การหลอกลวงแบบฟิชชิ่ง: วิธีสังเกตและหลีกเลี่ยง

เผยแพร่แล้ว: 2022-09-20
รับแผนป้องกันการแอบอ้างสิทธิ์ที่เหมาะกับคุณ

ฟิชชิ่งเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่เก่าแก่ที่สุด ซึ่งมีมาตั้งแต่ยุคแรกๆ ของอินเทอร์เน็ต

ทว่าการหลอกลวงแบบฟิชชิ่งยังเป็นหนึ่งในภัยคุกคามความปลอดภัยทางไซเบอร์ที่ใหญ่ที่สุดที่องค์กรใดๆ เผชิญอยู่ และมีความพิเศษตรงที่มันมุ่งเป้าไปที่ ผู้คน แทนที่จะเป็นซอฟต์แวร์หรือฮาร์ดแวร์

หมายความว่า แม้ว่าคุณจะลงทุนในโครงสร้างพื้นฐานการรักษาความปลอดภัยทางไซเบอร์ที่แพงที่สุด องค์กรของคุณก็อาจมีความเสี่ยงหากพนักงานที่มีช่องโหว่ราย หนึ่ง ถูกบุกรุกโดยแผนการฟิชชิ่ง นี่เป็นหนึ่งในสาเหตุสำคัญที่ทำให้ฟิชชิงเป็นอันตราย

น่าเสียดายที่อันตรายของฟิชชิ่งเพิ่มขึ้นทั้งในด้านคุณภาพและปริมาณในช่วงไม่กี่ปีที่ผ่านมา ตามรายงานแนวโน้มกิจกรรมฟิชชิ่งของคณะทำงานต่อต้านฟิชชิ่ง (APWG) จะมีการโจมตีฟิชชิ่ง 1,025,968 ครั้งภายในเดือนมีนาคม 2565 เพิ่มขึ้น 15% จากไตรมาสที่ 4 ปี 2564 ความซับซ้อนและเทคนิคที่หลากหลายที่ใช้ในการโจมตีแต่ละครั้งก็เพิ่มขึ้นเช่นกัน ปีที่ผ่านมา

ในบทความนี้ เราจะเรียนรู้ร่วมกันว่าฟิชชิงคืออะไร วิธีระบุตัวตน และวิธีที่องค์กรสามารถปกป้องพนักงานและลูกค้าของตนจากการโจมตีแบบฟิชชิงได้อย่างมีประสิทธิภาพยิ่งขึ้น

ในตอนท้ายของคู่มือนี้ คุณจะได้เรียนรู้เกี่ยวกับ:

  • การหลอกลวงแบบฟิชชิ่งคืออะไร?
  • ฟิชชิ่งประเภทต่างๆ ในปี 2022
  • วิธีรับรู้ความพยายามฟิชชิ่ง
  • วิธีปกป้องธุรกิจของคุณจากฟิชชิ่ง
  • วิธีรายงานความพยายามฟิชชิ่งทั้งที่สำเร็จและไม่สำเร็จ และลดความเสียหาย

ให้เราเริ่มคู่มือนี้ทันที

การหลอกลวงแบบฟิชชิ่งคืออะไร?

ฟิชชิ่งเป็นประเภทของอาชญากรรมทางอินเทอร์เน็ตที่ผู้กระทำผิดติดต่อกับเหยื่อที่เป็นเป้าหมาย (หรือเหยื่อ) ในขณะที่ปลอมตัวเป็นบุคคลที่มีชื่อเสียงหรือสถาบันที่ถูกต้องตามกฎหมายเพื่อหลอกล่อเหยื่อรายนี้ให้ให้ข้อมูลที่เป็นความลับ ละเอียดอ่อน และ/หรือมีค่า เช่น ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) , รายละเอียดธนาคาร, ข้อมูลบัตรเครดิต, ข้อมูลบัญชี และอื่นๆ

ชื่อ "ฟิชชิ่ง" นั้นคล้ายคลึงกับการตกปลา ซึ่งหมายถึงการที่อาชญากรไซเบอร์ "จับปลา" สำหรับข้อมูลประจำตัว รหัสผ่าน และข้อมูลละเอียดอ่อนอื่นๆ จากผู้ที่ตกเป็นเหยื่อ

