ฟิชชิ่ง(Phishing) (ออกเสียงว่า ฟิชชิ่ง) เป็นกระบวนการที่ดึงดูดให้คุณให้ข้อมูลส่วนตัวโดยใช้เทคโนโลยีการสื่อสารทางอิเล็กทรอนิกส์ เช่น อีเมล การปลอมแปลงให้มาจากแหล่งที่ถูกต้อง ฟิชชิ่ง(Phishing)เป็นหนึ่งในวิธีการก่ออาชญากรรมออนไลน์ที่พุ่งสูงขึ้นอย่างรวดเร็วซึ่งใช้ในการขโมยข้อมูลส่วนบุคคล
ฟิชชิ่งคืออะไร?
โดยทั่วไป อีเมลฟิชชิ่งจะพยายามรับข้อมูลที่มีค่า เช่น your
- หมายเลขบัตรเอทีเอ็ม / บัตรเครดิต
- หมายเลขบัญชีธนาคาร
- เข้าสู่ระบบบัญชีออนไลน์
- หมายเลขประกันสังคม ฯลฯ
ข้อมูลที่ถูกขโมยสามารถใช้เพื่อดำเนินการขโมยข้อมูลประจำตัวหรือขโมยเงินจากบัญชีธนาคารของคุณ การขโมย ข้อมูลประจำตัว(Identity)หมายความว่าผู้แคร็กเกอร์สามารถปลอมตัวเป็นผู้ที่มีข้อมูลที่เขาได้รับและดำเนินกิจกรรมต่าง ๆ ในนามของพวกเขา
ฟิชชิ่งประเภททั่วไป
ฟิชชิงดำเนินการด้วยวิธีการต่างๆ โดยทั่วไปแล้วจะผ่านทางอีเมล เว็บไซต์ และทางโทรศัพท์
- อีเมลฟิชชิ่ง(Phishing Emails) : อีเมลที่ปลอมแปลงมาจากแหล่งที่ถูกต้องจะถูกส่งไปยังเหยื่อซึ่งส่วนใหญ่จะขอรายละเอียดที่กล่าวถึงก่อนหน้านี้
- เว็บไซต์ฟิชชิ่ง(Phishing websites) : เว็บไซต์ที่มีลักษณะคล้ายกับบริษัทหรือธนาคารจริง ๆ ถูกตั้งค่าไว้ซึ่งอาจทำให้เหยื่อเข้าใจผิดในการป้อนรายละเอียดที่สำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน
- โทรศัพท์แบบ ฟิชชิ่ง(Phishing phone calls) : โทรออกไปยังเหยื่อในนามของธนาคารหรือสถาบันที่คล้ายคลึงกัน เหยื่อถูกบังคับให้ป้อนหรือบอกข้อมูลที่เป็นความลับ เช่นหมายเลขPIN
อ่านรายละเอียด(Detailed read) : ประเภทของฟิชชิ่ง – แผ่นโกง(Types of Phishing – Cheat Sheet.)
ลักษณะของการโจมตีแบบฟิชชิ่ง
ต่อไปนี้เป็นลักษณะเฉพาะบางประการที่เกี่ยวข้องกับอีเมลหรือเว็บไซต์ฟิชชิ่ง
Request for submitting personal information – most companies do not ask their customers to submit confidential data via emails. So if you find an email asking for your credit card number, there is a high probability that it is a phishing attempt.
The sense of urgency – most phishing emails demand immediate action. Emails saying your account will be deactivated in a day if you don’t enter your credit card number is an example.
Generic salutation – Phishing emails generally start with a Dear customer instead of the user’s name.
Attachments – Phishing emails might also have attachments with them which will mostly contain malware.
