เผยครี่งปีแรกตรวจจับฟิชชิ่ง (Phishing) หลอกขโมยข้อมูลผู้ใช้ในไทย 1.5 ล้านครั้ง ขณะที่ประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้ หลังโดนโจมตีมากกว่า 14 ล้านครั้ง…

highlight

  • ภูมิภาคอาเซียนตกเป็นเป้าหมายในการโจมตี มากถึง 14 ล้านครั้ง ประเทศที่ถูกโจมตีโดยจากหลอกขโมยข้อมูล (Phishing) ผ่านเว็บปลอมมากที่สุด ได้แก่ ประเทศเวียดนาม มาเลเซีย และอินโดนีเซีย มากกว่า 11 ล้านครั้ง ขณะที่ประชาชนใน 5 ประเทศ ที่ตกเป็นเหยือโจมตีสำเร็จมากสุดได้แก่ ฟิลิปปินส์, มาเลเซีย, อินโดนีเซีย, ประเทศไทย และเวียดนาม
  • การหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น

อาเซียนอ่วม ฟิชชิ่ง ระบาทหนัก!! ไทยไม่รอดโดน 1.5 ล้านครั้ง

จากการเปิดเผยการตรวจจับภัยคุกคามในช่วงครึ่งปีแรก พบภูมิภาคอาเซียนตกเป็นเป้าหมายในการโจมตี มากถึง 14 ล้านครั้ง เมื่อพิจารณาลงเป็นรายประเทศพบมีความพยายามในการดึงผู้ใช้ตรงไปยังเว็บไซต์ “Phishing” ปริมาณสูงสุด ได้แก่ ประเทศเวียดนาม มาเลเซีย และอินโดนีเซีย มากกว่า 11 ล้านครั้งรวมกัน 

และฟิลิปปินส์มากกว่า 1 ล้าน โดยมีจำนวนเหยื่อฟิชชิ่งมากที่สุด คือ 17.3% สูงกว่าปีที่แล้วที่มีจำนวนเหยื่อ 10.449% ซึ่งคิดเป็นอัตราที่เพิ่มขึ้นถึง 65.56% เลยทีเดียว ด้านมาเลเซียตามอยู่ที่ 15.829% (ครึ่งปีแรก 2018 อยู่ที่ 11.253%) ตามมาด้วยอินโดนีเซียที่ 14.316% (ครึ่งปีแรก 2018 อยู่ที่ 10.719%)

ขณะที่ประเทศไทยเองก็ไม่รอดหลังตรวจสอบพบมียูสเซอร์โดนโจมตีมากถึง 1.5 ล้านครั้ง คิดเป็น 11.972% (ครึ่งปีแรก 2018 อยู่ที่ 10.9%) ด้านเวียดนาม 11.703% (ครึ่งปีแรก 2018 อยู่ที่ 9.481%) ส่วนสิงคโปร์เพียง 351,510 ครั้ง คิดเป็น 5% (ครึ่งปีแรก 2018 อยู่ที่ 4.142%) 

โดยวิธีการที่อาชญากรไซเบอร์ยังนิยมใช้ คือ การหลอกล่อให้เป้าหมายเข้าเว็บไซต์ปลอม ที่แม้จะเป็นวิธีเก่าแต่ก็ยังคงใช้ได้ผลเสมอ เพราะผู้ใช้ขาดความระมัดระวังในการตรวจสอบรายละเอียดที่แตกต่างกัน ขณะที่ข้อมูลที่ถูกขโมยมากที่สุดยังคงเป็น หมายเลขบัตรเครดิต รวมถึงพาสเวิร์ดบัญชีธนาคาร และแอปพลิเคชันการเงินต่าง ๆ

ฟิชชิ่ง

ความต้องการความคล่องตัวกลายเป็นปัจจัยเสี่ยง

โย เซียง เทียง ผู้จัดการทั่วไป Kaspersky ภูมิภาคเอเชียตะวันออกเฉียงใต้ ให้ความเห็นว่า แม้ว่าหน่วยงานรัฐ และภาคเอกชนต่างประกาศเตือนผู้ใช้อยู่เสมอไม่ให้เปิดเผยข้อมูลส่วนตัวในอินเทอร์เน็ต แต่เพราะภูมิภาคของเราประกอบด้วยประชากรรุ่นใหม่ที่มีความคล่องตัวสูง คนรุ่นใหม่จะซื้อโทรศัพท์เครื่องใหม่

และจะคำนึงแต่เรื่องความปลอดภัยเฉพาะที่ตัวเครื่องไม่ใช่เวอร์ชวล วันนี้จึงยังจำเป็นต้องให้ความรู้เรื่องความเสี่ยงของฟิชชิ่งซึ่งเป็นการโจมตีไซเบอร์ทั่วไปอย่างต่อเนื่อง เราต้องเร่งเปลี่ยนผู้ใช้อินเทอร์เน็ตในภูมิภาคนี้ให้เป็นผู้ใช้ที่รู้เท่าทันและสามารถแยกแยะกลโกงต่าง ๆ ได้

