ฟิชชิ่งคืออะไร? เช่นเดียวกับการตกปลาจริง การผูกเบ็ดไม่ใช่เรื่องสนุก แต่นั่นคือสิ่งที่ผู้ใช้เว็บยุคใหม่ทุกคนมักจะพบว่าตนเองออนไลน์อยู่ ณ จุดใดจุดหนึ่ง ไม่ว่าจะเป็นทางอีเมลปลอมที่สัญญาว่าจะมีคนนับล้าน โทรศัพท์ที่อ้างว่ามาจากธนาคารของคุณ หรือแบบฟอร์มเข้าสู่ระบบเว็บไซต์ปลอม ฟิชชิ่งมีอยู่ทุกหนทุกแห่ง สิ่งที่น่ากลัว? มันทำกำไรได้มากกว่าที่เคย
สารบัญ
- วิศวกรรมสังคม
- แบบฟอร์มปลอม
- ฟิชชิ่งแบบกำหนดเป้าหมาย
แตกต่างจากภัยคุกคามยุคใหม่ต่อตัวตนทางดิจิทัลของเรา การหลอกลวงแบบฟิชชิ่งก็มี ดำรงอยู่มานานหลายศตวรรษ ในรูปแบบคลาสสิกยิ่งขึ้นและ หลายทศวรรษที่ผ่านมา. มีวิธีการใหม่และรูปแบบการโจมตีในปัจจุบัน แต่สิ่งที่พวกเขาทำคือใช้ประโยชน์จากสื่อการสื่อสารใหม่ๆ เพื่อทำการหลอกลวงแบบเดิมๆ ที่หลอกผู้คนที่ไม่ระวังมาโดยตลอด
วิดีโอแนะนำ
วิศวกรรมสังคม
องค์ประกอบหลักของการหลอกลวงแบบฟิชชิ่งคือ วิศวกรรมสังคม. นั่นคือแนวทางปฏิบัติในการหลอกให้ผู้ใช้เชื่อว่าบุคคล อีเมล หรือหน้าเว็บที่พวกเขากำลังติดต่อด้วยนั้นถูกต้องตามกฎหมาย เป็นการบิดเบือนทางจิตวิทยาเพื่อกระทำการฉ้อโกง เคล็ดลับความมั่นใจแบบคลาสสิกรูปแบบดิจิทัลเพื่อส่งเสริมการเปิดเผยข้อมูลส่วนบุคคล
การใช้วิศวกรรมสังคมแบบคลาสสิกที่สุดในฟิชชิ่งคือการใช้อีเมล การหลอกลวงของ Nigerian Prince นั้นเป็นที่รู้จักกันดี แต่ก็มีมากกว่านั้นด้วย รูปแบบที่ทันสมัยบนโซเชียลมีเดีย. ธีมรูปแบบอื่นๆ ได้แก่ โทรศัพท์ อีเมล หรือข้อความโซเชียลเน็ตเวิร์กที่อ้างว่ามาจากธนาคารของคุณ ที่ต้องการให้คุณคลิกลิงก์หรืออีเมลที่ดูเหมือนว่ามาจากเพื่อนร่วมงานที่ต้องการให้คุณเปิดไฟล์ สิ่งที่แนบมา ในบางกรณีที่นำไปสู่ไซต์ที่เป็นอันตรายซึ่งยังคงโจมตีแบบฟิชชิ่ง แต่ไซต์เหล่านั้นอาจดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งมีมัลแวร์วนซ้ำเพื่อการโจมตีแบบผสมผสาน
ในทุกกรณี การโจมตีแบบฟิชชิ่งที่อาศัยวิศวกรรมทางสังคมจะกระตุ้นให้ผู้ใช้มีส่วนร่วมในการกระทำที่ไม่แนะนำ พวกเขาอาจใช้ภาษาเพื่อแนะนำว่าเวลาเป็นสิ่งสำคัญ ดึงดูดนิสัยที่ดี หรือเสนอแนะความคุ้นเคยเพื่อเพิ่มแรงกดดันต่อผู้ที่อาจเป็นเหยื่อ