- ลิงค์ที่แสดงจะเป็นรูปภาพในขณะที่ลิงค์จริงอาจแตกต่างกัน
- ลิงก์จริงสามารถปกปิดได้โดยใช้HTML ดังนั้น(Thus)ข้อความที่แสดงจะเป็น http://websitename.com/ ในขณะที่ชุดไฮเปอร์ลิงก์จะเป็น http://www.othersite.com
- อีกวิธีหนึ่งคือการใช้ @ ในลิงก์ หากลิงก์มีเครื่องหมาย '@' URL ที่ คุณนำไปจะเป็น URL หลังเครื่องหมาย '@' ตัวอย่างเช่น หากลิงก์คือ www.microsoft.com/ [email protected] /?=true URLจริงที่คุณจะถูกนำไปคือweb.com?=true
- ลิงค์ที่มีตัวเลขแทนชื่อเว็บไซต์ ตัวอย่าง: www.182.11.22.2.com
หมายเหตุ: หากต้องการดูURLเพียงวางเมาส์เหนือลิงก์ (แต่อย่าคลิก) แล้วลิงก์จะแสดงขึ้น
- ไวยากรณ์และการสะกดคำ ไม่(Bad)ถูกต้อง – มีโอกาสสูงที่อีเมลฟิชชิ่งอาจมีไวยากรณ์ที่ไม่ถูกต้องและการสะกดผิด
- เว็บไซต์ฟิชชิงอาจดูเหมือนเว็บไซต์ดั้งเดิมทุกประการ แต่URL ของเว็บไซต์ อาจแตกต่างออกไปเล็กน้อยหรือแตกต่างไปจากเดิมอย่างสิ้นเชิง ดังนั้น ตรวจสอบให้แน่ใจว่าURLเป็น URL ที่ถูกต้องเมื่อคุณเยี่ยมชมเว็บไซต์
- นอกจากนี้ เว็บไซต์ที่ถูกต้องตามกฎหมายยังใช้SSLเพื่อปกป้องข้อมูลของคุณเมื่อป้อนข้อมูลของคุณ ตรวจสอบ ให้(Make)แน่ใจว่าURLเริ่มต้นด้วยhttps:// แทนที่จะเป็นHTTP :// สำหรับหน้าที่คุณต้องส่งชื่อผู้ใช้/รหัสผ่าน หรือข้อมูลส่วนตัวอื่นๆ
อ่าน: (Read:) ข้อควรระวังก่อนที่คุณจะคลิกลิงก์ใด(Precautions to take before you click on any link)ๆ
กฎง่ายๆ เพื่อความปลอดภัยจากฟิชชิ่ง
- หากคุณพบอีเมลที่น่าสงสัย อย่าคลิกURL(URLs) ของอีเมลนั้น หรือดาวน์โหลดไฟล์แนบ คุณยังสามารถรายงานอีเมลฟิชชิ่ง(report Phishing emails)ใน Outlook.com ได้อีกด้วย
- อย่าตอบกลับอีเมลที่น่าสงสัยพร้อมข้อมูลส่วนตัวของคุณ
- ใช้เบราว์เซอร์ที่มาพร้อมกับการป้องกันฟิชชิ่ง เช่น IE, Firefox , Opera , Chrome เวอร์ชันล่าสุด เป็นต้น เบราว์เซอร์เหล่านี้มาพร้อมกับบัญชีดำของไซต์ฟิชชิ่งที่รู้จักซึ่งมีการอัปเดตเป็นประจำ และหากคุณบังเอิญไปที่ไซต์เหล่านี้ พวกเขาจะ แจ้งเตือนคุณ
- ใช้แอนตี้ไวรัสที่ทันสมัย
- และแน่นอน ใช้ประโยชน์จากตัวกรองสแปมของผู้ให้บริการอีเมลของคุณ
- ปฏิบัติตามคำแนะนำในการคำนวณอย่าง(Safe computing tips)ปลอดภัย
รูปแบบของฟิชชิ่ง
ผู้ใช้คอมพิวเตอร์และ นักเล่น อินเทอร์เน็ต(Internet) ส่วนใหญ่ ทราบถึงฟิชชิ่ง(Phishing)และรูปแบบต่างๆ ดังนี้:
- หอกฟิชชิ่ง(Spear Phishing) ,
- Tabnabbingเรียกอีกอย่างว่า Tabjacking
- การล่าปลาวาฬ(Whaling)
- QRishing
- การหลอกลวง Vishing และ Smishing
คุณมองเห็นการโจมตีแบบฟิชชิ่งหรือไม่? คุณรู้วิธีหลีกเลี่ยงการหลอกลวงแบบฟิชชิ่ง(avoid Phishing scams)หรือไม่? ทำแบบทดสอบนี้โดยSonicWallและทดสอบทักษะของคุณ แจ้งให้เราทราบว่าคุณมีอาการดีแค่ไหน!
