อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ
ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง 2,175 ข้อร้องเรียนต่อวัน ซึ่งมีทั้งรายการการถูกหลอกลวงทางอีเมล การโจมตีด้วยแรนซัมแวร์ (Ransomware) และการฟิชชิงในรูปแบบต่าง ๆ อีกหลายรูปแบบ นับว่าเป็นรูปแบบการหลอกลวงที่สร้างความเสียหายให้กับองค์กรและธุรกิจได้มากกว่า 1,000 ล้านเหรียญสหรัฐ
Phishing คืออะไร ?
Phishing หรือ Phishing Attack เป็นรูปแบบการโจมตีทางไซเบอร์ที่มีมานานและมีการพัฒนาอยู่อย่างต่อเนื่อง โดยเป็นการโจมตีที่ใช้ประโยชน์จากจิตวิทยามนุษย์และใช้ประโยชน์จากเทคโนโลยีซึ่งมีจุดประสงค์เพื่อหลอกลวงให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านในการเข้าสู่บัญชีต่าง ๆ รายละเอียดบัตรเครดิต เลขบัตรประจำตัวประชาชน หรือ เปิดไฟล์ที่มีมัลแวร์ฝังอยู่ เป็นต้น
ลักษณะการโจมตีแบบฟิชชิงจะทำงานโดยแอบอ้างแหล่งที่มาที่เชื่อถือได้ เช่น ธนาคาร บริษัท หรือเว็บไซต์ ซึ่งผู้โจมตีมักจะใช้อีเมลปลอม ข้อความ รวมถึงสร้างเว็บไซต์ปลอมที่เลียนแบบองค์กรที่ถูกต้องตามกฎหมาย เพื่อทำให้บุคคลไม่สงสัยและแยกแยะความแตกต่างได้ยาก โดยเนื้อหาข้อความมักจะเป็นการสร้างความรู้สึกเร่งด่วน ความกลัว ความอยากรู้อยากเห็นเพื่อหลอกล่อเหยื่อให้ดำเนินการทันทีโดยไม่ตั้งคำถามถึงความผิดปกติของการสื่อสาร ความพยายามในการฟิชชิงเหล่านี้หากสำเร็จจะสามารถนำไปสู่การโจรกรรมข้อมูลส่วนบุคคล การฉ้อโกงทางการเงิน การเข้าถึงบัญชีโดยไม่ได้รับอนุญาต หรือการติดตั้งมัลแวร์ เป็นต้น
อ่านเพิ่มเติมเกี่ยวกับ “Phishing กับ 9 รูปแบบการหลอกลวง” ได้ที่นี่
ภาพรวมและรูปแบบ Phishing Attack ในปีที่ผ่านมา
ในขณะที่มาตรการรักษาความปลอดภัยทางไซเบอร์มีการพัฒนาอย่างรวดเร็ว กลยุทธ์การโจมตีแบบฟิชชิงก็มีการพัฒนาอย่างต่อเนื่องเพื่อให้เท่าทันการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีและพฤติกรรมการใช้เทคโนโลยีของบุคคลเฉกเช่นเดียวกัน
ในปีที่ผ่านมารูปแบบการโจมตีทางไซเบอร์รวมถึงภัยคุกคามมีการพัฒนาและเพิ่มขึ้นอย่างรวดเร็วในหลากหลายรูปแบบที่ได้สร้างความท้าทายแก่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นอย่างมาก
ตามรายงาน Phishing by Industry Benchmark 2023 ของ KnowBe4 พบว่าจากผลการสำรวจ Phish-Prone Percentage (PPP) หรือ เปอร์เซ็นต์แนวโน้มที่พนักงานจะคลิกลิงก์ฟิชชิงของในทุกกลุ่มอุตสาหกรรมโดยแบ่งตามขนาดขององค์กรพบว่า
ในองค์กรขนาดเล็กกลุ่มอุตสาหกรรมสุขภาพและเภสัชกรรมมีความเสี่ยงในการถูกโจมตีทางไซเบอร์มากที่สุดคิดเป็น 32.3 % ตามมาด้วยกลุ่มค้าปลีก 31.6 % และกลุ่มด้านการศึกษา 31.2 %
