ฟิชชิ่ง ฟังดูเหมือนการตกปลา (Fishing) แต่ความหมายในทางคอมพิวเตอร์แล้ว หมายถึง การหลอกหลวงเหยื่อ เพื่อให้เหยื่อคิดเข้าใจผิด และยอมมอบข้อมูลสำคัญให้ เช่น รหัสผ่าน, เลขที่บัตรเครดิต หรือแม้กระทั่งข้อมูลส่วนตัว โดยช่องทางอิเลคทรอนิกส์ ก็คือ Internet ที่เราใช้กันอยู่ทุกวัน

Phishing เป็นศาตร์ และศิลป์ แขนงหนึ่งเลยก็ได้ เนื่องจาก จะทำอย่างไรให้เหยื่อ เชื่อโดยสนิทใจว่า เป็นหน่วยงาน องค์กร หรือบริษัทฯ ต่าง ๆ จริงๆ โดยการโจมตีแบบ Phishing นี้ส่วนใหญ่นิยมใช้ Email เป็นสื่อกลาง เราคงเห็น Mail แปลกๆ เอ ทำไมเราไม่เคยเป็นสมาชิกของ ธนาคารนี้ แต่กลับมีเมล์จากธนาคารนี้ว่า บัญชีของเรามีปัญหาให้เข้าไปตรวจสอบ อะไรทำนองนี้

ภาพบน Email ที่ส่งโดยหลอกหลวงมาจาก Citi Bank โดยล่อหลอกว่า บัญชีคุณมีปัญหาให้เข้าไปดู โดยให้คลิ๊กไปยัง Link ใน Mail ซึ่งแทนที่จะคลิ๊กเข้าสู่เว็บไซต์ของ Citi Bank กลับเข้าสู่เว็บไซต์ของ Phisher แทน

เมื่อคลิ๊กเข้ามาสู่เว็บไซต์ของ Phisher ก็จะทำหน้าจอให้เหมือนกับ Citibank ของจริงๆ ซึ่งหน้าจอแบบนี้ใคร ๆ ก็ทำได้ไม่ยาก โดย Copy HTML มาจากเว็บไซต์จริงๆ แล้ว Save ใหม่ เท่านั้นเอง

แล้ว Phishing มันทำงานกันอย่างไร

1. สร้าง Phishing Server แน่นอนครับ ไม่มี Phisher คนไหน เอา Server ตัวเองมาทำเป็น Phishing Server เป็นแน่ เพราะว่า อาจโดนตามจับเอาง่าย วิธีคือไป Hack เครื่องที่มีช่องโหว่ ไม่ว่าด้านไหนก็ได้ ให้สามารถเอาไฟล์และ Script ต่างๆ ไปวางไว้ได้ก็พอ โดย Phishing Server ทำหน้าที่เก็บไฟล์ และ Script โดยทำหน้าจอให้เหมือนกับ Bank หน่วยงานที่ต้องการจะหลอกเหยื่อ
2. เขียน Email หลอกลวง โดยใช้หลักการ Social Engineering (วิศวกรรมสังคม) เช่น ท่านจะได้รับโชค, บัญชีของท่านมีปัญหา , ธนาคารมีการเพิ่มระบบป้องกันภัยใหม่ๆ, เปิดเผยข้อมูลความลับส่วนบุคคล หรืออะไรที่จะทำให้เหยื่อ เชื่อได้ว่า จดหมายนี้เป็นจดหมายมาจากหน่วยงานนั้นจริงๆ เช่น เอา Logo มาแปะบน email เพื่อให้เกิดความน่าเชื่อถือ ส่งไปให้เหยื่อ
3. เหยื่อยหลงเชื่อ ตาม Email และเผลอคลิ๊ก โดยไม่ได้ทันสังเกตุว่า ไม่ใช่เว็บไซต์ จริงๆ เช่น หากเป็น ธนาคาร ไม่ทันได้ดู URL ว่าเป็น เว็บไซต์ธนาคารจริงหรือไม่? และเหยื่อป้อน Username / Password หรือ เลขที่บัตรเครดิตลงใน Phising Server
4. Phisher ได้ข้อมูลที่ต้องการ โดยที่เหยื่อยยังไม่รู้ตัวด้วยซ้ำ ว่าข้อมูลถูกขโมยไปเสียแล้ว

