ตัวแทนจำหน่ายแอนตี้ไวรัสและโซลูชัน Cyber Security แบบครบวงจร พร้อมราคาที่ดีที่สุด
ฟิชชิง (Phishing) คืออะไร
ฟิชชิง (Phishing) คืออะไร
FROM FACEBOOK
4/28/20251 min read
ฟิชชิง (Phishing) คืออะไร
ฟิชชิง (Phishing) มาจากคำว่า Fishing ที่แปลว่าการตกปลา ในที่นี้จะหมายถึงการวางเหยื่อไว้ล่อให้ปลามากิน ในบริบทของ IT ก็จะเปรียบเทียบได้กับการ วางเหยื่อ(ส่ง SMS ที่มีลิงก์แปลกให้กด,ส่งอีเมล์แปลกๆที่มักจะมีลิงก์หรือไฟล์ให้โหลด)แล้วรอให้ปลา(ผู้ใช้งาน)มากด หรือมาโหลด หรือมากดเปิด
โดยปกติการฟิชชิ่งโอกาสสำเร็จจะต่ำ แต่ในปัจจุบันได้มีการนำเทคอื่นๆมาผสมกันเพื่อให้การฟิชชิ่งนั้นดูน่าเชื่อถือมากขึ้น เช่น การทำ Social Engineer เพื่อที่จะได้ข้อมูลต่างๆของเหยื่อมาก่อนเพื่อที่ใช้ในการประกอบการโจมตีเช่น
ส่ง SMS มาที่เบอร์เราและมีการอ้างชื่อ-นามสกุลของเราในข้อความทำให้ดูน่าเชื่อถือขึ้นเหมือนในรูปประกอบที่ 1
หรือจะเป็นวิธีที่ฮิตในช่วงนี้อย่างแก๊ง Call Center ก็จะอาศัยเทคนิคคล้ายๆกันคือมีการโชว์ข้อมูลส่วนตัวของเหยื่อเพื่อให้เหยื่อเชื่อถือ โดยเทคนิคนี้มีชื่อเรียกเฉพาะว่า Vishing ซึ่งมาจาก Voice Phishing
และอีกหนึ่งวิธีที่มีการใช้อย่างแพร่หลายและได้ผลในองค์กรและเป็นจุดเริ่มต้นของหลายๆการโจมตีทางไซเบอร์ก็คือ Email Phishing โดยที่ Email Phishing จะมีหลายรูปแบบโดยส่วนมากจะมีการแนบไฟล์แปลกๆมาให้เปิด หรือมี command แปลกๆมาหลอกให้เหยื่อกดรัน โดยที่ผู้โจมตีอาจจะพยายามปลอมแปลง Header ของอีเมลให้คล้ายๆกับชื่อคู่ค้าหรือเป็น domain ที่น่าเชื่อถือเพื่อให้เหยื่อเชื่อ และถ้าเราตรวจสอบไม่ละเอียดก็อาจจะตกเป็นเหยื่อโดยที่ไม่รู้ตัว
โดยสรุปแล้วการ Phishing จะใช้หลักการในการทำให้เหยื่อเชื่อถือและหลอกให้โหลดไฟล์ กดลิงก์ หรือการกระทำอื่นๆที่จะนำไปสู่ความเสียหายร้ายแรงต่อไปซึ่งวิธีป้องกันที่ได้ผลคือ
1.อย่ารีบคลิก: หยุดคิด ตรวจสอบ URL/ผู้ส่งให้ชัวร์
2.พิมพ์โดเมนเอง: ไม่คลิกลิงก์ย่อ ให้พิมพ์ชื่อเว็บหลักตรงๆ
3.เปิด 2FA: เพิ่มขั้นยืนยันตัวตนด้วย SMS หรือแอป Authenticator
4.ลดความเสี่ยง : หากเป็นองค์กรสมควรที่จะมี Endpoint หรือ Mail Gateway เพื่อลดความเสี่ยง
จากทั้งหมดเราจะเห็นว่า ฟิชชิงไม่ใช่แค่ “คลิกลิงก์” แต่เป็นการผสมผสานระหว่าง เทคนิค และ กลลวงทางจิตวิทยา ซึ่งต้องอาศัยความรู้และความเข้าใจของผู้ใช้งาน ถึงจะลดความเสี่ยงได้อย่างแท้จริง