Phishing Attack


6/Nov/2024
bozz
Advanced Threat Protection

ประเภทของการหลอกลวงเหยื่อให้ติดกับดัก : IT Phishing Type

     การโจมตี ประเภท หนึ่ง ที่ สร้างความเสียหายให้ผู้ใช้งานโดยตรง หรือ เจ้าของระบบ เจ้าของข้อมูล ด้วย เทคนิคที่ชื่อว่า Phishing Attack …… ผู้อ่านบางท่านอาจจะได้ยินเป็น Fishing ก็ได้นะครับ การวางเหยื่อล่อ การจับปลาให้ได้ซักตัวหนึ่ง เหยื่อล่อต้องมีใช่ไหม นั้นแหละครับหลักการทำงานของ IT Phishing attack มาทำความรู้จักประเภทของ Phishing กันดีกว่า


ถ้าแบ่งเป็นประเภทจากการโจมตีที่ Hacker ใช้ เรามีอยู่ 2 ช่องทางหลัก

- Web Phishing การปลอมแปลงหน้าเว็บไซต์จริง เพื่อหลอกให้เหยื่อตายใจ อาจจะเป็นเว็บไซด์ที่มีความเหมือนกัน ทั้งเครื่องหมายการค้า logo , เนื้อหาที่น่าเชื่อถือ จนไปถึง Url ที่แทบจะหาจุดต่างไม่ได้เลยในการยืนยัน อย่างกรณีเว็บไซด์ เราไม่ทิ้งกัน.com , เราไมทิ้งกัน.com , เราไม่ทิงกัน.com หรือ กรณีเว็บไซด์ ภาษาอังกฤษ ระหว่างตัวอักษร I ใหญ่ l เล็ก หรือ O ใหญ่ และเลข 0 เป็นต้น

o นอกจากต้องระวังเรื่องของ Url ที่ถูกต้องหรือผิดแล้วยังต้องระวังเนื้อหา ที่น่าสนใจที่จะหลอกเราให้หลงเชื่อ เพราะบางครั้ง เหยื่อไม่สนใจ Url แต่สนใจเพียงเนื้อหา ที่กดเข้าไปอ่าน ส่วนนี้อาจจะนิยามเป็น Content Phishing ก็ได้แต่เราแยกประเภทจากการโจมตีคือผ่าน Web นั้นเอง

- Email Phishing การส่ง Email หลอกลวงไปที่เหยื่อ ส่วนใหญ่ Hacker ก็จะใช้ข่าวหรือเหยื่อที่จูงใจที่สุดในการหลอกให้กด กรอก เปิด หรือ ติดตั้งนั้นเอง โดยใช้ความสัมพันธ์ของบุคคลเช่น คนส่งอีเมล์เป็น เจ้าของบริษัท แผนกบัญชี เพื่อให้ผู้ที่ได้รับ Email ไม่สงสัยและเชื่อถือ ซึ่งเนื้อหาใน Email นั้น หลอกล่อให้ผู้รับต้องทำการแก้ไขข้อมูล เปิด link ที่แทรกมาให้ และทำการใส่ข้อมูลส่วนบุคคล เช่น username และ password สำหรับเข้าระบบขององค์กร หรือจะเป็น username และpassword สำหรับใช้ในการทำธุรกรรมทางการเงิน เพราะมาจากแผนกบัญชี เป็นต้น อีกวิธีที่เจอเยอะคือ รายงานผลประกอบการณ์ประจำปี โบนัส ให้กดเปิดไฟล์ แล้วเป็นไฟล์ที่ติด Virus , Malware หรือ Ransomeware ก็ได้ ส่วนใหญ่ Hacker ก็จะใช้ข่าวหรือเหยื่อที่จูงใจที่สุดในการหลอกให้กด กรอก เปิด หรือ ติดตั้งนั้นเอง

จากการทำความเข้าใจ วิธีการโจมตี 2 ประเภทแล้วนั้น มาดูหลักการวางเหยื่อล่อ ก็นิยามได้เป็น 4 ประเภทใหญ่ๆ