คำว่าฟิชชิ่งถูกใช้ครั้งแรกเมื่อประมาณปี 2539 โดยแฮกเกอร์ที่ขโมยบัญชี AOL (America Online) ที่ได้รับความนิยมในขณะนั้น แฮกเกอร์ในปลายทศวรรษ 1990 มักใช้ตัวอักษร "ph" แทน "f" (เช่น "phreaks") ดังนั้นชื่อ "phishing"

โดยปกติแล้วฟิชชิ่งจะดำเนินการผ่านอีเมล แต่ตอนนี้ฟิชชิ่งสามารถเกิดขึ้นได้ในสื่อการสื่อสารต่างๆ ตั้งแต่โทรศัพท์ ข้อความ ความคิดเห็นในโซเชียลมีเดีย DM โซเชียลมีเดีย ความคิดเห็นในบล็อก และอื่นๆ

เหตุใดอาชญากรไซเบอร์จึงทำการฟิชชิ่ง

คำตอบสั้น ๆ คือการสร้างรายได้จากข้อมูลที่ถูกขโมย

เช่นเดียวกับกิจกรรมทางอาญาอื่นๆ ส่วนใหญ่ (รวมถึงอาชญากรรมทางอินเทอร์เน็ต) การโจมตีแบบฟิชชิงส่วนใหญ่มีแรงจูงใจทางการเงินอยู่เบื้องหลัง

อย่างไรก็ตาม มีบางกรณีที่แรงจูงใจไม่ใช่การเงิน เช่น ความพยาบาทส่วนตัวหรือเหตุผลทางการเมือง (เช่น การรณรงค์ที่เป็นคนผิวสี) แต่ค่อนข้างหายาก

แล้วอาชญากรไซเบอร์จะทำเงินจากฟิชชิ่งได้อย่างไร? การทำความเข้าใจเทคนิคการสร้างรายได้อาจช่วยให้คุณทราบถึงความพยายามในการฟิชชิง และนี่คือตัวอย่างบางส่วน:

  • ขโมยข้อมูลบัตรเครดิตของคุณแล้วใช้รายละเอียดบัตรเครดิตเพื่อซื้อสินค้าบนอินเทอร์เน็ต
  • การกรรโชก เช่น เมื่ออาชญากรไซเบอร์ดึงข้อมูลที่ละเอียดอ่อนได้สำเร็จ จากนั้นกรรโชกเหยื่อเพื่อจ่ายเงินบางส่วน มิฉะนั้น พวกเขาจะเปิดเผยข้อมูลต่อสาธารณะ
  • การขายข้อมูลที่ละเอียดอ่อน/ข้อมูลส่วนบุคคลให้กับบุคคลอื่น (เช่น คู่แข่งของคุณ แฮกเกอร์รายอื่นๆ) แนวทางปฏิบัติทั่วไปในเว็บมืด
  • การใช้ข้อมูลของคุณเพื่อเริ่มกิจกรรมการหลอกลวง/อาชญากรรมทางอินเทอร์เน็ตอื่น ๆ เช่น การติดต่อเพื่อนของคุณโดยใช้บัญชีของคุณเพื่อหลอกลวงพวกเขา

กายวิภาคของการโจมตีแบบฟิชชิ่ง

ฟิชชิงเป็นรูปแบบหนึ่งของวิศวกรรมสังคม ซึ่งเป็นคำที่ใช้เรียกรวมๆ กันเพื่ออ้างถึงกิจกรรมทางอาญาที่หลากหลายที่ทำได้ผ่านการปฏิสัมพันธ์ของมนุษย์

ฟิชชิงอาศัยการยักย้ายถ่ายเททางจิตวิทยาเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือทำผิดพลาดด้านความปลอดภัย

แม้ว่าอาชญากรไซเบอร์จะใช้เทคนิคและแผนงานที่แตกต่างกันในการโจมตีแบบฟิชชิง แต่โดยทั่วไปแล้ว อาชญากรไซเบอร์จะปฏิบัติตามรูปแบบเหล่านี้:

