เจาะลึกวิธีจับผิดฟิชชิงอีเมล (phishing email)

EMAIL cover 1-01

เนื้อหาในบทความ

เจาะลึกวิธีจับผิด ‘ฟิชชิงอีเมล (phishing email) ‘ รู้ไว้ก่อนพลาดตกเป็นเหยื่อ!

ไม่เชื่อก็ต้องเชื่อว่าฟิชชิงอีเมล (phishing email) หลอกล่อให้คุณคลิกลิงก์ เปิดไฟล์แนบ หรือขอข้อมูลสำคัญนั้นมีมายาวนาน และผู้คนก็ตกเป็นเหยื่อต่อเนื่อง แต่อะไรคือกลลวงของอีเมลเหล่านี้ แล้วคุณต้องสังเกตจากตรงไหนถึงจะรู้ได้ว่านี่คือ ‘ฟิชชิงอีเมล (phishing email) ‘ บทความนี้มีคำตอบ

ฟิชชิงอีเมล (phishing email) หมายรวมถึง BEC ด้วย

จากบทความที่แล้ว เราได้อธิบายความหมาย และความแตกต่างระหว่าง Phishing email และ BEC  กันไปแล้ว ในวันนี้เราเลยจะมาช่วยคุณปักหมุดตามหาจุดจับผิดฟิชชิงอีเมล (phishing email) เหล่านี้กัน

 ขึ้นชื่อว่าเป็นฟิชชิงอีเมล (phishing email) แน่นอนว่าอาชญากรไซเบอร์ทางอีเมลมีจุดประสงค์ในการส่งอีเมล เพื่อหลอกให้คุณกระทำการบางอย่างเพื่อติดตั้งมัลแวร์ที่จะสามารถขโมยข้อมูลความลับในอนาคต หรืออีกทางคือหลอกให้คุณเป็นคนเปิดเผยข้อมูลความลับด้วยตัวเอง

 ซึ่งข้อมูลความลับที่หอมหวานสำหรับอาชญากรไซเบอร์ ก็หนีไม่พ้นข้อมูลส่วนบุคคลที่สามารถนำไปสวมรอยตัวตนใช้งานผิดกฎหมายได้สบาย ๆ และข้อมูลความลับเชิงลึกทางธุรกิจที่สามารถนำไปขาย ต่อรองเรียกค่าไถ่ได้นั่นเอง

มุขยอดฮิตตลอดกาลในการหลอกลวง

การส่งฟิชชิงอีเมล (phishing email) เป็นเหมือนอีกวิชาจิตวิทยา เพราะอาชญากรไซเบอร์จะพยายามสร้างหัวข้อ และเนื้อหาอีเมลที่มีผลต่อความรู้สึก กระตุกต่อมความกลัว ความตื่นเต้น ความอยากรู้อยากเห็น หรือความอยากได้อยากมีของคุณ เพื่อทำให้คุณหลงเชื่อและตกเป็นเหยื่อ คลิกลิงก์ ดาวน์โหลด-ติดตั้งไฟล์ฝังมัลแวร์ ให้ข้อมูลสำคัญตอบกลับ หรือโอนเงินให้โดยเร็วที่สุด ดังเช่น 4 มุขฮิตตลอดกาลนี้

คุณคือผู้โชคดีได้รับรางวัลพิเศษ

 ว่ากันว่าใคร ๆ ก็อยากถูกหวยโดยไม่รู้ตัว อาชญากรเลยใช้มุขนี้ในการส่งอีเมลบอกว่า คุณคือผู้โชคดีได้รับรางวัลจากกิจกรรมต่าง ๆ  โดยใช้ของรางวัลเป็นตัวล่อให้คุณขาดสติยั้งคิดเร็วมากขึ้น เช่น เงินก้อนใหญ่ สร้อยคอทองคำ โทรศัพท์ราคาแพง ที่พักสุดหรู หรือส่วนลดพิเศษแบบจำกัดเวลารับสิทธิ์

มีคนพยายามเข้าถึงบัญชี โปรดรีบเปลี่ยนรหัสผ่านด่วน

ทุกบัญชีย่อมเป็นพื้นที่ส่วนตัว และเป็นพื้นที่เก็บข้อมูลความลับบางอย่างของคุณ หรือขององค์กรคุณเอาไว้ใช่ไหมล่ะคะ เพราะฉะนั้นคุณคงไม่ต้องการให้ใครเข้าถึง

