การโจมตีแบบฟิชชิ่งคือภัยความมั่นคงทางไซเบอร์รูปแบบหนึ่งซึ่งมีเป้าหมายโจมตีโดยตรงผ่านทางอีเมล แชท หรือข้อความส่วนตัว โดยตัวอาชญากรจะแอบอ้างเป็นหน่วยงานที่น่าเชื่อถือเพื่อหลอกเอาข้อมูล เช่น เลขบัญชีธนาคารหรือข้อมูลบัตรเครดิต
ตัวอย่างสถานการณ์เช่น:
1.บุคคลหนึ่งได้รับอีเมลจากธนาคารที่ตนเองใช้บริการอยู่ (เช่น ธนาคารเชส)
2.ดูเหมือนว่าอีเมลนี้จะส่งมาจากธนาคารเชส โดยมีโลโก้ธนาคารติดอยู่กับตัวอีเมล
3.อีเมลนี้มีเนื้อความว่ามีปัญหาเร่งด่วนเกี่ยวกับบัญชีธนาคารของบุคคลดังกล่าว และบอกให้บุคคลนั้นกดลิ้งเพื่อแก้ไขปัญหานี้
4.หลังจากที่ได้คลิ้กเข้าลิ้งค์ดังกล่าวแล้ว ก็จะไปเจอกับเว็ปไซต์ที่แอบอ้างว่าเป็นเว็ปไซต์ของธนาคารเชส
5.บุคคลนี้ก็จะพิมชื่อผู้ใช้และพาสเวิร์ดของตนเพื่อลงชื่อเข้าใจเว็ปไซต์นี้โดยไม่รู้ตัว
ในสถานการณ์เช่นนี้ อาชญากรจะสามารถเก็บข้อมูลและเอกสารยืนยันตัวตนของบุคคลดังกล่าวได้ นอกจากนี้ บุคคลนั้นอาจหลงกลไปดาวน์โหลดมัลแวร์จากเว็ปไซต์นั้นลงบนเครื่อง ซึ่งอาจเป็นการเปิดช่องให้อาชญากรสามารถติดตามและขโมยข้อมูลอื่น ๆ จากอุปกรณ์ที่ดาวน์โหลดลงไปได้อีกด้วย
แรงจูงใจของการกระทำอันมุ่งร้ายเช่นนี้ส่วนใหญ่แล้วมักเป็นเพราะเรื่องเงิน โดยข้อมูลจาก 2020 Verizon Data Breach Investigations Report ระบุว่า ร้อยละ 86 จากการโจมตี 3950 ครั้งมีเงินเป็นจุดมุ่งหมายหลัก
ในระดับองค์กร ฟิชชิ่งอาจก่อให้เกิดผลกระทบที่มากกว่าเมื่อเกิดขึ้น โดยหากองค์กรหนึ่งปล่อยให้อาชญากรเพียงคนเดียวสามารถเข้ามาสู่เครือข่ายขององค์กรได้นั้นแปลว่าอาจเกิดการโจรกรรมข้อมูลและทำให้องค์กรดังกล่าวกลายเป็นเป้าหมายของการโจมตีและโจรกรรม
ขณะอีเมลจะเป็นเครื่องมือในการสื่อสารที่สำคัญที่สุดในการทำธุรกิจ แต่มันก็ยังเป็นช่องทางที่อันตรายที่สุดเมื่อประกอบกับการที่การโจมตีทางไซเบอร์นับวันก็ยิ่งทวีคูณปริมาณและความซับซ้อน ความร้ายแรงและความเสียหายที่เกิดจากฟิชชิ่งนั้นยังคงเกิดขึ้นอย่างต่อเนื่อง จึงเป็นเรื่องจำเป็นมากที่องค์กรจะมีความเข้าใจเกี่ยวกับการฟิชชิ่งเพื่อต่อสู้กับปัญหาความปลอดภัยทางอีเมลดังกล่าวนี้
ประเภทของการโจมตีแบบฟิชชิ่ง
ฟิชชิ่งนั้นมีหลายรูปแบบเนื่องจากอาชญากรไซเบอร์เริ่มมีความรู้มากขึ้นและเริ่มสร้างสรรค์เทคนิคใหม่ๆเพื่อใช้ในการโจมตี โดยวิธีการที่หลากหลายนั้นมีจุดมุ่งหมายร่วมกันคือเพื่อทำการโจรกรรมเอกลักษณ์บุคคลหรือถ่ายทอดมัลแวร์ ต่อไปนี้เป็นการอธิบายการโจมตีข้อมูลรูปแบบต่างๆ
