ช่วงหลายปีที่ผ่านมา เราจะเห็นข่าวเหล่ามิจฉาชีพหลอกลวงหลายรูปแบบมาก ๆ เริ่มต้นจากการส่งอีเมลแปลก ๆ เข้ามา ลามไปกลุ่ม SMS ลิ้งก์จ่ายค่าไฟ ไปจนถึงแก๊งค์ Call Centre ปลอมตัวเป็นองค์กรต่าง ๆ มากมาย เหล่านี้เราเรียกว่า Phishing วันนี้เราเลยจะพามารู้จักกับกลโกงที่ทำให้เขาได้ข้อมูลไปอย่างง่ายดาย และเราจะรู้เท่าทันตรวจสอบและจัดการภัยร้ายนี้ได้อย่างไร

Phishing คืออะไร ?

Phishing คือ ความพยายามในการขโมยข้อมูลส่วนบุคคล เช่น เลขบัตรเครดิต ชื่อ วันเกิด รหัสผ่าน เป็นต้น โดยการปลอมตัวเป็น องค์กร หรือบุคคลที่มีความน่าเชื่อถือ เช่น การเป็นเจ้าหน้าที่รัฐ อย่าง ตำรวจ หรือ เจ้าหน้าที่ธนาคาร เพื่อล่อลวงให้เหยื่อยอมให้ข้อมูล เสมือนคนเหล่านี้ถือเบ็ด และเราที่เป็นเหยื่อก็ฮุบเข้าให้เรียบร้อย เราจึงเรียกว่า Phishing นั่นเอง

วิธีการ Phishing มีหลากหลายรูปแบบ รูปแบบแรก ๆ ที่ใช้กันมักจะมาในอีเมล เช่น อีเมลจาก Paypal ที่ให้เราเข้าไปเปลี่ยนรหัสผ่าน พร้อมปุ่มกดเปลี่ยนรหัสผ่าน เมื่อกดเข้าไปในลิงก์หน้าเว็บที่เห็น มันดูจะเป็นหน้าที่ให้กรอกรหัสผ่านเดิม และรหัสผ่านใหม่ใส่เข้าไป เมื่อเรากดเปลี่ยนรหัสผ่าน ข้อมูลรหัสผ่านเดิมมันจะส่งไปให้มิจฉาชีพ ทำให้มิจฉาชีพ Login เข้าสู่บัญชี Paypal ได้เหมือนเป็นเจ้าของ

อีกวิธีการที่เราเจอกันบ่อยในปัจจุบันคือ SMS จ่ายค่าไฟ ลักษณะคล้ายกับตัวอย่างแรก แค่เปลี่ยนวิธีการส่งจากอีเมลเป็น SMS และเมื่อเรากดลิงก์เข้าไป กรอกเลขบัญชีบัตรเครดิตเข้าไป กดส่งก็คือเรียบร้อยโรงเรียนโจรเลย เขาได้ข้อมูลเราไปแล้ว

และตัวอย่างสุดท้าย เป็นเรื่องที่เชื่อว่าหลายคนต้องเคยเจอแน่นอน คือ พวกแก๊งค์ Call Center โทรมาบอกว่า มาจากสถานีตำรวจบ้าง เจ้าหน้าที่การตลาด Tiktok บ้าง เขาจะเริ่มบอกว่าเรามีเหตุการณ์นั่นนี่นะ เราจะต้องบอกชื่อ เลขบัญชี หรือกระทั่งโอนเงินกันเลยทีเดียว มันมีเยอะจนทำให้เกิดศัพท์ใหม่ขึ้นมาเพื่อเรียกการ Phishing ผ่านโทรศัพท์คือ Vishing ที่เกิดจากคำสองคำรวมกันคือ Voice ที่แปลว่าเสียง และ Phishing เข้าด้วยกัน

ผลที่ได้จากทั้งสองตัวอย่างคล้ายกัน คือ การได้ทั้งข้อมูลส่วนบุคคล รวมไปถึงข้อมูลการเงิน โดยมิจฉาชีพสามารถนำข้อมูล ที่ประกอบด้วย ข้อมูลส่วนบุคคล ตัวตนของเรา และข้อมูลทางการเงินไปขายต่อให้มิจฉาชีพคนอื่นนำไปใช้ หรือกระทั่งการนำไปใช้โจมตีเอง เช่น การเข้าถึงข้อมูลทางการเงินได้ ย่อมสามารถเข้าถึงบัญชีธนาคารโอนเงินของเราออกไป หรือนำบัตรเครดิตเราไปใช้จ่ายได้เหมือนเป็นเจ้าของเลยทีเดียว

