ปัจจัยที่ทำให้ตกเป็นเหยื่อของ Phishing

Phishing คือ ภัยไซเบอร์ประเภทหนึ่งที่แฮกเกอร์ใช้เพื่อหลอกผู้ใช้งานให้กรอกข้อมูลสำคัญต่างๆ เช่น ชื่อผู้ใช้ (Username), รหัสผ่าน (Password), เลขบัตรเครดิต, เลขบัตรประชาชน เป็นต้น ข้อมูลทางสถิติพบว่าเว็บ Phishing (Phishing Website) เพิ่มปริมาณขึ้นอย่างมากเมื่อเทียบกับอดีตที่ผ่านมา

กราฟข้างต้นแสดงถึงจำนวนเว็บ Phishing ที่เพิ่มขึ้นอย่างมีนัยสำคัญ ชี้ให้เห็นว่าแฮกเกอร์ในปัจจุบันมุ่งเน้นขโมยข้อมูลของผู้ใช้งานด้วยวิธี Phishing มากขึ้น

ปัจจัยที่ทำให้ผู้ใช้งานอาจพลาดพลั้งตกเป็นเหยื่อและที่จะช่วยป้องกันไม่ให้ผู้ใช้งานหลงกล Phishing นั้นสามารถแบ่งเป็นกลุ่มให้เข้าใจง่ายๆ ดังนี้

การตัดสินใจอย่างไม่มีเหตุผล

การตัดสินใจอย่างไม่มีเหตุผล หรือที่ผู้เขียนขอเรียกว่าการตัดสินใจอย่างไม่มีสติ เป็นสาเหตุใหญ่ที่ทำให้ผู้ใช้งานพลาดตกเป็นเหยื่อของ Phishing โดยมีองค์ประกอบคือ

1. ความอยากรู้อยากเห็น
2. ความกลัว
3. ความโลภ

องค์ประกอบเหล่านี้ถูกใช้เพื่อหลอกล่อให้ผู้ใช้งานเข้าเว็บ Phishing และกรอกข้อมูล ด้วยการสร้างเหตุการณ์ให้ผู้ใช้งานตื่นตระหนก ตื่นเต้น เร่งรีบ และขาดความระมัดระวัง

การรับรู้ถึงภัยคุกคาม

เมื่อรู้ช่องโหว่แล้ว เราจำเป็นต้องเรียนรู้วิธีการป้องกัน ปัจจัยที่ช่วยให้ผู้ใช้งานไม่ตกเป็นเหยื่อของ Phishing คือการรับรู้ถึงภัยคุกคาม หรือเรียกง่ายๆ คือ ‘สติ’ นั่นเอง มีองค์ประกอบดังนี้

1. ประสบการณ์ก่อนหน้า
2. การแจ้งเตือน/การระมัดระวัง

สิ่งเหล่านี้จะช่วยให้ผู้ใช้งานไม่ตกเป็นเหยื่อของ Phishing พอมีประสบการณ์ เคยเจอเหตุการณ์ดังกล่าวแล้ว ก็จะรู้ล่วงหน้า หรือแม้กระทั่งการระมัดระวังตัว มีสติ พิจารณาถึงเหตุผลและความเป็นจริงที่เกิดขึ้นโดยไม่ตื่นตระหนกก็จะสามารถช่วยได้เช่นกัน

จากปัจจัยที่กล่าวมา เมื่อผู้ใช้งานเจอ Phishing จะมี 2 ปัจจัยหลักที่ต้องต่อสู้เข้าห้ำหั่นกันในความคิดของผู้ใช้งานเอง คือ การตัดสินใจอย่างไม่มีเหตุผล และ การรับรู้ถึงภัยคุกคาม (สติ)

ถ้าการรับรู้ถึงภัยคุกคาม (สติ) เป็นฝ่ายชนะในการต่อสู้ โอกาสที่เราจะตกเป็นเหยื่อของ Phishing ก็จะลดน้อยลง แต่ถ้าการตัดสินใจอย่างไม่มีเหตุผลเป็นฝ่ายชนะในการต่อสู้ โอกาสที่เราจะตกเป็นเหยื่อของ Phishing ก็จะเพิ่มขึ้นแทน

มาดูตัวอย่าง Phishing เพื่อให้เข้าใจเนื้อหาที่อธิบายข้างต้นได้มากขึ้นกันครับ

PayPal Phishing Email

จากรูปด้านบนจะเป็นอีเมลของทาง PayPal ส่งมาแจ้งว่าตรวจพบ Activity ที่ผิดปกติจากบัญชีผู้ใช้งาน ซึ่งผู้ไม่หวังดีต้องการหลอกผู้ใช้งานให้เกิดความกลัวและเร่งรีบ ไม่ใช้เหตุผลในการตัดสินใจ และคลิกลิงก์ที่มากับอีเมลเพื่อกรอกข้อมูลและระงับ Activity ผิดปกติของบัญชี PayPal