1.การฟิชชิ่งแบบพุ่งเป้าเจาะจง (Spear Phishing)
การโจมตีทางอีเมลทั่วไปจะใช้วิธีการกระจายส่งครั้งละเป็นพันๆอีเมล แต่การฟิชชิ่งแบบพุ่งเป้าเจาะจง (Spear Phishing) เป็นการโจมตีแบบมีเป้าหมายชัดเจนคือบุคคลบางคนภายในองค์กร ในการหลอกลวงประเภทนี้ เหล่าแฮกเกอร์จะเขียนอีเมลให้มีชื่อ ตำแหน่ง เบอร์โทรศัพท์ และข้อมูลอื่นๆ ของบุคคลที่เป็นเป้าหมายนั้นเพื่อหลอกให้ผู้เคราะห์ร้ายเชื่อว่าต้นทางอีเมลนั้นรู้จักตัวเองเป็นการส่วนตัวหรือทางธุรกิจ การฟิชชิ่งแบบพุ่งเป้าเจาะจงมักมาจากองค์กรที่มีทรัพยากรในการค้นคว้าข้อมูลและปฏิบัติการการโจมตีรูปแบบที่ค่อนข้างซับซ้อนนี้
2.การโจมตีแบบพุ่งเป้าเจาะจงไปที่กลุ่มผู้บริหาร (Whaling)
การโจมตีรูปแบบนี้เป็นหนึ่งในรูปแบบของการฟิชชิ่งแบบพุ่งเป้าเจาะจง (Spear Phishing) ซึ่งมีเป้าหมายโจมตีกลุ่มผู้บริหาร (whales) เนื่องจากกลุ่มคนเหล่านี้จะสามารถเข้าถึงข้อมูลสำคัญของบริษัทได้อย่างค่อนข้างอิสระ ทำให้สิ่งที่อาจได้รับจากการโจมตีแบบนี้มีค่ามากขึ้น การโจมตีแบบพุ่งเป้าเจาะจงไปที่กลุ่มผู้บริหาร มักมาจากองค์กรทางอาชญากรรมที่มีทรัพยากรเพียงพอที่จะสามารถกระทำการโจมตีรูปแบบนี้ได้
3.การโจมตีผ่านการแฝงตัวเป็นผู้บริหาร (BEC: Business Email Compromise)
เป็นการปลอมแปลงตนเป็นผู้บริหารชั้นอาวุโสเพื่อหลอกลวงพนักงาน ลูกค้า และผู้ขายเพื่อโอนถ่ายการชำระเงินค่าสินค้าหรือบริการมายังบัญชีธนาคารอื่นแทน โดยข้อมูลจาก FBI’s 2019 Internet Crime Report ระบุว่าการโจมตีแบบ (BEC) ถือเป็นการโจมตีที่สร้างความเสียหายและมีประสิทธิภาพมากที่สุดในบรรดาอาชญากรรมไซเบอร์ทั้งหมดในปี 2019
4.โคลนฟิชชิ่ง (Clone Phishing)
การโจมตีประเภทนี้คือเมื่อผู้โจมตีสร้างอีเมลลอกเลียนแบบอีเมลจริง เช่น อีเมลแจ้งเตือนจากธนาคาร เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลสำคัญ โดยอาชญากรจะทำการเปลี่ยนลิงค์หรือไฟล์ที่แนบมากับอีเมลต้นฉบับ นอกจากนี้ อีเมลนี้ยังมักใช้ชื่ออีเมลที่คล้ายคลึงกับชื่อของผู้ส่งอีเมลจริงเพื่อให้ยากต่อการสังเกตุเห็นความผิดปกติ
5.การฟิชชิ่งด้วยเสียง (Vishing)
การฟิชชิ่งด้วยเสียงคือการที่อาชญากรปลอมแปลงเบอร์โทรศัพท์ที่ขึ้นแสดงในรายชื่อเบอร์โทรในโทรศัพท์ของบุคคลที่เป็นเป้าหมาย โดยทำให้ขึ้นเป็นเบอร์โทรขององค์กรนี่น่าเชื่อถือและเป็นที่รู้จักดี เช่น ธนาคาร เพื่อให้เหยื่อหลงกลและกดรับโทรศัพท์ จากนั้นอาชญากรจะปลอมตัวเป็นเจ้าหน้าที่และใช้กลยุทธ์ชั้นเชิงในการบังคับให้บุคคลนั้นต้องชำระเงินโดยอ้างว่าบุคคลนั้นได้ติดหนี้หรือมียอดค้างชำระกับองค์กรดังกล่าวอยู่ การฟิชชิ่งด้วยเสียงยังสามารถทำโดยการฝากข้อความเสียงเพื่อให้เหยื่อโทรกลับภายหลัง และเมื่อเหยื่อได้โทรกลับแล้ว เขาก็อาจถูกหลอกให้ใส่ข้อมูลส่วนตัวหรือเลขบัญชีธนาคาร
