ปายุด
ประยุทธ งามสกุล
สมุด
บันทึก
อนุทิน
ความเห็น
ติดต่อ

Phishing

Phishing

การหลอกลวงแบบ Phishing [1] เพื่อขโมยข้อมูลส่วนบุคคลด้านการเงินของสถาบันการเงินในประเทศไทยเป็นจำนวนมากในช่วงนี้ โดยผู้ไม่ประสงค์ดี หรือแฮกเกอร์จะสร้างเว็บเพจที่มีรูปแบบคล้ายกับเว็บเพจของสถาบันการเงินนั้นๆ แล้วส่งอีเมล์เพื่อหลอกให้ผู้เสียหายเข้าไปกรอกข้อมูลส่วนบุคคลในหน้าเว็บเพจที่แฮกเกอร์ได้สร้างขึ้น ซึ่งข้อมูลที่หลอกให้กรอกได้แก่ ข้อมูลรหัสบัตรเครติด username/password หมายเลขบัญชี หรือข้อมูลรหัส ATM เป็นต้น

I. คำอธิบาย

รูปแบบการหลอกลวง

ผู้ไม่ประสงค์ดี หรือแฮกเกอร์จะส่งอีเมล์ที่มีหัวข้ออีเมล์ และเนื้อหาของอีเมล์ที่ทำให้ผู้รับเชื่อว่าเป็นอีเมล์ที่ส่งจากสถาบันการเงินจริงๆ โดยที่ในเนื้อหาอีเมล์อาจจะระบุถึงคำเชื้อเชิญ
หรือคำชักจูงให้ผู้เสียหายซึ่งเป็นลูกค้าของสถาบันการเงินนั้นๆ คลิกลิงก์ที่เชื่อมโยงไปยังเว็บของผู้ไม่ประสงค์ดีที่ปลอมแปลงเป็นหน้าเว็บสำหรับรับข้อมูลสำคัญด้านการทำธุรกรรมผ่านอินเทอร์เน็ตของลูกค้า หากผู้เสียหายหลงเชื่อกรอกข้อมูลต่างๆ เข้าไปผู้ไม่ประสงค์ดี หรือแฮกเกอร์ก็จะได้รับข้อมูลต่างๆ เหล่านั้นทันที

ผลกระทบที่อาจเกิดขึ้น

  • ผู้เสียหายที่เป็นลูกค้าของสถาบันการเงินอาจจะสูญเสียเงินในบัญชี หรือวงเงินในบัตรเครดิตที่ผู้ไม่ประสงค์ดี หรือแฮกเกอร์นำไปใช้จ่ายโดยไม่ได้รับอนุญาต
  • ข้อมูลส่วนบุคคลของลูกค้าอาจถูกเปิดเผยในอินเทอร์เน็ต หรือถูกนำไปใช้ในทางเสียหายได้

II. วิธีแก้ไขและวิธีการป้องกัน

  • ลูกค้าของสถาบันการเงินควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของอีเมล์ที่ได้รับจากสถาบันการเงินว่ามีความน่าเชื่อถือหรือไม่
  • โดยปกติสถาบันการเงินส่วนใหญ่ในประเทศไทยไม่มีนโยบายในการส่งข้อมูลส่วนบุคคล หรือข้อมูลทางการเงิน รวมถึงการแจ้งเปลี่ยนรหัสผ่านหรือขอรับบัญชีใหม่หรือธุรกรรมที่เกี่ยวข้องทางการเงินผ่านอินเตอร์เน็ตทางอีเมล์ ถ้ามีอีเมล์จากธนาคารให้เชื่อไว้ก่อนว่าอาจจะเป็นการหลอกลวง
  • ลูกค้าต้องตรวจสอบลิงก์ที่ปรากฏในอีเมล์ว่าทำการเชื่อมต่อไปยังเว็บของสถาบันการเงินแห่งนั้นจริงหรือไม่ หากจำเป็นต้องเข้าไปยังเว็บไซต์ดังกล่าว
  • การเข้าใช้งานเว็บทางด้านธุรกรรมการเงินของสถาบันการเงินต้องอยู่ในรูปแบบของการเข้ารหัสแบบ HTTPS เท่านั้น ตัวอย่างชื่อเว็บไซต์ควรเป็น https://www.examplebank.com เป็นต้น
  • สถาบันการเงินต้องแจ้งให้ลูกค้ารับทราบถึงความเสี่ยง และการหลอกลวงชนิดนี้ให้กับลูกค้ารับทราบ
  • หากไม่มั่นใจในอีเมล์หรือเว็บเพจที่เข้าใช้งานลูกค้าควรโทรศัพท์ติดต่อไปยังสถาบันการเงิน เพื่อยืนยันความมั่นใจก่อนเข้าใช้งานระบบธุรกรรมด้านการเงินผ่านอินเทอร์เน็ต
  • ศีกษาข้อมูลเพิ่มเติม พร้อมแนวทางป้องกันจาก [1]

เอกสารอ้างอิง
[1] เทคนิคการโจมตีแบบ "Phishing" http://www.thaicert.nectec.or.th/paper/basic/phishing.php

เขียนใน GotoKnow โดย 
 ใน Information Technology Security
คำสำคัญ (Tags): #phishing
หมายเลขบันทึก: 132027เขียนเมื่อ 26 กันยายน 2007 21:02 น. ()แก้ไขเมื่อ 11 เมษายน 2012 13:48 น. ()สัญญาอนุญาต: จำนวนที่อ่านจำนวนที่อ่าน:
ความเห็น (0)

ไม่มีความเห็น

พบปัญหาการใช้งานกรุณาแจ้ง LINE ID @gotoknow
สงวนลิขสิทธิ์ © 2005-2023 บจก. ปิยะวัฒนา
และผู้เขียนเนื้อหาทุกท่าน
นโยบายความเป็นส่วนตัว (Privacy Policy)
ClassStart
ระบบจัดการการเรียนการสอนผ่านอินเทอร์เน็ต
ทั้งเว็บทั้งแอปใช้งานฟรี
ClassStart Books
โครงการหนังสือจากคลาสสตาร์ท