Skip to main content
Surveillance
Self-Defense

< คู่มือการใช้เครื่องมือ

วิธีใช้งาน: การหลีกเลี่ยงการโจมตีฟิชชิ่ง

อัปเดตครั้งล่าสุด: November 26, 2018

This page was translated from English. The English version may be more up-to-date.

เมื่อพยายามปรับปรุงประสิทธิภาพการรักษาความปลอดภัยในทางดิจิทัล คุณอาจเผชิญกับผู้ประสงค์ร้ายที่พยายามบ่อนทำลายเป้าหมายการรักษาความปลอดภัยของคุณ เราเรียกบุคคลเหล่านี้ว่าผู้ไม่หวังดี หรือผู้โจมตี เมื่อผู้โจมตีส่งอีเมลหรือลิงก์ที่ดูเหมือนไม่มีอันตราย แต่จริง ๆ แล้วอันตราย วิธีการดังกล่าวเรียกว่าฟิชชิ่ง

การโจมตีด้วยฟิชชิ่งมักจะอยู่ในรูปแบบของข้อความที่ต้องการชักจูงให้คุณทำสิ่งต่อไปนี้

  • คลิกที่ลิงก์
  • เปิดไฟล์เอกสาร
  • ติดตั้งซอฟต์แวร์ในอุปกรณ์ของคุณ หรือ
  • ป้อนชื่อผู้ใช้และรหัสผ่านในเว็บไซต์ที่ทำขึ้นให้ดูเหมือนเว็บไซต์จริง

การโจมตีด้วยฟิชชิ่งสามารถล่อหลอกให้คุณเปิดเผยรหัสผ่านหรือให้คุณติดตั้งมัลแวร์ในอุปกรณ์ของคุณ ผู้โจมตีสามารถใช้มัลแวร์เพื่อควบคุมอุปกรณ์ ขโมยข้อมูลของคุณ หรือสอดแนมเกี่ยวกับคุณได้แบบระยะไกล

คู่มือนี้จะช่วยคุณระบุหาการโจมตีฟิชชิ่งเมื่อพบเห็นผ่านตา และจะสรุปข้อสำคัญของวิธีการที่นำไปใช้ได้จริงเพื่อช่วยป้องกันตัวคุณเองจากการโจมตี

 

ประเภทการโจมตีโดยใช้ฟิชชิ่ง anchor link

ฟิชชิ่งที่ใช้เพื่อขโมยรหัสผ่าน (ที่เรียกว่าการเก็บรวบรวมข้อมูลรับรอง) anchor link

ผู้โจมตีโดยใช้ฟิชชิ่งสามารถล่อหลอกเพื่อให้คุณเปิดเผยรหัสผ่านโดยส่งลิงก์ล่อลวงให้คุณ ที่อยู่เว็บที่ส่งมาในข้อความอาจดูเหมือนเว็บไซต์หนึ่ง แต่จริง ๆ แล้วเป็นอีกเว็บไซต์หนึ่ง คุณสามารถดูที่อยู่จริง ๆ ของ URL ได้ในคอมพิวเตอร์โดยเลื่อนเมาส์ไปบนลิงก์ แต่ลิงก์สามารถล่อหลอกให้หลงเชื่อโดยมีตัวอักษรที่คล้ายกับเว็บไซต์จริง หรือโดยการใช้ชื่อโดเมนที่หนึ่งตัวอักษรจากชื่อโดเมนจริงขาดหายไป และอาจดูเหมือนจะนำคุณเข้าเว็บเพจของบริการที่คุณใช้งานอยู่ อย่างเช่น Gmail หรือ Dropbox หน้าจอเข้าสู่ระบบของปลอมลอกเลียนแบบเหล่านี้มักจะดูเหมือนของจริง และล่อหลอกให้คุณหลงเชื่อเพื่อพิมพ์ชื่อผู้ใช้และรหัสผ่าน หากคุณพิมพ์ชื่อผู้ใช้และรหัสผ่านลงไป ผู้โจมตีจะได้รับข้อมูลล็อกอินของคุณ

