เจาะลึกวิธีจับผิดฟิชชิงอีเมล (phishing email)

EMAIL cover 1-01

เนื้อหาในบทความ

เจาะลึกวิธีจับผิด ‘ฟิชชิงอีเมล (phishing email) ‘ รู้ไว้ก่อนพลาดตกเป็นเหยื่อ!

ไม่เชื่อก็ต้องเชื่อว่าฟิชชิงอีเมล (phishing email) หลอกล่อให้คุณคลิกลิงก์ เปิดไฟล์แนบ หรือขอข้อมูลสำคัญนั้นมีมายาวนาน และผู้คนก็ตกเป็นเหยื่อต่อเนื่อง แต่อะไรคือกลลวงของอีเมลเหล่านี้ แล้วคุณต้องสังเกตจากตรงไหนถึงจะรู้ได้ว่านี่คือ ‘ฟิชชิงอีเมล (phishing email) ‘ บทความนี้มีคำตอบ

ฟิชชิงอีเมล (phishing email) หมายรวมถึง BEC ด้วย

จากบทความที่แล้ว เราได้อธิบายความหมาย และความแตกต่างระหว่าง Phishing email และ BEC  กันไปแล้ว ในวันนี้เราเลยจะมาช่วยคุณปักหมุดตามหาจุดจับผิดฟิชชิงอีเมล (phishing email) เหล่านี้กัน

 ขึ้นชื่อว่าเป็นฟิชชิงอีเมล (phishing email) แน่นอนว่าอาชญากรไซเบอร์ทางอีเมลมีจุดประสงค์ในการส่งอีเมล เพื่อหลอกให้คุณกระทำการบางอย่างเพื่อติดตั้งมัลแวร์ที่จะสามารถขโมยข้อมูลความลับในอนาคต หรืออีกทางคือหลอกให้คุณเป็นคนเปิดเผยข้อมูลความลับด้วยตัวเอง

 ซึ่งข้อมูลความลับที่หอมหวานสำหรับอาชญากรไซเบอร์ ก็หนีไม่พ้นข้อมูลส่วนบุคคลที่สามารถนำไปสวมรอยตัวตนใช้งานผิดกฎหมายได้สบาย ๆ และข้อมูลความลับเชิงลึกทางธุรกิจที่สามารถนำไปขาย ต่อรองเรียกค่าไถ่ได้นั่นเอง

มุขยอดฮิตตลอดกาลในการหลอกลวง

การส่งฟิชชิงอีเมล (phishing email) เป็นเหมือนอีกวิชาจิตวิทยา เพราะอาชญากรไซเบอร์จะพยายามสร้างหัวข้อ และเนื้อหาอีเมลที่มีผลต่อความรู้สึก กระตุกต่อมความกลัว ความตื่นเต้น ความอยากรู้อยากเห็น หรือความอยากได้อยากมีของคุณ เพื่อทำให้คุณหลงเชื่อและตกเป็นเหยื่อ คลิกลิงก์ ดาวน์โหลด-ติดตั้งไฟล์ฝังมัลแวร์ ให้ข้อมูลสำคัญตอบกลับ หรือโอนเงินให้โดยเร็วที่สุด ดังเช่น 4 มุขฮิตตลอดกาลนี้

คุณคือผู้โชคดีได้รับรางวัลพิเศษ

 ว่ากันว่าใคร ๆ ก็อยากถูกหวยโดยไม่รู้ตัว อาชญากรเลยใช้มุขนี้ในการส่งอีเมลบอกว่า คุณคือผู้โชคดีได้รับรางวัลจากกิจกรรมต่าง ๆ  โดยใช้ของรางวัลเป็นตัวล่อให้คุณขาดสติยั้งคิดเร็วมากขึ้น เช่น เงินก้อนใหญ่ สร้อยคอทองคำ โทรศัพท์ราคาแพง ที่พักสุดหรู หรือส่วนลดพิเศษแบบจำกัดเวลารับสิทธิ์

มีคนพยายามเข้าถึงบัญชี โปรดรีบเปลี่ยนรหัสผ่านด่วน

ทุกบัญชีย่อมเป็นพื้นที่ส่วนตัว และเป็นพื้นที่เก็บข้อมูลความลับบางอย่างของคุณ หรือขององค์กรคุณเอาไว้ใช่ไหมล่ะคะ เพราะฉะนั้นคุณคงไม่ต้องการให้ใครเข้าถึง

