ปัจจุบันการโจมตีแบบ Phishing มีรูปแบบที่แตกต่างกันออกไป เราจึงรวบรวมรูปแบบที่น่าสนใจมาไว้ที่นี่ค่ะ
Phishing Email
การส่งอีเมลออกครั้งละจำนวนมากแบบ “Spray and Pray” โจมตีแบบไม่เจาะจงไปที่เหยื่อรายไหนหรือกลุ่มใดเป็นพิเศษ ใช้คำในข้อความกระตุ้นเพื่อหลอกลวงให้เหยื่อคลิกลิงก์ที่แนบมา
สิ่งที่ควรสังเกต : มักใช้คำเหล่านี้ เรียน เจ้าของบัญชี ด่วนที่สุด ลับเฉพาะ ฯลฯ
Spear Phishing
การหลอกลวงด้วยการพุ่งเป้าเจาะจงไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งชัดเจน เริ่มจากการล้วงข้อมูลส่วนตัวของเหยื่อแล้วส่งอีเมลที่เนื้อหามีความเฉพาะเจาะจงและสร้างความน่าเชื่อถือมากยิ่งขึ้น ต้องดูให้ดีก่อนคลิกลิงก์ดังกล่าว
สิ่งที่ควรสังเกต : อาจใช้อีเมลที่มีชื่อคล้าย ๆ กับคนในองค์กร
Whaling Phishing
การโจมตีมุ่งเป้าไปที่เหยื่อที่มีตำแหน่งอยู่ในระดับสูง โดยในเนื้อหาอีเมลจะสร้างความหวั่นวิตกขั้นรุนแรง เช่น อ้างว่าส่งจากหมายศาล อ้างว่าทำผิดกฎหมาย ต้องดำเนินการอย่างเร่งด่วน หรือขอให้เหยื่อกระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาที่อาจส่งผลกระทบอย่างหนักต่อธุรกิจ
สิ่งที่ควรสังเกต : ภาษาและเนื้อหาอีเมล อาจจะมีคำสะกดผิด มี Link ที่น่าสงสัย และประกอบด้วยคำขอให้โอนเงินหรือขอข้อมูลภายในองค์กร
Vishing Phishing
การหลอกลวงผ่านรูปแบบของเสียง (Voice + Phishing) หรือที่เราคุ้นเคยกันดีในชื่อเรียก “แก๊งคอลเซ็นเตอร์” นั่นเอง โดยอาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่จากองค์กรใดองค์กรหนึ่ง และหลอกขอข้อมูลส่วนตัวต่าง ๆ ทางที่ดี เมื่อได้รับสายจากอาชญากรเหล่านี้ควรวางสายทันที
สิ่งที่ควรสังเกต : เบอร์แปลกโทรเข้ามาอ้างตัวเป็นองค์กรที่บอกให้คุณต้องไปทำธุรกรรมทางการเงินกับปลายสาย
Smishing Phishing
การฟิชชิ่งทาง SMS นั่นเอง โดยอาชญากรจะเขียนข้อความสั้น ๆ ที่โน้มน้าวให้เหยื่อคลิกเข้าไปในเว็บไซต์ปลอม
สิ่งที่ควรสังเกต : มักจะอ้างว่า ยินดีด้วย! คุณถูกรางวัล หลอกให้เรากรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัล
Angler Phishing
การโจมตีที่เฝ้าจับตามองพฤติกรรมการใช้โซเชียลมีเดียของเหยื่อ และสวมรอยเป็นเจ้าหน้าที่มาหลอกว่าจะแก้ปัญหาให้ โดยส่งลิงก์ให้กรอกข้อมูลที่ละเอียดอ่อนเพื่อรับการแก้ไขปัญหาการให้บริการ
สิ่งที่ควรสังเกต : เมื่อเราบ่นลงทวิตเตอร์ ใครมาตอบเรา อาชญากรหรือไม่
