Phishing: กลลวงใหม่ยุคไซเบอร์

Phishing: กลลวงใหม่ยุคไซเบอร์

ท่านอาจเคยได้ยินเกี่ยวกับการทุจริตทางสื่ออินเทอร์เน็ตโดยอาศัยการปลอมแปลงหน้าเว็บไซต์ขึ้นมาเพื่อล่อลวงให้ผู้ใช้บริการกรอกข้อมูลรหัสประจำตัว และรหัสผ่านโดยที่มิได้สังเกตเห็นความผิดปกติของเว็บไซต์ที่เปลี่ยนไป ตามหน้าเว็บไซต์ของธนาคารพาณิชย์ในประเทศไทยมักมีการแจ้งเตือนผู้ใช้บริการเกี่ยวกับเว็บไซต์ปลอมแปลงเหล่านี้เป็นประจำ เพราะเป้าหมายสำคัญของกลุ่มผู้ทุจริตที่เลือกใช้วิธีการโจมตีแบบนี้นั้นมักเป็นเว็บไซต์ที่ให้บริการทางการเงิน โดยหวังผลที่จะแอบลักลอบโอนเงินไปสู่บัญชีปลายทางแห่งใดแห่งหนึ่งแล้วถอนเงินหรือโอนขโมยเงินเหล่านั้นออกไป นี่เป็นเพียงหนึ่งในเทคนิคของสิ่งที่เรียกว่า Phishing นั่นเอง

Phishing คืออะไร 

Phishing (ฟิชชิ่ง) คือกลวิธีในการหลอกลวงเพื่อให้ได้มาซึ่งข้อมูลส่วนบุคคลอันจะนำไปสู่การแสวงหาผลประโยชน์ซึ่งอาจก่อให้เกิดความเดือดร้อนแก่ผู้ที่ถูกล่อลวง ข้อมูลส่วนบุคคลที่กล่าวถึงนี้มักจะเป็น รหัสประจำตัวต่างๆ รหัสในการเข้าใช้งานระบบ รหัสผ่าน เลขที่บัตรเครดิต เลขที่บัญชี หรือเลขที่บัตรประชาชน
 

กลวิธีในการหลอกลวงผ่านช่องทางต่างๆ

e-Mail 
การฟิชชิ่งผ่าน e-Mail ทำในรูปแบบการปลอมแปลงลักษณะของ e-Mail ให้ดูเหมือนถูกส่งมาโดยธนาคาร สถาบันการเงินหรือบริษัทห้างร้านที่มีชื่อเสียง โดยจะทำให้มีเครื่องหมายการค้า สี และรูปแบบราวกับถูกส่งมาจากสถาบันดังกล่าวจริงๆ โดยเนื้อหาของ e-Mail จะเป็นการบอกให้ผู้ใช้บริการไปดำเนินการอย่างใดอย่างหนึ่ง ที่พบได้มากคือการหลอกให้คลิกลิงค์ที่อยู่ใน e-Mail เพื่อทำการกรอกข้อมูลส่วนตัวต่างๆเช่น ชื่อ นามสกุล, หมายเลขบัตรประจำตัวประชาชน, เลขบัญชีธนาคาร หากผู้ใช้บริการหากไม่ดำเนินการตามแจ้ง อาจได้รับข้อความในเชิงเตือน หรือขู่ เช่น “หากไม่ดำเนินการภายใน 15 วัน ทางบริษัทมีความจำเป็นต้องปิดบริการของท่าน” 

นอกจากนี้ ยังมีการหลอกลวงผ่าน e-Mail โดยอาชญากรจะแอบอ้างว่าเป็นตัวแทนของธนาคาร โดยอีเมล์ดังกล่าวมีข้อความหลอกลวงเกี่ยวกับการได้รับรางวัลลอตเตอรี่และต้องการให้ผู้รับอีเมล์นั้นตอบกลับโดยกรอกข้อมูลส่วนบุคคลในในเอกสารแนบ หรือคลิกลิ้งค์ที่ส่งมาพร้อมกับอีเมล์
อีเมล์ประเภทดังกล่าวนี้ ไม่ใช่อีเมล์ของธนาคารเป็นอีเมล์หลอกลวงที่ผู้ไม่หวังดีทำขึ้นเพื่อที่จะลักลอบนำข้อมูลดังกล่าวไปใช้ในทางที่ผิดหมาย ธนาคารจึงขอแนะนำให้ทุกท่านที่ได้รับอีเมล์ดังกล่าว อย่าให้ข้อมูลส่วนตัว และไม่กรอกแบบฟอร์มหรือคลิกลิ้งค์ที่ส่งมาให้โดยเด็ดขาด เนื่องจากธนาคารไม่มีนโยบายในการส่ง อีเมล์เพื่อขอข้อมูลส่วนตัวของลูกค้า แต่อย่างใด