ดังนั้น ก่อนพิมพ์รหัสผ่าน ให้ดูที่แถบที่อยู่ของเว็บเบราว์เซอร์ แถบที่อยู่ดังกล่าวจะแสดงชื่อโดเมนจริงของเว็บไซต์ หากชื่อโดเมนไม่ตรงกับเว็บไซต์จริงที่คุณต้องการล็อกอิน อย่าดำเนินการต่อ!  อย่าลืมว่าการมีโลโก้ของบริษัทอยู่ในเว็บไม่ได้เป็นการยืนยันว่าเว็บดังกล่าวเป็นของจริง ทุกคนสามารถคัดลอกโลโก้หรือการออกแบบต่าง ๆ แล้วนำไปใส่ไว้ในเว็บไซต์ของตนเพื่อล่อหลอกให้คุณหลงเชื่อได้

ผู้โจมตีด้วยฟิชชิ่งบางรายจะใช้เว็บไซต์ที่ดูเหมือนที่อยู่เว็บที่เป็นที่นิยมเพื่อหลอกให้คุณหลงเชื่อ เช่น https://wwwpaypal.com/ ไม่ใช่เว็บไซต์เดียวกับ https://www.paypal.com/ ในทำนองเดียวกัน https://www.paypaI.com/ (โดยใช้ “i” ตัวพิมพ์ใหญ่แทนตัวอักษร “L” พิมพ์เล็ก) ไม่ใช่เว็บไซต์เดียวกับ https://www.paypal.com/  มีการใช้โปรแกรมย่อ URL เพื่อทำให้ URL ที่ยาวอ่านง่ายขึ้นหรือพิมพ์ได้ง่ายขึ้น แต่โปรแกรมดังกล่าวสามารถนำมาใช้เพื่อซ่อนแหล่งที่มาของเว็บไซต์อันตราย หากคุณได้รับ URL แบบย่อ อย่างเช่นลิงก์ t.co จาก Twitter ให้ลองพิมพ์ที่อยู่ดังกล่าวลงใน https://www.checkshorturl.com/ เพื่อดูว่าเว็บไซต์ที่คุณจะเข้าจริง ๆ คือเว็บใด

โปรดทราบว่า การสร้างอีเมลเพื่อให้แสดงที่อยู่ส่งกลับที่ผิดทำได้ไม่ยาก ในที่นี้หมายความว่า การตรวจสอบที่อยู่อีเมลของผู้ส่งเพียงอย่างเดียวไม่เพียงพอที่จะยืนยันว่าอีเมลดังกล่าวส่งมาโดยบุคคลตามที่อยู่อีเมลที่ปรากฏอย่างแท้จริง

สเปียร์ฟิชชิ่ง anchor link

การโจมตีด้วยฟิชชิ่งส่วนใหญ่เป็นการโจมที่เกิดขึ้นเป็นวงกว้าง ผู้โจมตีอาจส่งอีเมลถึงผู้คนจำนวนหลายร้อยหลายพันคน โดยอ้างว่ามีวิดีโอน่าตื่นเต้นให้ดู มีไฟล์เอกสารสำคัญ มีข้อขัดแย้งเกี่ยวกับการเรียกเก็บเกิดขึ้น

แต่บางครั้งเป้าหมายการโจมตีด้วยฟิชชิ่งจะขึ้นอยู่กับข้อมูลบางอย่างที่ผู้โจมตีทราบเกี่ยวกับบุคคลใดบุคคลหนึ่งอยู่แล้ว วิธีการนี้เรียกว่า “สเปียร์ฟิชชิ่ง” ลองจินตนาการว่า คุณได้รับอีเมลจากลุงบอริส ที่ระบุว่ามีภาพลูก ๆ ของคุณลุงแนบมาด้วย ทั้งนี้เนื่องจาก บอริสมีลูกและดูเหมือนอีเมลจะส่งมาจากที่อยู่อีเมลของคุณลุงจริง ๆ คุณเลยเปิดอ่านอีเมล เมื่อเปิดอีเมล มีไฟล์เอกสาร PDF แนบมากับอีเมลด้วย เมื่อเปิดไฟล์ PDF อาจมีแม้กระทั่งรูปถ่ายลูก ๆ ของบอริส แต่ไฟล์จะติดตั้งมัลแวร์ในอุปกรณ์โดยที่คุณไม่รู้ตัว โดยมัลแวร์ดังกล่าวจะใช้เพื่อสอดแนมเกี่ยวกับคุณ คุณลุงบอริสไม่ได้ส่งอีเมลดังกล่าว แต่ใครบางคนที่รู้ว่าลุงของคุณชื่อบอริส (และรู้ว่าคุณลุงบอริสมีลูก) เป็นคนส่งอีเมลดังกล่าว ไฟล์ PDF ที่คุณคลิกเปิดได้เปิดใช้โปรแกรม PDF แต่ยังฉวยโอกาสจากข้อผิดพลาดที่มีอยู่ในซอฟต์แวร์เพื่อใช้รหัสของตัวเอง นอกจากจะแสดงไฟล์ PDF แล้ว ไฟล์ดังกล่าวยังดาวน์โหลดมัลแวร์ไว้ในคอมพิวเตอร์ของคุณด้วย มัลแวร์ดังกล่าวสามารถเรียกดูข้อมูลติดต่อและบันทึกสิ่งที่กล้องและไมโครโฟนในอุปกรณ์ของคุณเห็นหรือได้ยินด้วย