แต่ถ้าหากผู้ใช้งานมีสติ สังเกตชื่อผู้ส่งอีเมลให้ดีๆ จะพบความจริงว่า @paypal-inc.com นั้นเป็นอีเมลปลอมของผู้ไม่หวังดีที่ต้องการหลอกขโมยข้อมูล

Coupon Code Phishing Email

อีกหนึ่งตัวอย่างอีเมลของทาง Hotel.com ส่งมาแจ้งผู้ใช้งานว่าได้รับส่วนลดพิเศษ 50% ซึ่งผู้ไม่หวังดีต้องการหลอกผู้ใช้งานโดยใช้ความโลภ ทำให้ผู้ใช้งานเกิดความเร่งรีบ ไม่ใช้เหตุผลในการตัดสินใจ และคลิกลิงก์ที่มากับอีเมลเพื่อกรอกข้อมูลรับส่วนลดดังกล่าว

แต่ถ้าหากผู้ใช้งานมีสติ สังเกตชื่อผู้ส่งอีเมลให้ดีๆ เหมือนอันที่แล้ว ก็จะเอะใจและตระหนักได้ว่า @roktpowered.com นั้นเป็นอีกหนึ่งอีเมลปลอมจากผู้ไม่หวังดี

เราจะใช้สติพิจารณาอะไรได้บ้าง เมื่อเจอเหตุการณ์ที่ผิดปกติ

1. เราเคยใช้งานบริการดังกล่าวหรือไม่ ถ้าไม่เคยใช้ ไม่ต้องไปสนใจ
2. เราตรวจสอบข้อมูลจากแหล่งอื่นนอกเหนือจากช่องทางที่ได้รับมาตอนแรกได้หรือไม่ ถ้าช่องทางแรกที่เราได้รับมานั้นไม่น่าไว้ใจ เราลองตรวจสอบผ่านช่องทางอื่นที่ไว้ใจได้ดีกว่า เช่น ติดต่อผู้ให้บริการโดยตรงทางโทรศัพท์, Call Center, Customer Service หรือลองหาข้อมูลใน Google เพราะทุกวันนี้แทบไม่มีอะไรที่ Google ไม่รู้
3. ช่องทางที่ใช้ในการติดต่อ ตามปกติแล้วผู้ให้บริการแต่ละเจ้าจะมีช่องทางการติดต่อประจำสำหรับผู้ใช้งาน ให้สังเกตว่าเหตุการณ์ที่ผิดปกตินั้นมาจากช่องทางเดิมหรือไม่
4. เนื้อหาของเหตุกาณ์ที่ผิดปกติ หากเราใช้บริการมายาวนานเป็น 5 ปี 10 ปี เราไม่เคยได้ส่วนลด ไม่เคยได้อะไรเป็นพิเศษ หรือแปลกประหลาดใดๆ แล้วจู่ๆ ก็มีส่วนลด 50% มาให้ ถ้าเรารู้สึกแปลกใจ แปลว่าเหตุการณ์นี้ไม่ปกติ ให้สติยั้งตัวเราเอาไว้

ถ้าเรามือไว พลาดพลั้งกรอกข้อมูลไปแล้ว สติเพิ่งตามมาทีหลังจะทำอย่างไร?

1. เปลี่ยนรหัสผ่านของบริการที่เราถูกหลอกไป
2. ติดต่อผู้ให้บริการเพื่อแจ้งว่าเราถูกหลอก และขอคำแนะนำจากผู้ให้บริการ ซึ่งโดยปกติผู้ให้บริการจะมีวิธีรับมือกับปัญหา Phishing อยู่แล้ว เนื่องจากเราไม่ใช่เหยื่อรายแรกแน่นอน เช่น ทำการ Disable Account, Monitor Account, Confirm Transaction, Sign out all Sessions, Deauthorize all Devices และวิธีอื่นๆ อีกมากมาย เราจะเห็นว่าผู้ให้บริการนั้นเตรียมวิธีการไว้หลากหลายมาก เพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อของ Phishing

สุดท้าย สิ่งที่อยากบอกผู้อ่านทุกท่าน คืออย่าให้การตัดสินใจที่ไม่มีเหตุผล อยู่เหนือสติของเรา ดังคำพระสอนว่า

“สติมาปัญญาเกิด สติเตลิดจะเกิดปัญหา “

Ref:

• https://www.tessian.com/blog/phishing-statistics-2020/
• http://www.jisb.tbs.tu.ac.th/wp-content/uploads/1Pongpon.pdf

สำหรับชาวเทคคนไหนที่สนใจเรื่องราวดีๆแบบนี้ หรืออยากเรียนรู้เกี่ยวกับ Product ใหม่ๆ ของ KBTG สามารถติดตามรายละเอียดกันได้ที่เว็บไซต์ www.kbtg.tech