ทั้งนี้ ธนาคารยึดมั่นในการดูแลรักษาข้อมูลส่วนบุคคลของลูกค้า และมีมาตรการที่เข้มงวดในการป้องกัน ติดตามตรวจสอบและดำเนินการทางกฎหมายแก่ผู้ที่ไม่หวังดีที่มีเจตนาก่อให้เกิดความเสียหายด้วยการปลอมแปลงข้อมูลของธนาคารและลักลอบนำข้อมูลไปใช้โดยผิดกฎหมาย

WARNING About e-mail Scams

Web site
โดยการสร้างเว็บไซต์เลียนแบบ ซึ่งมักจะเป็นกลวิธีที่ถูกใช้กับเว็บไซต์ทางการเงินเช่น ธนาคารออนไลน์เป็นต้น เพราะในเว็บไซต์เหล่านี้เป็นช่องทางที่นำไปสู่บัญชีที่เก็บเงินของลูกค้าได้ดีที่สุด ซึ่งเมื่อผู้ทำการ Phishing ได้ทราบข้อมูลรหัสประจำตัวและรหัสผ่านครบแล้ว ก็จะนำข้อมูลดังกล่าวไปทำธุรกรรมทางการเงิน เช่นโอนเงินไปยังบัญชีปลายทาง (ซึ่งถูกเปิดขึ้นเพื่อรอรับเงินที่ได้มาด้วยวิธีการทุจริตนี้) จากนั้นคนร้ายจะไปถอนเงินออกจากบัญชี หรือนำไปซื้อสิ่งของจนหมดสิ้น

WARNING Internet address

ทางโทรศัพท์
โดยการแอบอ้างเป็นพนักงานหรือเจ้าหน้าที่ในหน่วยงานราชการ ธนาคาร หรือบริษัทต่างๆ แล้วทำการติดต่อลูกค้าโดยแจ้งให้ลูกค้าทำการโอนเงินทาง ATM ไปยังบัญชีปลายทางซึ่งถูกเปิดเอาไว้โดยกลุ่มบุคคลทุจริตนั้นเอง หรือบางครั้งอาจใช้วิธีหลอกถามข้อมูลส่วนตัวซึ่งสามารถนำไปใช้ในภายหลังเพื่อย้อนกลับมาโจมตีบัญชีของลูกค้าเองอีกครั้ง 
ในประเทศไทย การ Phishing ทางโทรศัพท์เป็นวิธีที่ถูกพบบ่อยที่สุดเนื่องจากประชากรส่วนมากยังไม่มีความรู้ในการใช้งานอินเทอร์เน็ตหรือธนาคารออนไลน์ แต่มีการใช้บัตร ATM กันอย่างกว้างขวาง จึงเป็นเป้าหมายกลุ่มใหญ่ที่โจมตีแล้วได้ผลมากกว่า

Mobile Application
อาชญากรที่ทำการฟิชชิ่งผ่านโมบายแอพพลิเคชั่นจะสร้างโมบายแอพพลิเคชั่นซึ่งมีลักษณะคล้ายโมบายแบงก์กิ้งแอพพลิเคชั่นต้นฉบับ โดยแอพพิเคชั่นปลอมเหล่านี้จะมีการฝังมัลแวร์ไว้ ซึ่งทำให้อุปกรณ์ของผู้ใช้บริการอาจถูกควบคุมโดยมัลแวร์ทันทีหลังจากดาวน์โหลด

เมื่อมัลแวร์เข้าควบคุมอุปกรณ์ของคุณ มันสามารถโทรหาผู้อื่น ส่งข้อความหรือข้อมูลที่เก็บในอุปกรณ์ผ่าน SMS รวมถึงจับ GPS location ของผู้ใช้งานและส่งข้อมูลทั้งหมดไปยังผู้ไม่หวังดีที่นั่งรอรับข้อมูลส่วนตัวของคุณอยู่อย่างใจเย็น โดยที่เจ้าของอุปกรณ์ไม่รับทราบ

SMS Phishing หรือ SMiShing
เป็นการการหลอกลวงโดยใช้ SMS เช่น การส่ง SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลขดังต่อไปนี้ซึ่งผู้รับสายปลายทางอาจเป็นแกงค์หลอกลวงให้โอนเงินหรือหลอกสอบถามข้อมูลส่วนบุคคล หรือส่งข้อความ SMS ขอให้ท่านคลิ๊กลิงค์ที่ให้มา ซึ่งเมื่อท่านคลิ๊กแล้วอาจทำให้โทรศัพท์มือถือของท่าน (โดยเฉพาะสมาร์ทโฟน) ติดมัลแวร์ได้