อีกตัวอย่างหนึ่ง หน้าจอที่ Phishing Server สังเกตดี ๆ ว่า เว็บไซต์ด้านหลัง เป็นเว็บไซต์ของ Citibank จริงๆ แต่ ตรง Pop Up นั้น อยู่ที่ Phishing Server (หลอกกันสุด ๆ ) ซึ่งหาก เหยื่อป้อนข้อมูล ก็ไม่ต้องพูดถึง เรียบร้อย

วิธีการที่ Phisher ทำ Phishing Server ให้เหมือนจริงๆ หรือเทคนิคที่หลอกเหยื่อ ให้เชื่อ มีดังนี้

• ทำหน้าเว็บไซต์ให้เหมือน
  • www.aol.com เปลี่ยนเป็นŠ
    • www.ao1.com (เอ โอ หนึ่ง)
    • www.aoI.com (เอ โอ ไอ)
• เปลี่ยนเว็บไซต์ โดยทำให้คล้าย
  • www.mybank.com เปลี่ยนไป
    • www.mybank.private.com เว็บไซต์จริงๆ คือ private.com
    • www.mybank.com.ch ไม่ใช่เว็บไซต์ mybank.com แต่เป็น mybank.com.ch แทน
• ทำ URL ให้อ่านไม่รู้เรื่อง ตัวอย่างเช่น
  • www.google.com เปลี่ยนเป็น
    • IP : http://64.233.167.99
      Dot-less address: http://1089054568
      Escape Encoding: http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D
• ใช้ @ แทน
  • www.bank.com เปลี่ยนเป็น
    • www.bank.com@www.bad.com จริงๆ เข้าที่เว็บไซต์ www.bad.com แทน
    • http://www.bank.com@%77%77%77%2E%62%61%64%2E%63%6F%6D = http://www.bank.com@www.bad.com