หลักการทั่วไปที่ดีเพื่อหลีกเลี่ยงกลโกงดังกล่าวคือการพิจารณาสุภาษิตโบราณที่ว่า "ดีเกินกว่าจะเป็นจริง" และอย่าคลิกลิงก์ภายในอีเมล เมื่อพูดถึงไฟล์แนบ การขอให้เพื่อนร่วมงานแจกจ่ายไฟล์เหล่านั้นผ่านแพลตฟอร์มการแชร์ไฟล์จะปลอดภัยกว่าและน้อยกว่า เสี่ยงต่อการถูกจัดการมากกว่าอีเมลที่สามารถปลอมแปลงให้ดูเหมือนมาจากที่ไหนสักแห่งได้อย่างง่ายดาย ถูกต้องตามกฎหมาย
แบบฟอร์มปลอม
ฟิชชิ่งในรูปแบบที่ไม่ต้องดำเนินการใดๆ เกี่ยวข้องกับการปลอมแปลงมากกว่าแค่อีเมล ในบางกรณี เว็บไซต์ทั้งหมด — หรืออย่างน้อยก็หน้าเข้าสู่ระบบ — จะถูกปลอมแปลงเพื่อให้รู้สึกถึงความชอบธรรมมากขึ้น พวกเขาอาจใช้ที่อยู่เว็บที่มีลักษณะคล้ายกัน งานศิลปะที่คัดลอกมาและตัวเลือกการออกแบบ และแม้แต่ใบรับรองความปลอดภัย ทั้งนี้ขึ้นอยู่กับความซับซ้อนของการปลอมแปลง
เช่นเดียวกับกลโกงทางอีเมล เว็บไซต์ฟิชชิ่งได้รับการออกแบบมาเพื่อสนับสนุนให้เหยื่อเปิดเผยข้อมูลส่วนบุคคลของตน ไซต์ธนาคารหรือโซเชียลเน็ตเวิร์กปลอมอาจขโมยข้อมูลการเข้าสู่ระบบของคุณ การแลกเปลี่ยน Bitcoin ปลอมอาจพยายามขโมยสกุลเงินดิจิทัลของคุณ
แม้ว่าจะพบได้ไม่บ่อยนัก แต่รูปแบบการปลอมแปลงเว็บไซต์ที่ซับซ้อนที่สุดเกี่ยวข้องกับการใช้ช่องโหว่ด้านความปลอดภัยในเว็บไซต์ที่ถูกกฎหมายเพื่อขโมยข้อมูลดังกล่าว เมื่อเหยื่อพยายามเข้าสู่ระบบ พวกเขากำลังใส่ข้อมูลของตนลงในแบบฟอร์มเข้าสู่ระบบปลอม หรือให้ผู้โจมตีสามารถเข้าสู่ระบบไซต์นั้นได้พร้อมกับพวกเขา
วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีดังกล่าวคือการตรวจสอบให้แน่ใจว่าคุณอยู่ในเว็บไซต์ที่ถูกต้องจริงๆ — ไม่ใช่เว็บไซต์ที่มี URL คล้ายกัน — และต้องสงสัยเมื่อได้รับแจ้งให้เข้าสู่ระบบโดยไม่คาดหมาย หากมีข้อสงสัย ให้พิมพ์ที่อยู่เว็บที่คุณรู้ว่าปลอดภัยในเว็บเบราว์เซอร์ของคุณแทนที่จะใช้ลิงก์
ฟิชชิ่งแบบกำหนดเป้าหมาย
โดยทั่วไปแล้วฟิชชิ่งจะค่อนข้างเป็นเรื่องธรรมดาสำหรับผู้โจมตีที่ต้องการใช้เครือข่ายของตนเพื่อพยายามดักจับเหยื่อที่เป็นไปได้ให้ได้มากที่สุด นี่เป็นสิ่งสำคัญอย่างยิ่งในขณะนี้ที่เว็บเบราว์เซอร์สมัยใหม่ส่วนใหญ่ใช้มาตรการรักษาความปลอดภัยป้องกันฟิชชิ่ง อย่างไรก็ตาม การโจมตีแบบฟิชชิ่งที่มีประสิทธิภาพสูงสุดบางส่วนประสบความสำเร็จเนื่องจากถูกกำหนดเป้าหมาย แนวทางปฏิบัติในการใช้ข้อมูลเฉพาะเกี่ยวกับบุคคล ซึ่งอาจรวบรวมมาจากการโจมตีทางวิศวกรรมทางสังคมหรือมัลแวร์ครั้งก่อน เรียกว่าฟิชชิ่งแบบสเปียร์
