ฟิชชิ่งคืออะไร

การโจมตีแบบฟิชชิ่งมาจากผู้หลอกลวงที่ปลอมตัวเป็นแหล่งข้อมูลที่เชื่อถือได้ ซึ่งพยายามอํานวยความสะดวกในการเข้าถึงข้อมูลที่ละเอียดอ่อนทุกประเภท แม้ว่าการโจมตีทางไซเบอร์ประเภทนี้ซึ่งกระจายไปทั่วจะมีวิวัฒนาการอย่างต่อเนื่องตามเทคโนโลยีเกิดใหม่ แต่กลวิธียังคงเหมือนเดิม:

การสื่อสารที่มีเล่ห์เหลี่ยม
ผู้โจมตีมีทักษะในการหลอกให้เหยื่อระบุข้อมูลที่ละเอียดอ่อนโดยการซ่อนข้อความและไฟล์แนบที่เป็นอันตรายไว้ในสถานที่ซึ่งผู้คนแยกแยะไม่ค่อยออก เช่น ในกล่องอีเมลขาเข้า หลายๆ คนอาจเผลอทึกทักไปเองว่าข้อความที่ส่งเข้ามาในกล่องขาเข้าของตนนั้นปกติดี แต่โปรดระวัง เพราะอีเมลฟิชชิ่งมักจะดูปลอดภัยและไม่โดดเด่น ใช้เวลาเพิ่มขึ้นสักเล็กน้อยแล้วตรวจสอบไฮเปอร์ลิงก์และที่อยู่อีเมลของผู้ส่งก่อนคลิก เพื่อป้องกันไม่ให้ถูกหลอก

การรับรู้ถึงความต้องการ
ผู้คนมักตกเป็นเหยื่อของฟิชชิ่ง เพราะคิดว่าจำเป็นต้องดำเนินการ ตัวอย่างเช่น เหยื่ออาจดาวน์โหลดมัลแวร์ที่ปลอมแปลงเป็นประวัติย่อเนื่องจากเหยื่อกำลังหาคนเข้าทำงานอย่างเร่งด่วน หรือป้อนข้อมูลประจำตัวของธนาคารของตนบนเว็บไซต์ที่น่าสงสัยเพื่อกอบกู้บัญชีที่ตนได้รับแจ้งว่าจะหมดอายุในไม่ช้า การสร้างการรับรู้ถึงความต้องการแบบผิดๆ เป็นเล่ห์กลที่ใช้อย่างแพร่หลาย เพราะได้ผลจริง โปรดตรวจสอบอย่างถี่ถ้วนหรือติดตั้งเทคโนโลยีการป้องกันอีเมลที่จะทำงานส่วนยากๆ นี้ให้คุณ เพื่อดูแลข้อมูลของคุณให้ปลอดภัย

ความไว้วางใจแบบผิดๆ
คนร้ายจะหลอกผู้คนโดยสร้างความรู้สึกไว้วางใจแบบผิดๆ ทำให้หลงเชื่อ แม้กระทั่งกลโกงที่มองเห็นได้ง่ายที่สุด คนร้ายฟิชชิ่งสามารถหลอกล่อให้คุณดำเนินการก่อนที่คุณจะรู้ว่าคุณถูกหลอกโดยการแอบอ้างว่าเป็นแหล่งข้อมูลที่น่าเชื่อถือ เช่น Google, Wells Fargo หรือ UPS ข้อความฟิชชิ่งจำนวนมากมักเล็ดลอดสายตาไป เพราะไม่มีมาตรการด้านการรักษาความปลอดภัยทางไซเบอร์ขั้นสูง ปกป้องข้อมูลส่วนตัวของคุณด้วยเทคโนโลยีการรักษาความปลอดภัยของอีเมลที่ออกแบบมาเพื่อระบุเนื้อหาที่น่าสงสัยและกำจัดทิ้งก่อนที่จะส่งมาถึงกล่องขาเข้าของคุณ

การชักใยทางอารมณ์
ผู้ไม่หวังดีจะใช้กลวิธีทางจิตวิทยาเพื่อโน้มน้าวให้เป้าหมายลงมือทำก่อนที่จะได้คิดไตร่ตรองอะไร หลังจากสร้างความไว้วางใจโดยการแอบอ้างเป็นแหล่งข้อมูลที่คุ้นเคย ก็จะสร้างความรู้สึกผิดๆ ว่าต้องดำเนินการโดยเร็ว ผู้โจมตีใช้ประโยชน์จากอารมณ์ เช่น ความกลัวและความวิตกกังวล เพื่อให้ได้สิ่งที่ต้องการ ผู้คนมักจะตัดสินใจอย่างรวดเร็วเมื่อได้รับแจ้งว่าจะสูญเสียเงิน มีปัญหาทางกฎหมาย หรือไม่สามารถเข้าถึงแหล่งข้อมูลที่จำเป็นอย่างมากได้อีกต่อไป โปรดระมัดระวังข้อความใดๆ ที่บอกให้คุณต้อง "ดำเนินการทันที" เพราะอาจเป็นข้อความหลอกลวง