เพราะฉะนั้น เมื่อใครก็ตามเจอมุขถูกแฮกบัญชีแบบนี้ก็คงรีบดำเนินการเปลี่ยนรหัสผ่านในทันที โดยการคลิกลิงก์ทำการกรอกรหัสผ่านเก่า และใหม่ลงบนเว็บไซต์ที่แนบมากับอีเมล เพียงเท่านี้ อาชญากรไซเบอร์ก็รู้อีเมลและรหัสผ่านเข้าสู่ระบบของคุณเป็นที่เรียบร้อย

ระบบมีการปรับปรุง คุณจำเป็นต้องอัปเดตข้อมูล

 การอัปเดตข้อมูลให้เป็นปัจจุบัน ดูไม่ใช่เรื่องน่าแปลกของการให้บริการ ผู้ใช้งานจำนวนมากเลยหลงเชื่อ และกรอกข้อมูลส่วนตัวของตนเองลงไปโดยง่ายแบบไม่ทันคิดว่าเรื่องที่เจออยู่นี่จริงหรือไม่จริง

ใบเสร็จช็อปปิ้ง เก็บเงินปลายทาง แต่หากไม่ใช่คุณดำเนินการโปรดแจ้งทันที

เมื่อมีอีเมลแจ้งใบเสร็จการช้อปปิ้งที่จะตัดเงินจากบัญชีธนาคาร บัตรเดบิต/เครดิต หรือเก็บเงินปลายทาง ทั้ง ๆ ที่คุณไม่ใช่คนดำเนินการ คุณจะรู้สึกตกใจและรีบดำเนินการยกเลิกก่อนที่เงินจะถูกตัดออกไป โดยการคลิกลิงก์กรอกข้อมูลยืนยันตัวตนเพื่อแจ้งยกเลิกรายการดังกล่าวบนเว็บไซต์ปลอม โดยหารู้ไม่ว่านี่คือกลอุบายของอาชญากรเอง

มุขโควิด แจกสวัสดิการ ลงทะเบียนฉีดวัคซีนฟรี ช่วง COVID-19 ก็ได้ผล

ช่วงสถานการณ์ COVID-19 แบบนี้ หลายหน่วยงานสำคัญของประเทศก็ยิ่งออกมาตรการช่วยเหลือ แบ่งเบาภาระต่าง ๆ ให้กับประชาชน บ้างก็ลงทะเบียนพักชำระหนี้ บ้างก็แจกเงินเยียวยา อาชญากรไซเบอร์ก็อาศัยจังหวะนี้เนียนสร้างอีเมลปลอมหลอกผู้คนให้ตกหลุมพลางง่ายขึ้น

ปัจจุบัน เราพบว่าฟิชชิงอีเมล (phishing email) ใช้มุขใหม่ให้ผู้ใช้งาน อีเมลคลิกลิงก์กรอกข้อมูล ชื่อนามสกุล เลขบัตรประชาชน เพื่อรับสิทธิฉีดวัคซีน COVID-19 ผ่านอีเมล ซึ่งสถาบันวัคซีนแห่งชาติได้ออกชี้แจงว่าอีเมลดังกล่าวเป็นของปลอม หลอกขอข้อมูลส่วนตัวของประชาชน

แล้วจะรู้ได้อย่างไรว่านี่คือฟิชชิงอีเมล (phishing email) ต้องสังเกตจากอะไร

ที่อยู่อีเมลผู้ส่งเหมือนแต่อาจไม่ใช่อีเมลจริง!

อาชญากรไซเบอร์จะสร้างที่อยู่อีเมลที่คล้ายกับอีเมลจริงของหน่วยงาน หรือแบรนด์สินค้าที่กำลังแอบอ้างตัวตน แต่จะเปลี่ยนตัวสะกดบางตัวที่คุณอาจไม่ทันสังเกตเห็น เช่น ตัวโอ (o) เป็นเลขศูนย์ (0), ตัวแอล (l) เป็นตัวไอพิมพ์ใหญ่ (I) เป็นต้น

แต่ในกรณี BEC Phishing อาชญากรไซเบอร์ก็อาจปลอมแปลงที่อยู่อีเมลเป็นหัวหน้าระดับสูงของเรา หรืออาจแฮกบัญชีอีเมลของหัวหน้าระดับสูงมาส่งอีเมลหลอกเราเองก็เป็นได้ แบบนี้คุณก็อาจต้องสังเกตปัจจัยอื่นร่วม ไม่งั้นก็อาจตกหลุมพรางได้

เนื้อหาอีเมลเร่งให้เราทำอะไรสักอย่างแบบด่วนจี๋

 เนื้อหาอีเมลจะหลอกล่อให้เราคลิกลิงก์ โหลดและเปิดไฟล์แนบ หรือตอบกลับอีเมลด้วยข้อมูลสำคัญต่าง ๆ ภายในเวลาเร่งด่วน เช่น กรอกแบบฟอร์มผ่านลิงก์นี้ภายใน 1 วัน เป็นต้น