- Phishing ทั่วไป ไม่สนเหยื่อจะทำการโจมตีแบบกว้างๆ โดยวางเหยื่อ ล่อทั้งทาง Email , Web ดั้งนั้นเหยื่อจะเป็นใครก็ได้ โดย Hacker ไม่ได้คาดหวังอะไรมากจากตรงนี้ เหมือนกับปักเบ็ดตกปลาทิ้งไว้แล้ว อีก 2-3 วันค่อยมาดูว่ามีเหยื่อมาติดกับไหม

- Spear Phishing การโจมตีโดยระบุเฉพาะเจาะจงไปที่ตัวบุคคล Hacker จะวิเคราะห์เหยื่อ เชิงลิงว่ามีพฤติกรรมแบบไหน เปิดEmail ตอนไหน สนใจเรื่องอะไรเป็นพิเศษ แล้วสร้างเนื้อหา หรือเหยื่อปลอดจากพฤติกรรม เท่ากับว่าหวังผลมากขึ้นในการโจมตีแบบ Spear Phishing เช่นเหยื่อกำลังมองหาอุปกรณ์ออกกำลัง ก็ส่งโฆษณาหรือ link เกี่ยวกับ อุปกรณ์ออกกำลังไปให้ และแทรก Malware หรือ ไฟล์อันตรายเข้าไปด้วย และทำการขโมยข้อมูลของเหยื่อตามต้องการ

- Whaling พัฒนาการจาก Spear – Phishing โดย Target ไปที่เหยื่อที่มีความสำคัญกับองค์กร CEO , CTO , CISO เป็นต้น

และก็เป็นภาพรวมของการโจมตีลักษณะของ IT Phishing Attack ที่กำลังเป็นที่นิยมในหมู่ Hacker เลยก็ว่าได้ การที่เราจะปกป้องผู้ใช้งาน หรือ ระบบให้ปลอดภัยมีวิธีการอยู่ดังนี้ Awareness Training โดยมีทั้ง Pre-test แอบส่งอีเมล หรือ สร้างเว็บหลอกขึ้นมา ช่วงก่อนอบรม และ มีการทำ Post-test เพื่อให้ผู้ใช้ตระหนัก วิธีการคือ การทำ Phishing Campaign ขึ้นมา หลังจากนั้นทำการอบรมและให้ความรู้แก่พนักงานในองค์กรเรื่องอันตรายเกี่ยวกับ Phishing ตามที่ได้กล่าวไปข้างต้น และควรมีการจัดอบรมเป็นประจำทุกปีทั้งในเรื่อง Phishing เพื่อสร้างความตระหนักถึงอันตรายและสามารถป้องกันตนเองจากภัยคุกคามได้ หรือ เจ้าของระบบ หรือ ผู้ควบคุมข้อมูลแต่ละองค์กร อาจจะลองมองหา Anti-Phishing หรือ Email Antivirus Gateway ก็สามารถช่วยกรองอีเมล Phishing หรือ เว็บไซด์ที่เป็น Phishing หรือ Bad Domain ได้ในระดับหนึ่ง แถมให้ยังมีวิธี Phishing ที่ผู้เขียนเองอาจจะมองว่าบางมีอาจจะไม่เกี่ยว IT เท่าไหร่อีก 2 ช่องทางก็คือ Vishing : การหลอกลวงผ่านช่องทางเสียงหรือ Voice ปลอมต้นทางเป็นหน่วยงานองค์กรหรือบุคคลต่าง Smishing : การหลอกลวงด้วย SMS เป็นช่องทางในการรับ link หรือ ทำให้เราเสียค่าบริการ SMS โดยใช่เหตุ

ยังไงขอให้ผู้อ่านทุกท่านตระหนักถึงภัยคุกคามประเภท Phishing และนำไปถ่ายทอดต่อด้วยนะครับ