Skip to content

อีเมล ฟิชชิง,วิชชิง และการโจมตีประเภทอื่นๆ

ในช่วงสัปดาห์แรกของเดือนพฤศจิกายนเราพบว่ามีการรายงาน Phishing ในตระกูลมัลแวร์เพิ่มมากขึ้นโดย ADA ใน Firebox Feed ซึ่งเป็นฟีดข่าวกรองภัยคุกคามของเราที่เกิดจากรายงานการเลือกใช้จากอุปกรณ์รักษาความปลอดภัยของ Firebox ที่ใช้งานทั่วโลก เราพบว่าอีเมลฟิชชิงนี้มีเป้าหมายหลักเป็นผู้ใช้ในเอเชียตะวันออกเฉียงใต้เพื่อขโมยข้อมูลรับรองอีเมล เราดึงตัวอย่างมัลแวร์นี้และอีเมลเพื่อตรวจสอบ

ฟิชชิงคือการหลอกลวงทางออนไลน์ประเภทหนึ่งที่อาชญากรแอบอ้างเป็นองค์กรหนึ่งที่ถูกต้องตามกฎหมาย โดยใช้ทางอีเมลข้อความ,โฆษณาหรือวิธีการอื่น ๆ เพื่อขโมยข้อมูลสำคัญของคุณ ซึ่งจะทำโดยการรวมลิงค์ที่จะนำคุณไปยังเว็บไซต์ของ บริษัท เพื่อกรอกข้อมูลของคุณ แต่เว็บไซต์นั้นเป็นกลายของปลอมทำมาเพื่อหลอกลวงและเอาข้อมูลของคุณเพื่อส่งตรงไปยังโจรที่อยู่เบื้องหลัง

 

เรียนรู้ว่าเหตุใดฟิชชิงจึงยังใช้งานได้สิ่งที่ทำให้เราคลิกและวิธีที่อาชญากรใช้กลยุทธ์ COVID-19 เพื่อหลอกล่อคุณ

คำว่า “ฟิชชิ่ง” ซึ่งแปลว่า ตกปลาเนื่องจากอาชญากรกำลัง ล่อเหยื่อ (อีเมลเว็บไซต์หรือโฆษณาที่ดูถูกต้องตามกฎหมาย) โดยหวังว่าผู้ใช้จะ กินเบ็ด โดยการให้ข้อมูลที่อาชญากรต้องการเช่น หมายเลขบัตรเครดิตหมายเลขบัญชีรหัสผ่านชื่อผู้ใช้หรือข้อมูลที่มีค่าอื่น ๆ

แต่ถ้าคุณเป็นเหมือนคนส่วนใหญ่คุณอาจคิดว่าคุณสามารถระบุการโจมตีแบบฟิชชิงได้ก่อนที่จะตกเป็นเหยื่อ นี่คือสาเหตุที่คุณอาจเข้าใจผิด:

11 ประเภทของการโจมตีแบบฟิชชิง

นับตั้งแต่มีการอธิบายครั้งแรกในปี 2530 ฟิชชิงได้พัฒนาไปสู่กลวิธีที่มีความเชี่ยวชาญสูงมากมาย และเมื่อเทคโนโลยีก้าวหน้าขึ้นการโจมตีนี้ยังคงค้นหาวิธีใหม่ ๆ ในการใช้ประโยชน์จากช่องโหว่

ด้านล่างนี้คือ 11 ประเภทของฟิชชิงที่แพร่หลายมากที่สุด:

ฟิชชิ่งอีเมลมาตรฐาน – เป็นรูปแบบฟิชชิงที่รู้จักกันแพร่หลายมากที่สุดการโจมตีนี้เป็นความพยายามที่จะขโมยข้อมูลผ่านทางอีเมลที่ดูเหมือนมาจากองค์กรที่ถูกต้องตามกฎหมาย ไม่ใช่การโจมตีแบบกำหนดเป้าหมายและสามารถดำเนินการได้เป็นจำนวนมาก