ข่าวจากเว็บไซต์ “นายสาโมทย์ วีรานุวัตติ์ ผู้อำนวยการฝ่ายบริหารเงินฝากและค่าธรรมเนียมลูกค้าบุคคล ธนาคารกสิกรไทย เปิดเผยว่า ในขณะนี้มีกลุ่มมิจฉาชีพได้ปลอมแปลงอีเมล์ให้เสมือนว่าเป็นอีเมล์จากธนาคาร แล้วส่งไปยังผู้ใช้งานอินเทอร์เน็ตทั่วไป โดยไม่เจาะจงว่าจะเป็นลูกค้าของธนาคารกสิกรไทยหรือไม่ โดยอีเมล์อ้างว่า ธนาคารกสิกรไทยกำลังเสนอเรื่องการป้องกันเกี่ยวกับบัญชีของลูกค้าจากการกระทำของผู้ไม่หวังดี ด้วยระบบ K-S Debit และให้คลิกเพื่อเข้าไปยังเวบไซต์ปลอม เพื่อลงทะเบียน VISA Registration ซึ่งเวบไซต์ดังกล่าวจะตั้งชื่อปลอม คล้ายกับชื่อเวบไซต์ของธนาคารกสิกรไทย เช่น http://www.kasikornbank.cd หรือ http://www.kasikornbank.cd /enroll/enroll.aspx และรายละเอียดเวบไซต์จะคล้ายกับของธนาคารกสิกรไทย (หากไม่สังเกตุ) พร้อมให้ลูกค้าใส่ข้อมูลหมายเลขบัตรเดบิต/บัตรเครดิต รหัสประจำบัตร (Pin Code) วันหมดอายุ เลข CVV2 Code ซึ่งเป็นเลข 3 ตัวหลังบัตร และเบอร์โทรศัพท์ หากผู้ได้รับอีเมล์เข้าไปกรอกข้อมูล ก็จะทำให้ผู้ร้ายขโมยข้อมูลบัตรเดบิตหรือบัตรเครดิตของลูกค้าไปเพื่อกระทำการทุจริต อันอาจจะก่อให้เกิดความเสียหายกับเจ้าของบัตรได้
ทั้งนี้ ลักษณะการหลอกลวงด้วยอีเมล์หรือทางเวบไซต์แบบนี้ได้เกิดขึ้นมาก่อนที่อเมริกา ยุโรป และเอเซีย แต่ในปัจจุบันได้เข้ามาในเมืองไทยแล้ว ธนาคารกสิกรไทย จึงขอเตือนให้ลูกค้าและประชาชนให้ความระมัดระวังอีเมล์ปลอม และการล่อลวงในลักษณะใกล้เคียงก ันนี้ โดยขอให้สังเกตชื่อเวบไซต์ว่า เป็นเวบไซต์จริงของธนาคารทุกครั้ง (www.kasikornbank.com) และอย่าได้หลงเชื่อกรอกรายละเอียดใดผ่านทางเวบไซต์ เนื่องจากธนาคารไม่มีนโยบายที่จะถามหรือให้ลูกค้ากรอกรหัสผ่าน(Password) ใด ๆ ผ่า นทางอีเมล์ อินเทอร์เน็ต หรือช่องทางอื่น
ธนาคารกสิกรไทย มีความมั่นใจว่า ระบบรักษาความปลอดภัยในการทำธุรกรรมการเงินของธนาคารมีมาตรฐานสูงเทียบเท่าธนาคารชั้นนำในระดับสากล ดังนั้นถ้าลูกค้าเก็บบัตรไว้กับตัว และเก็บรหัสของบัตรไว้เป็นความลับส่วนบุคคล โดยไม่แจ้งให้บุคคลอื่นทราบ กลุ่มมิจฉาชีพก็จะไม่สามารถดำเนินการทุจริต และสร้างความเสียหายใด ๆ ได้ ซึ่งหากลูกค้ามีข้อสงสัยสามารถสอบถามรายละเอียดได้ที่ K-Contact Center 0 2888 8888 กด 01 ได้ตลอด 24 ชั่วโมง “

สังเกตุดี ๆ นะครับ Phisher รายนี้ฉลาด เพราะรู้ว่า คนถือบัตรของ Kbank อาจพอมีความรู้เรื่องระบบ Verify by Visa เลยให้เทคนิคบอกว่า Kbank มีระบบใหม่ในการป้องกันการถูกลักลอบใช้บัตรเครดิต (ซึ่งเป็นการใช้ Social Engineering อย่างหนึ่ง) ซึ่งทำให้เหยื่อ หลงคลิ๊ก และป้อนข้อมูลเลขที่บัตรเครดิต วันหมดอายุ

จากภาพ เป็น WebPage การสมัครใช้งาน ระบบ Verify by Visa ของธนาคารกสิกรไทย แต่ Phisher ตั้ง Phishing Server ใหม่ เป็น http://www.kasikornbank.cd/enroll/enroll.aspx แทน ซึ่งหากเหยื่อไม่ทันได้สังเกตุ และป้อน เลขที่บัตรเครดิต ก็จบข่าว

วิธีป้องกันเบื้องต้น

• อย่าคลิ๊ก Link ใดที่มาจาก Email ให้เปิด Browser ใหม่ และพิมพ์ เข้าสู่เว็บไซต์เอง
• หากเป็นไปได้ มีเบอร์ติดต่อกลับ ให้โทรไปเพื่อยืนยัน ว่าผู้ส่ง ส่งจดหมายมาจริงๆ เช่น โทรกลับไปยังธนาคารเพื่อถามว่า ได้ส่งจดหมายนี้จริงๆ
• ตรวจสอบ เว็บไซต์ อย่างรอบคอบ

ขอบพระคุณที่สนใจอ่าน

• Reference
  • Wiki : http://en.wikipedia.org/wiki/Phishing
  • Anti Phishing Group : http://www.antiphishing.org
  • Ohio-State.edu Slide PPT : www.cse.ohio-state.edu/~xuan/courses/551/551_2006_5_tuty.ppt