What is Phishing and how to identify Phishing Attacks?
Phishing (pronounced fishing) is a process which entices you to give out personal information by using electronic communication technologies such as emails, masquerading to be from a legitimate source. Phishing is one of the fastest rising online crime methods used for stealing personal information.
What is Phishing?
Basically, a phishing email attempts to obtain valuable information such as your
- ATM /credit card number
- Bank account number
- Online account logins
- Social security number, etc.
The stolen information could be used for carrying out identity thefts or stealing money from your bank account. Identity theft means that the cracker could disguise as the one whose information he has obtained and carry out various activities in their name.
Common types of Phishing
Phishing is carried out via various means. The most common ones are through emails, websites, and over the telephone.
- Phishing Emails: Emails masqueraded as from a legitimate source are sent to the victim most probably asking for the details mentioned earlier.
- Phishing websites: Websites that look similar to genuine companies or banks are setup that could mislead the victim into entering important details such as the username and password.
- Phishing phone calls: Calls are made to the victims in the name of a bank or similar institution. The victim is made to enter or tell confidential data such as a PIN number.
Detailed read: Types of Phishing – Cheat Sheet.
Characteristics of Phishing attacks
The following are some of the characteristics generally associated with a Phishing email or website.
Request for submitting personal information – most companies do not ask their customers to submit confidential data via emails. So if you find an email asking for your credit card number, there is a high probability that it is a phishing attempt.
The sense of urgency – most phishing emails demand immediate action. Emails saying your account will be deactivated in a day if you don’t enter your credit card number is an example.
Generic salutation – Phishing emails generally start with a Dear customer instead of the user’s name.
Attachments – Phishing emails might also have attachments with them which will mostly contain malware.
- The link that is displayed will be an image while the actual link could be different.
- Actual links can be masked using HTML. Thus, the text displayed will be http://websitename.com/ while the hyperlink set will be http://www.othersite.com.
- Another method is by using @ in the link. If a link contains the ‘@’ sign, the URL you’re taken to will be the one after the ‘@’ sign. For example, if the link is www.microsoft.com/[email protected]/?=true, the actual URL you will be taken to is web.com?=true.
- Links with numbers instead of the website name. Example: www.182.11.22.2.com
NB: To see the URL, just hover your mouse over the link (but don’t click), and the link will be displayed.
- Bad grammar and spelling – There’s a good chance that phishing emails might contain bad grammar and spelling mistakes.
- Phishing websites might look exactly like the original ones, but their URL might be slightly or completely different. Hence, make sure that the URL is the correct one when you visit a website.
- Also, legitimate websites use SSL for protecting your information when entering your data. Make sure that the URL starts with https:// instead of HTTP:// for pages where you have to submit username/password or other private information.
Read: Precautions to take before you click on any link.
Thumb rules to stay safe from Phishing
- If you find a mail suspicious, do not click its URLs or download attachments. You can also report Phishing emails in Outlook.com.
- Do not reply to suspicious emails with your personal information.
- Use a browser that comes with phishing protection such as the latest versions of IE, Firefox, Opera, Chrome, etc. They come with blacklists of known phishing sites that are regularly updated, and if you happen to visit any of these sites, they will alert you.
- Use a good up to date anti-virus.
- And of course, make use of your email provider’s spam filters
- Follow Safe computing tips.
Variants of Phishing
Most computer users and Internet surfers are now aware of Phishing and its variants:
Can you spot Phishing attacks? Do you know how to avoid Phishing scams? Take this test by SonicWall and test your skills Let us know how well you fared!