วิธีที่ดีที่สุดในการปกป้องตัวคุณเองจากการโจมตีโดยใช้ฟิชชิ่งคือ อย่าคลิกที่ลิงก์หรือเปิดเอกสารใดก็ตามที่แนบมาด้วยโดยเด็ดขาด แต่สำหรับบางคน คำแนะนำนี้อาจฟังดูแล้วไม่สมเหตุผลในทางปฏิบัติ ด้านล่างเป็นบางส่วนของวิธีการป้องกันการโจมตีโดยใช้ฟิชชิ่งที่นำไปใช้ได้จริง

วิธีที่จะช่วยป้องกันการโจมตีโดยใช้ฟิชชิ่ง anchor link

อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ anchor link

การโจมตีด้วยฟิชชิ่งแบบใช้มัลแวร์มักจะใช้ข้อผิดพลาดของซอฟต์แวร์เพื่อติดตั้งมัลแวร์ในคอมพิวเตอร์ของคุณ โดยทั่วไปแล้ว เมื่อข้อผิดพลาดดังกล่าวเป็นที่รับทราบ ผู้ผลิตซอฟต์แวร์จะออกเวอร์ชั่นอัปเดตเพื่อแก้ไขข้อผิดพลาดดังกล่าว ซึ่งหมายความว่า ซอฟต์แวร์รุ่นเก่ามีข้อผิดพลาดที่เป็นที่ทราบกันอย่างแพร่หลายมากกว่า และอาจถูกนำไปใช้เพื่อช่วยในการติดตั้งมัลแวร์ การอัปเดตซอฟต์แวร์ให้เป็นรุ่นปัจจุบันจะลดความเสี่ยงจากมัลแวร์

ใช้โปรแกรมจัดการรหัสผ่านที่มีคุณสมบัติป้อนข้อมูลอัตโนมัติ anchor link

โปรแกรมจัดการรหัสผ่านที่มีคุณสมบัติป้อนรหัสผ่านอัตโนมัติจะคอยเก็บข้อมูลว่ารหัสผ่านใดใช้กับเว็บไซต์ใด ขณะที่การหลอกล่อมนุษย์ให้หลงเชื่อโดยใช้หน้าเว็บล็อกอินปลอมที่สร้างขึ้นทำได้โดยง่าย แต่วิธีการหลอกล่อดังกล่าวใช้ไม่ได้กับโปรแกรมจัดการรหัสผ่าน หากคุณใช้โปรแกรมจัดการรหัสผ่าน (รวมทั้งโปรแกรมจัดการรหัสผ่านที่ติดตั้งมากับเบราว์เซอร์) และโปรแกรมปฏิเสธที่จะป้อนรหัสผ่านให้อัตโนมัติ คุณควรหยุดแล้วตรวจสอบเว็บไซต์ดังกล่าวก่อน ที่ดีไปกว่านั้น การใช้รหัสที่สร้างขึ้นแบบสุ่มทำให้คุณต้องพึ่งคุณสมบัติการป้อนรหัสผ่านอัตโนมัติ และแนวโน้มที่คุณจะพิมพ์รหัสผ่านลงในหน้าเว็บล็อกอินปลอมจะมีโอกาสเกิดขึ้นได้น้อย

