วไป
3. เนื้อหา เกี่ยวกับความผิดปกติ ที่ผิดวิสัย เกินจริง กับแนะนำ/ชี้นำ/หลอกล่อ ให้ทำหรือคลิกหรือเปิดไฟล์ที่แนบมา จุดนี้สำคัญและจำไว้ว่า "ห้ามทำอะไรใดๆ" ทั้งสิ้น ห้ามคลิก ห้ามเปิดดู เพราะเหล่านั้นจะทำให้เกิดอะไร จะไม่มีทางรู้ และอาจจะสายไป หากทำลงไป
4. ลิงค์ปลอม แทบทั้งหมดของอีเมล์ / SMS หลอกลวงจะมีลิงค์เพื่อให้คลิก วิธีเช็คคือ เอาเม้าส์ไปบนลิงค์ แต่ห้ามคลิกนะ แล้วดูว่าลิงค์นั้นไปยังชื่อเว็บไซต์ (URL) อะไร รู้จักไหม แต่ก็ต้องดูให้ดีๆ อีก เพราะส่วนใหญ่ก็เป็นชื่อเว็บไซต์ปลอม แบบปลอมเหมือนมาก เช่น สะกดต่างเล็กน้อย เปลี่ยนตัวสะกด เป็นต้น
5. เอกสารแนบ ถ้ามีไฟล์แนบไม่มีนามสกุลบ้าง นามสกุลไม่รู้จักบ้าง อันนี้ชัวร์ ห้ามคลิกเด็ดขาด
อีเมล์ที่หลอกลวง สังเกตดูอย่างไร
ธ.กสิกรทำตัวอย่างการสังเกตอีเมล์ที่หลอกลวงไว้ชัดเจนมาก ดังข้างต้นนี้
วิธีรับมือเมื่อมีอีเมล์ / SMS หลอกลวงส่งมา
ตั้งสติและตรวจสอบเมื่อได้รับอีเมลแปลกๆ
ดูให้แน่ๆ ช้าๆ ว่าเป็นอีเมลที่เรารู้จักหรือไม่ มีลักษณะเข้าข่ายอีเมลหลอกลวงที่แนะไว้ข้างต้นหรือไม่
รู้เท่าทัน ว่าธนาคารไม่ส่งลิงค์ให้ลูกค้าทำอะไรแน่ๆ
เป็นนโยบายของทุกธนาคาร และองค์กรต่างๆ อยู่แล้ว ที่จะไม่ส่งลิงค์ หรือเอกสารแนบ ให้กับลูกค้าโดยไม่มีเหตุ หรือไม่ได้เป็นบุคคลในธนาคารหรือองค์กรโดยตรง ยิ่งเป็นการให้คลิกลิงค์ ดาวน์โหลดไฟล์ หรือกรอกข้อมูล ยิ่งไม่มี
ต้องไม่คลิกลิงค์ หรือคลิกเปิดเอกสารแนบเด็ดขาด
ย้ำเตือนอีกครั้งว่า ห้าม คลิกลิงค์ หรือคลิกเปิดเอกสารแนบเด็ดขาด อย่าสนใจหรือพยายามรู้ว่าจะเป็นอย่างไรหากคลิกหรือเปิดไฟล์นั้น เพราะเมื่อนั้น อาจสายไปจนแก้ไขอะไรไม่ได้ และยังไง ก็ไม่มีทางรู้อยู่ดี
เช็คกับต้นทาง
หากสงสัย ไม่แน่ใจ กรณีอาจสับสนว่าเคยติดต่อธนาคาร หรือองค์กรใดไว้หรือไม่ ให้ตรวจสอบไปยังหน่วยงานนั้นโดยตรงทันทีที่ทำได้
วิธีแก้ไขที่สามารถทำได้
1. กรณีกรอกข้อมูลชื่อผู้ใช้ และรหัสผ่าน
- เปลี่ยนรหัสผ่านทันที
- ตั้งรหัสผ่านให้ยากแก่การคาดเดา และแตกต่างกันในแต่ละระบบ
- กำหนดวิธีเข้าสู่ระบบด้วยการพิสูจน์ตัวตนร่วมกัน 2 ประเภท ขึ้นไป (2 Factor Authentication)
2. กรณีเปิดเผยข้อมูลทางบัญชี หรือข้อมูลบัตรเครดิต / บัตร ATM
- แจ้งเรื่องไปยังธนาคารเพื่ออายัดบัญชี หรือยกเลิกบัตรเครดิต (หากดำเนินการได้)
- หมั่นตรวจสอบ รายการเคลื่อนไหวทางบัญชี
- หากพบความเสียหายทางการเงิน ให้รวบรวมหลักฐานแจ้งตำรวจ และติดต่อธนาคาร เพื่อระงับบัญชีปลายทาง
3. กรณีเปิดไฟล์แนบหรือติดตั้งโปรแกรมมัลแวร์
- ติดตั้งโปรแกรมแอนตี้ไวรัส และทำการสแกนเครื่อง
- เปลี่ยนรหัสผ่านทันทีหลังจากลบมัลแวร์แล้ว
ข้อมูลจาก ธนาคารกสิกรไทย Wikipedia Webster dictionary