สำหรับองค์กรขนาดกลาง กลุ่มอุตสาหกรรมสุขภาพและเภสัชกรรมก็ยังคงมีความเสี่ยงในการถูกโจมตีทางไซเบอร์มากที่สุด คิดเป็น 35.8 % ตามมาด้วยกลุ่มไฟฟ้าและพลังงาน 33.6 % และกลุ่มการก่อสร้าง 31.3 % ตามลำดับ
ส่วนในองค์กรขนาดใหญ่เป็นกลุ่มอุตสาหกรรมเกี่ยวกับประกันถึง 53.2 % ตามมาด้วยกลุ่มไฟฟ้าและพลังงาน 51.5 % และกลุ่มธุรกิจการให้คำปรึกษา 48.2 % หากอ้างอิงจากผลสำรวจนี้ทำให้ทราบว่ากลุ่มอุตสาหกรรมที่มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ได้สำเร็จมากที่สุด มักจะเป็นกลุ่มอุตสาหกรรมที่มีการใช้และจัดเก็บข้อมูลส่วนบุคคลอยู่ในปริมาณมาก
ดังนั้นการสร้างความตระหนักรู้ทางด้านความปลอดภัยทางไซเบอร์จึงมีความสำคัญต่อบุคคลและองค์กรในการลดความเสี่ยงจากการตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งได้อย่างมาก ลำดับต่อไปเราจะพามาดูกลยุทธ์หรือรูปแบบการโจมตีฟิชชิ่ง (Phishing Attack) ที่ผู้โจมตีทางไซเบอร์มักจะใช้ในปีที่ผ่านมา
เราอยู่ในยุคที่อุปกรณ์เทคโนโลยีแทบจะกลายเป็นส่วนหนึ่งในชีวิตประจำวันของเรา ไปแล้วจึงไม่แปลกที่การโจมตีแบบ Phishing จะมีการพัฒนาในรูปแบบที่หลากหลายมากขึ้น อีกทั้งการทำงานในปัจจุบันเป็นการทำงานแบบระยะไกล ไม่ว่าจะเป็นการ Work form Home หรือ Hybrid ก็ตาม ทำให้กระบวนการทำงาน เชื่อมต่อ การโต้ตอบสื่อสารของเราต้องปรับเปลี่ยนมาเป็นทางออนไลน์เป็นส่วนมาก รวมถึงการเข้ามาของ Artificial Intelligence (AI) หรือ ปัญญาประดิษฐ์ ต่าง ๆ ที่ไม่สามารถมองข้ามได้ ก็ล้วนแต่เป็นสิ่งที่กลายเป็นช่องโหว่สำหรับการนำมาใช้ประโยชน์ในการโจมตีของอาชาญากรไซเบอร์
จากรายงานของ PhishLabs พบว่าในไตรมาสที่ 1 ของปี 2023 ปริมาณอีเมลที่จัดประเภทว่าเป็นอันตรายหรือไม่ทราบแหล่งที่มาชัดเจนมีมากถึง 98.7% จากอีเมลทั้งหมด
รูปแบบการโจมตีฟิชชิ่งที่มีศักยภาพและประสิทธิภาพสูงสุดในช่วงที่ผ่านมา คือ Spear Phishing ซึ่งเป็นรูปแบบการโจมตีแบบกำหนดเป้าหมายโดยมุ่งเน้นไปที่บุคคลหรือองค์กรอย่างเฉพาะเจาะจง มีการคัดเลือกเหยื่อและวางแผนอย่างพิถีพิถัน โดยการรวบรวมข้อมูลอย่างละเอียดเพื่อเพิ่มความน่าเชื่อถือในเนื้อหาอีเมลที่ส่งไปยังผู้รับ มักจะมีการอ้างถึงบุคคลที่เกี่ยวข้อง เพื่อนร่วมงาน ข้อมูลการทำงานของคุณ เป็นต้น
จากรายงานของ Proofpoint ในปี 2022 พนักงานกว่า 74% ขององค์กรถูกส่งข้อความหลอกลวง
รูปแบบการโจมตีที่การถูกนำมาใช้หลอกลวงอย่างแพร่หลาย ถัดมาคือ Smishing Phishing หรือที่รู้จักกันในชื่อ SMS Phishing โดยผู้โจมตีมักใช้ข้อความเพื่อหลอกลวงผู้รับให้เปิดเผยข้อมูลส่วนบุคคลหรือดำเนินการที่เป็นอันตราย เช่น ข้อความที่บอกว่าคุณได้รับรางวัลหรือเงินรางวัล และต้องการให้คุณโอนเงินเข้าบัญชีที่กำหนดมา หากมีการตอบกลับข้อความหรือโทรกลับอาจทำให้เจ้าของหมายเลขโทรศัพท์ตกเป็นเป้าหมายของการโจมตีแบบอื่น ๆ ได้