6.การสโนว์ชู (Snowshoeing)
ในการโจมตีแบบสโนว์ชู ผู้โจมตีจะพยายามหลีกเลี่ยงฟังชั่นการกรองอีเมลขยะ พวกเขาจะกระจายส่งข้อความผ่านทางโดเมนและที่อยู่ IP ที่แตกต่างกันในจำนวนน้อย เพื่อให้เทคโนโลยีตรวจจับอีเมลขยะที่ใช้ปริมาณเป็นการคัดกรองไม่สามารถระบุและบล็อคอีเมลเหล่านี้ได้ทันที ทำให้ข้อความบางส่วนสามารถหลุดรอดเข้าไปในกล่องข้อความได้ก่อนที่ระบบคัดกรองจะบล็อค
7 วิธีการสังเกตการฟิชชิ่ง
ด้านล่างนี้จะเป็นการเสนอ 7 วิธีที่จะช่วยให้คุณสามารถระบุอีเมลที่น่าสงสัยเพื่อยับยั้งการโจมตีก่อนที่จะเกิดความเสียหาย
1.คิดไว้เสมอว่าทุกอีเมลที่ได้รับอาจเป็นการฟิชชิ่ง
ฟังดูสุดโต่ง แต่การที่ผู้ใช้จะพิจารณาอีเมลหนึ่งอย่างถี่ถ้วนเพื่อเช็คว่าเป็นของจริงหรือไม่นั้นเป็นเรื่องที่สำคัญมาก ผู้ใช้ไม่ควรจะวางใจระบบคัดกรองอีเมลขยะเป็นอย่างเดียวเนื่องจากเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมนั้นไม่สามารถก้องกันการโจมตีบางรูปแบบได้ บางองค์กรได้เริ่มใช้แพลตฟอร์ม zero-trust network access (ZTNA) เพื่อให้การเชื่อมต่อให้อยู่ในขอบเขตแอพลิเคชั่นส่วนตัวเท่านั้นเพื่อลดการเชื่อมต่อแอพลิเคชั่นกับอินเตอร์เน็ต
2.เช็คที่อยู่อีเมล
หนึ่งในวิธีการป้องกันการฟิชชิ่งที่ดีที่สุดคือการเช็คที่อยู่อีเมลต้นทางให้แน่ใจว่าเป็นของจริง เป็นสิ่งที่ต้องทำทุกครั้งที่ได้รับอีเมลจากธนาคาร บริการทางการเงิน ร้านค้า หรือหน่วยงานรัฐ โดยเฉพาะเมื่อเป็นอีเมลที่ไม่เคยได้รับมาก่อน
3.อ่านอีเมล
เปิดตัวอีเมลและอ่านให้รอบคอบ ผู้ใช้ควรจะสามารถแยกแยะได้ยากบางส่วนประกอบดูเหมือนจะไม่ถูกต้อง ตั้งคำถามเช่น:
อีเมลนี้ดูเร่งด่วนหรือไม่
อีเมลนี้กำลังนำเสนออะไรที่ “ดีเกินกว่าจะเป็นจริง” ให้กับคุณหรือไม่
คุณเคยเปิดบัญชีใดๆกับบริษัทที่ส่งอีเมลมานี้หรือไม่
หากมีบางอย่างที่ดูน่าสงสัย อย่าทำอะไรต่อกับอีเมลดังกล่าว
4.เช็คไวยากรณ์และการสะกดคำ
ไวยากรณ์ การสะกดคำ และการจัดรูปแบบมักเป็นสัญญาณบ่งบอกความผิดปกติได้ดี อีเมลเป็นทางการจากธนาคาร บริษัทบัตรเครดิต บริการทางการเงิน หรือหน่วยงานรัฐจะไม่มีการสะกดคำผิดและจะใช้ภาษาเชิงธุรกิจที่มีความเป็นทางการเท่านั้น หากคุณเคยชินกับการใช้คำและโทนเสียงของอีเมลเหล่านั้นเป็นปกติและพบว่าอีเมลนี้ที่คุณได้รับนั้นมีความแตกต่าง ก็มีความเป็นไปได้ว่าจะเป็นอีเมลฟิชชิ่ง
