ฟิชชิ่ง (Phishing) หรือเกมตกปลา แต่มิใช่เกมตกปลาตามสระเลี้ยงปลา หรือตามห้วยหนอง คลองบึง แต่เป็นเกมตกปลาในโลกอินเทอร์เน็ต ซึ่งนับได้ว่าเป็นอาชญากรรมทางอิเล็กทรอนิกส์อีกประเภทหนึ่ง วิธีการนั้นทำโดยการปลอมแปลงอีเมล์ (Email Spoofing) แล้วส่งอีเมล์ไปยังเหยื่อ (อีเมล์นี้มักจะมี Click links อยู่ด้วย) อีเมล์นั้นมักทำให้คล้ายกับเป็นขององค์กรขนาดใหญ่ที่น่าเชื่อถือส่งมาให้ เท่าที่เป็นปัญหาส่วนมากมักมาในรูปของสถาบันการเงิน เช่น ธนาคาร และในขณะเดียวกันก็ทำการสร้างเว็บไซต์ปลอมขึ้นมาหน้าตาเหมือนกับเว็บไซต์ธนาคารเพื่อรองรับเมื่อเหยื่อทำการ Click links เข้ามา ทำให้เหยื่อหรือผู้รับอีเมล์หลงเชื่อและเปิดเผยข้อมูลต่างๆทางด้านการเงิน เช่น หมายเลขบัตรเครดิต ชื่อบัญชีผู้ใช้ (Username) รหัสผ่าน (Password) และหมายเลขบัตรประจำตัวประชาชน รวมทั้งข้อมูลส่วนบุคคลอื่นๆ ซึ่งเกิดขึ้นมากในต่างประเทศ เช่น สหรัฐอเมริกา และประเทศในกลุ่มสหภาพยุโรป เป็นต้น อีกรูปแบบหนึ่งของการทำฟิชชิ่งก็คือ เว็บไซต์ ที่เชิญให้สมัครขอกรีนการ์ด เข้าเป็นพลเมืองของสหรัฐอเมริกา ซึ่งการสมัครจะต้องกรอกข้อมูลบางส่วน อาจเป็นหมายเลขบัตรเครดิต เพื่อจ่ายค่าธรรมเนียม มีผู้ที่ต้องการเป็นพลเมืองของสหรัฐอเมริกา ตกเป็นเหยื่อฟิชชิ่งนี้ออยู่มากพอสมควร
วิธีป้องกันเบื้องต้น สำหรับผู้ใช้อินเทอร์เน็ต เมื่อได้รับอีเมล์ ควรสังเกตุข้อความในอีเมล์ที่มีวัตถุประสงค์ให้เปิดเผยข้อมูลส่วนบุคคล อาจเป็นให้ทำรายการเชื่อมโยงกับเว็บไซด์อื่นๆ(Click links) แล้วให้กรอกข้อมูลต่างๆ ตามที่ผู้กระทำฟิชชิ่งต้องการให้กรอก ดังนั้น ถ้าเจออีเมล์ที่ไม่คุ้นเคย หรือให้ Click links ไปยังเว็บไซต์อื่นให้ระวังหรือลบทิ้งเสีย ฟิชชิ่งนั้นจะมีอายุสั้นโดยเฉพาะที่มี URL ลิงก์ในอีเมล์เชื่อมต่อไปยังเว็บไซต์ลวงของฟิชชิ่ง อายุอาจจะมีอยู่เพียง ไม่เกิน ๕๒ ชั่วโมง หรืออาจนานสุดราว ๕ วัน เนื่องจากไม่ต้องการให้ถูกตรวจพบหรือสังเกตได้โดยง่าย เป็นการหลีกเลี่ยงการติดตาม
ตัวอย่างฟิชชิ่ง ในรูปแบบมัลแวร์ เช่น BANCOS เป็นสปายแวร์โทรจัน ฝังตัวนอนรออยู่ในเครื่องคอมพิวเตอร์ เมื่อเหยื่อเข้าออนไลน์ใช้บริการออนไลน์ สปายแวร์ก็จะเข้าขโมยข้อมูลออกมาทันที
BROPIA ซึ่งแพร่ระบาดทางบริการสนทนาออนไลน์ ด้วยวิธีการลิงก์ไปยังบัญชีรายชื่อเพื่อนๆของเหยื่อ พร้อมกับลวงว่าลิงก์ที่ให้มานี้เป็นเว็บไซต์ลามก ถ้าเหยื่อลิงก์เข้าไปและทำตามที่ฟิชชิ่งระบุให้ทำก็ถือได้ว่าติดเบ็ดของผู้ทำฟิชชิ่งเรียบร้อยแล้ว ผู้ตกเป็นเหยื่อของฟิชชิ่งมักเป็นรายบุคคล