การยืนยันอีเมลกับผู้ส่ง anchor link

หนึ่งวิธีที่จะกำหนดหาว่าอีเมลเป็นการโจมตีโดยใช้ฟิชชิ่งหรือไม่คือ ตรวจสอบกับบุคคลที่ส่งอีเมลดังกล่าวโดยใช้ช่องทางการติดต่ออื่น หากเป็นอีเมลที่ทางธนาคารส่งมาแจ้ง อย่าคลิกลิงก์ที่อยู่ในอีเมล ให้โทรศัพท์ติดต่อธนาคารหรือเปิดเบราว์เซอร์ขึ้นแล้วพิมพ์เว็บไซต์ของธนาคารลงใน URL ในทำนองเดียวกัน ถ้าลุงบอริสส่งไฟล์แนบมาให้ทางอีเมล ให้โทรศัพท์หาคุณลุงแล้วถามว่าได้ส่งรูปภาพของลูก ๆ มาให้หรือเปล่า ก่อนที่จะเปิดอ่านอีเมลดังกล่าว

การเปิดเอกสารต้องสงสัยใน Google Drive anchor link

บางคนคาดไว้ว่าจะได้รับไฟล์แนบจากบุคคลที่ตนเองไม่รู้จัก ตัวอย่างเช่น ผู้สื่อข่าวมักจะได้รับเอกสารข้อมูลจากแหล่งข่าว แต่การที่จะตรวจสอบยืนยันว่าไฟล์เอกสาร Word, Excel หรือ PDF ไม่มีอันตรายนั้นเป็นเรื่องที่ทำได้ยาก

ในกรณีเหล่านี้ อย่าดับเบิลคลิกไฟล์ที่ดาวน์โหลด แต่ให้อัปโหลดไฟล์ไปยัง Google Drive หรือโปรแกรมอ่านเอกสารออนไลน์โปรแกรมอื่น วิธีการนี้จะเปลี่ยนเอกสารเป็นรูปภาพหรือ HTML ซึ่งส่วนใหญ่แล้วจะป้องกันไม่ให้มีการติดตั้งมัลแวร์ในอุปกรณ์ หากสะดวกที่จะเรียนรู้ซอฟต์แวร์ใหม่และยินดีที่จะสละเวลาตั้งค่าคุณสมบัติใหม่สำหรับใช้อ่านอีเมลหรือเอกสารที่ไม่รู้แหล่งที่มา มีระบบปฏิบัติการเฉพาะที่ออกแบบมาเพื่อจำกัดผลกระทบที่เกิดจากมัลแวร์ให้ใช้งานได้ TAILS เป็นโปรแกรมของระบบปฏิบัติการ Linux ซึ่งจะลบตัวเองหลังจากใช้งานเสร็จ Qubes เป็นอีกโปรแกรมของระบบปฏิบัติการ Linux ที่แบ่งแยกแอปพลิเคชันอย่างระมัดระวังเพื่อไม่ให้เกิดการรบกวนซึ่งกันและกัน ซึ่งจะลดผลกระทบที่เกิดจากมัลแวร์ได้ ทั้งสองโปรแกรมได้รับการออกแบบมาเพื่อใช้งานในแล็ปท็อปหรือคอมพิวเตอร์ตั้งโต๊ะ

นอกจากนี้ คุณยังสามารถส่งลิงก์และไฟล์ที่ไม่น่าไว้วางใจไปที่ Virus Total ซึ่งเป็นบริการตรวจสอบไฟล์และลิงก์ออนไลน์กับโปรแกรมต้านไวรัสต่าง ๆ แล้วรายงานผลที่ได้ให้ทราบ วิธีนี้ไม่ได้รับประกันผลที่ได้ร้อยเปอร์เซ็นต์ เนื่องจากโปรแกรมต้านไวรัสมักตรวจไม่พบมัลแวร์ใหม่หรือการโจมตีแบบเน้นกลุ่มเป้าหมาย แต่ดีกว่าที่จะไม่ตรวจสอบเลย

ไม่ว่าไฟล์หรือลิงก์ใดก็ตามที่คุณอัปโหลดไปยังเว็บไซต์สาธารณะ เช่น Virus Total หรือ Google Drive ทุกคนที่ทำงานให้กับบริษัทดังกล่าวหรือไม่ว่าใครก็ตามที่เข้าถึงเว็บไซต์ดังกล่าวได้จะสามารถดูไฟล์หรือลิงก์ได้ ดังนั้น หากข้อมูลที่อยู่ในไฟล์มีความละเอียดอ่อนหรือเป็นการสื่อสารพิเศษส่วนบุคคลที่ได้รับความคุ้มครอง คุณอาจต้องการพิจารณาใช้ตัวเลือกอื่น

การใช้คีย์การรักษาความปลอดภัยขั้นที่ 2 ที่เข้ากันได้ (Universal 2nd Factor หรือ U2F) เมื่อล็อกอิน anchor link