ตัวอย่างสำหรับวิธีการมักจะมีการใช้วิธีแจ้งไปยังเมลล์ส่วนตัวที่ผู้ใช้ที่มักเผลอไปลงทะเบียนในเว็บต่าง ๆ แล้วใช้ข้อความส่งไปยังเมลล์นั้น ๆ ว่า “บัญชีธนาคารของคุณมีการจ่ายเงินซื้อของไปหากคุณไม่ได้ทำรายการซื้อนี้ ให้คลิกเพื่อเข้าไปแก้ไขข้อมูล” แต่ในเนื้ออีเมลจะใส่ URL เว็บไซต์ปลอม

ซึ่งมีหน้าตาเหมือนกับเว็บไซต์ของธนาคารที่ผู้ใช้บริการ แต่แอบให้ใส่ช่องให้กรอกล็อกอิน และรหัสผ่าน เมื่อหลงเชื่อกรอกข้อมูล ก็จะปรากกฏข้อความหน้าเว็บไซต์ปลอม อาทิ “ระบบขัดข้อง ไม่สามารถเข้าใช้งานได้ในเวลานี้” หรือ “รหัสผ่านไม่ถูกต้อง” แต่เมื่อถึงขั้นตอนนี้นั่นหมายถึงผู้ใช้ที่หลงเชื่อได้ถูกเก็บข้อมูลล็อกอิน และรหัสผ่านไปเรียบร้อยแล้ว

ภัยคุกคามที่เก่าแต่เก๋าตัวนี้มีอยู่จริงในภูมิภาคเอเชียตะวันออกเฉียงใต้นี้ และไม่มีทีท่าจะหมดไปในเร็วๆนี้

ฟิชชิ่ง

การหา “รหัสผ่าน” ของเหล่าแฮกเกอร์

แฮ็คเกอร์จะเก็บรวบรวมข้อมูของเหยื่อและใช้เทคนิค Social Engineering พุ่งตรงไปยังเป้าหมายเพื่อขโมยข้อมูลความลับต่างๆ แทนที่จะเป็นการโจมตีแบบหว่านหาเหยื่อไปทั่ว ที่สำคัญคือ เว็บ “Phishing” จำนวนมากในปัจจุบันถูกซ่อนอยู่ภายใต้โดเมนที่ถูกต้อง ยากต่อการตรวจจับ นั่นทำให้เกิดความไม่ปลอดภัยในองค์กรมากขึ้น

ซึ่งผู้เขียนเคยหยิบยกเรื่องกลวิธีวิธีการหารหัสผ่านของเหล่าแฮกเกอร์ ไปแล้วซึ่งหลาย ๆ ครั้ง มักจะมาในรูปแบบที่ “เข็มขัดสั้น” (คาดไม่ถึง) อยู่เสมอ ไม่ว่าจะเป็นการมาในรูปแบบของ บัตรของขวัญ (Gift Vouchers) ซึ่งอาศัยความโลภ

แล้วสร้างเว็บไซต์ปลอมเลียนแบบเว็บไซต์ของบริษัทที่มีชื่อเสียงเป็นที่รู้จัก เช่น iTunes, Google Play, Amazon หรือ Steam เพื่อเสนอให้บัตรของขวัญ และหลอกให้เข้าใจผิดว่าหากเข้าร่วมกิจกรรมจะได้รับบัตรของขวัญเป็นสิ่งตอบแทน ขณะที่เดียวกันก็ยังมีความพยายามที่จะขโมยข้อมูลจากแอปยอดนิยมต่าง

เช่น Uber, Netflix และ Spotify  โดยเป็นทั้งการเจาะเข้าไปเอาข้อมูลโดยตรง เช่น กรณี ที่ข้อมูลผู้ใช้ Uber หลุดกว่า 50 ล้านบัญชี ก็เป็นตัวอย่างหนึ่งที่สะท้อนถึงความพยายามของเหล่าแฮกเกอร์ แล้วเชื่อหรือไม่ว่าข้อมูลของคุณที่ถูกขโมยนั้นอาจมีราคาขายไม่ถึง 1 เหรียญ เลยด้วยซ้ำ แน่นอนว่าช่องทางเว็บเบราว์เซอร์ต่าง ๆ

ที่ใช้กันอย่างหลากหลายไม่เหมือนในประเทศต่าง ๆ ทั่วโลก ก็มีความเสี่ยงด้วยเช่นกัน โดยตัวเลขที่ได้มีการสำรวจในปี 2017 พบว่าแฮกเกอร์ส่วนใหญ่มุ่งโจมตีคือบัญชีผู้ใช้งาน Google โดยมีสัดส่วนถึง 35% ในขณะที่ 4 อันดับรองลงมาคือ Chase (15%), Dropbox (13%), Paypal (10%) และ Facebook (7%) และจะปิดตัวเองลงภายในระยะเวลา 4 ถึง 8 ชั่วโมง เพื่อหลบหลีกการตรวจจับที่จะบล็อกเว็บไซต์