 การจำกัดเวลาในการดำเนินการ จะทำให้เราลืมที่จะหยุดคิดถึงความเป็นความ และความน่าจะเป็นไปชั่วขณะหนึ่ง ซึ่งมันทำให้อัตราการตกเป็นเหยื่อของอีเมลหลอกลวงเพิ่มสูงขึ้น

 ซึ่งฟิชชิงอีเมล (phishing email) แบบ BEC เอง บางครั้งอาชญากรไซเบอร์ก็แอบใช้มุขให้รีบโอนเงินด่วน ไม่เช่นนั้นอาจไม่ทันกิจกรรมบางอย่าง หรือทำให้มีผลกระทบต่อธุรกิจและพาร์ทเนอร์ได้นั่นเอง

 ที่อยู่จริงของลิงก์ และไฟล์แนบไม่ตรงกัน

 ชื่อลิงก์ หรือชื่อไฟล์แนบที่ปรากฎในอีเมลอาจไม่ดูผิดสังเกตอะไร แต่หากลองวางเมาส์ที่ลิงก์ หรือไฟล์แนบนั้นก่อนดำเนินการ แล้วชื่อที่ปรากฎขึ้นมาไม่ตรงกับชื่อลิงก์ หรือชื่อไฟล์ก็สงสัยได้เลยว่านี่อาจเป็น Phishing emailli6x

สรุป

นี่เป็นเพียงจุดสังเกตฟิชชิงอีเมล (phishing email) เบื้องต้นที่จะช่วยให้คุณ และพนักงานในองค์กรคุณสามารถตรวจสอบอีเมลที่ได้รับว่าเป็นฟิชชิงอีเมลหรือไม่

 ซึ่งหากว่าอีเมลที่ได้รับมีความผิดปกติที่เข้าข่ายเป็นฟิชชิงอีเมลจริง ควรลบอีเมลดังกล่าวทิ้ง ไม่ดำเนินการใด ๆ ตามคำร้องขอในอีเมล หรือถ้าให้ดี ควรแจ้งฝ่ายไอที หรือหน่วยงานที่เกี่ยวข้องภายในองค์กรให้ทราบ เพื่อให้หน่วยงานนั้น ๆ เข้ามาตรวจสอบ และแพร่กระจายข่าวสารให้เพื่อนพนักงานคนอื่นในองค์กรทราบก่อนที่จะมีใครตกเป็นเหยื่อ จนนำไปสู่ความเสียหายใหญ่โตขององค์กร

คุณในฐานะผู้ประกอบการธุรกิจ หรือผู้รับผิดชอบดูแลรักษาความปลอดภัยระบบเครือข่ายขององค์กร คงไม่ต้องการให้พนักงานสักคนหนึ่งต้องตกเป็นเหยื่อฟิชชิงอีเมล (phishing email) และคงไม่ต้องการให้องค์กรของคุณกลายเป็นแหล่งแพร่กระจายอีเมลสแปมไปยังลูกค้า และพาร์ทเนอร์ทางธุรกิจต่อไป คุณควรตระหนักถึงการทำ Cybersecurity Awareness  เพื่อให้บุคลากรทุกคนในองค์กรตระหนักถึงการสังเกต ป้องกัน และรับมืออีเมลหลอกลวง รวมไปถึงการใช้งานทรัพย์สินอื่น ๆ ขององค์กร และการป้องกันภัยคุกคามรูปแบบอื่น ๆ ภายในองค์กรของคุณ อย่างถูกต้อง ปลอดภัย ยกระดับความปลอดภัย เสริมสร้างความมั่นใจ และความเชื่อมั่นให้กับธุรกิจต่อไป

บทความที่เกี่ยวข้อง

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง

อ่านต่อ »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง

อ่านต่อ »

รู้จัก PDPA Awareness และ Security Awareness

ในปีพ.ศ. 2565 นี้ สังคมไทยกำลังก้าวเข้าสู่สังคมแห่งความปลอดภัยทางด้านไซเบอร์มากขึ้น ด้วยการบังคับใช้กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ควบคู่กับกฎหมายไซเบอร์ที่มีมาก่อนหน้านี้อย่าง พ.ร.บ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกฎหมายทั้งสองก่อให้เกิด PDPA Awareness และ Security Awareness ซึ่งจะมีความสำคัญต่อองค์กรอย่างไรนั้น วันนี้เราจะพาทุกท่านมาหาคำตอบกันในบทความนี้

อ่านต่อ »