ในช่วงสัปดาห์แรกของเดือนพฤศจิกายนเราพบว่ามีการรายงาน Phishing ในตระกูลมัลแวร์เพิ่มมากขึ้นโดย ADA ใน Firebox Feed ซึ่งเป็นฟีดข่าวกรองภัยคุกคามของเราที่เกิดจากรายงานการเลือกใช้จากอุปกรณ์รักษาความปลอดภัยของ Firebox ที่ใช้งานทั่วโลก เราพบว่าอีเมลฟิชชิงนี้มีเป้าหมายหลักเป็นผู้ใช้ในเอเชียตะวันออกเฉียงใต้เพื่อขโมยข้อมูลรับรองอีเมล เราดึงตัวอย่างมัลแวร์นี้และอีเมลเพื่อตรวจสอบ
ฟิชชิงคือการหลอกลวงทางออนไลน์ประเภทหนึ่งที่อาชญากรแอบอ้างเป็นองค์กรหนึ่งที่ถูกต้องตามกฎหมาย โดยใช้ทางอีเมลข้อความ,โฆษณาหรือวิธีการอื่น ๆ เพื่อขโมยข้อมูลสำคัญของคุณ ซึ่งจะทำโดยการรวมลิงค์ที่จะนำคุณไปยังเว็บไซต์ของ บริษัท เพื่อกรอกข้อมูลของคุณ แต่เว็บไซต์นั้นเป็นกลายของปลอมทำมาเพื่อหลอกลวงและเอาข้อมูลของคุณเพื่อส่งตรงไปยังโจรที่อยู่เบื้องหลัง
เรียนรู้ว่าเหตุใดฟิชชิงจึงยังใช้งานได้สิ่งที่ทำให้เราคลิกและวิธีที่อาชญากรใช้กลยุทธ์ COVID-19 เพื่อหลอกล่อคุณ
คำว่า “ฟิชชิ่ง” ซึ่งแปลว่า ตกปลาเนื่องจากอาชญากรกำลัง ล่อเหยื่อ (อีเมลเว็บไซต์หรือโฆษณาที่ดูถูกต้องตามกฎหมาย) โดยหวังว่าผู้ใช้จะ กินเบ็ด โดยการให้ข้อมูลที่อาชญากรต้องการเช่น หมายเลขบัตรเครดิตหมายเลขบัญชีรหัสผ่านชื่อผู้ใช้หรือข้อมูลที่มีค่าอื่น ๆ
แต่ถ้าคุณเป็นเหมือนคนส่วนใหญ่คุณอาจคิดว่าคุณสามารถระบุการโจมตีแบบฟิชชิงได้ก่อนที่จะตกเป็นเหยื่อ นี่คือสาเหตุที่คุณอาจเข้าใจผิด:
11 ประเภทของการโจมตีแบบฟิชชิง
นับตั้งแต่มีการอธิบายครั้งแรกในปี 2530 ฟิชชิงได้พัฒนาไปสู่กลวิธีที่มีความเชี่ยวชาญสูงมากมาย และเมื่อเทคโนโลยีก้าวหน้าขึ้นการโจมตีนี้ยังคงค้นหาวิธีใหม่ ๆ ในการใช้ประโยชน์จากช่องโหว่
ด้านล่างนี้คือ 11 ประเภทของฟิชชิงที่แพร่หลายมากที่สุด:
ฟิชชิ่งอีเมลมาตรฐาน – เป็นรูปแบบฟิชชิงที่รู้จักกันแพร่หลายมากที่สุดการโจมตีนี้เป็นความพยายามที่จะขโมยข้อมูลผ่านทางอีเมลที่ดูเหมือนมาจากองค์กรที่ถูกต้องตามกฎหมาย ไม่ใช่การโจมตีแบบกำหนดเป้าหมายและสามารถดำเนินการได้เป็นจำนวนมาก
มัลแวร์ฟิชชิ่ง – การใช้เทคนิคเดียวกันกับฟิชชิงอีเมล แต่การโจมตีนี้กระตุ้นให้เป้าหมายคลิกลิงก์หรือดาวน์โหลดไฟล์แนบเพื่อให้สามารถติดตั้งมัลแวร์ในอุปกรณ์ได้ ปัจจุบันเป็นรูปแบบการโจมตีแบบฟิชชิงที่แพร่หลายมากที่สุด
Spear Phishing – ในกรณีที่การโจมตีแบบฟิชชิ่งส่วนใหญ่กระจายไปทั่วโลกสเปียร์ฟิชชิ่งเป็นการโจมตีที่มีเป้าหมายสูงและได้รับการวิจัยมาเป็นอย่างดีโดยทั่วไปมุ่งเน้นไปที่ผู้บริหารทางธุรกิจบุคคลสาธารณะและเป้าหมายที่มีกำไรอื่น ๆ
Smishing – ฟิชชิงที่เปิดใช้งาน SMS ส่งลิงก์สั้น ๆ ที่เป็นอันตรายไปยังผู้ใช้สมาร์ทโฟนซึ่งมักจะปลอมตัวเป็นประกาศเกี่ยวกับบัญชีการแจ้งเตือนเกี่ยวกับรางวัลและข้อความทางการเมือง
Search Engine Phishing – ในการโจมตีประเภทนี้อาชญากรไซเบอร์ตั้งค่าเว็บไซต์หลอกลวงที่ออกแบบมาเพื่อรวบรวมข้อมูลส่วนบุคคลและการชำระเงินโดยตรง ไซต์เหล่านี้สามารถแสดงในผลการค้นหาทั่วไปหรือเป็นโฆษณาที่เสียค่าใช้จ่ายสำหรับข้อความค้นหายอดนิยม