บางเว็บไซต์จะให้คุณสามารถใช้โทเค็นพิเศษของฮาร์ดแวร์กับคุณสมบัติความสามารถขั้นสูงเพื่อหลีกเลี่ยงการฟิชชิง โทเค็นเหล่านี้ (หรือ “คีย์ ”) จะสื่อสารกับเบราว์เซอร์ที่คุณใช้งานเพื่อสร้างข้อมูลรับรองก่อนเข้าเว็บไซต์เพื่อใช้สำหรับล็อกอิน วิธีนี้เรียกว่า การรักษาความปลอดภัยขั้นที่ 2 ที่เข้ากันได้ (Universal 2nd Factor) หรือ “U2F” เนื่องจากวิธีการดังกล่าวเป็นวิธีการมาตรฐานที่กำหนดให้ต้องใช้การยืนยันรับรองวิธีที่สอง—นอกเหนือไปจากกลุ่มคำรหัสผ่าน—ที่ต้องใช้ตอนเข้าสู่ระบบ คุณเพียงล็อกอินตามปกติ และ (เมื่อมีการระบุให้ดำเนินการ) เชื่อมต่อคีย์กับคอมพิวเตอร์หรือสมาร์ทโฟน แล้วกดปุ่มเพื่อเข้าสู่ระบบ หากคุณเข้าเว็บไซต์ที่มีการฟิชชิง เบราว์เซอร์จะทราบและจะไม่เข้าสู่ระบบโดยใช้ข้อมูลรับรองที่ได้สร้างไว้บนเว็บไซต์ที่แท้จริง ซึ่งหมายความว่าถึงแม้ผู้ที่ทำการฟิชชิงจะหลอกล่อและขโมยกลุ่มคำรหัสผ่านของคุณ แต่บัญชีของคุณจะไม่ตกอยู่ในความเสี่ยง Yubico (ผู้ผลิตคีย์ดังกล่าวรายหนึ่ง) มีข้อมูลเพิ่มเติมเกี่ยวกับ U2F

ทั้งนี้อย่าสับสนวิธีนี้กับการรักษาความปลอดภัยแบบสองขั้นตอน (two-factor authentication) ซึ่งอาจจะมีหรืออาจจะไม่มีการป้องกันการฟิชชิง

ข้อควรระวังเกี่ยวกับคำแนะนำที่ส่งมาทางอีเมล anchor link

อีเมลฟิชชิ่งบางประเภทจะอ้างว่ามาจากฝ่ายสนับสนุนคอมพิวเตอร์หรือจากบริษัทเทคโนโลยี และจะขอให้คุณตอบกลับด้วยการส่งรหัสผ่านให้ หรือขออนุญาตให้ “บุคคลซ่อมแซมคอมพิวเตอร์” เข้าถึงคอมพิวเตอร์ของคุณจากระยะไกล หรือขอให้คุณปิดใช้งานคุณสมบัติรักษาความปลอดภัยบางประเภทในอุปกรณ์ของคุณ โดยอีเมลดังกล่าวอาจอธิบายเหตุผลสนับสนุนว่าขั้นตอนนี้จำเป็น ตัวอย่างเช่น โดยอ้างว่ากล่องอีเมลขาเข้าของคุณเต็ม หรือคอมพิวเตอร์ของคุณถูกแฮ็ก แต่การทำตามคำแนะนำหลอกลวงเหล่านี้จะส่งผลเสียต่อการรักษาความปลอดภัยของคุณ โปรดระมัดระวัง โดยเฉพาะอย่างยิ่งก่อนที่จะให้ข้อมูลทางเทคนิคใด ๆ หรือทำตามคำแนะนำทางเทคนิคใดก็ตาม ยกเว้นในกรณีที่คุณแน่ใจได้อย่างแน่นอนว่าคำขอดังกล่าวนั้นมาจากแหล่งที่มาที่แท้จริง

หากเมื่อใดก็ตามที่คุณสงสัยแหล่งที่มาของอีเมลหรือลิงก์ที่ใครบางคนส่งให้คุณ อย่าเปิดหรือคลิกที่อีเมลหรือลิงก์ดังกล่าวจนกว่าคุณจะได้แก้ไขสถานการณ์โดยใช้เคล็ดลับวิธีข้างต้นและมั่นใจได้ว่าอีเมลและลิงก์นั้น ๆ ไม่มีอันตราย