5.หาชื่อของคุณ
นอกจากไวยากรณ์และการสะกดคำ คุณต้องมองหาองค์ประกอบอื่นที่เกี่ยวข้องกับชื่อของคุณและคำที่ใช้เรียกคุณ บริษัทที่มีตัวตนจริงๆ โดยเฉพาะบริษัทที่คุณมีบัญชีหรือเคยติดต่อกันมาก่อน จะไม่ใช้คำเรียกที่ไม่เฉพาะเจาะจง การทักทายด้วยคำพูดทั่วไป (เช่น เรียนคุณนาย) อาจเป็นตัวบ่งบอกการหลอกลวงได้
6.มองหาข้อเรียกร้อง
เวลาพิจารณาอีเมลให้มองหาข้อเรียกร้องบางอย่างที่ดูเจาะจงและผิดปกติ อีเมลปลอมส่วนมากจะขอให้ผู้รับตอบกลับอีเมลหรือกดลิงค์ที่แแนบมา หากดูมีความเร่งรีบผิดปกติมักเป็นจุดบ่งบอกถึงสถานการณ์การฟิชชิ่ง
7.มองหาลิงค์หรือไฟล์แนบ
จุดมุ่งหมายของอาชญากรคือการทำให้เป้าหมายกดลิงค์หรือดาวน์โหลดไฟล์ที่แนบมา เพราะการกระทำเช่นนั้นจะทำให้มัลแวร์ถูกดาวน์โหลดลงเครื่องของผู้รับโดยอัตโนมัติ หากต้องการตรวจสอบความถูกต้องของลิงค์ที่ได้รับ ให้ผู้ใช้เลื่อนลูกศรไปบนลิงค์ หากลิงค์ดังกล่าวปรากฏเป็น URL ยาวๆที่มีโดเมนที่ไม่คุ้นเคย ส่วนมากจะปรากฏบริเวณมุมซ้ายล่างของหน้าจอ ผู้ใช้ไม่ควรกดเข้าลิงค์นั้น เช่นเดียวกับกันไฟล์ที่แนบมา โดยแม้ว่าชื่อไฟล์อาจดูเหมือนไม่มีพิษมีภัย เช่น “รายงานประจำเดือน” และมาในรูปแบบที่คุ้นเคยอย่าง PDF ก็อาจเป็นมัลแวร์ได้และไม่ควรกดเข้าไปหรือดาวน์โหลด
วิธีป้องกันตัวเองจากการฟิชชิ่ง
ด้านล่างนี้เป็นวิธีการที่องค์กรของคุณจะสามารถใช้เพื่อป้องกันพนักงานและเครือข่ายขององค์กรจากการโจมตีแบบฟิชชิ่ง แม้ว่าการเทรนพนักงานเกี่ยวกับเรื่องนี้จะเป็นการป้องกันที่ดีที่สุดขององค์กร แต่ก็ยังมีวิธีการบางอย่างที่ตัวองค์กรเองสามารถทำได้เพื่อป้องกันเพิ่มเติม
1.ใช้ฟังชั่นคัดกรองอีเมลขยะ
นี่ถือเป็นขั้นตอนพื้นฐานที่สุดที่องค์กรสามารถทำได้ โปรแกรมอีเมลส่วนใหญ่ (เช่น Outlook หรือ G Suite) มีตัวคัดกรองอีเมลขยะเพื่อให้สามารถระบุอีเมลขยะได้โดยอัตโนมัติ
2.อัพเดตซอฟแวร์รักษาความปลอดภัยอย่างเป็นประจำ
องค์กรต่างๆควรต้องแน่ใจว่าระบบรักษาความปลอดภัยต่างๆของตนนั้นอัพเดตอยู่ตลอดเพื่อให้ระบบสามารถตรวจจับและกำจัดมัลแวร์หรือไวรัสที่เข้ามายังพีซีของพนักงานโดยบังเอิญผ่านทางการฟิชชิ่ง นอกจากนี้ ควรมีการอัพเดตนโยบายด้านความปลอดภัย โดยควรให้รหัสผ่านมีวันหมดอายุและมีความซับซ้อนมากขึ้น
3.ใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA: Multi-Factor Authentication)
การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) เป็นการที่บุคคลหนึ่งต้องใช้ข้อมูลหลายชุดเพื่อลงชื่อเข้าใจและสามารถเข้าถึงข้อมูลได้ สิ่งนี้สำคัญมากในกรณีที่อาชญากรสามารถขโมยหลักฐานยืนยันตัวตนของพนักงานหลายๆคนไปได้แล้ว หากยิ่งใช้ MFA ร่วมกับการยืนยันตัวตนด้วยข้อมูลทางชีวมิติ (biometric authentication) จะทำให้สามารถบล็อคอาชญากรได้
4.แบคอัพข้อมูล
การเปลี่ยนข้อมูลทั้งหมดเป็นรหัสและแบคอัพทั้งหมดไว้เป็นสิ่งที่จำเป็นมากโดยดฉพาะในสถานการณ์ฉุกเฉิน
5.อย่ากดลิงค์หรือไฟล์ที่แนบมา
อย่างที่ได้อธิบายไปในส่วนที่แล้ว องค์กรต้องให้ความรู้พนักงานในเครื่องการสังเกตลิงค์และไฟล์ที่แนบมาที่ดูผิดวิสัย รวมถึงสอนให้พวกเขาหลีกเลี่ยงการคลิกหรือดาวน์โหลดอะไรก็ตามจากแหล่งที่พวกเขาไม่เชื่อถือ
6.บล็อคเว็ปไซต์ที่ไม่น่าเชื่อถือ
ตัวกรองเว็ปสามารถช่วยบล็อคการเข้าถึงเว็ปไซต์ที่มีจุดประสงค์ร้ายในกรณีที่มีพนักงานกดเข้าลิงค์อันตรายอย่างไม่ได้ตั้งใจ
การป้องกันการฟิชชิ่งสำหรับองค์กร
การฟิชชิ่งที่มีเป้าหมายเป็นบริษัทหรือเครือข่ายธุรกิจอาจสร้างความเสียหายมากเป็นพิเศษ พนักงานที่ไม่ได้ระวังตัวไม่กี่คนก็สามารถทำให้อาชญากรสามารถเข้าถึงข้อมูลสำคัญของบริษัทได้ เช่น ข้อมูลธนาคารและบัตรเครดิตของลูกค้า ความเป็นไปได้ที่จะเกิดภัยไซเบอร์นั้นสูงมาก องค์กรต่างๆจึงต้องปกป้องตัวพวกเขาเองด้วยการใช้กลยุทธ์ด้านความปลอดภัยรูปแบบต่างๆ
การใช้ Sandbox
Sandbox พื้นที่ที่แยกตัวออกมาไว้ใช้สำหรับทดสอบการทำงานของโปรแกรมหรือเปิดใช้งานไฟล์ต่างๆโดยที่ไม่สร้างผลกระทบต่อแอพลิเคชั่นหรือระบบที่เกี่ยวข้อง เราสามารถใช้ Sandbox เพื่อตรวจจับและทดสอบซอฟแวร์ที่อาจมีความอันตราย เป็นการป้องกันการฟิชชิ่งและภัยรูปแบบอื่นๆอีกหนึ่งชั้น
การตรวจสอบการเข้าใช้เว็ปไซต์
การมีเว็ปเกตเวย์ที่หนาแน่นจะทำให้สามารถบันทึกและตรวจสอบการใช้งานเว็ปไซต์ได้อย่างชัดเจน สามารถควบคุม URL และแอพลิเคชั่น และป้องกันมัลแวร์ได้
การอบรมให้ความรู้พนักงาน
การอบรมให้ความรู้อย่างสม่ำเสมอเป็นการป้องกันจากการโจมตีเหล่านี้ได้อย่างดีที่สุด ไม่ใช่แค่การสอนให้ใช้เครื่องมือ (ตัวกรองและการยืนยันตัวตน) แต่ยังครอบคลุมถึงการสร้างความตระหนักรู้ (สังเกตลิงค์อันตรายและรู้วิธีการรายงานการฟิชชิ่ง)
การรักษาความปลอดภัยของอีเมล
เพื่อให้เกิดความปลอดภัยขั้นสูง บริษัทต่างๆควรคำนึงถึงการใช้เกตเวย์อีเมลที่มีความแน่นหนา FortiMail เป็นทางเลือกที่ครอบคลุมและแน่นหนาในการตรวจสอบการเข้าและออกของอีเมล