Phishing มักเล่นกับความไม่รู้ และ รีบร้อน

ถ้าเราลองสังเกตวิธีการที่เหล่ามิจฉาชีพชอบใช้งานกัน เราจะเห็นว่าเขาจะสร้างสถานการณ์บางอย่างที่ทำให้เราต้องรีบทำตามที่เขาต้องการ เช่น พวกเมลเปลี่ยนรหัส มักจะใช้หัวเรื่องทำนองว่า Urgent หรือ ด่วน และเขียนเนื้อความให้เรารู้สึกว่ามันแย่มาก ๆ แล้ว เราต้องทำเดี๋ยวนี้

หรือฝั่งแก๊งค์ Call Center หลัง ๆ เริ่มรู้ว่าคนมันรู้ละ เริ่มใช้กลหลาย ๆ ตัวเข้ามา เวลาเขาโทรมา เขาจะเริ่มจากการ บอกก่อนว่าเขาชื่ออะไร และมียศอะไร เพื่อแสดงความมีอำนาจก่อน แล้วค่อยบอกชื่อเรา ทำให้เราเชื่อว่าเขามีข้อมูลของเราจริง ๆ แล้วจึงแจ้งต่อว่ามันเกิดอะไรขึ้น เช่น ตรวจสอบพบเงินจากพ่อค้ายาเสพติดถูกโอนเข้าบัญชีเรา จนถึงตอนนี้บางคนอาจจะเริ่มตกใจ จนไม่ได้คิดอะไรมากละ ถึงตอนนี้เมื่อเขารู้สึกว่าเหยื่อเริ่มติดกับแล้ว เขาก็จะบอกว่า ขั้นตอนต่อไปคืออะไร เช่น การโอนเงินเข้าไปเพื่อทำการตรวจสอบ แน่นอนว่าพอคนเราตกใจ ไม่ว่าเรื่องแปลกขนาดไหน คนเรามักจะไม่ฉุกคิด มีเหตุผลมากเท่าที่ควร และอาจจะโอนเงินไปจนตกเป็นเหยื่อของมิจฉาชีพ แต่ถ้าเราเริ่มมีความลังเล เริ่มจะคิดเหตุผล เขาจะเริ่มเร่งเร้าเราให้เรารีบทำตามที่เขาบอก เพราะหากไม่รีบ เรามีสติ เราจะรู้ว่าเราโดนหลอก และอาจจะมีเวลาให้เราโทรไปถามคนอื่นได้ ซึ่งมันก็จะทำให้เขาโป๊ะแตก

สิ่งที่เราจะเห็นได้จากทั้งสองเคสนี้คือ วิธีการที่เหล่ามิจฉาชีพใช้ในการทำ Phishing คือ การทำให้เรารู้สึกตกใจ ไม่ว่าจะด้วยการสร้างความเชื่อว่า ปลายสายอีกด้านนั้นเป็นคนมีอำนาจ หรือมาจากองค์กรที่น่าเชื่อถือ และจะเริ่มทำให้เราตกใจด้วยเรื่องที่ซับซ้อนนิด ๆ จากเรื่องที่เขาบอกเรามา สุดท้าย เมื่อเราตกใจ เขาก็จะเริ่มจัดการขโมยทันที

ดังนั้น กลที่ชอบใช้งานกัน ณ วันนี้ มักเล่นกับความไม่รู้ และ ความรีบร้อน ทำให้เรื่องมันซับซ้อนที่สุดเท่าที่จะเป็นไปได้ และทำให้รู้สึกว่าเรื่องนี้มันต้องด่วนมาก ๆ ด่วนจนต้องโทรมาให้ทำรายการเดี๋ยวนั้นทันที

เราจะป้องกันตัวเองจากการโดน Phishing ได้อย่างไร ?