ประเภทของการโจมตีแบบฟิชชิ่งที่พบบ่อยที่สุด ได้แก่:

อีเมลฟิชชิ่ง
การโจมตีประเภทนี้คือรูปแบบฟิชชิ่งที่พบบ่อยที่สุด ซึ่งใช้กลวิธีอย่างไฮเปอร์ลิงก์ปลอมเพื่อหลอกล่อให้ผู้รับอีเมลเปิดเผยข้อมูลส่วนบุคคลของตน ผู้โจมตีมักปลอมตัวเป็นผู้ให้บริการบัญชีรายใหญ่ เช่น Microsoft หรือ Google หรือแม้กระทั่งปลอมเป็นเพื่อนร่วมงาน

มัลแวร์ฟิชชิ่ง
การโจมตีประเภทนี้เป็นวิธีการฟิชชิ่งที่แพร่หลายอีกวิธีหนึ่ง ซึ่งเกี่ยวข้องกับการวางมัลแวร์ที่ปลอมแปลงเป็นไฟล์แนบที่น่าเชื่อถือ (เช่น ประวัติย่อหรือใบแจ้งยอดจากธนาคาร) ในอีเมล ในบางกรณี การเปิดไฟล์แนบมัลแวร์อาจทำให้ระบบไอทีทั้งระบบเป็นอัมพาตได้

สเปียร์ฟิชชิ่ง
ในขณะที่การโจมตีแบบฟิชชิ่งส่วนใหญ่ใช้การเหวี่ยงแหเป็นวงกว้าง แต่สเปียร์ฟิชชิ่งจะกำหนดเป้าหมายเฉพาะบุคคลใดบุคคลหนึ่งโดยใช้ประโยชน์จากข้อมูลที่รวบรวมผ่านการค้นคว้าเกี่ยวกับงานและชีวิตทางสังคมของเป้าหมาย การโจมตีเหล่านี้จะปรับให้ตรงกับเป้าหมายอย่างมาก ทำให้หลบเลี่ยงการรักษาความปลอดภัยทางไซเบอร์ได้เป็นอย่างดี

เวลลิ่ง
เมื่อคนร้ายมุ่งเป้าไปที่ “ปลาใหญ่” เช่น ผู้บริหารธุรกิจหรือผู้มีชื่อเสียง จะเรียกว่า เวลลิ่ง นักต้มตุ๋นเหล่านี้มักจะทำการวิจัยเกี่ยวกับเป้าหมายค่อนข้างมาก เพื่อค้นหาช่วงเวลาที่เหมาะสมในการขโมยข้อมูลประจำตัวในการเข้าสู่ระบบหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ยิ่งคุณมีข้อมูลเหล่านี้เยอะ ผู้โจมตีแบบเวลลิ่งก็ยิ่งได้ประโยชน์มาก

สมิชชิ่ง
สมิชชิ่งคือการรวมกันระหว่างคำว่า “SMS” กับ “ฟิชชิ่ง” ซึ่งเกี่ยวข้องกับการส่งข้อความที่ปลอมแปลงเป็นการติดต่อสื่อสารที่น่าเชื่อถือจากธุรกิจต่างๆ เช่น Amazon หรือ FedEx ผู้คนมักเสี่ยงต่อการถูกหลอกลวงทาง SMS เนื่องจากข้อความจะส่งมาเป็นข้อความตัวอักษรธรรมดาๆ และดูเจาะจงมากกว่า

วิชชิ่ง
ในการโจมตีวิชชิ่ง ผู้โจมตีในคอลล์เซนเตอร์ที่ฉ้อฉลพยายามหลอกล่อให้ผู้คนมอบข้อมูลที่ละเอียดอ่อนทางโทรศัพท์ ในหลายกรณี กลโกงเหล่านี้ใช้การโจมตีแบบวิศวกรรมสังคมเพื่อหลอกล่อให้เหยื่อติดตั้งมัลแวร์ลงในอุปกรณ์ของตนในรูปแบบของแอป