กฎหมายของไทยที่นำมาปรับใช้ในขณะนี้ คือ ประมวลกฎหมายอาญา เพราะว่าการทำฟิชชิ่งนั้นมีลักษณะอันเป็นความผิดตามประมวลกฎหมายอาญาอยู่ด้วย ในขณะที่กฎหมายอีกฉบับหนึ่งคือร่างพระราชบัญญัติว่าด้วยความผิดอันเกี่ยวกับคอมพิวเตอร์ พ.ศ. .... (ซึ่งขณะนี้ยังมิได้ออกมาใช้บังคับ) มีบทบัญญัติว่าด้วยความผิดอันเกี่ยวกับคอมพิวเตอร์ที่จะนำมาปรับกับกรณีนี้ได้โดยตรง เพราะการทำฟิชชิ่งเป็นการลวงด้วยการทำให้เชื่อว่าอีเมล์ที่เหยื่อได้รับนั้นเป็นของผู้อื่น(เช่น สถาบันการเงิน) และการลวงนั้นทำให้เหยื่อต้องให้ข้อมูลส่วนบุคคลซึ่งผู้ทำฟิชชิ่งสามารถนำไปใช้ประโยชน์และก่อให้เกิดความเสียหายแก่เหยื่อได้ อันเป็นความผิดตามบทบัญญัติของร่างพระราชบัญญัตินี้
แหล่งข้อมูลอ้างอิง
๑. What's phishing? How to be safe? (December ๒๐, ๒๐๐๔)http://inhome.rediff.com/money/2004/dec/20spec.htm
๒. สำนักงานคณะกรรมการกฤษฎีกา, ร่างพระราชบัญญัติว่าด้วยความผิดอันเกี่ยวกับคอมพิวเตอร์ พ.ศ. ....
๓. ทีมข่าวการเงิน, โพสต์ TODAY, บทความ-บทวิเคราะห์ : ฟิชชิ่ง...เกมตกปลา
ที่คุณกลายเป็นเหยื่อ,วันเสาร์ที่ ๒ เมษายน ๒๕๔๘, หน้า B๙
ตอนอยู่ต่างประเทศเคยเจอคล้ายๆกันนี้ค่ะ คือทำงานอยู่แล้วมีข้อความป๊อปอัพขึ้นว่า ได้รับรางวัลเป็นตั๋วเครื่องบินให้โทรฟรีไปเบอร์...
ลองโทรเล่นๆ เจอคำถามแบบถ่วงเวลาและให้เราเข้าไปเว็บของเขาคลิกตรงนั้นตรงนี้ ตอนนั้นก็ยอมรับว่าอยากรู้วิธีการของพวกนี้ และอยากแกล้งเขาด้วย เลยโยกโย้ และให้ข้อมูลไม่ถูก
วิธีของพวกนี้คือตอนแรกๆจะเป็นเสียงคนพูดแบบอ่อนหวานชักชวนให้บอกข้อมูล พอทำท่าเหมือนติดเบ็ดก็จะหว่านล้อมถามชื่อ บ้านเลขที่ เบอร์เครดิตการ์ด พอเขาเช็คว่าเราให้ข้อมูลไม่ตรงก็จะเริ่มเดามาเลยว่า รู้นะว่าคุณใช้เครดิตการ์ดเริ่มต้นด้วยตัวนี้ๆๆ เปลี่ยนคนมาพูดหลายคน คนหลังๆจะเสียงเข้มขึ้นว่า ถ้าไม่บอกเบอร์ในนาทีนี้ จะยกเลิกรางวัล เข้าใจว่าระหว่างที่เราโทรไปและเปิดเข้าเว็บเขา คลิกตรงนั้นตรงนี้ คงมี spy เข้ามาเช็ดหาข้อมูลจากเครื่องคอมของเรา พอดีตอนนั้นใช้เครื่องของสาธารณะค่ะ
วิธีการเขาจะชวนเชื่อและชวนทำตาม ต้องระวังให้ดีค่ะ
มาติดตามอ่านงานค่ะ
ชอบเล่น ฟิชชิ่ง (Phishing) หรือเกมตกปลา เหมือนกันค่ะ (ตอนที่เคลียดๆค่ะ)