Phishing & Vishsing
ณ
ปัจจุบันนี้ อินเตอร์เน็ตเข้ามามีส่วนในการดำเนินชีวิตประจำวันของเราอย่างมาก
ซึ่งความสะดวกสบายจะมาสวนทางกับความปลอดภัยทั้งสิ้น นั่นหมายถึง
ภัยคุกคามอาจจะแฝงตัวมาในรูปแบบต่างๆ ซึ่งอาจก่อให้เกิดความเสียหายต่อตนเอง และ
ทรัพย์สิน วันนี้จึงขอยกหนึ่งพิษภัยที่แฝงมากับเทคโนโลยี นั้นก็คือ PhishingPhishing เป็นคำที่พ้องเสียงกับคำว่า Fishing ซึ่งแปลว่าการตกปลาโดยต้องมีการใส่เหยื่อลงไปและรอให้คนมาติดเบ็ดเอง นั่นมันหมายถึงการโจรกรรมข้อมูลทางอินเตอร์เน็ตในรูปแบบของการสร้าง Web Site เลียนแบบ โดยใช้เทคนิคแบบ Social Engineering ประกอบเพื่อเพิ่มความน่าเชื่อถือ ในการล่อลวงให้เหยื่อผู้เคราะห์ร้ายเปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์โดยอ้างอิงถึงบริษัทที่น่าเชื่อถือหรือว่ามาจากบริษัทที่เหยื่อเป็นสามาชิกอยู่ โดยบริษัทที่มักจะโดนกันไปบ่อยก็ได้แก่ eBay.com, PayPal.com และ Online banks ต่างๆ เป็นต้น
องค์ประกอบหลักของ Phishing
1. Email (Bait หรือ เหยื่อล่อ) ที่ถูกร่างขึ้นเพื่อสร้างความน่าเชื่อถือ และมีข้อความหลอกล่อต่างๆ เพื่อให้ผู้อ่านหลงเชื่อและ Click ไปยัง Link ที่เตรียมไว้
2. Fake Webpage คือหน้า webpage ที่ Phisher พยายามสร้างขึ้นมาให้เหมือนหรือใกล้เคียงกับsite จริงมากที่สุด เพื่อให้เหยื่อผู้หลงเชื่อกรอกข้อมูลส่วนตัวต่างๆ ที่ต้องการลงไป
1. Email (Bait หรือ เหยื่อล่อ) ที่ถูกร่างขึ้นเพื่อสร้างความน่าเชื่อถือ และมีข้อความหลอกล่อต่างๆ เพื่อให้ผู้อ่านหลงเชื่อและ Click ไปยัง Link ที่เตรียมไว้
2. Fake Webpage คือหน้า webpage ที่ Phisher พยายามสร้างขึ้นมาให้เหมือนหรือใกล้เคียงกับsite จริงมากที่สุด เพื่อให้เหยื่อผู้หลงเชื่อกรอกข้อมูลส่วนตัวต่างๆ ที่ต้องการลงไป
ตัวอย่างอีเมล์หลอกลวงซึ่งมิได้ส่งจากธนาคาร
จุดที่ 1. From: e-mail address ไม่ถูกต้อง
จุดที่ 2. และ จุดที่
3. ธนาคารไม่มีนโยบายในการสอบถามข้อมูลสำคัญทางการเงินหรือข้อมูลส่วนบุคคล
วิธีการป้องกันและรับมือกับการถูกโจมตีแบบ phishing
1. หยุดคิดและพิจารณาข้อมูลที่ได้รับทางอี-เมล์
ทุกครั้ง
2. ลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกข้อมูลให้พิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่าน่าเชื่อถือหรือไม่
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์
2. ลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกข้อมูลให้พิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่าน่าเชื่อถือหรือไม่
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์
6. ติดตามข่าวสารและการแจ้งเตือน
ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
ตัวอย่างลักษณะของฟิชชิงที่ควรระวัง
การร้องขอเปลี่ยน
password ให้เราเปลี่ยน password เพราะว่า password เราเก่าแล้วควรจะเปลี่ยนได้แล้ว
แต่ว่าหน้าเว็บทำเป็นหน้าหลอก(ไม่ใช่เว็บจริง) เช่นว่าเว็บจริงเป็น hotmail.com/newpassword
แต่ว่าเว็บหลอกใช้ เป็น hotmail.com.newpassword2.ly/ คือพยายามทำให้ url ของตัวเองคล้ายกับเว็บจริงด้วย
การดู url จริงของเว็บ
-
สีเขียว https://
-
สีดำ mail.google.com/
-
สีเทา mail/?shva=1#inbox
ส่วนที่เป็น url จริงของเว็บก็คือ สีดำ
