Phishing, Vishing, Smishing คำสำคัญต้องรู้ในยุคไซเบอร์

0

ณ วินาทีนี้เรียกได้ว่า โลกกำลังจะเข้าสู่ยุคไซเบอร์มากขึ้นเรื่อย ๆ โดยเฉพาะในช่วงนี้เลยที่มีการเร่งทำ Digital Transformation เนื่องด้วยการแพร่ระบาดของไวรัส COVID-19 ที่ทำให้หลาย ๆ ระบบปรับเปลี่ยนมาเป็นระบบดิจิทัลกันมากขึ้น หากแต่สิ่งที่จะเติบโตตามขึ้นมาพร้อม ๆ กันด้วยนั่นก็คือ ปัญหาความปลอดภัยไซเบอร์หรือ Cybersecurity นั่นเอง

เหตุการณ์ความปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นเรื่องข้อมูลรั่วไหล การถูกจารกรรมข้อมูล หรือการถูกเจาะระบบที่ทำให้สูญเงินไปมหาศาลในวงการ Cryptocurrency นั้นได้เกิดขึ้นมากมายอย่างต่อเนื่องตามที่ได้เห็นตามสื่อต่าง ๆ ในช่วงที่ผ่านมา ซึ่งบรรดาแฮกเกอร์หรือผู้ไม่ประสงค์ดีก็ได้มีวิวัฒนาการสร้างสรรค์แนวทางใหม่ ๆ เพื่อที่จะเจาะระบบ โดยช่วงหลังนี้มักจะมาในรูปแบบการหลอกล่อเพื่อล้วงเอาข้อมูลส่วนบุคคลไป หรือที่รู้จักกันว่า Phishing นั่นเอง ซึ่งในบทความนี้จะสรุปสั้น ๆ จากการไปเข้าร่วมงาน “Cyber Drill Exercises: Phishing and Pharming Attacks” ที่จัดขึ้นโดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ใน Community B เมื่อวันพฤหัสที่ผ่านมานี้

ไม่ใช่แค่ Phishing ยังมี Vishing, Smishing และอื่น ๆ อีกสารพัดแบบ

สำหรับคำว่า Phishing เชื่อว่าหลายคนก็คงจะได้ยินคำนี้มาก่อนหน้าแล้ว โดยจะเป็นวิธีการของแฮกเกอร์ที่จะหลอกล่อให้ “เหยื่อ” กรอกข้อมูลส่วนบุคคลอย่างเช่น รหัสผ่าน เลขที่บัญชี เพื่อที่แฮกเกอร์จะได้นำข้อมูลเหล่านั้นไปใช้ประโยชน์ โดยอาจจะปลอมแปลงตัวเองเพื่อไปทำธุรกรรมออนไลน์หรือว่านำข้อมูลไปขาย เจาะระบบขององค์กร เป็นต้น ซึ่งจะเห็นได้ว่าการถูก Phishing นั้นสามารถทำให้เกิดความเสียหายต่อเหยื่อได้อย่างมหาศาลจนอาจจะคาดไม่ถึงได้เลย

แต่ที่จริงแล้ว ยังมีวิธีการล้วงข้อมูลเหยื่อในอีกหลายรูปแบบไม่ว่าจะเป็น

  • Vishing (Voice Phishing) คือ การหลอกล่อล้วงข้อมูลผ่านทางเสียง โดยแฮกเกอร์หรือผู้ไม่ประสงค์ดีจะใช้วิธีการปลอมตัวแล้วโทรศัพท์เข้ามาเพื่อขอข้อมูลส่วนบุคคลไป เช่น อาจจะโทรมาแล้วแอบอ้างว่าเป็นเจ้าหน้าที่ธนาคารแล้วขอเลขบัตรเครดิต หรือเลขบัตรประชาชน
  • Smishing (SMS Phishing) คือ การส่ง SMS มาเพื่อหลอกล่อให้กดลิงก์หรือว่าให้ดาวน์โหลดโปรแกรมมัลแวร์ที่จะแอบติดตั้งเข้าไปอุปกรณ์โทรศัพท์มือถือได้ เป็นต้น
  • Pharming คำนี้มีการพ้องเสียงกับคำว่า Farming โดยจะเป็นการโจมตีในรูปแบบที่ต้องการเหยื่อในปริมาณมาก ๆ ในการโจมตีเพียงครั้งเดียว โดยตัวอย่างหนึ่งนั่นคือการทำ DNS System Hijacking หรือว่าการขโมย Domain Name ขององค์กรที่ขาดการต่ออายุไป เป็นต้น

ขั้นตอนของการทำ Phishing ยอดนิยม

แม้ว่าโลกแห่งความเป็นจริงจะมีเครื่องมือมากมายที่จะช่วยปกป้องความปลอดภัยในระดับชั้นต่าง ๆ แต่แฮกเกอร์เองก็มีวิธีการที่พัฒนาขึ้นไปเรื่อย ๆ เช่นกัน ซึ่งในโลกแห่งความเป็นจริง มักจะมีขั้นตอนแบ่งเป็น Phase ต่าง ๆ ดังนี้