ทำอย่างไรไม่ให้เป็นเหยื่อ Phishing

  • ระมัดระวังไม่หลงเชื่อข้อความใดๆใน e-Mail หรือโทรศัพท์ หากมีการอ้างว่าส่งหรือติดต่อมาจากสถาบัน หรือบริษัทใดก็ตาม ควรค้นหาหมายเลขโทรศัพท์ของสถาบันหรือบริษัทนั้น หรือติดต่อไปยังหน่วยงาน Call Center ของบริษัทนั้นๆ (อย่าติดต่อไปตามหมายเลขโทรศัพท์ที่มีอยู่ใน e-Mail ต้องสงสัยฉบับนั้น) เพื่อตรวจสอบว่ามีการส่ง e-Mail ลักษณะดังกล่าวจริงหรือไม่ หรือส่งจากหน่วยงานใด
  • ไม่คลิกลิงค์ใน e-Mail เพื่อการเข้าสู่หน้าเว็บไซต์ ให้ใช้วิธีพิมพ์ URL เข้าสู่เว็บไซต์ของบริษัทดังกล่าวด้วยตัวท่านเอง เป็นวิธีการป้องกันมิให้เผลอคลิกเข้าสู่เว็บไซต์ปลอมที่กลุ่มผู้กระทำการทุจริตนั้นเตรียมไว้
  • หากเกิดความสงสัย อย่าเปิดเผยข้อมูลส่วนบุคคล เช่นเลขที่บัตรประชาชน เลขบัตรเครดิต เลขที่บัญชี หรือรหัส ATM แก่บุคคลอื่น
  • หมั่นตรวจสอบข้อมูลการทำรายการธุรกรรมของท่านอย่างสม่ำเสมอโดยไม่จำเป็นต้องรอให้ครบ 1 เดือน แล้วจึงตรวจสอบจากใบแจ้งรายการ และตรวจสอบให้แน่ใจว่าไม่มีรายการธุรกรรมแปลกปลอม หากพบรายการที่น่าสงสัย ให้ติดต่อธนาคารหรือบริษัทผู้ให้บริการ
  • ก่อนทำการดาวน์โหลด ผู้ใช้งานควรสังเกตและดูชื่อผู้พัฒนาโปรแกรม เช่น หากเป็นแอพพิเคชั่น Mobile banking จะต้องเป็นชื่อธนาคารเท่านั้น ในกรณีที่ไม่แน่ใจไม่ควรดาวน์โหลดหรืออาจจะเช็คกับบริษัทเจ้าของแอพพิเคชั่นก่อนว่าเป็นของจริง และที่สำคัญควรลงโปรแกรม Anti-virus ในอุปกรณ์และหมั่นอัพเดทอยู่เสมอเพื่อเพิ่มความปลอดภัยในการใช้งานอุปกรณ์อิเล็คโทรนิคของคุณ
  • เมื่อได้รับข้อความ SMS หรือ IM ที่น่าสงสัย จงอย่าคลิกลิงค์ใดๆใน ข้อความนั้น แม้ข้อความจะถูกส่งมาจากผู้ที่ท่านรู้จักก็ตาม 

TMB สนับสนุนการต้านภัย Phishing

ธนาคารฯ ให้ความสำคัญกับการระวังป้องกันภัยจากกลุ่มบุคคลที่ใช้วิธี Phishing ในการล่อลวงข้อมูลจากลูกค้า โดยเปิดช่องทางรับแจ้งเหตุต้องสงสัยผ่านทั้งทาง TMB Call Center หมายเลขโทรศัพท์ 1558 และทางเว็บไซต์ธนาคาร ซึ่งในกรณีที่มีรายการที่ต้องสงสัยว่าอาจเป็น Phishing ที่แอบอ้างเป็น TMB ลูกค้าสามารถแจ้งให้ธนาคารฯตรวจสอบข้อเท็จจริงได้ นอกจากนี้ในส่วนของบริการ TMB Internet Banking ธนาคารฯ ได้ติดตั้งระบบ Anti-Phishing ซึ่งจะทำหน้าที่ในการตรวจสอบเว็บไซต์ที่พยายามปลอมแปลงลักษณะหรือชื่อของเว็บไซต์ธนาคารและดำเนินการขั้นเด็ดขาดเพื่อความปลอดภัยของลูกค้า

 

บทความโดย: พันธุ์สวัสดิ์ ไพฑูรย์พงษ์

ภาพโดย: Eugene Zemlyanskiy