อีกวิธียอดนิยมที่เหล่าแฮกเกอร์ชอบใช้คือการส่ง SMS ไปยังเบอร์โทรศัพท์มือถือส่วนตัวของผู้ใช้งาน ที่มักจะถูกระบุไว้ให้กรอกเวลาสมัครใช้บริการต่าง ๆ เพื่อใช้หลอกให้เป้าหมายรีบติตด่อกลับไปยังลิงค์ที่แนบไปในข้อความนั้น ๆ ทันที อย่าเพิ่งคิดว่าจะหมดเพียงเท่านี้ เพราะล่าสุดก็มีการออกเปิดเผยจาก thaicert ว่า

ปัจจุบันเริ่มมีการใช้วิธีส่งอีเมลแต่ไม่ระบุข้อความเชิงหลอกลวง ไม่มีลิงก์ แต่จะมีแค่ QR code ที่อ้างว่าใช้สำหรับเข้าไปยังหน้าดาวน์โหลด หากเหยื่อหลงเชื่อยกมือถือขึ้นมาสแกนก็จะถูกพาไปยังหน้าเว็บไซต์ปลอมที่ทำหลอกว่าเป็นหน้าล็อกอินของบริการ SharePoint

เทคนิคนี้ทำให้แฮกเกอร์สามารถข้ามระบบตรวจจับ และป้องกันการโจมตีได้ และการยกโทรศัพท์มือถือขึ้นมาสแกน QR code นั้นยังทำให้ระบบตรวจจับฟิชชิ่งหรือมัลแวร์ขององค์กรไม่สามารถช่วยป้องกันได้ด้วยเพราะส่วนใหญ่แล้วผู้ใช้จะใช้อุปกรณ์ส่วนตัวในการดำเนินการ

รวมถึงเบราว์เซอร์ของโทรศัพท์มือถืออาจไม่ได้มีการแสดง URL ที่ชัดเจนพอ ทำให้ผู้ใช้ตรวจสอบเว็บไซต์ปลอมได้ยากขึ้น ความสะดวกนี้ ทำให้เกิดความคุ้นชินเนื่องจากความสามารถในการแชร์ลิงก์ในรูปแบบ QR code นั้นเป็นคุณสมบัติของ SharePoint อยู่แล้ว และอาจมีหลายหน่วยงานที่ใช้งานในลักษณะนี้อยู่

ในหลาย ๆ ครั้งการหลอกลวงแบบ “Phishing” จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น

ฟิชชิ่ง

ขั้นตอนหลีกเลี่ยงการตกเป็นเหยื่อ

  • ระแวดระวังอีเมลน่าสงสัยอยู่เสมอ ถ้าอีเมลมีเนื้อหาที่ดีเกินกว่าจะเป็นเรื่องจริง ให้เช็คซ้ำๆ ถ้าเป็นอีเมลที่อ้างว่ามาจากธนาคาร ควรโทรศัพท์ไปตรวจสอบกับธนาคารทันที โดยปกติแล้ว ธนาคารจะไม่สอบถามพาสเวิร์ดทางอีเมล แต่มักจะพูดคุยสอบถามข้อมูลหรือให้กรอกแบบฟอร์มที่ธนาคาร
  • หากใช้อีเมลฟรี ควรมีอีเมล 2 บัญชี บัญชีแรกสำหรับใช้งานหลักและอีกบัญชีสำหรับใช้งานเว็บไซต์ที่ต้องล็อกอินเพื่ออ่านข่าวหรือแจ้งข้อมูลต่างๆ
  • สมาร์ทโฟนทุกเครื่องไม่ได้ปลอดภัย จึงควรระวังข้อความที่จะพาไปยังเว็บไซต์ต่างๆ มีซอฟต์แวร์ประสงค์ร้ายมากมายที่สามารถดึงข้อมูลจากแอปในเครื่องได้
  • ใชโซลูชั่นเพื่อความปลอดภัยที่เชื่อถือได้ที่มีฟีเจอร์แอนตี้ฟิชชิ่งและปกป้องการใช้จ่ายออนไลน์
  • วิธีป้องกันตัวจากฟิชชิ่งที่ดีที่สุดคือการพิจารณาอีเมล และข้อความที่ได้รับอย่างละเอียดรอบคอบ ในยุคดิจิทัลนี้ การระมัดระวังมากเกินไปไม่ก่อให้เกิดความเสียหาย โดยเฉพาะเมื่อเป็นเรื่องที่เกี่ยวข้องกับธุรกรรมทางการเงินออนไลน์

*Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับ อนุญาต หรือสร้างความเสียหายในด้านอื่นๆ เช่น ด้านการเงิน เป็นต้น

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว)
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com
**** ข้อมูลบางส่วนจาก https://www.thaicert.or.th

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่