ปฏิเสธไม่ได้ว่าโลกออนไลน์แม้จะเกิดประโยชน์มหาศาลแต่ก็ยังมีกลุ่มบุคคลไม่หวังดีพยายามหลอกลวงและทำทุกวิถีทางเพื่อสร้างความเดือดร้อน ซึ่งสิ่งที่เรียกว่า “ฟิชชิง” (Phishing) เป็นอีกคำอธิบายได้ชัดเจนมากที่สุด ด้วยเหตุนี้ต่อให้คุณจะคลุกคลีกับโลกไซเบอร์มากน้อยแค่ไหนก็ตามการรู้จักว่าฟิชชิง (Phishing) คืออะไร และมีภัยประเภทไหนบ้างจะช่วยลดความเสี่ยงที่อาจเกิดขึ้นกับตนเองได้อีกเยอะมาก
ฟิชชิง (Phishing) คืออะไร
ฟิชชิง (Phishing) คือ ภัยคุกคามบนโลกออนไลน์ที่มีจุดประสงค์หลักเพื่อการหลอกลวงโดยใช้หลักความน่าเชื่อถือ บวกกับเทคนิคทางจิตวิทยาเพื่อหวังให้เหยื่อเกิดความคล้อยตามและหลงกลในที่สุด คำดังกล่าวแปลงมาจากคำว่า “Fishing” ซึ่งแปลตรงตัวว่า “ตกปลา” จึงพอระบุเป็นนัยยะได้ว่า คนร้ายพยายามหย่อนเหยื่อเพื่อล่อให้ปลา (บุคคลทั่วไป) มาติดเบ็ดก็ไม่ผิดนัก
หากคุณหลงเชื่อหรือถูกหลอกให้คลิกลิงก์ใด ๆ ที่พวกมันสร้างขึ้นไว้สิ่งที่ตามมาคือ ข้อมูลส่วนบุคคลแทบทั้งหมด เช่น เลขบัตรประชาชน เลขบัตรเครดิต รายละเอียดทางการเงิน รหัสเข้าบัญชีต่าง ๆ จะถูกเปิดเผย โดนขโมย แฮ็ก และกระทำทุกอย่างเพื่อให้คุณไม่สามารถเข้าถึงข้อมูลดังกล่าวได้ ท้ายที่สุดคนร้ายก็สามารถนำข้อมูลไปใช้ประโยชน์ตามเป้าหมายที่พวกมันวางแผนเอาไว้นั่นเอง
รู้ทัน 9 ประเภทฟิชชิง (Phishing) บนโลกออนไลน์
1. Email Phishing
เป็นการส่งข้อความต่าง ๆ ผ่านช่องทางอีเมลเพื่อหวังให้เหยื่อคลิกเข้าไปยังลิงก์ที่พวกมันต้องการ คนร้ายจะส่งเมลแบบหว่านแห่ไปยังหลาย Address ตามแนวคิดที่ว่ายิ่งส่งเยอะเท่าไหร่โอกาสมีคนพลาดก็สูงตามด้วย นี่คือวิธียอดฮิตของการทำ Phishing ส่วนมากมักอ้างอิงจากหน่วยงานที่น่าเชื่อถือ เช่น ธนาคาร หน่วยงานราชการ พร้อมคำล่อลวงให้พยายามคลิกลิงก์
2. Web Phishing
ลักษณะการเป็นเว็บสแปมหรือเว็บปลอม โดยคนร้ายจะสร้างเว็บให้คล้ายกับเว็บหลักมากที่สุด และมีการปรับชื่อเว็บหรือนามสกุลโดเมนให้คล้ายคลึง เช่น จาก .co.th เป็น .com หากใครไม่ทันสังเกตพอคลิกเข้าไปก็มีสิทธิ์โดนขโมยข้อมูลภายในเวลาอันรวดเร็ว
3. Spear Phishing
มักเป็นการพุ่งเป้าไปยังเหยื่อเป้าหมายชัดเจน ส่วนมากต้องอาศัยความเป็นมืออาชีพสูง แฝงตัวเข้าไปแล้วเลียนแบบข้อมูลให้คล้ายกับองค์กรจริงมากที่สุด เช่น การสร้างอีเมลที่มีนามสกุลของหน่วยงานนั้น ๆ พร้อมทำชื่ออีเมลให้คล้ายกับคนที่มีความน่าเชื่อถือมากสุด เช่น ผู้จัดการส่งไปหาพนักงานให้กดลิงก์ หรือคนร้ายส่งอีเมลไปหาลูกค้าขององค์กรหากใครไม่ทันสังเกตและกดเข้าไปก็โดนขโมยข้อมูลง่าย ๆ เลย
4. Whaling Phishing
