รู้จัก Phishing 10 ประเภทที่แบ่งตามรูปแบบการโจมตี

ปัจจุบันการโจมตีแบบ Phishing มีรูปแบบที่แตกต่างกันออกไป เราจึงรวบรวมรูปแบบที่น่าสนใจมาไว้ที่นี่ค่ะ 

 

  1. Phishing Email

การส่งอีเมลออกครั้งละจำนวนมากแบบ “Spray and Pray” โจมตีแบบไม่เจาะจงไปที่เหยื่อรายไหนหรือกลุ่มใดเป็นพิเศษ ใช้คำในข้อความกระตุ้นเพื่อหลอกลวงให้เหยื่อคลิกลิงก์ที่แนบมา 

สิ่งที่ควรสังเกต : มักใช้คำเหล่านี้ เรียน เจ้าของบัญชี ด่วนที่สุด ลับเฉพาะ ฯลฯ  

 

  1. Spear Phishing

การหลอกลวงด้วยการพุ่งเป้าเจาะจงไปที่เหยื่อกลุ่มใดกลุ่มหนึ่งชัดเจน เริ่มจากการล้วงข้อมูลส่วนตัวของเหยื่อแล้วส่งอีเมลที่เนื้อหามีความเฉพาะเจาะจงและสร้างความน่าเชื่อถือมากยิ่งขึ้น ต้องดูให้ดีก่อนคลิกลิงก์ดังกล่าว 

สิ่งที่ควรสังเกต : อาจใช้อีเมลที่มีชื่อคล้าย ๆ กับคนในองค์กร  

 

  1. Whaling Phishing

การโจมตีมุ่งเป้าไปที่เหยื่อที่มีตำแหน่งอยู่ในระดับสูง โดยในเนื้อหาอีเมลจะสร้างความหวั่นวิตกขั้นรุนแรง เช่น อ้างว่าส่งจากหมายศาล อ้างว่าทำผิดกฎหมาย ต้องดำเนินการอย่างเร่งด่วน หรือขอให้เหยื่อกระทำการบางอย่างเพื่อหลีกเลี่ยงปัญหาที่อาจส่งผลกระทบอย่างหนักต่อธุรกิจ 

สิ่งที่ควรสังเกต :  ภาษาและเนื้อหาอีเมล อาจจะมีคำสะกดผิด มี Link ที่น่าสงสัย และประกอบด้วยคำขอให้โอนเงินหรือขอข้อมูลภายในองค์กร   

 

  1. Vishing Phishing

การหลอกลวงผ่านรูปแบบของเสียง (Voice + Phishing) หรือที่เราคุ้นเคยกันดีในชื่อเรียก “แก๊งคอลเซ็นเตอร์” นั่นเอง โดยอาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่จากองค์กรใดองค์กรหนึ่ง และหลอกขอข้อมูลส่วนตัวต่าง ๆ ทางที่ดี เมื่อได้รับสายจากอาชญากรเหล่านี้ควรวางสายทันที 

สิ่งที่ควรสังเกต : เบอร์แปลกโทรเข้ามาอ้างตัวเป็นองค์กรที่บอกให้คุณต้องไปทำธุรกรรมทางการเงินกับปลายสาย 

 

  1. Smishing Phishing

การฟิชชิ่งทาง SMS นั่นเอง โดยอาชญากรจะเขียนข้อความสั้น ๆ ที่โน้มน้าวให้เหยื่อคลิกเข้าไปในเว็บไซต์ปลอม  

สิ่งที่ควรสังเกต :  มักจะอ้างว่า ยินดีด้วยคุณถูกรางวัล หลอกให้เรากรอกข้อมูลเพื่อให้ได้สิทธิ์รับรางวัล 

 

  1. Angler Phishing

การโจมตีที่เฝ้าจับตามองพฤติกรรมการใช้โซเชียลมีเดียของเหยื่อ และสวมรอยเป็นเจ้าหน้าที่มาหลอกว่าจะแก้ปัญหาให้ โดยส่งลิงก์ให้กรอกข้อมูลที่ละเอียดอ่อนเพื่อรับการแก้ไขปัญหาการให้บริการ  