  1. ผู้กระทำผิดจะทำการวิจัยเหยื่อเป้าหมายและ/หรือสภาพแวดล้อมที่พวกเขาอยู่ก่อนเพื่อรวบรวมข้อมูลที่จำเป็น เช่น ช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นและจุดอ่อนอื่นๆ
  2. ผู้กระทำผิดเริ่มการติดต่อเพื่อพยายามได้รับความไว้วางใจจากเหยื่อ
  3. ผู้กระทำผิดอย่างใดอย่างหนึ่ง:
    1. เสนอสิ่งที่มีค่าเพื่อกระตุ้นความรู้สึกเร่งด่วนของเหยื่อ
    2. ปลูกฝังความกลัวให้กับเหยื่อเป้าหมาย โดยปกติแล้วจะมีภัยคุกคามที่สมมติขึ้น (เช่น “บัญชีของคุณจะถูกลบในไม่ช้า และเราจะต้องยืนยันตัวตนของคุณ”)
  4. เหยื่อถูกหลอกให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลประจำตัวของตน

ตัวอย่างเช่น:

  1. ผู้กระทำผิดกำหนดเป้าหมายผู้ใช้ Gmail เป็นเหยื่อเป้าหมายและได้ค้นคว้าเกี่ยวกับแพลตฟอร์ม Gmail และนโยบายต่างๆ
  2. ผู้กระทำผิดส่งอีเมลถึงผู้ใช้ Gmail ด้วยที่อยู่อีเมลที่คล้ายกับที่อยู่อย่างเป็นทางการของ Google (เช่น ด้วยชื่อโดเมน “Google.biz”)
  3. อีเมลแจ้งเตือนผู้ใช้เกี่ยวกับการละเมิดนโยบายที่ต้องดำเนินการทันที (เช่น การเปลี่ยนรหัสผ่าน การเปลี่ยนคำถามเพื่อความปลอดภัย ฯลฯ) และอีเมลจะมีลิงก์ไปยังเว็บไซต์ปลอมที่เกือบจะเหมือนกับหน้าเข้าสู่ระบบของ Gmail
  4. เหยื่อป้อนข้อมูลประจำตัวปัจจุบันในหน้าเข้าสู่ระบบปลอม และข้อมูลประจำตัวจะถูกส่งไปยังผู้โจมตีอย่างมีประสิทธิภาพ

นี่เป็นเพียงตัวอย่างหนึ่งของเทคนิคและรูปแบบฟิชชิ่งต่างๆ มากมายที่อาชญากรไซเบอร์ทำในแต่ละวัน อย่างไรก็ตาม เราสามารถจัดประเภทการโจมตีแบบฟิชชิ่งได้หลายประเภท ซึ่งเราจะพูดถึงด้านล่าง

ทำให้การป้องกันการแอบอ้างของคุณเป็นแบบอัตโนมัติด้วยเทคโนโลยี AI-Powered

การโจมตีแบบฟิชชิ่งประเภทต่างๆ

1. อีเมลฟิชชิ่ง

รูปแบบฟิชชิ่งพื้นฐานที่สุด และตามชื่อที่แนะนำ เกี่ยวข้องกับผู้กระทำผิดที่ส่งอีเมลในขณะที่แอบอ้างเป็นแบรนด์หรือบุคคลที่รู้จัก

อีเมลจะมีลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายหรือไฟล์แนบที่มีมัลแวร์ที่จะติดอุปกรณ์ของผู้รับ

วิธีการระบุ:

แม้ว่าอาชญากรไซเบอร์จะมีความซับซ้อนมากขึ้นในการเปิดตัวอีเมลฟิชชิ่ง คุณมักจะมองหาสัญญาณต่อไปนี้:

  • ตรวจสอบชื่อโดเมนของที่อยู่อีเมลของผู้ส่งและตรวจสอบว่าถูกต้อง
  • หากอีเมลมีข้อมูลติดต่อใดๆ ให้ตรวจสอบข้อมูลติดต่อนี้กับข้อมูลที่อยู่บนเว็บไซต์ของบริษัทที่อีเมลอ้างว่าส่งมา
  • หลีกเลี่ยงการคลิกลิงก์ที่สั้นลง นี่เป็นเทคนิคทั่วไปที่ใช้ในการหลอกลวง Secure Email Gateways
  • ตรวจสอบโลโก้ที่ดูถูกต้องและดูซอร์สโค้ดอีกครั้ง พวกเขามักจะมีแอตทริบิวต์ HTML ที่เป็นอันตราย
  • ให้น่าสงสัยพอสมควรเมื่ออีเมลมีข้อความเพียงเล็กน้อยและมีเพียงรูปภาพ/รูปภาพในเนื้อหาเท่านั้น รูปภาพอาจซ่อนรหัสที่เป็นอันตราย