เพราะฉะนั้น เมื่อใครก็ตามเจอมุขถูกแฮกบัญชีแบบนี้ก็คงรีบดำเนินการเปลี่ยนรหัสผ่านในทันที โดยการคลิกลิงก์ทำการกรอกรหัสผ่านเก่า และใหม่ลงบนเว็บไซต์ที่แนบมากับอีเมล เพียงเท่านี้ อาชญากรไซเบอร์ก็รู้อีเมลและรหัสผ่านเข้าสู่ระบบของคุณเป็นที่เรียบร้อย

ระบบมีการปรับปรุง คุณจำเป็นต้องอัปเดตข้อมูล

 การอัปเดตข้อมูลให้เป็นปัจจุบัน ดูไม่ใช่เรื่องน่าแปลกของการให้บริการ ผู้ใช้งานจำนวนมากเลยหลงเชื่อ และกรอกข้อมูลส่วนตัวของตนเองลงไปโดยง่ายแบบไม่ทันคิดว่าเรื่องที่เจออยู่นี่จริงหรือไม่จริง

ใบเสร็จช็อปปิ้ง เก็บเงินปลายทาง แต่หากไม่ใช่คุณดำเนินการโปรดแจ้งทันที

เมื่อมีอีเมลแจ้งใบเสร็จการช้อปปิ้งที่จะตัดเงินจากบัญชีธนาคาร บัตรเดบิต/เครดิต หรือเก็บเงินปลายทาง ทั้ง ๆ ที่คุณไม่ใช่คนดำเนินการ คุณจะรู้สึกตกใจและรีบดำเนินการยกเลิกก่อนที่เงินจะถูกตัดออกไป โดยการคลิกลิงก์กรอกข้อมูลยืนยันตัวตนเพื่อแจ้งยกเลิกรายการดังกล่าวบนเว็บไซต์ปลอม โดยหารู้ไม่ว่านี่คือกลอุบายของอาชญากรเอง

มุขโควิด แจกสวัสดิการ ลงทะเบียนฉีดวัคซีนฟรี ช่วง COVID-19 ก็ได้ผล

ช่วงสถานการณ์ COVID-19 แบบนี้ หลายหน่วยงานสำคัญของประเทศก็ยิ่งออกมาตรการช่วยเหลือ แบ่งเบาภาระต่าง ๆ ให้กับประชาชน บ้างก็ลงทะเบียนพักชำระหนี้ บ้างก็แจกเงินเยียวยา อาชญากรไซเบอร์ก็อาศัยจังหวะนี้เนียนสร้างอีเมลปลอมหลอกผู้คนให้ตกหลุมพลางง่ายขึ้น

ปัจจุบัน เราพบว่าฟิชชิงอีเมล (phishing email) ใช้มุขใหม่ให้ผู้ใช้งาน อีเมลคลิกลิงก์กรอกข้อมูล ชื่อนามสกุล เลขบัตรประชาชน เพื่อรับสิทธิฉีดวัคซีน COVID-19 ผ่านอีเมล ซึ่งสถาบันวัคซีนแห่งชาติได้ออกชี้แจงว่าอีเมลดังกล่าวเป็นของปลอม หลอกขอข้อมูลส่วนตัวของประชาชน

แล้วจะรู้ได้อย่างไรว่านี่คือฟิชชิงอีเมล (phishing email) ต้องสังเกตจากอะไร

ที่อยู่อีเมลผู้ส่งเหมือนแต่อาจไม่ใช่อีเมลจริง!

อาชญากรไซเบอร์จะสร้างที่อยู่อีเมลที่คล้ายกับอีเมลจริงของหน่วยงาน หรือแบรนด์สินค้าที่กำลังแอบอ้างตัวตน แต่จะเปลี่ยนตัวสะกดบางตัวที่คุณอาจไม่ทันสังเกตเห็น เช่น ตัวโอ (o) เป็นเลขศูนย์ (0), ตัวแอล (l) เป็นตัวไอพิมพ์ใหญ่ (I) เป็นต้น

แต่ในกรณี BEC Phishing อาชญากรไซเบอร์ก็อาจปลอมแปลงที่อยู่อีเมลเป็นหัวหน้าระดับสูงของเรา หรืออาจแฮกบัญชีอีเมลของหัวหน้าระดับสูงมาส่งอีเมลหลอกเราเองก็เป็นได้ แบบนี้คุณก็อาจต้องสังเกตปัจจัยอื่นร่วม ไม่งั้นก็อาจตกหลุมพรางได้