 

มัลแวร์ฟิชชิ่ง – การใช้เทคนิคเดียวกันกับฟิชชิงอีเมล แต่การโจมตีนี้กระตุ้นให้เป้าหมายคลิกลิงก์หรือดาวน์โหลดไฟล์แนบเพื่อให้สามารถติดตั้งมัลแวร์ในอุปกรณ์ได้ ปัจจุบันเป็นรูปแบบการโจมตีแบบฟิชชิงที่แพร่หลายมากที่สุด

 

Spear Phishing – ในกรณีที่การโจมตีแบบฟิชชิ่งส่วนใหญ่กระจายไปทั่วโลกสเปียร์ฟิชชิ่งเป็นการโจมตีที่มีเป้าหมายสูงและได้รับการวิจัยมาเป็นอย่างดีโดยทั่วไปมุ่งเน้นไปที่ผู้บริหารทางธุรกิจบุคคลสาธารณะและเป้าหมายที่มีกำไรอื่น ๆ

 

Smishing – ฟิชชิงที่เปิดใช้งาน SMS ส่งลิงก์สั้น ๆ ที่เป็นอันตรายไปยังผู้ใช้สมาร์ทโฟนซึ่งมักจะปลอมตัวเป็นประกาศเกี่ยวกับบัญชีการแจ้งเตือนเกี่ยวกับรางวัลและข้อความทางการเมือง

 

Search Engine Phishing – ในการโจมตีประเภทนี้อาชญากรไซเบอร์ตั้งค่าเว็บไซต์หลอกลวงที่ออกแบบมาเพื่อรวบรวมข้อมูลส่วนบุคคลและการชำระเงินโดยตรง ไซต์เหล่านี้สามารถแสดงในผลการค้นหาทั่วไปหรือเป็นโฆษณาที่เสียค่าใช้จ่ายสำหรับข้อความค้นหายอดนิยม

 

Vishing – Vishing หรือฟิชชิงด้วยเสียงเกี่ยวข้องกับผู้โทรที่ประสงค์ร้ายโดยอ้างว่ามาจากฝ่ายสนับสนุนด้านเทคนิคหน่วยงานของรัฐหรือองค์กรอื่น ๆ และพยายามดึงข้อมูลส่วนบุคคลเช่นข้อมูลธนาคารหรือบัตรเครดิต

 

Pharming – รูปแบบฟิชชิ่งที่ซับซ้อนทางเทคนิคที่เกี่ยวข้องกับระบบชื่อโดเมน (DNS) ของอินเทอร์เน็ต Pharming เปลี่ยนเส้นทางการเข้าชมเว็บที่ถูกต้องไปยังหน้าที่มีการปลอมแปลงโดยที่ผู้ใช้ไม่รู้ตัวมักจะขโมยข้อมูลที่มีค่า

 

โคลนฟิชชิ่ง – จะบุกรุกบัญชีอีเมลของบุคคลหนึ่งทำการเปลี่ยนแปลงกับอีเมลที่มีอยู่โดยการเปลี่ยนลิงก์ที่ถูกต้อง,ไฟล์แนบหรือองค์ประกอบอื่น ๆ กับลิงก์ที่เป็นอันตรายและส่งไปยังผู้ติดต่อของบุคคลนั้นเพื่อแพร่กระจายการติดไวรัส

 

Man-in-the-Middle Attack – การโจมตีแบบ man-in-the-middle เกี่ยวข้องกับผู้ดักฟังที่เฝ้าติดตามการติดต่อระหว่างสองฝ่ายที่ไม่สงสัย การโจมตีเหล่านี้มักดำเนินการโดยการสร้างเครือข่าย WiFi สาธารณะปลอมที่ร้านกาแฟห้างสรรพสินค้าและสถานที่สาธารณะอื่น ๆ เมื่อเข้าร่วมแล้วบุคคลที่อยู่ตรงกลางจะสามารถฟิชชิงเพื่อขอข้อมูลหรือส่งมัลแวร์ไปยังอุปกรณ์ต่างๆ

