[Guest Post] แคสเปอร์สกี้เผยเทรนด์การเล่นแกล้งกันใน TikTok ที่ทำตามแผนการฉ้อโกงจริงของอาชญากรไซเบอร์

0

ใน TikTok มีการกลั่นแกล้งเล่นนอกลู่นอกทางที่กำลังได้รับความนิยมอย่างมาก โดยผู้กลั่นแกล้งจะโทรหาเพื่อนโดยใช้เสียงตอบรับอัตโนมัติ และบอกเพื่อนว่าเงินจำนวนมากกำลังจะถูกหักจากบัญชี ผู้เชี่ยวชาญของแคสเปอร์สกี้เตือนว่าแนวโน้มนี้เป็นแผนการฉ้อโกงที่แท้จริงของอาชญากรไซเบอร์ เรียกว่าวิชชิ่ง (vishing) นักวิจัยของแคสเปอร์สกี้ตรวจพบว่ามีจำนวนอีเมลวิชชิ่ง (vishing email)เพิ่มขึ้นในเดือนมิถุนายนเกือบ 100,000 ฉบับ และยอดรวมอีเมลวิชชิ่งระหว่างเดือนมีนาคมถึงมิถุนายน 2022 ประมาณ 350,000 ฉบับทั้งนี้ นักวิจัยได้อธิบายวิธีการทำงานของวิชชิ่งและวิธีหลีกเลี่ยงการตกหลุมพรางของอาชญากรไซเบอร์

วิชชิ่ง หรือ Vishing ย่อมาจาก Voice Phishing เป็นการฉ้อโกงที่โน้มน้าวผู้ใช้ให้โทรหาอาชญากรไซเบอร์และเปิดเผยข้อมูลส่วนบุคคลและรายละเอียดธนาคารทางโทรศัพท์ มักเริ่มต้นด้วยอีเมลที่ผิดปกติจากร้านค้าออนไลน์ขนาดใหญ่หรือระบบการชำระเงิน เช่นเดียวกับแผนการฟิชชิ่งส่วนใหญ่ ตัวอย่างเช่น อาจเป็นจดหมายจาก PayPal เวอร์ชันปลอมที่บอกว่าเพิ่งได้รับคำขอให้ถอนเงินจำนวนมากจากบัญชีของคุณ เป็นต้น

การแจ้งเตือนปลอมจาก PayPal เกี่ยวกับการซื้อด้วยเงินจำนวนมาก

แต่ข้อแตกต่างคือ แม้ว่าอีเมลฟิชชิ่งทั่วไปจะขอให้เหยื่อคลิกลิงก์เพื่อยกเลิกคำสั่งซื้อ แต่อีเมลวิชชิ่งจะขอให้ผู้รับโทรไปที่หมายเลขฝ่ายดูแลลูกค้าที่ให้ไว้ในอีเมลโดยด่วน ผู้เชี่ยวชาญของแคสเปอร์สกี้เน้นย้ำว่า อาชญากรไซเบอร์ตั้งใจเลือกใช้วิธีนี้ เนื่องจากเมื่อผู้ใช้เปิดดูเว็บไซต์ฟิชชิ่ง มักจะมีเวลาคิดทบทวนเกี่ยวกับการกระทำของตน หรือสังเกตเห็นสัญญาณอันตรายว่าเว็บนั้นไม่ถูกต้อง แต่หากเหยื่อคุยโทรศัพท์ มักจะคิดฟุ้งซ่านและระมัดระวังตัวยากขึ้น ภายใต้สถานการณ์เหล่านี้ ผู้โจมตีจะทำทุกวิถีทางเพื่อได้เปรียบ เช้น รีบเร่ง ข่มขู่ และเรียกร้องให้เหยื่อบอกรายละเอียดบัตรเครดิตอย่างเร่งด่วนเพื่อยกเลิกธุรกรรมที่เป็นการฉ้อโกงดังกล่าว หลังจากได้รับรายละเอียดบัญชีธนาคารของเหยื่อแล้ว อาชญากรไซเบอร์จะใช้ข้อมูลดังกล่าวเพื่อขโมยเงิน

ผู้เชี่ยวชาญของแคสเปอร์สกี้เน้นว่าในช่วง 4 เดือนที่ผ่านมา (ตั้งแต่เดือนมีนาคมถึงมิถุนายน 2022) ตรวจพบอีเมลวิชชิ่งเกือบ 350,000 ฉบับ โดยขอให้ผู้ที่ตกเป็นเหยื่อโทรเข้ามาและยกเลิกธุรกรรม ในเดือนมิถุนายน จำนวนอีเมลเพิ่มขึ้นถึงเกือบ 100,000 ฉบับ ทำให้นักวิจัยคาดการณ์ว่าแนวโน้มนี้กำลังได้รับแรงผลักดันและมีแนวโน้มที่จะเติบโตต่อไป