ฟิชชิงประเภทนี้จะมีความซับซ้อนขึ้นอีกระดับ มักเน้นกับเหยื่อแบบเฉพาะเจาะจง ส่วนมากเป้าหมายคือคนระดับสูงขององค์กร เช่น CEO ผู้ถือหุ้น หลักการจะทำเหมือนตนเองเป็นอีเมลจากหน่วยงานราชการซึ่งรายละเอียดข้อความจะรุนแรง เช่น เรื่องกฎหมาย การถูกปรับ โทษทางอาญา
5. Vishing Phishing
เป็นการผสมกันระหว่างคำว่า Voice และ Phishing แปลแบบตรงตัวคือ การหลอกลวงโดยใช้เสียง หากยกตัวอย่างให้เห็นภาพง่ายขึ้นก็กลุ่มเดียวกับ “แก๊งคอลเซนเตอร์” ที่กำลังระบาดหนักในปัจจุบันนั่นเอง ซึ่งความหลากหลายของกลลวงก็มีเยอะมากตามที่ทุกคนพอจะเคยสัมผัสจากข่าวคราว เช่น การปลอมเป็นเจ้าหน้าที่หน่วยงานราชการ ปลอมเป็นคนรู้จัก หรือหลอกว่ามาจากองค์กรดังแล้วเหยื่อได้รับรางวัลใหญ่ เป็นต้น
6. Smishing Phishing
การฟิชชิลประเภทนี้จะหลอกลวงผ่านช่องทาง SMS ยิ่งปัจจุบันแนวทางที่คนร้ายใช้มักนิยมอ้างตัวว่าเป็นบริษัทส่งของ เหยื่อมีพัสดุตกค้างต้องคลิกลิงก์ตามที่พวกมันส่งมาเพื่อเช็กข้อมูล ใครไม่ทันสังเกต หรือหลงเชื่อกดเข้าไป กรอกข้อมูลส่วนบุคคล ก็อาจโดนขโมยข้อมูลไปง่าย ๆ เช่นกัน
7. Angler Phishing
ถือเป็นรูปแบบที่ล้ำสมัยและตั้งใจอย่างมากของคนร้าย ส่วนใหญ่มักพบตาม Social Media โดยพวกมันมักสังเกตพฤติกรรมการใช้ของคุณแล้วหาวิธีหลอกลวงด้วยเทคนิคต่าง ๆ เช่น คุณชอบโพสต์เรื่องร้านอาหาร คนร้ายอาจหลอกทำตัวเป็นร้านดัง หรือตัวแทนขายวอชเชอร์มาหลอกให้คุณคลิกลิงก์กรอกข้อมูลส่วนตัวเพื่อรับรางวัล สุดท้ายก็ได้ข้อมูลเอาไปทำอย่างอื่น
8. CEO Fraud Phishing
จะคล้ายกับ Whaling Phishing แต่ความรุนแรงมีมากกว่า นั่นคือมันจะระบุว่าตนเองเป็นคนใหญ่คนโตของหน่วยงานแล้วพยายามหลอกลวงคนอื่นให้หลงเชื่อพร้อมทำตามคำร้องขอ เช่น ขอข้อมูลส่วนตัวพนักงาน ขอให้ลูกค้าช่วยโอนเงินทันทีก่อนส่งของ เป็นต้น
9. Search Engine Phishing
ถือเป็น Phishing แบบใหม่ล่าสุดที่พึ่งเกิดขึ้นไม่นาน อาศัยหลักการทำ SEO ด้วยการสร้างเว็บไซต์ปลอมขึ้นมาเพื่อให้คนหลงเชื่อคลิกเข้าไปกรอกข้อมูลของตนเอง ส่วนใหญ่มักเป็นเว็บสมัครงานที่ต้องมีรายละเอียดของผู้สมัคร แถมเว็บที่อยู่อันดับต้น ๆ ยังมักมีความน่าเชื่อถือจนลืมมองว่าเป็นภัยบนโลกไซเบอร์
สรุป
การฟิชชิง (Phishing) ถือเป็นภัยร้ายที่ต้องคอยระวังให้ดี อย่าชะล่าใจหรือมองว่าตนเองเก่งกาจ เพราะมิจฉาชีพเองก็พยายามพัฒนาอยู่ตลอดเช่นกัน คำแนะนำเพื่อป้องกันความเสี่ยงคือ หากไม่แน่ใจว่าใช่บุคคลหรือหน่วยงานจริงที่ส่งลิงก์ให้กด มีการสอบถามหรือขอข้อมูลต่าง ๆ ชัวร์หรือไม่ แนะนำให้ตรวจสอบไปยังปลายทางโดยตรงอีกครั้งเพื่อความมั่นใจ เช่น การโทรไปเบอร์หลัก และไม่กดลิงก์มั่วเพียงเพื่อเป็นแก่ประโยชน์เล็กน้อย แต่ผลเสียกระจายมหาศาลมากกว่าเดิมหลายเท่า