CEO Fraud Phishing
เป้าหมายของอาชญากรจะเป็นบุคคลระดับสูง แต่ระดับการโจมตีจะรุนแรงกว่า Whaling Phishing มาก โดยจะปลอมตัวเป็นบุคคลสำคัญ/ CEO แล้วส่งอีเมลให้แก่คนในบริษัท เพื่อขอให้บุคคลนั้นส่งข้อมูลสำคัญ หรือโอนเงินให้ในทันที เป็นต้น
สิ่งที่ควรสังเกต : ชื่ออีเมลที่คุ้นเคย เขียนเนื้อหาประกอบด้วยคำขอข้อมูลสำคัญ
Search Engine Phishing
เว็บไซต์ค้นหาปลอมหลอกให้เราเข้าให้เว็บไซต์อันใดอันหนึ่งเยอะ ๆ เพื่อเอา ranking หรือการสร้างเว็บไซต์หลอกหลวงที่ยื่นเสนอผลประโยชน์ให้แก่เรา เช่น ส่วนลด คูปองแจกของฟรี หรือประกาศรับสมัครงาน
สิ่งที่ควรสังเกต : URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริงแต่จะสะกดผิด และส่วนใหญ่จะเป็น HTTP แทนที่จะเป็น HTTPS
Pop-up Phishing
ป๊อปอัปหลอกที่บอกว่าเครื่องคอมพิวเตอร์ของเรามีความเสี่ยงด้านความปลอดภัย ให้เราคลิกน์โหลดไฟล์เหล่านี้เพื่อแก้ไขสถานการณ์ แต่แท้จริงแล้วเป็นป็อปอัปให้เราดาวน์โหลดมัลแวร์เข้ามาขโมยข้อมูลจากเครื่องของเรา
สิ่งที่ควรสังเกต : ป็อปอัปที่มักเขียนว่า เครื่องของคุณโดนไวรัส หรือ เครื่องคุณทำงานช้าอยู่หรือไม่
Man-in-the-Middle (MTM) Attacks
การหลอกที่อ้างว่าเป็นเว็บไซต์ตัวกลางที่ให้บริการระหว่างธุรกิจกับผู้ใช้ มาหลอกให้เราใส่ข้อมูลและรหัสผ่านที่เรามักใช้เพื่อเข้าไปใช้บริการจากธุรกิจนั้น ๆ ส่วนใหญ่เป็นการขอข้อมูลละเอียดอ่อนด้านธุรกรรม
สิ่งที่ควรสังเกต : ชื่อลิงก์ถูกต้องหรือไม่ ขึ้นต้นด้วย https หรือไม่ ถ้าไม่ ให้สันนิษฐานไว้ก่อนว่าไม่ควรดำเนินการต่อ
สรุปได้ว่า Phishing คือ ภัยคุกคามที่หลอกล่อให้เหยื่อคลิกลิงก์ไปที่หน้าเว็บไซต์ปลอม ที่ให้เราใส่ข้อมูลส่วนบุคคล รหัสผ่าน และนำไปสู่การขโมยข้อมูล โดยเฉพาะในเรื่องธุรกรรมทางการเงิน โดยมี URL ของเว็บไซต์เริ่มต้นด้วย HTTP แทนที่จะเป็น HTTPS หากได้รับข้อความที่มีลักษณะคล้ายที่กล่าวไปนี้่ ควรเช็กให้ดีก่อนว่าเว็บไซต์นั้นไว้ใจได้หรือไม่ เพื่อลดความเสี่ยงในการถูกคุกคามบนโลกไซเบอร์ให้น้อยที่สุด
อ้างอิงจาก : www.fortinet.com
Digital Marketing Executive | Aware Group ตั้งใจที่จะส่งมอบเนื้อหาที่เป็นประโยชน์ เขียนให้อ่านง่ายและเข้าใจง่าย แม้ผู้ที่ไม่มีความรู้ทางด้านเทคโนโลยีมาก่อนก็สามารถศึกษาร่วมกันได้ ยินดีที่จะนำเสนอเรื่องราวน่าสนใจด้านเทคโนโลยี มาร่วมเรียนรู้ด้วยกันนะคะ