จับสังเกตกระบวนการ Phishing

Phishing มีกี่ประเภท?

Phishing สามารถแบ่งชื่อเรียกออกไปตามรูปแบบการโจมตีได้อีก 8  รูปแบบ ประกอบด้วย

  1. Email Phishing การหลอกลวงในรูปแบบอีเมลล์ซึ่งเป็นรูปแบบพื้นฐานที่ค่อนข้างแพร่หลาย เป็นวิธีการที่ผู้คนมีโอกาสพบเจอมากที่สุด 
  2. Spear Phishing เป็นรูปแบบของการพุ่งเป้าหรือมีการกำหนดกลุ้มเป้าหมายในการโจมตี โดยจะมีการค้นหาข้อมูลพื้นฐานของเผื่อเพื่อให้เกิดความน่าเชื่อถือมากขึ้น
  3. Whaling Phishing เป็นอีกรูปแบบที่เป็นการพุ่งเป้าแต่ครั้งนี้เป็นการเจาะกลุ่มเหยื่อไปที่คนสำคัญหรือ บุคคลที่มีตำแหน่งงานในระดับสูง เช่น CEO, Manager โดยจะใช้ประเด็นที่มีความรุนแรงไม่ว่าจะเป็นเรื่องการดำเนินการ อุบัติเหตุ หมายศาล ไปจนถึงการกล่าวอ้างว่าธุรกิจจะล้มละลาย
  4. Vishing มาจากคำว่า Voice Phishing เป็นรูปแบบที่เจมตีโดยผ่านการทำธุรกรรมทางโทรศัพท์ หรือคุ้นเคยกับคำว่า "แก๊งคอลเซ็นเตอร์" โดยอาชญากรจะอ้างว่าตัวเองเป็นเจ้าหน้าที่ หรือคนรู้จักของเหยื่อ จากนั้นก็ขอข้อมูลส่วนตัว, รหัสผ่าน, หมายเลขบัตรเครดิต บ้างก็หลอกว่าคุณถูกรางวัลใหญ่ แต่ต้องจ่ายเงินบางส่วนก่อนถึงจะสามารถรับรางวัลได้อะไรทำนองนั้น หรือไม่ก็โจมตีทื่อๆ ด้วยการหลอกให้โอนเงิน 
  5. Smishing มาจากคำว่า SMS Phishing เป็นรูปแบบการ Phishing ที่โจมตีผ่านทางข้อความสั้นโดยผู้ส่งจะพยายามโน้มน้าวให้ผู้อ่านคลิกเปิดลิงก์ที่แนบมากับข้อความ SMS เพื่อเข้าสู่หน้าเว็บไซต์ปลอมที่ถูกสร้างเตรียมเอาไว้ แน่นอนว่าในเว็บดังกล่าวก็จะมีช่องให้กรอกข้อมูลส่วนตัวที่สำคัญ หากเหยื่อหลงเชื่อกรอกลงไป ก็เสร็จโจรทันที
  6. Angler Phishing เป็นเทคนิคใหม่ที่เกิดขึ้นโดยแฮกเกอร์จะเฝ้าจับตาพฤติกรรมการใช้งาน Social Media ของเหยื่อ แล้วสวมรอยเป็นเจ้าหน้าที่มาหลอกลวงเหยื่อให้หลงเชื่อ
  7. CEO Fraud Phishing รูปแบบนี้ มีความคล้ายคลึงกับเทคนิค Whaling (ที่กล่าวไปแล้วในข้อ 3.) โดยเป้าหมายของแฮกเกอร์ คือ ซีอีโอ หรือคนที่อยู่ในระดับผู้บริหาร (Management Level) ที่เป็นบุคคลสำคัญขององค์กร แต่วิธีการโจมตีนั้นจะรุนแรงกว่ามาก หลักการคือ จะเป็นการใช้บุคคลสำคัญเป็นตัวล่อให้ผู้อื่นหลงเชื่อ เพื่อกระทำการอย่างใดอย่างหนึ่ง
  8. Search Engine Phishing เป็นการวางเหยื่อล่อเป้าหมายผ่านผลลัพธ์การค้นหาของเครื่องมือค้นหา (Search Engine) หรือ บริการค้นหาเว็บไซต์ เช่น Google, Bing โดยแฮกเกอร์จะสร้างเว็บไซต์ที่ยื่นข้อเสนอส่วนลด, บริการ, แจกของฟรี หรือแม้แต่ประกาศรับสมัครงาน จากนั้นก็อาศัยเทคนิคการปรับแต่งเครื่องมือค้นหา หรือที่เรียกว่า "SEO (Search Engine Optimization)" ในการทำให้เว็บปลอมที่สร้างขึ้นมาติดอยู่ในผลลัพธ์การค้นหาที่สูง เพื่อทำให้เหยื่อหลงเชื่อ* ก่อนจะเข้าไปกรอกข้อมูลสำคัญๆ

 

ที่มาข้อมูลเพิ่มเติม : https://www.antivirus.in.th/tips/1429.html