อ้างอิงข้อมูลจาก PhishLabs อุตสาหกรรมที่ตกเป็นเป้าหมายของการคุกคามทางโซเชียลมีเดียมากที่สุดคือ กลุ่มธนาคาร ซึ่งคิดเป็น 33.5% ตามมาด้วยกลุ่มค้าปลีก 24.4% กลุ่มสกุลเงินดิจิทัล 14.7% และกลุ่มการบริการทางการเงิน 9.3%
อีกหนึ่งกลยุทธ์การโจมตีทางไซเบอร์ที่เป็นที่นิยมคือ Social Media Phishing หรือ Social Media Attack เนื่องจากสื่อสังคมออนไลน์ถือเป็นสภาพแวดล้อมที่เอื้อประโยชน์ต่อการโจมตีของอาชญากรไซเบอร์เป็นอย่างมาก เนื่องจากเป็นที่ที่สามารถสร้างหรือเผยแพร่เนื้อหาได้ง่ายและยากต่อการตรวจสอบ โดยผู้โจมตีมักจะสร้างโปรไฟล์หรือเพจปลอมขึ้นมาเพื่อเลียนแบบแบรนด์ที่มีชื่อเสียง คนดัง หรือคนใกล้ชิดของเหยื่อ เพื่อหลอกลวงให้เหยื่อบอกข้อมูลส่วนบุคคล คลิกลิงก์หรือดาวน์โหลดเนื้อหาที่ติดมัลแวร์ อันตรายต่าง ๆ
ความก้าวหน้าของเทคโนโลยี กับ แนวโน้มรูปแบบ Phishing ในอนาคต
รูปแบบกลยุทธ์ที่เกิดขึ้นใหม่ของอาชญากรไซเบอร์ส่วนใหญ่ได้รับการพัฒนาเพื่อให้ทันตามความก้าวหน้าของเทคโนโลยี ในปีนี้และปีถัด ๆ ไปการโจมตีทางไซเบอร์จะถูกขับเคลื่อนด้วยเทคโนโลยีที่ก้าวหน้ารวมถึงมีการนำเทคโนโลยี AI มาใช้งานมากยิ่งขึ้น
ตัวอย่างเช่น การโจมตีแบบ Deepfake จะมีความซับซ้อนมากยิ่งขึ้น การโจมตีแบบ Deepfake คือการนำเทคโนโลยี AI มาใช้ในการลอกเลียนเสียง หรือใบหน้าของบุคคลในรูปแบบสื่อวีดีโอต่าง ๆ ซึ่งกรณีนี้ผู้โจมตีอาจแอบอ้างใช้ใบหน้าของบุคคลหรือเจ้าหน้าที่ที่น่าเชื่อถือเพื่อหลอกลวงข้อมูลจากเหยื่อ นอกจากนี้ผู้โจมตีอาจใช้ AI ในการสร้างข้อความสำหรับการส่งอีเมลฟิชชิงให้น่าดึงดูด ให้เฉพาะเจาะจงกับเหยื่อมากยิ่งขึ้น
อีกทั้งการเติบโตก้าวหน้าของเทคโนโลยีทำให้เกิดช่องโหว่ในอุปกรณ์เทคโนโลยีมากขึ้น ซึ่งเป็นการเอื้อประโยชน์ให้อาชญากรทางไซเบอร์ ใช้ช่องโหว่เหล่านี้ในการรวบรวม เข้าถึงข้อมูลส่วนบุคคลของเราได้ง่ายยิ่งขึ้น
ลำดับถัดไปเพื่อป้องกันการถูกโจมตีฟิชชิง และลดความเสี่ยงจากการตกเป็นเหยื่อของการโจมตีแบบฟิชชิง เราจะพาท่านไปดูกลยุทธ์และแผนการรับมือการถูกโจมตีแบบฟิชชิงสำหรับบุคคลและองค์กร
กลยุทธ์และแผนการรับมือ Phishing Attack สำหรับบุคคลและองค์กร
🏠 สำหรับบุคคล
- ตรวจสอบแหล่งที่มาของอีเมลทุกครั้งว่าอีเมลผู้ส่งสะกดถูกต้องหรือไม่ และ ไม่คลิกลิงก์หรือไฟล์แนบที่น่าสงสัย
- หลีกเลี่ยงการแชร์ข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น หมายเลขบัญชี บัตรเครดิต หมายเลขบัตรประชาชน
- ตรวจสอบชื่อเว็บไซต์ว่าสะกดถูกต้อง และมี HTTPS ทุกครั้งที่ทำธุรกรรมที่ต้องกรอกข้อมูลความลับ เช่น ชื่อบัญชี รหัสผ่าน และ ข้อมูลส่วนบุคคล
- ระมัดระวังอีเมลหรือข้อความเชิงเร่งด่วน เช่น บัญชีถูกระงับ หรือ เงินถูกโอน
- ตรวจสอบคำรองข้อทุกครั้งก่อนดำเนินการต่อ
- หมั่นอัปเดตระบบปฏิบัติการของอุปกรณ์ที่ใช้งานอยู่เสมอ