 

BEC (Business Email Compromise) – การประนีประนอมอีเมลธุรกิจเกี่ยวข้องกับอีเมลปลอมที่ดูเหมือนว่ามาจากบุคคลในหรือเกี่ยวข้องกับ บริษัท ของเป้าหมายที่ขอให้ดำเนินการเร่งด่วนไม่ว่าจะเป็นการจ่ายเงินหรือซื้อบัตรของขวัญ กลยุทธ์นี้เป็นที่คาดกันว่าจะมีเกือบครึ่งหนึ่งของการอาชญากรรมนี้ต้องสูญเสียธุรกิจไปในปี 2019

 

มัลแวร์โฆษณา – ฟิชชิงประเภทนี้ใช้ซอฟต์แวร์โฆษณาดิจิทัลเพื่อเผยแพร่โฆษณาที่ดูธรรมดาโดยมีโค้ดที่เป็นอันตรายฝังอยู่ภายใน

มาดูกลลวงของอีเมลล์ปลอม มีด้วยกัน 6 จุด

  1. Email address ผู้รับไม่มี
  2. ไม่ทราบชื่อลูกค้า หรือชื่อคนปลายทาง จะใช้ เรียนลูกค้า หรืออะไรที่เป็นคำกลางๆ
  3. ในข้อความบอกเข้าสู่ระบบเกินจำนวนครั้ง ซึ่งถ้าเราไม่ได้เป็นคนทำเองจงอย่าหลงเชื่อ
  4. ใช้คำผิด หรือ ไวยากรณ์ที่ผิด
  5. จะมีประโยคที่พยายามสร้างความมั่นใจว่าอีเมล์นี้เป็นของจริงโดยใส่ลิ้งบริษัทมาให้
  6. ให้ดูเว็บไซต์ที่แท้จริงก่อนอโดยนำเม้าไปวางที่ลิงค์ ตรงจุดนี้จะบอกเว็บไซต์ที่แท้จริงที่ลิงค์นั้นๆจะพาเราไป

การหลีกเลี่ยงการถูกหลอกลวงทางโทรศัพท์ (กว่า 30% จากการถูกหลอกมาจากทางโทรศัพท์มือถือ)

  1. อย่าหลงเชื่อ! เมื่อไหร่ที่มีเบอร์แปลกโทรเข้ามาแม้ว่าจะเป็นเบอร์ภายในประเทศก็ตาม
  2. หากโดนถามถึงข้อมูลส่วนตัว อย่าให้ข้อมูลผ่านทางโทรศัพท์เด็ดขาด
  3. ใช้แอปพวก Caller ID เช่นของไทยคือ Whoscall แต่ก็อย่าเชื่อทั้งหมด
  4. ค้นหาหรือเช็คเบอร์โทรศัพท์บนเว็บไซต์ ในขณะที่กำลังคุยอยู่
  5. หากที่โทรมาเกี่ยวบริการที่คุณใช้ให้ติดต่อไปยังเว็บไซต์ของผลิตภัณฑ์นั้นๆเพื่อยืนยันว่าผู้ขายหรือพนักงานโดยตรง

 

จะทำอย่างไรไม่ให้ตกเป็นเหยื่อของการ ฟิชชิง มี 2 วิธีที่จะรับประกันว่าคุณจะไม่ตกอยู่ในกลโกงใด ๆ

  1. อย่าคลิก! ให้ใช้ลิงค์ของตนเอง
  2. ใช้งาน browser filtering extension : จะป้องกันคุณไม่ให้ไปยังเว็บไซต์ที่อาจจะเป็นอันตราย

สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing

โทร : 02-2479898 ต่อ 87