Phishing เป็นคำที่พ้องเสียงกับคำว่า Fishing ที่แปลว่าการตกปลานั่นเอง มันเป็นการโจรกรรมข้อมูลทางอินเตอร์เน็ตในรูปแบบของการสร้าง web site เลียนแบบ และหลอกลวงให้ท่านคลิก Link หรือเอกสารแนบ เพื่อให้ท่าน login หรือกรอกเอกสารตามเอกสารแนบ โดยวัตถุประสงค์ของการทำ Phishing นั้นก็เพื่อล่อลวงให้เหยื่อผู้เคราะห์ร้ายเปิดเผยข้อมูลส่วนตัว เช่น เอาเลขที่บัตรเครดิต และ user name/password เพื่อนำไปทำรายการธุรกรรมออนไลน์ หรือเข้าไปจัดการกับบัญชีธนาคารของผู้ที่ตกเป็นเหยื่อนั่นเอง
องค์ประกอบ หลักในการทำ Phishing นั้น ส่วนใหญ่ประกอบด้วย 2 ส่วนคือ
1. Email (Bait หรือ เหยื่อล่อ) ที่ถูกร่างขึ้นเพื่อสร้างความน่าเชื่อถือ และมีข้อความหลอกล่อต่างๆ เพื่อให้ผู้อ่านหลงเชื่อและ Click ไปยัง Link ที่เตรียมไว้ให้ใน email ฉบับนั้น ซึ่ง email นี้อาจถูกส่งกระจายหว่านไปทั่วโดยไม่มีการเลือกกลุ่มเป้าหมายแต่อย่างใดหรือที่เราเรียกว่าการทำ spam mail ซึ่งหลายคนอาจเคยได้รับอยู่บ่อยๆ หรือบางกรณีที่ email ที่ถูกทำขึ้นมานี้ถูกส่งไปยังกลุ่มลูกค้าของธนาคารนั้นๆ โดยเฉพาะ (focus group)
2. Fake Webpage คือหน้า webpage ที่ Phisher พยายามสร้างขึ้นมาให้เหมือนหรือใกล้เคียงกับ site จริงมากที่สุด เพื่อให้เหยื่อผู้หลงเชื่อกรอกข้อมูลส่วนตัวต่างๆ ที่ต้องการลงไป
Phishing ทำไมถึงเปรียบเทียบวิธีการนี้กับการตกปลา ?
ลองนึกภาพตาม สมมติว่าวันหนึ่งคุณได้รับ email (เหยื่อล่อ) จากธนาคารแห่งหนึ่งที่คุณมี Online Banking Account อยู่ ซึ่งมีเนื้อหาดังรูป
ตัวอย่างอีเมล์หลอกลวงซึ่งมิได้ส่งจากธนาคาร
Email นี้ถูกส่งมาพร้อมกับ Logo ของธนาคารในรูปแบบที่เป็นทางการที่จะทำให้ท่านเชื่อได้ว่า email นี้น่าจะถูกส่งมาจากธนาคารนั้นจริงๆ เมื่อท่านได้อ่านข้อความแล้วหลงเชื่อ (ติดกับดัก)โดยเกรงว่า account จะถูกระงับจึงรีบ take action โดยคลิ๊กไปที่ Link ที่ระบุไว้ใน email จากนั้น เจ้า Internet Explorer ก็ทำการเปิดหน้า webpage ที่ดูแล้วก็น่าจะเป็น web ของธนาคารนั้นขึ้นมา ท่านจึงกรอก user name และ password ของท่านลงไป จากนั้นก็มีข้อความขึ้นมาว่า “การยืนยันสมบูรณ์ ขอบคุณที่ใช้บริการ” ท่านก็จะคิดว่าทุกอย่างเสร็จสิ้นสมบูรณ์ด้วยดี แต่อันที่จริงแล้ว ข้อมูลของท่านได้ตกไปอยู่ในมือของ Hacker หรือ Phisher เป็นที่เรียบร้อยแล้ว
จุดสังเกต:
จุดที่ 1. From: e-mail address ไม่ถูกต้อง
ตัวอย่าง e-mail จาก Phishing : Bank of Ayudhya [mailto:updatebofa@optusnet.com.au]
From: e-mail address ที่ถูกต้อง ต้องส่งจาก … @krungsri.com เท่านั้น
ตัวอย่าง e-mail address จากธนาคาร : krungsrionline@krungsri.com
จุดที่ 2. และ จุดที่ 3. ธนาคารไม่มีนโยบายในการสอบถามข้อมูลสำคัญทางการเงินหรือข้อมูลส่วนบุคคล เช่น รหัส
ประจำตัว รหัสผ่าน หมายเลขบัตรเอทีเอ็ม รหัสเอทีเอ็ม รหัสบัตรเครดิต หมายเลขบัญชี ผ่านทางอีเมล์ ทาง
เว็บไซต์ ทางโทรศัพท์ ทางจดหมาย หรือในระหว่างทำรายการผ่านบริการของธนาคาร
หากท่านได้รับอีเมล์ลักษณะดังกล่าว กรุณาแจง้ ธนาคารทันทีที่ KRUNGSRI Call Center 1572 ตลอด
24 ชั่วโมง หรือ อีเมล์ krungsrionline@krungsri.com
ป้องกันภัยจาก Phishing ด้วยตัวคุณเอง
1. พิมพ์ www.krungsri.com ด้วยตนเองทุกครั้งที่ต้องการใช้บริการธนาคารทางอินเทอร์เน็ต
2. เปลี่ยนรหัสผ่านอย่างสม่ำเสมอ
3. เมื่อได้รับอีเมล์ล่อลวง อย่าตอบกลับอีเมล์ใดๆ ที่ขอให้เปิดเผยข้อมูลส่วนบุคคล โปรดตั้งข้อสงสัยไว้เมื่อพบว่ามีอีเมล์จากธุรกิจหรือบุคคลใดที่พยายามให้ผู้ใช้บริการเปิดเผยรหัสผ่าน หมายเลขบัญชีหรือข้อมูลใดๆ ที่เป็นความลับ หรืออีเมล์ใดที่ส่งข้อมูลส่วนบุคคลของผู้ใช้บริการมาเพื่อให้ปรับปรุงข้อมูลหรือยืนยันความถูกต้อง กรุณาลบอีเมล์นั้นทันที
4. หลีกเลี่ยงการคลิกลิงก์ (link) ที่แนบมากับอีเมล์
5.ก่อนการส่งข้อมูลบัตรเครดิต หรือข้อมูลส่วนตัวอื่นๆผ่านทาง web browser ท่านควรมั่นใจว่าท่านอยู่ในเว็บไซต์ที่ถูกต้องและปลอดภัย โดนท่านสามารถตรวจสอบที่อยู่ของเว็บไซต์ที่ปลอดภัย ซึ่งจะขึ้นต้นด้วย “https://” ไม่ใช่แค่ “http://”
6.ติดตั้งโปรแกรมต้านไวรัสและ Firewall ซึ่งสามารถป้องกันการรับอีเมล์ที่ไม่พึงประสงค์หรือการสื่อสารจากผู้ที่ไม่ได้รับอนุญาตการติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ก็สามารถป้องกันผู้ลักลอบ (hacker) หรือผู้ส่งอีเมล์ปลอมได้
แหล่งที่มาของข้อมูล
https://www.krungsrionline.com/krungsri_thai/pdf_file/phishing_thai.pdf
http://www.tisa.or.th/articles/chaiyakorn/Security_Article_PHISHING.pdf
http://pirun.kps.ku.ac.th/~b5027066/Phishing.pdf