เราคงไม่สามารถป้องกันไม่ให้พวก Phishing เข้าถึงตัวเราได้เลย เพราะ ณ ปัจจุบันเรามีการให้ข้อมูลส่วนตัวกับทั้งธุรกิจ และบริการต่าง ๆ คนทั่วไป เวลาจะสมัครบริการเขาจะมี ข้อตกลงในการให้บริการ บางเจ้ามีเขียนว่า บริษัทอาจให้ข้อมูลกับบริษัทอื่นได้

เดี๋ยวนี้มีบริษัทที่เรียกว่า Data Broker คอยซื้อข้อมูลพวกนี้มา บางเจ้าเล็กก็แค่ซื้อรวบรวมแล้วเอามาขายต่อ บางเจ้าโหดมาก ๆ ซื้อข้อมูลจากหลาย ๆ แหล่งแล้วเอามาจับคู่กัน ทำให้ทราบหมดเลยว่า เราใช้บริการอะไรบ้าง แบบไหนยังไง รู้หมด แล้วเอาไปขายก็จะได้ราคาสูงมากขึ้นไปอีกก็มี นี่แหละคือสาเหตุที่ทำไมเวลาพวกมิจฉาชีพ รู้เยอะมากจนกระทั่งชื่อ นามสกุล

ส่วนตัวเราเองเคยเจอ เป็นประกันภัยรถยนต์ที่เราไม่เคยใช้บริการ ไม่เคยให้ข้อมูลกับเจ้านี้แน่นอน แต่เขาสามารถ บอกชื่อ นามสกุล ยี่ห้อรถ รุ่นรถ และสีของรถได้อย่างถูกต้อง ซึ่งคนที่มีข้อมูลครบขนาดนี้อยู่ก็เดาไม่ยากเท่าไหร่ว่าใครขายข้อมูลนี้ออกไป เอาจริง ๆ ถ้าเป็นคนทั่ว ๆ ไป คิดว่าแอบตกใจเหมือนกันนะเจอแบบนั้น ทำให้สุดท้ายเราคงทำได้แค่รู้เท่าทัน และป้องกันไม่ให้เขาขโมยอะไรจากเราเพิ่มได้อีก โดย 3 ขั้นตอน

  1. ตั้งสติก่อน ให้คิดว่าทุกอย่างรอได้ ไม่ต้องรีบ
  2. เช็คต้นทางก่อนว่า เขามาจากไหน หากเป็นอีเมลให้เช็คว่ามาจากอีเมลของเจ้านั้นจริง ๆ หรือไม่ และลิงก์ที่เรากดจะต้องไปที่เว็บของผู้ให้บริการนั้น ๆ อ่านทุกตัวอักษร มันชอบหลอกกันด้วยการสะกดต่างกันน้อยมาก หรือหากเป็นเบอร์โทรศัพท์ส่วนใหญ่ เวลาเขาโทรหา เขาจะใช้เบอร์ขององค์กรนั้น ๆ โทร ส่วนใหญ่จึงจะไม่ใช้เบอร์มือถือ
  3. หากเราไม่แน่ใจจริง ๆ ให้อย่าพึ่งทำอะไร และติดต่อกลับไปที่ช่องทาง Official ของบริการนั้น ๆ เพื่อสอบถามอีกที

สรุป

การจะจับไต๋ Phishing ให้ได้ดูเหมือนจะเป็นเรื่องง่ายมาก แต่เอาเข้าจริงมันมีรายละเอียดที่เราจะต้องดูเยอะมากจริง ๆ ยังไม่นับว่า พอกลุ่มมิจฉาชีพรู้แล้วว่ามุขนี้ใช้ไม่ได้ จะเปลี่ยนมุขไปเรื่อย ๆ เหมือนเล่นเกมแมวจับหนูเลยทีเดียว ทำให้เรายังคงเจอเหยื่อจากการโจมตีแบบนี้เรื่อย ๆ สิ่งที่เราจะทำได้คือการป้องกันตัวเองให้ได้ดีที่สุด จาก 3 ขั้นตอนที่ได้เล่าไป

CREATED BY

I believe in technology and sharing, as they enable us with a better world via several clicks. Especially, programming is one of the most powerful tools which inspire people to make their dreams come true. I want to share, publicise and innovate new technology so as to change our world in the way we could hardly imagine.