เนื้อหาอีเมลเร่งให้เราทำอะไรสักอย่างแบบด่วนจี๋

 เนื้อหาอีเมลจะหลอกล่อให้เราคลิกลิงก์ โหลดและเปิดไฟล์แนบ หรือตอบกลับอีเมลด้วยข้อมูลสำคัญต่าง ๆ ภายในเวลาเร่งด่วน เช่น กรอกแบบฟอร์มผ่านลิงก์นี้ภายใน 1 วัน เป็นต้น

 การจำกัดเวลาในการดำเนินการ จะทำให้เราลืมที่จะหยุดคิดถึงความเป็นความ และความน่าจะเป็นไปชั่วขณะหนึ่ง ซึ่งมันทำให้อัตราการตกเป็นเหยื่อของอีเมลหลอกลวงเพิ่มสูงขึ้น

 ซึ่งฟิชชิงอีเมล (phishing email) แบบ BEC เอง บางครั้งอาชญากรไซเบอร์ก็แอบใช้มุขให้รีบโอนเงินด่วน ไม่เช่นนั้นอาจไม่ทันกิจกรรมบางอย่าง หรือทำให้มีผลกระทบต่อธุรกิจและพาร์ทเนอร์ได้นั่นเอง

 ที่อยู่จริงของลิงก์ และไฟล์แนบไม่ตรงกัน

 ชื่อลิงก์ หรือชื่อไฟล์แนบที่ปรากฎในอีเมลอาจไม่ดูผิดสังเกตอะไร แต่หากลองวางเมาส์ที่ลิงก์ หรือไฟล์แนบนั้นก่อนดำเนินการ แล้วชื่อที่ปรากฎขึ้นมาไม่ตรงกับชื่อลิงก์ หรือชื่อไฟล์ก็สงสัยได้เลยว่านี่อาจเป็น Phishing emailli6x

สรุป

นี่เป็นเพียงจุดสังเกตฟิชชิงอีเมล (phishing email) เบื้องต้นที่จะช่วยให้คุณ และพนักงานในองค์กรคุณสามารถตรวจสอบอีเมลที่ได้รับว่าเป็นฟิชชิงอีเมลหรือไม่

 ซึ่งหากว่าอีเมลที่ได้รับมีความผิดปกติที่เข้าข่ายเป็นฟิชชิงอีเมลจริง ควรลบอีเมลดังกล่าวทิ้ง ไม่ดำเนินการใด ๆ ตามคำร้องขอในอีเมล หรือถ้าให้ดี ควรแจ้งฝ่ายไอที หรือหน่วยงานที่เกี่ยวข้องภายในองค์กรให้ทราบ เพื่อให้หน่วยงานนั้น ๆ เข้ามาตรวจสอบ และแพร่กระจายข่าวสารให้เพื่อนพนักงานคนอื่นในองค์กรทราบก่อนที่จะมีใครตกเป็นเหยื่อ จนนำไปสู่ความเสียหายใหญ่โตขององค์กร

คุณในฐานะผู้ประกอบการธุรกิจ หรือผู้รับผิดชอบดูแลรักษาความปลอดภัยระบบเครือข่ายขององค์กร คงไม่ต้องการให้พนักงานสักคนหนึ่งต้องตกเป็นเหยื่อฟิชชิงอีเมล (phishing email) และคงไม่ต้องการให้องค์กรของคุณกลายเป็นแหล่งแพร่กระจายอีเมลสแปมไปยังลูกค้า และพาร์ทเนอร์ทางธุรกิจต่อไป คุณควรตระหนักถึงการทำ Cybersecurity Awareness  เพื่อให้บุคลากรทุกคนในองค์กรตระหนักถึงการสังเกต ป้องกัน และรับมืออีเมลหลอกลวง รวมไปถึงการใช้งานทรัพย์สินอื่น ๆ ขององค์กร และการป้องกันภัยคุกคามรูปแบบอื่น ๆ ภายในองค์กรของคุณ อย่างถูกต้อง ปลอดภัย ยกระดับความปลอดภัย เสริมสร้างความมั่นใจ และความเชื่อมั่นให้กับธุรกิจต่อไป

บทความที่เกี่ยวข้อง

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

January 5, 2023 No Comments

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

April 19, 2022 No Comments

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

March 26, 2022 No Comments

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

March 25, 2022 No Comments

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

March 24, 2022 No Comments

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

March 23, 2022 No Comments

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ

อ่านต่อ »