- จำกัดการเข้าถึงความเป็นส่วนตัวบนโซเชียลมีเดีย และระมัดระวังการแชร์ข้อมูลส่วนตัวในรูปแบบสาธารณะ
- ใช้รหัสผ่านที่ซับซ้อน คาดเดาได้ยาก สำหรับบัญชีออนไลน์และหลีกเลี่ยงการใช้รหัสผ่านเดียวกันในหลายแพลตฟอร์ม
🏢 สำหรับองค์กร
- จัดการฝึกอบรมให้ความรู้แก่พนักงาน
- จัดการฝึกอบรมให้ความรู้แก่พนักงานเป็นประจำเกี่ยวกับรูปแบบต่าง ๆ ของการโจมตีแบบฟิชชิง เพื่อเพิ่มความตระหนักรู้ทางด้านการป้องกันการโจมตีทางไซเบอร์ (Cyber Security Awareness)
- มีการรับรองความถูกต้องของอีเมล
- นำระบบตรวจสอบสิทธิ์อีเมลขาเข้ามาใช้งาน เพื่อลดความเสี่ยงของการถูกปลอมแปลงโดเมนและการโจมตีแบบฟิชชิงที่ปลอมแปลงชื่อองค์กรของคุณ
- บังคับใช้ Multi-Factor Authentication (MFA) ในการเข้าถึงระบบเพิ่มความปลอดภัยอีกขั้นหนึ่ง
- ใช้ Software รักษาความปลอดภัยที่มีประสิทธิภาพ
- มีความสามารถในการป้องกันการฟิชชิง รวมถึงสามารถระบุ ปิดกั้นลิงก์และไฟล์แนบที่เป็นอันตรายได้
- ร่วมแบ่งปันข่าวสารการกับหน่วยงานรัฐหรือองค์กรด้านความปลอดภัยทางไซเบอร์
- ซักซ้อมการรับมือกับภัยคุกคามฟิชชิ่ง (Phishing Simiulation) เพื่อพัฒนาปรับปรุงกลยุทธ์ และแผนรับมือกับเหตุการณ์การถูกโจมตีทางไซเบอร์ให้ชัดเจนอยู่เสมอ
- ดำเนินการตรวจสอบโครงสร้างพื้นฐานด้านความปลอดภัยขององค์กรเป็นประจำ
การรักษาความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องที่ต้องกังวลเพียงครั้งเดียว แต่ต้องเป็นเรื่องที่ต้องเริ่มต้นและดำเนินอย่างต่อเนื่อง
อย่างไรก็ตามสิ่งที่ไม่อาจละเลยได้เลยในการรักษาความปลอดภัยทางไซเบอร์ คือ การเพิ่มระดับความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ในกับบุคลากรในองค์กร เพราะเพียงแค่เทคโนโลยีอย่างเดียวไม่สามารถป้องกันภัยคุกคามได้ทั้งหมด แต่บุคคลที่ใช้เทคโนโลยีภายในองค์กรต่างหากที่มีบทบาทสำคัญในการช่วยลดความเสี่ยงจากภัยคุกคามได้
ดังนั้นแล้ว SECAP จึงเข้าใจถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์และมุ่งมั่นในการสร้างความตระหนักรู้ด้านนี้มาเป็นเวลากว่า 10 ปี ด้วยประสบการณ์การดำเนินโครงการการรับรู้ภัยคุกคามทางไซเบอร์ให้กับองค์กรชั้นนำในประเทศไทยมากกว่า 50 แห่ง และมีทีมผู้เชี่ยวชาญที่สร้างเนื้อหาที่ทำให้พนักงานทั่วไปสามารถเข้าใจได้โดยง่าย ผ่านการออกแบบที่สวยงาม
เพราะเราเชื่อว่าจะสามารถสร้างโลกดิจิทัลที่ปลอดภัยมากยิ่งขึ้นสำหรับองค์กรของคุณได้ ให้ SECAP เข้าไปช่วยคุณเพิ่มความมั่นใจในการป้องกันองค์กรของคุณจากความเสี่ยงของภัยคุกคามทางไซเบอร์ เรียนรู้เพิ่มเติมเกี่ยวกับเราได้ที่ Facebook Fanpage: SECAP
หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ SECAP
โทร 092-252-8632
รับชมบริการของเราได้ที่ secap.co