สิ่งที่ควรสังเกต : เมื่อเราบ่นลงทวิตเตอร์ ใครมาตอบเรา อาชญากรหรือไม่  

 

  1. CEO Fraud Phishing

เป้าหมายของอาชญากรจะเป็นบุคคลระดับสูง แต่ระดับการโจมตีจะรุนแรงกว่า Whaling Phishing มาก โดยจะปลอมตัวเป็นบุคคลสำคัญ/ CEO แล้วส่งอีเมลให้แก่คนในบริษัท เพื่อขอให้บุคคลนั้นส่งข้อมูลสำคัญ หรือโอนเงินให้ในทันที เป็นต้น 

สิ่งที่ควรสังเกต :  ชื่ออีเมลที่คุ้นเคย เขียนเนื้อหาประกอบด้วยคำขอข้อมูลสำคัญ 

 

  1. Search Engine Phishing

เว็บไซต์ค้นหาปลอมหลอกให้เราเข้าให้เว็บไซต์อันใดอันหนึ่งเยอะ ๆ เพื่อเอา ranking หรือการสร้างเว็บไซต์หลอกหลวงที่ยื่นเสนอผลประโยชน์ให้แก่เรา เช่น ส่วนลด คูปองแจกของฟรี หรือประกาศรับสมัครงาน  

สิ่งที่ควรสังเกต : URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริงแต่จะสะกดผิด และส่วนใหญ่จะเป็น HTTP แทนที่จะเป็น HTTPS  

 

  1. Pop-up Phishing 

ป๊อปอัปหลอกที่บอกว่าเครื่องคอมพิวเตอร์ของเรามีความเสี่ยงด้านความปลอดภัย ให้เราคลิกน์โหลดไฟล์เหล่านี้เพื่อแก้ไขสถานการณ์ แต่แท้จริงแล้วเป็นป็อปอัปให้เราดาวน์โหลดมัลแวร์เข้ามาขโมยข้อมูลจากเครื่องของเรา 

สิ่งที่ควรสังเกต : ป็อปอัปที่มักเขียนว่า เครื่องของคุณโดนไวรัส หรือ เครื่องคุณทำงานช้าอยู่หรือไม่ 

 

  1. Man-in-the-Middle (MTM) Attacks 

การหลอกที่อ้างว่าเป็นเว็บไซต์ตัวกลางที่ให้บริการระหว่างธุรกิจกับผู้ใช้ มาหลอกให้เราใส่ข้อมูลและรหัสผ่านที่เรามักใช้เพื่อเข้าไปใช้บริการจากธุรกิจนั้น ๆ ส่วนใหญ่เป็นการขอข้อมูลละเอียดอ่อนด้านธุรกรรม 

สิ่งที่ควรสังเกต : ชื่อลิงก์ถูกต้องหรือไม่ ขึ้นต้นด้วย https หรือไม่ ถ้าไม่ ให้สันนิษฐานไว้ก่อนว่าไม่ควรดำเนินการต่อ 

 

สรุปได้ว่า Phishing คือ ภัยคุกคามที่หลอกล่อให้เหยื่อคลิกลิงก์ไปที่หน้าเว็บไซต์ปลอม ที่ให้เราใส่ข้อมูลส่วนบุคคล รหัสผ่าน และนำไปสู่การขโมยข้อมูล โดยเฉพาะในเรื่องธุรกรรมทางการเงิน โดยมี URL ของเว็บไซต์เริ่มต้นด้วย HTTP แทนที่จะเป็น HTTPS หากได้รับข้อความที่มีลักษณะคล้ายที่กล่าวไปนี้่ ควรเช็กให้ดีก่อนว่าเว็บไซต์นั้นไว้ใจได้หรือไม่ เพื่อลดความเสี่ยงในการถูกคุกคามบนโลกไซเบอร์ให้น้อยที่สุด 

 

อ้างอิงจาก : www.fortinet.com 

Tags

What do you think?

Related articles