สีเขียวคือส่วนที่บอกว่ามีการเข้ารหัสลงท้ายด้วย
://
ส่วนที่ 2 ที่เป็น url จริงจะไม่มี / ขั้น
เช่น hotmail.com/xxxxxxx/yyyyy/zzzz แสดงว่าจบแค่
hotmail.com/
หรือ hotmail.com.newpassword2.ly/
แสดงว่าจบที่ hotmail.com.newpassword2.ly/
(เว็บหลอก)
วิธีการดูชื่อเว็บที่แท้จริงก็คือย้อนกลับไป
2-3 จุด
อย่างตัวอย่าง hotmail.com.newpassword2.ly/ เว็บจริงก็คือ newpassword2.ly/
หรืออาจจะเป็น hotmail.com.newpassword2.co.th/ เว็บจริงก็คือ newpassword2.co.th/
ซึ่งทั้งสองไม่ใช่เว็บจริง(hotmail.com) แต่เป็นเว็บที่สร้างขึ้นมาเพื่อหลอกดักเอา password ของเรา
เบราว์เซอร์สมัยใหม่ที่มีระบบป้องกันฟิชชิง
·
Safari ซาฟารี 5
ความรู้เรื่อง Phishing Scams in Plain English.flv
Vishing
Vishing และ Smishing: คือการล่วงรู้ข้อมูลของผู้อื่นโดยมรการใช้โทรศัพท์ หรือที่เรียกว่า แก๊งคอลเซ็นเตอร์ ซึ่งพฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น
รูปแบบการหลอกลวง
ผู้ไม่ประสงค์ดีอาศัยหลักการทางจิตวิทยาหลอกล่อโดยการ โทรศัพท์มาหาเหยื่อเพื่อแจ้งข่าวให้เหยื่อตกใจ เช่น
หลอกลวงว่าเหยื่อกำลังหลบหนีคดี หรือหลอกลวงว่าเหยื่อเป็นผู้โชคดีได้รับรางวัล
เป็นต้น ประกอบกับผู้ไม่ประสงค์ดีอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ ส่งผลให้เหยื่อไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้จนทำให้หลงเชื่อและ แจ้งข้อมูลส่วนบุคคลของเหยื่อให้แก่ผู้ไม่ประสงค์ดีได้ ในบางกรณีการหลอกลวงข้อมูลนั้นผู้ไม่ประสงค์นี้อาจใช้ระบบโทรศัพท์อัตโนมัติ และหลอกลวงให้เหยื่อเชื่อว่าเป็นระบบยืนยันตัวตน เมื่อเหยื่อตอบโทรศัพท์กลับผู้ไม่ประสงค์ดีจะทำการบันทึกการสนทนา และนำข้อมูลนั้นออกไปใช้ได้
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืม เงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเอง นั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืม เงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเอง นั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
ผลกระทบที่อาจเกิดขึ้น
· ผู้เสียหายอาจถูกหลอกให้โอนเงินไปให้ผู้ไม่ประสงค์ดี หรือถูกหลอกลวงข้อมูลส่วนบุคคล
· ผู้ไม่ประสงค์ดีอาจนำข้อมูลส่วนบุคคลของเหยื่อเปิดเผยในอินเทอร์เน็ต หรือถูกนำไปใช้ในทางเสียหายได้
· ผู้ไม่ประสงค์ดีอาจทำการขู่กรรโชกทรัพย์ด้วยข้อมูลส่วนบุคคลของเหยื่อที่ให้ไปได้
วิธีแก้ไขและวิธีการป้องกัน
· ผู้ใช้งานโทรศัพท์มือถือควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของคู่สนทนาว่ามีความน่าเชื่อถือหรือไม่
· ห้ามรับสายโทรศัพท์ที่ไม่แน่ใจผู้โทรศัพท์
· เก็บข้อมูลการโทรศัพท์ เช่นหมายเลขโทรศัพท์
วันและเวลาที่ใช้ เพื่อใช้อ้างอิงเวลาเกิดเหตุการณ์การละเมิดความปลอดภัย
· หากไม่แน่ใจว่าถูกล่อลวงทางการเงินหรือไม่
ให้ทำการติดต่อไปยังธนาคารผ่านทาง Call Center เพื่อตรวจสอบ
และหาทางระงับการโอนเงินในกรณีที่พบว่าถูกหลอกลวง
· ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคง
ปลอดภัยคอมพิวเตอร์ ผ่านทางอีเมล์ และเว็บไซต์ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์
ประเทศไทย (ThaiCERT)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น