  • Information Gathering ขั้นตอนที่เหล่าแฮกเกอร์จะเริ่มทยอยเก็บข้อมูลของเป้าหมาย ไม่ว่าจะเป็นข้อมูลชื่อนามสกุลของพนักงาน อีเมล รูปแบบอีเมลองค์กร ตำแหน่งงาน เบอรโทรศัพท์มือถือ เป็นต้น ซึ่งที่มาอาจจะเป็นการสกัดเอาจากแหล่งโซเชียล หรือว่าฐานข้อมูลที่หลุดออกไปก็แล้วแต่วิธีการ
  • Scenario Design การออกแบบสถานการณ์ให้ดูน่าเชื่อถือ เพื่อทำให้เหยื่อเชื่อว่าสิ่งที่แฮกเกอร์ส่งไปเพื่อขอข้อมูลนั้นเป็นเรื่องจริง อย่างเช่น การจำลองเป็นหน่วยงานราชการโดยมีการใช้รูปแบบอีเมลที่เหมือนกับมาจากหน่วยงานนั้นจริง ๆ เป็นต้น รวมทั้งยังมี Landing Page ที่ดูสมจริง เหมือนจริง และเมื่อเหยื่อติดกับแล้วตัวระบบของแฮกเกอร์ยังส่งไปยังหน้า Redirect Page ที่ทำให้เชื่อได้ว่าเป็นของจริงอีก
  • Launch the Campaign and Monitoring หลังจากเตรียมการเสร็จสิ้น ก็จะเริ่มเปิดการโจมตีไปยังเหยื่อจริง ๆ ซึ่งก็จะมีเครื่องมือที่ใช้ตรวจสอบและติดตามได้ด้วยว่ามีเหยื่อเข้ามาติดกับดักในปริมาณเท่าใด
  • Lateral Movement หลังจากสามารถโจมตีเก็บข้อมูลได้สำเร็จแล้ว ก็จะเป็นการขยายผลเพื่อนำไปสู่การโจมตีในรูปแบบอื่น ๆ ต่อไป 

รู้ไว้ป้องกัน Phishing

จากที่กล่าวมาทั้งหมดนี้ จะเห็นได้ว่ารูปแบบการโจมตีนั้นจะขึ้นอยู่กับจินตนาการและการสร้างสรรค์จากแฮกเกอร์ที่จะต้องการหลอกล่อให้เหยื่อเข้ามาติดกับได้เลย ดังนั้น การป้องกันการถูก Phishing จึงไม่ใช่เรื่องง่ายนัก โดยทุกคนจำเป็นจะต้องมีภูมิคุ้มกันเพื่อที่จะปกป้องความปลอดภัยของข้อมูลของตัวเอง รวมทั้งองค์กรด้วย โดยตัวอย่างวิธีการที่อยากจะแนะนำเพื่อป้องกันไม่ให้ข้อมูลตัวเองโดน Phishing, Vishing หรือ Smishing ไปได้นั้น ได้แก่

  • หมั่นสงสัยไว้ก่อนว่าสิ่งที่ส่งมาไม่ว่าจะเป็นทางอีเมล SMS หรือแม้กระทั่งสายโทรศัพท์เข้านั้นอาจจะไม่ใช่เรื่องจริงโดยเฉพาะเรื่องโชคลาภ หรือว่ารางวัลที่ให้มาฟรี ๆ แต่แท้ที่จริงแล้วอาจจะมาล้วงเอาข้อมูลไป เป็นต้น
  • ก่อนที่จะกดลิงก์หรือ URL ใด ๆ ที่ได้รับมาจากอีเมลหรือว่า SMS ควรตรวจสอบ Domain Name ให้ดีก่อนว่าเป็น Domain Name ที่ถูกต้องจริง ๆ อย่างเช่นในกรณีเว็บไซต์ “เราเที่ยวด้วยกัน” นั้นได้มีเว็บปลอมเกิดขึ้นมากมาย ดังนั้น จึงควรตรวจสอบให้ดีว่าเป็นเว็บไซต์ของจริงก่อนที่จะกดเข้าไป
Credit : https://www.facebook.com/informationcovid19

สุดท้ายนี้ ภัยของโลกไซเบอร์ก็จะมีการเปลี่ยนแปลงวิวัฒนาการขึ้นไปเรื่อย ๆ อย่างต่อเนื่อง ดังนั้น เราจึงควรหมั่นอัปเดต และเตือนใจตัวเองเสมอเพื่อระมัดระวังในการใช้ชีวิตในโลกไซเบอร์ เพื่อให้เกิดความปลอดภัยกับข้อมูลของทั้งตัวเองและขององค์กรด้วย และถ้าหากต้องการเข้าร่วมโครงการดี ๆ จากทาง สกมช.ก็สามารถเข้าไปกดติดตามผ่านช่องทาง Facebook ที่นี่ได้เลย