ฟิชชิ่งแบบ Spear สามารถปลอมแปลงอีเมล โทรศัพท์ หรือข้อความโต้ตอบแบบทันทีได้ในลักษณะเดียวกับการโจมตีทั่วไป พวกเขาจะใช้กลยุทธ์ในการปลดอาวุธ เช่น การใช้ชื่อ หรือข้อมูลส่วนบุคคลที่ต้องการซึ่งอาจดูเหมือนว่ามาจากแหล่งที่ถูกต้องเท่านั้น ซึ่งอาจมีวัตถุประสงค์เพื่อหารายได้ แต่ก็มีบางกรณีที่มีการใช้เพื่อจุดประสงค์ในการ การจารกรรมทางอุตสาหกรรมและการบิดเบือนทางการเมือง.
ตามก การศึกษา Keepnet ปี 2017 การโจมตีแบบฟิชชิ่งแบบหอกที่ประสบความสำเร็จโดยเฉลี่ยต่อธุรกิจทำให้ผู้โจมตีมีรายได้ 1.6 ล้านเหรียญสหรัฐ ทำให้มีผลกำไรมากกว่าการโจมตีทางดิจิทัลประเภทอื่น ๆ
ฟิชชิ่งรูปแบบเฉพาะอีกรูปแบบหนึ่งที่เรียกว่า “การล่าวาฬ” สามารถสร้างผลกำไรได้มากกว่า โดยกำหนดเป้าหมายไปที่บุคคลและธุรกิจที่มีมูลค่าสุทธิสูงโดยเฉพาะ โดยมีวัตถุประสงค์เพื่อหลอกลวงพวกเขาด้วยเงินหรือเข้าถึงองค์กรทางดิจิทัลระดับสูง
การโจมตีแบบฟิชชิ่งแบบ Spear นั้นโดยธรรมชาติแล้ว ยากต่อการตรวจพบและหลีกเลี่ยงในทางกลับกัน อย่างไรก็ตาม สิ่งสำคัญคือต้องจำไว้ว่าพวกมันใช้เทคนิคการบงการแบบเดียวกับกลโกงฟิชชิ่งอื่นๆ พวกเขาต้องการข้อมูลของคุณ หากคุณระมัดระวังอย่างมากเกี่ยวกับข้อมูลที่คุณให้และบริบทที่คุณนำเสนอ คุณควรจะปลอดภัยจากฟิชชิ่งทุกรูปแบบ
คุณสามารถบรรเทาปัญหาที่เกี่ยวข้องกับการโจมตีแบบฟิชชิ่งเพิ่มเติมได้โดยใช้รหัสผ่านที่ไม่ซ้ำกันในบริการทั้งหมดของคุณและจัดเก็บไว้ใน ผู้จัดการรหัสผ่านที่แข็งแกร่ง.
คำแนะนำของบรรณาธิการ
- แล็ปท็อปสำหรับชาร์จ USB-C: นี่คือสิ่งที่คุณต้องรู้
- แรมคืออะไร? นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้
- ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับการซื้อ GPU ในปี 2023
- Meta Quest 3: ทุกสิ่งที่คุณจำเป็นต้องรู้
- Microsoft เพิ่งมอบวิธีใหม่ในการรักษาความปลอดภัยจากไวรัสให้กับคุณ
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