2. ฟิชชิ่งหอก

โดยทั่วไปแล้ว Spear phishing จะใช้อีเมลเป็นสื่อในการสื่อสารหลัก ดังนั้นจึงถือได้ว่าเป็นรูปแบบหนึ่งของอีเมลฟิชชิง

ความแตกต่างหลักอยู่ในแนวทางที่ตรงเป้าหมายมากขึ้นของ Spear phishing ซึ่งโดยทั่วไปแล้วจะกำหนดเป้าหมายไปยังเหยื่อรายเดียว (หรือเหยื่อกลุ่มเล็กๆ)

ผู้กระทำผิดจะทำการวิจัยอย่างละเอียดเกี่ยวกับเหยื่อที่เป็นเป้าหมายก่อนเพื่อรวบรวมข้อมูลเกี่ยวกับเหยื่อ เช่น จากโซเชียลมีเดีย เว็บไซต์ของบริษัท และอื่นๆ จากนั้นจะกำหนดเป้าหมายเหยื่อรายนี้ด้วยแผนการส่วนบุคคลที่ใช้ประโยชน์จากข้อมูลที่รวบรวมได้ เช่น ชื่อจริง ( ของหัวหน้าของเหยื่อหรือผู้จัดการฝ่ายทรัพยากรบุคคล) ทำงานหมายเลขโทรศัพท์ และอื่นๆ เพื่อให้ได้รับความไว้วางใจจากเหยื่อ

ในท้ายที่สุด เนื่องจากเหยื่อเชื่อในตัวตนของผู้หลอกลวงเนื่องจากข้อมูลที่ถูกต้องที่พวกเขาใช้ พวกเขาจึงตกหลุมพรางของผู้กระทำความผิด

วิธีการระบุ:

การระบุการโจมตีแบบฟิชชิ่งด้วยหอกอาจทำได้ยากกว่าเนื่องจากจำนวนการวิจัยที่ดำเนินการโดยผู้กระทำความผิดและข้อมูลที่ดูเหมือนถูกต้องที่พวกเขาใช้ อย่างไรก็ตาม ให้มองหาสิ่งต่อไปนี้:

  • อีเมลที่อ้างว่ามาจากเจ้านายของคุณหรือบุคคลสำคัญในบริษัทของคุณซึ่งมีไฟล์หรือเอกสารที่มีการป้องกันด้วยรหัสผ่านซึ่งกำหนดให้คุณต้องป้อนชื่อผู้ใช้และรหัสผ่านของคุณ นี่เป็นแผนทั่วไปในการขโมยข้อมูลประจำตัว
  • โดยทั่วไป ให้ระวังคำขอที่ดูเหมือนไม่ปกติ โดยพิจารณาจากหน้าที่งานของผู้ส่งที่ถูกกล่าวหา
  • รูปแบบทั่วไปอีกประการหนึ่งคือการมีลิงก์ไปยังเอกสารที่จัดเก็บไว้ใน Google Drive, Dropbox หรือบริการจัดเก็บข้อมูลบนคลาวด์อื่นๆ ลิงก์เหล่านี้มักจะเปลี่ยนเส้นทางคุณไปยังเว็บไซต์ที่เป็นอันตราย

3. การล่าปลาวาฬ

รูปแบบอื่นของกลวิธีฟิชชิ่งหอก การล่าวาฬ หรือที่มักเรียกกันว่า “การฉ้อโกง CEO” เกี่ยวข้องกับผู้กระทำความผิดโดยใช้เทคนิคโอเพนซอร์สข่าวกรอง (OSINT) เพื่อค้นหาชื่อซีอีโอขององค์กรหรือสมาชิกผู้บริหารระดับสูง แล้วปลอมตัวเป็นบุคคลนั้นโดยใช้ของปลอม ที่อยู่อีเมล.

จากนั้นผู้กระทำความผิดจะกำหนดเป้าหมายพนักงานของบริษัท ขอข้อมูลประจำตัวของบัญชี ข้อมูลธนาคาร หรือแม้แต่ขอให้ผู้รับโอนเงินจากผู้รับ

วิธีการระบุ:

  • ตรวจสอบที่อยู่อีเมลของผู้ส่งอีกครั้ง ตรวจสอบให้แน่ใจว่ามาจากที่อยู่อีเมลอย่างเป็นทางการของบริษัท เคล็ดลับทั่วไปคือการอ้างว่าอีเมลนั้นมาจากที่อยู่ส่วนตัว (เช่น ไม่สามารถเข้าถึงอีเมลที่ทำงานได้ในขณะนี้)
  • อย่าลังเลที่จะยืนยันกับผู้อื่นในบริษัทของคุณ หรือแม้แต่ให้อีเมลที่อ้างว่ามาจากการโทรกับบุคคลนั้น
  • โปรดใช้ความระมัดระวังเป็นพิเศษหากอีเมลดังกล่าวอ้างว่ามาจากบุคคลในบริษัทของคุณซึ่งไม่เคยติดต่อมาก่อน

4. HTTPS ฟิชชิ่ง

พวกเราหลายคนได้รับการฝึกอบรมว่าเว็บไซต์ HTTPS มีการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง ดังนั้นจึงปลอดภัยเมื่อต้องส่งข้อมูลส่วนบุคคลและข้อมูลประจำตัว

อย่างไรก็ตาม นักต้มตุ๋นหลายคนใช้ประโยชน์จากความรู้นี้ในการพยายามฟิชชิ่ง โดยใช้โปรโตคอล HTTPS ในเว็บไซต์ปลอมที่ลิงก์ในอีเมลฟิชชิ่ง

วิธีการระบุ:

  • ตรวจสอบว่าลิงก์ใช้ไฮเปอร์เท็กซ์เพื่อซ่อน URL จริงหรือไม่
  • ตรวจสอบอีกครั้งว่าลิงก์ไม่ย่อ และทุกส่วนของ URL จะแสดงขึ้น

5. วิชิ่ง

ย่อมาจาก "Voice Phishing" และตามชื่อของมัน มันเป็นความพยายามในการฟิชชิ่งที่เกิดขึ้นทางโทรศัพท์

โดยทั่วไปแล้ว ผู้กระทำความผิดจะโทรหาในช่วงเวลาที่ยุ่งวุ่นวาย ซึ่งเกิดขึ้นพร้อมกับช่วงเทศกาล ช่วงเวลา หรือเหตุการณ์ที่ตึงเครียด โดยอ้างว่ามาจากบริษัทที่จัดตั้งขึ้นและทำให้เกิดความรู้สึกเร่งด่วนขึ้น

แนวคิดนี้มีไว้เพื่อให้การโทรนั้นสร้างความรู้สึกตื่นตระหนก ทำให้ผู้รับสับสนในการทำผิดพลาดด้านความปลอดภัยและเปิดเผยข้อมูลที่ละเอียดอ่อนของพวกเขา

วิธีการระบุ:

  • ควรสงสัยตามสมควรหากการโทรร้องขอการดำเนินการที่ผิดปกติสำหรับประเภทของผู้โทร โดยเฉพาะอย่างยิ่งเมื่อมีการร้องขอข้อมูลที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคล
  • ตรวจสอบหมายเลขผู้โทรอีกครั้งว่ามาจากตำแหน่งที่ผิดปกติหรือถูกบล็อก
  • ใช้แอปพลิเคชั่นมือถือที่ให้คุณตรวจสอบตัวตนของสายเรียกเข้าจากหมายเลขที่ไม่รู้จัก มีแอพมากมายสำหรับทั้งอุปกรณ์ iOS และ Android
  • ทางที่ดีควรหลีกเลี่ยงการรับสายจากหมายเลขที่ไม่รู้จักในช่วงเวลาหรือสถานการณ์ที่ตึงเครียด

6. ยิ้มแย้มแจ่มใส

ย่อมาจาก “SMS Phishing” เป็นการพยายามฟิชชิ่งผ่านข้อความ (SMS)

โดยปกติผู้กระทำความผิดจะส่งข้อความที่อ้างว่ามาจากองค์กรหรือบริษัทที่จัดตั้งขึ้น และข้อความนั้นจะมีลิงก์ที่มีมัลแวร์และ/หรือจะเปลี่ยนเส้นทางคุณไปยังเว็บไซต์ที่เป็นอันตราย

เนื่องจากหลายคนมักจะมองว่าข้อความเป็นส่วนตัวมากกว่าและ "ไม่เป็นอันตราย" การยิ้มอาจจับเหยื่อโดยไม่ระวัง

วิธีการระบุ:

  • ก่อนคลิกลิงก์ใด ๆ ให้ตรวจสอบโดยตรงไปยังเว็บไซต์ของบริษัทที่มีข้อความอ้างว่ามาจากว่ามีการแจ้งเตือนใด ๆ ที่เกี่ยวข้องกับการดำเนินการที่ร้องขอโดยข้อความหรือไม่
  • อย่าลังเลที่จะติดต่อหมายเลขที่ระบุไว้ในเว็บไซต์ที่ถูกต้องตามกฎหมายของบริษัท และยืนยันความถูกต้องของข้อความ
  • ตรวจสอบรหัสพื้นที่และหมายเลขของผู้ส่ง และเปรียบเทียบกับรายชื่อผู้ติดต่อของคุณ ก่อนคลิกลิงก์ใดๆ หรือดำเนินการตามคำแนะนำใดๆ

7. ฟิชชิ่งตกปลา

Angler phishing เป็นฟิชชิ่งประเภทหนึ่งที่กำหนดเป้าหมายไปยังผู้ใช้โซเชียลมีเดีย ส่วนใหญ่เกี่ยวข้องกับผู้กระทำผิดโดยใช้บัญชีโซเชียลมีเดียปลอมที่แอบอ้างเป็นบริษัทหรือบุคคลที่รู้จัก

Angler phishing ใช้ประโยชน์จากข้อเท็จจริงที่ว่าปฏิสัมพันธ์ระหว่างธุรกิจและลูกค้าบนโซเชียลมีเดียกำลังเกิดขึ้นบ่อยครั้งและคาดหวังมากขึ้น ผู้กระทำผิดมีส่วนร่วมกับเหยื่อที่เป็นเป้าหมายผ่านการแจ้งเตือนและ DM เพื่อหลอกล่อให้พวกเขาทำผิดพลาดด้านความปลอดภัย

วิธีการระบุ:

  • ตรวจสอบบัญชีอีกครั้งเพื่อหาเครื่องหมายสีน้ำเงิน (บัญชีที่ยืนยันแล้ว)
  • ระวังการแจ้งเตือนที่มีลิงก์ที่อาจเปลี่ยนเส้นทางคุณไปยังเว็บไซต์ที่เป็นอันตราย
  • หลีกเลี่ยงการคลิกลิงก์ใน DM ที่มาจากผู้ที่ไม่ค่อยแชร์ลิงก์ (หรือบุคคล/บัญชีที่ไม่เคยส่งข้อความถึงคุณ) แม้ว่าลิงก์จะดูถูกต้องก็ตาม
  • หาก DM มาจากคนที่คุณรู้จักซึ่งไม่ค่อยได้ส่งข้อความถึงคุณ ให้ตรวจสอบบัญชีอีกครั้งเพราะอาจถูกปลอมแปลงหรือสร้างขึ้นใหม่

8. เภสัช

Pharming เป็นรูปแบบฟิชชิ่งที่ค่อนข้างล้ำหน้า โดยมีชื่อมาจากคำว่า "phishing" และ "farming"

เทคนิคเภสัชกรรมทั่วไปเกี่ยวข้องกับผู้กระทำผิดที่จี้ DNS เพื่อเปลี่ยนเส้นทางผู้ใช้ที่พยายามเข้าถึงเว็บไซต์ใดเว็บไซต์หนึ่งไปยังเว็บไซต์ปลอมแทน

ความพยายามในการผลิตยาที่ซับซ้อนอาจตรวจพบได้ยาก

วิธีการระบุ:

  • ตรวจสอบ URL ของเว็บไซต์อีกครั้งหากใช้ HTTP แทน HTTPS
  • มองหาความไม่สอดคล้องกัน เช่น การพิมพ์ผิด สีที่ไม่ตรงกัน การออกแบบที่ไม่เหมาะสม เนื้อหาบาง ฯลฯ ที่อาจบ่งบอกถึงเว็บไซต์ปลอม

วิธีปกป้องธุรกิจของคุณจากฟิชชิ่ง

ข้างต้น เราได้เรียนรู้วิธีการรู้จักเทคนิคฟิชชิ่งประเภทหลักๆ และขั้นตอนพื้นฐานในการป้องกันตัวเองจากเทคนิคเหล่านี้

ในส่วนนี้ เราจะหารือเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดที่สำคัญบางประการที่ควรปฏิบัติตาม เพื่อปกป้องตัวคุณเองและธุรกิจของคุณจากการโจมตีแบบฟิชชิ่งต่างๆ:

1. ให้ความรู้แก่พนักงานของคุณ

เนื่องจากฟิชชิ่งเป็น วิศวกรรมสังคม โดยพื้นฐานแล้ว แนวป้องกันแรกที่คุณควรมีคือทำให้แน่ใจว่าพนักงานของคุณได้รับการศึกษาและการฝึกอบรมที่จำเป็นเพื่อรับรู้ถึงความพยายามในการฟิชชิงและปกป้องข้อมูลประจำตัว/ข้อมูลที่ละเอียดอ่อนของพวกเขา

ทำให้การฝึกอบรมการรับรู้ฟิชชิ่งเป็นส่วนหนึ่งของโปรแกรมการเตรียมความพร้อมให้กับพนักงานของคุณ และรีเฟรชการฝึกอบรมอย่างสม่ำเสมอเพื่อรวมวิธีการและแนวโน้มใหม่ๆ

2. ต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัย

การตรวจสอบสิทธิ์แบบหลายปัจจัยสามารถลดความเสี่ยงของการฟิชชิ่งที่ประสบความสำเร็จในสถานการณ์ที่พนักงานของคุณถูกหลอกให้เปิดเผยข้อมูลประจำตัวของพวกเขา

ด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย คุณจะต้องให้พนักงานของคุณให้ข้อมูลอื่นนอกเหนือจากรหัสผ่านก่อนจึงจะสามารถเข้าสู่ระบบเครือข่ายและแอปพลิเคชันของคุณได้

ข้อมูลรอง (หรือมากกว่า) สามารถ:

  • สิ่งที่พวกเขาเป็น: ไบโอเมตริกซ์เช่น ID ใบหน้าหรือลายนิ้วมือ
  • สิ่งที่พวกเขารู้: รหัสผ่านอื่น, PIN, ตอบคำถามเพื่อความปลอดภัย ฯลฯ
  • สิ่งที่พวกเขามี: อุปกรณ์สำหรับจับคู่ คีย์การ์ด ดองเกิล USB ฯลฯ

3. การสำรองข้อมูลปกติ

การโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จอาจทำให้เกิดการติดมัลแวร์ ซึ่งรวมถึงแรนซัมแวร์ ซึ่งอาจทำให้คุณไม่สามารถเข้าถึงไฟล์/แอพบางตัว และแม้กระทั่งความล้มเหลวของระบบโดยสมบูรณ์

เพื่อลดความเสี่ยงนี้ ให้สำรองข้อมูลของคุณเป็นประจำ

เราขอแนะนำให้ปฏิบัติตามหลักการสำรองข้อมูล 3-2-1: สำเนาข้อมูลของคุณ 3 ชุด บนสื่อ 2 แบบ โดย 1 ชุดเก็บไว้นอกสถานที่

หยุดการเลียนแบบแบรนด์ของคุณในการโจมตีแบบฟิชชิ่ง

ความกังวลอีกประการหนึ่งที่เกี่ยวข้องกับฟิชชิ่งคือเมื่ออาชญากรไซเบอร์ใช้โดเมนหรือชื่อแบรนด์ของคุณเป็นส่วนหนึ่งของแผนการฟิชชิ่งของพวกเขา

แม้ว่าในทางเทคนิคแล้วไม่ใช่ความผิดของคุณ แต่ผู้ที่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งอาจตำหนิแบรนด์ที่นักต้มตุ๋นกำลังแอบอ้าง ทำให้เกิดผลกระทบทางลบต่อชื่อเสียงของแบรนด์

แม้ว่าการป้องกันอาชญากรไซเบอร์ 100% จากการแอบอ้างแบรนด์ของคุณอาจเป็นเรื่องยากมากหากไม่สามารถทำได้ แต่มีขั้นตอนที่ธุรกิจของคุณสามารถทำได้เพื่อลดความเสี่ยง:

  • ใช้ใบรับรอง SSL (HTTPS) บนเว็บไซต์ของคุณ ด้วยวิธีนี้ เมื่อนักต้มตุ๋นต้องการแอบอ้างเป็นเว็บไซต์ของคุณ พวกเขาจะต้องได้รับใบรับรอง SSL ที่ถูกต้องนอกเหนือจากใบรับรองปลอม สิ่งนี้อาจทำให้พวกเขาท้อใจ
  • ใช้โปรโตคอล เช่น DKIM หรือ DMARC เพื่อเพิ่มการยืนยันในอีเมลที่ธุรกิจของคุณรับหรือส่ง วิธีนี้จะช่วยป้องกันไม่ให้บุคคลภายนอกส่งอีเมลเท็จโดยใช้ชื่อโดเมนของคุณ ซึ่งทำให้ป้องกันอีเมลฟิชชิ่งได้อย่างมีประสิทธิภาพ
  • ลงทะเบียนชื่อโดเมนของคุณในรูปแบบต่างๆ (TLD ที่แตกต่างกัน การสะกดผิดที่อาจเกิดขึ้น ฯลฯ) เพื่อป้องกันไม่ให้มีการใช้รูปแบบเหล่านี้ในการพยายามฟิชชิง
  • ใช้การจัดการโดเมน Red Points เพื่อช่วยปกป้องชื่อโดเมนของธุรกิจของคุณแบบเรียลไทม์ Red Points สามารถตรวจจับความพยายามฟิชชิ่งได้อย่างมีประสิทธิภาพโดยใช้ชื่อโดเมนของคุณบนแพลตฟอร์มต่างๆ บน Autopilot โดยไม่ต้องมีการแทรกแซงใดๆ นอกจากนี้ Red Points ยังช่วยให้คุณลบเว็บไซต์ปลอมก่อนที่จะส่งผลกระทบในทางลบต่อชื่อเสียงของคุณ

อะไรต่อไป

แม้ว่าจะมีการโจมตีแบบฟิชชิ่งหลายประเภทที่ดำเนินการโดยนักต้มตุ๋นและอาชญากรไซเบอร์ การโจมตีแบบฟิชชิงทั้งหมดมีคุณลักษณะทั่วไปดังต่อไปนี้:

  • การสร้างความรู้สึกเร่งด่วน: ผู้กระทำผิดมักจะกระตุ้นให้คุณดำเนินการอย่างรวดเร็วไม่ว่าจะโดยการขู่ขวัญคุณด้วยการคุกคามอย่างเร่งด่วนที่สมมติขึ้นหรือโดยการดึงดูดคุณด้วยข้อเสนอที่มีเวลาจำกัด ฟิชชิ่งบางรูปแบบอาจบอกคุณได้ว่าคุณมีเวลาเพียงไม่กี่นาทีในการตอบกลับ
  • ดีเกินจริง: ฟิชชิงมักเกี่ยวข้องกับข้อเสนอและการอ้างสิทธิ์ที่ดึงดูดความสนใจและน่าสนใจ ตัวอย่างเช่น การอ้างว่าคุณได้รับรางวัล iPhone และขอให้คุณคลิกลิงก์
  • ผู้ส่งที่ผิดปกติ: ให้ความสนใจเป็นพิเศษกับ URL ของเว็บไซต์และที่อยู่อีเมลของผู้ส่ง หากอีเมลนั้นมาจากคนที่คุณไม่รู้จัก หรือหากคุณเห็นอะไรผิดปกติ ให้หลีกเลี่ยงการคลิกบนสิ่งใดๆ
  • ลิงก์ที่น่าสงสัย: อย่าคลิกลิงก์ใดๆ เว้นแต่คุณจะแน่ใจ 100% คุณสามารถวางเมาส์เหนือลิงก์เพื่อตรวจสอบ URL จริงและดูว่า URL นั้นถูกต้องหรือไม่
  • ไฟล์แนบที่เป็นอันตราย: อย่าคลิกไฟล์แนบในอีเมลที่คุณไม่แน่ใจ 100% ไฟล์แนบอาจมีมัลแวร์ แรนซัมแวร์ หรือไวรัสอื่นๆ

แม้ว่าจะไม่มีวิธีใดที่จะหลีกเลี่ยงการโจมตีแบบฟิชชิงได้ คุณสามารถใช้เคล็ดลับข้างต้นร่วมกันเพื่อป้องกันและลดความเสียหายได้

สิ่งสำคัญที่ต้องจำไว้คือ นอกเหนือจากการสร้างโครงสร้างพื้นฐานการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและแนวทางปฏิบัติที่ดีที่สุด องค์ประกอบที่สำคัญอีกอย่างหนึ่งของการป้องกันฟิชชิงก็คือ การศึกษา เมื่อพูดถึงฟิชชิ่งและแผนวิศวกรรมสังคมอื่นๆ องค์กรของคุณจะมีความปลอดภัยเท่ากับบุคคลที่มีความรู้น้อยที่สุดในนั้นเท่านั้น