จำนวนอีเมลวิชชิ่งที่ตรวจพบช่วงเดือนมีนาคม – มิถุนายน 2022

น่าแปลกที่ชาว TikTok มักใช้แผนวิชชิ่งซ้ำๆ โดยมีความแตกต่างเพียงอย่างเดียวคือจะไม่ส่งอีเมลหลอกลวงล่วงหน้า และไม่ขโมยอะไรจากเหยื่อ เพราะเป้าหมายคือการแสดง ไม่ใช่เงิน การโทรจะดำเนินการผ่านเครื่องตอบรับอัตโนมัติซึ่งสร้างเสียงโดยเครื่องมือแปลออนไลน์ ส่วนใหญ่มักเล่นพิเรนทร์แนะนำตัวเองในฐานะตัวแทนจากแผนกบริการลูกค้าของร้านค้าออนไลน์ขนาดใหญ่ โดยอ้างว่าเพิ่งได้รับคำสั่งจากเหยื่อเป็นเงินหลายพันดอลลาร์และขอคำยืนยันจากเหยื่อ ไม่ว่าเหยื่อจะตอบกลับอย่างไร สิ่งต่อไปที่เครื่องตอบรับอัตโนมัติจะพูดก็คือ “ขอบคุณ คำสั่งซื้อของคุณได้รับการยืนยันแล้ว” เหยื่อก็จะคิดว่าเครื่องตอบรับอัตโนมัติฟังผิด และเงินจะถูกถอนออกจากบัญชีทันที ทำให้เหยื่อตื่นตระหนก กรีดร้อง และไม่รู้ว่ากำลังถูกแกล้ง

เมื่อผู้ใช้ถูกโน้มน้าวใจให้เปิดเผยข้อมูลส่วนบุคคลของตนในระหว่างการโทร แทนที่จะเปิดเผยบนหน้าฟิชชิ่ง ผู้ใช้มักจะไม่ได้ทันคิดพิจารณาว่าตนกำลังเป็นเป้าหมายของการหลอกลวง และวิดีโอ TikTok จำนวนมากที่มีการเล่นตลกนี้คือ ตัวอย่างที่ชัดเจนของเรื่องนี้

นายโรมัน เดเดนอก ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “ผมมักจะเจอวิดีโอบน TikTok ของบล็อกเกอร์ที่แกล้งคนอื่นโดยโทรหาและบอกว่าบัญชีของพวกเขากำลังจะโดนหักเงินหลายพันดอลลาร์ เหยื่อหลงเชื่อและตกใจ เมื่อคุณดูวิดีโอเหล่านี้ในโทรศัพท์ คุณจะคิดว่า ทำไมใครๆ ถึงตกหลุมพรางได้ แต่เมื่อมีคนเจอการโทรหลอกลวงในชีวิตจริง พวกเขามักจะได้รับผลกระทบจากหลายสถานการณ์พร้อมกัน การโทรดังกล่าวทำให้ตั้งตัวไม่ทัน เพราะในขณะที่หัวเต็มไปด้วยสิ่งอื่นและไม่สามารถประเมินได้ชัดเจนว่าใครอยู่ปลายสาย จะเป็นนักเล่นพิเรนทร์ นักฉ้อฉล หรือเป็นผู้เชี่ยวชาญด้านความปลอดภัยของธนาคารจริงๆ”

ท่านสามารถอ่านวิธีการหลอกลวงทางอีเมลที่เป็นที่นิยมอื่นๆ ในรายงานฉบับเต็มใน Securelist https://securelist.com/mail-text-scam/106926/

แคสเปอร์สกี้ขอแนะนำขั้นตอนการป้องกันตัวเองจากวิชชิ่ง ดังนี้

  • การตรวจสอบอีเมลแอดเดรสของผู้ส่ง อีเมลขยะส่วนใหญ่มาจากแอดเดรสที่ไม่สมเหตุสมผลหรือปรากฏเป็นคำที่ไม่มีความหมาย เช่น [email protected] หรืออื่นๆ ที่คล้ายกัน เมื่อวางเมาส์เหนือชื่อผู้ส่ง ซึ่งอาจสะกดผิด คุณจะเห็นที่อยู่อีเมลแบบเต็ม หากคุณไม่แน่ใจว่าที่อยู่อีเมลถูกต้องหรือไม่ คุณสามารถใส่ลงในเครื่องมือค้นหาเพื่อตรวจสอบได้
  • พิจารณาว่าผู้ที่ติดต่อมาต้องการข้อมูลประเภทใด บริษัทที่ถูกต้องตามกฎหมายจะไม่ติดต่อคุณผ่านอีเมลที่ไม่พึงประสงค์เพื่อขอข้อมูลส่วนบุคคล เช่น รายละเอียดธนาคารหรือบัตรเครดิต หมายเลขประกันสังคมของคุณ หรือข้อมูลที่ละเอียดอ่อนอื่นๆ โดยทั่วไป ข้อความไม่พึงประสงค์ที่แจ้งให้คุณ “ยืนยันรายละเอียดบัญชี” หรือ “อัปเดตข้อมูลบัญชีของคุณ” ควรปฏิบัติด้วยความระมัดระวัง
  • ระมัดระวังหากข้อความนั้นสร้างความรู้สึกเร่งด่วน นักส่งสแปมมักจะพยายามกดดันโดยใช้กลยุทธ์นี้ ตัวอย่างเช่น บรรทัดหัวเรื่องอาจมีคำว่า “เร่งด่วน” หรือ “ต้องดำเนินการทันที” เพื่อกดดันให้คุณรีบดำเนินการ
  • การตรวจสอบไวยากรณ์และการสะกดคำเป็นวิธีที่มีประสิทธิภาพในการระบุตัวผู้หลอกลวง การพิมพ์ผิดและไวยากรณ์ที่ไม่ถูกต้องเป็นสัญญาณอันตราย การใช้ถ้อยคำที่แปลกหรือไวยากรณ์ที่ผิดปกติก็เช่นกัน ซึ่งอาจเป็นผลมาจากอีเมลถูกแปลไปมาผ่านเครื่องมือแปลหลายครั้ง
  • การติดตั้งโซลูชันการรักษาความปลอดภัยที่เชื่อถือได้และปฏิบัติตามคำแนะนำ โซลูชันที่ปลอดภัยจะแก้ปัญหาส่วนใหญ่โดยอัตโนมัติและแจ้งเตือนคุณหากจำเป็น