Vishing – Vishing หรือฟิชชิงด้วยเสียงเกี่ยวข้องกับผู้โทรที่ประสงค์ร้ายโดยอ้างว่ามาจากฝ่ายสนับสนุนด้านเทคนิคหน่วยงานของรัฐหรือองค์กรอื่น ๆ และพยายามดึงข้อมูลส่วนบุคคลเช่นข้อมูลธนาคารหรือบัตรเครดิต
Pharming – รูปแบบฟิชชิ่งที่ซับซ้อนทางเทคนิคที่เกี่ยวข้องกับระบบชื่อโดเมน (DNS) ของอินเทอร์เน็ต Pharming เปลี่ยนเส้นทางการเข้าชมเว็บที่ถูกต้องไปยังหน้าที่มีการปลอมแปลงโดยที่ผู้ใช้ไม่รู้ตัวมักจะขโมยข้อมูลที่มีค่า
โคลนฟิชชิ่ง – จะบุกรุกบัญชีอีเมลของบุคคลหนึ่งทำการเปลี่ยนแปลงกับอีเมลที่มีอยู่โดยการเปลี่ยนลิงก์ที่ถูกต้อง,ไฟล์แนบหรือองค์ประกอบอื่น ๆ กับลิงก์ที่เป็นอันตรายและส่งไปยังผู้ติดต่อของบุคคลนั้นเพื่อแพร่กระจายการติดไวรัส
Man-in-the-Middle Attack – การโจมตีแบบ man-in-the-middle เกี่ยวข้องกับผู้ดักฟังที่เฝ้าติดตามการติดต่อระหว่างสองฝ่ายที่ไม่สงสัย การโจมตีเหล่านี้มักดำเนินการโดยการสร้างเครือข่าย WiFi สาธารณะปลอมที่ร้านกาแฟห้างสรรพสินค้าและสถานที่สาธารณะอื่น ๆ เมื่อเข้าร่วมแล้วบุคคลที่อยู่ตรงกลางจะสามารถฟิชชิงเพื่อขอข้อมูลหรือส่งมัลแวร์ไปยังอุปกรณ์ต่างๆ
BEC (Business Email Compromise) – การประนีประนอมอีเมลธุรกิจเกี่ยวข้องกับอีเมลปลอมที่ดูเหมือนว่ามาจากบุคคลในหรือเกี่ยวข้องกับ บริษัท ของเป้าหมายที่ขอให้ดำเนินการเร่งด่วนไม่ว่าจะเป็นการจ่ายเงินหรือซื้อบัตรของขวัญ กลยุทธ์นี้เป็นที่คาดกันว่าจะมีเกือบครึ่งหนึ่งของการอาชญากรรมนี้ต้องสูญเสียธุรกิจไปในปี 2019
มัลแวร์โฆษณา – ฟิชชิงประเภทนี้ใช้ซอฟต์แวร์โฆษณาดิจิทัลเพื่อเผยแพร่โฆษณาที่ดูธรรมดาโดยมีโค้ดที่เป็นอันตรายฝังอยู่ภายใน
มาดูกลลวงของอีเมลล์ปลอม มีด้วยกัน 6 จุด
- Email address ผู้รับไม่มี
- ไม่ทราบชื่อลูกค้า หรือชื่อคนปลายทาง จะใช้ เรียนลูกค้า หรืออะไรที่เป็นคำกลางๆ
- ในข้อความบอกเข้าสู่ระบบเกินจำนวนครั้ง ซึ่งถ้าเราไม่ได้เป็นคนทำเองจงอย่าหลงเชื่อ
- ใช้คำผิด หรือ ไวยากรณ์ที่ผิด
- จะมีประโยคที่พยายามสร้างความมั่นใจว่าอีเมล์นี้เป็นของจริงโดยใส่ลิ้งบริษัทมาให้
- ให้ดูเว็บไซต์ที่แท้จริงก่อนอโดยนำเม้าไปวางที่ลิงค์ ตรงจุดนี้จะบอกเว็บไซต์ที่แท้จริงที่ลิงค์นั้นๆจะพาเราไป
การหลีกเลี่ยงการถูกหลอกลวงทางโทรศัพท์ (กว่า 30% จากการถูกหลอกมาจากทางโทรศัพท์มือถือ)
- อย่าหลงเชื่อ! เมื่อไหร่ที่มีเบอร์แปลกโทรเข้ามาแม้ว่าจะเป็นเบอร์ภายในประเทศก็ตาม
- หากโดนถามถึงข้อมูลส่วนตัว อย่าให้ข้อมูลผ่านทางโทรศัพท์เด็ดขาด
- ใช้แอปพวก Caller ID เช่นของไทยคือ Whoscall แต่ก็อย่าเชื่อทั้งหมด
- ค้นหาหรือเช็คเบอร์โทรศัพท์บนเว็บไซต์ ในขณะที่กำลังคุยอยู่
- หากที่โทรมาเกี่ยวบริการที่คุณใช้ให้ติดต่อไปยังเว็บไซต์ของผลิตภัณฑ์นั้นๆเพื่อยืนยันว่าผู้ขายหรือพนักงานโดยตรง
จะทำอย่างไรไม่ให้ตกเป็นเหยื่อของการ ฟิชชิง มี 2 วิธีที่จะรับประกันว่าคุณจะไม่ตกอยู่ในกลโกงใด ๆ
- อย่าคลิก! ให้ใช้ลิงค์ของตนเอง
- ใช้งาน browser filtering extension : จะป้องกันคุณไม่ให้ไปยังเว็บไซต์ที่อาจจะเป็นอันตราย
สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing
โทร : 02-2479898 ต่อ 87
Email : [email protected]