Difference between revisions of "Phishing"
Thomhathai (talk | contribs) |
Thomhathai (talk | contribs) |
||
Line 1: | Line 1: | ||
== รู้จัก Phishing == | == รู้จัก Phishing == | ||
Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ หรือ ส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ ซึ่งการทำ Phishing ที่พบเห็นบ่อยในประเทศไทยมีอยู่ 2 รูปแบบ คือ | Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ หรือ ส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ ซึ่งการทำ Phishing ที่พบเห็นบ่อยในประเทศไทยมีอยู่ 2 รูปแบบ คือ | ||
− | # Phishing | + | # Phishing Mail |
− | # Phishing | + | # Phishing Web |
=== Phishing mail === | === Phishing mail === | ||
− | Phishing | + | Phishing Mail เป็นการส่งอีเมลหลอกลวง โดยจะเริ่มต้นจากข้อความอีเมลที่ดูเหมือนกับว่าเป็นการแจ้งเตือนอย่างเป็นทางการและมีความเร่งด่วนจากแหล่งที่เชื่อถือได้ เช่น หน่วยงานไอทีของมหาวิทยาลัย ธนาคาร บริษัทบัตรเครดิต หรือหน่วยงานอื่นๆ อันเป็นที่รู้จักของคนทั่วไป เป็นต้น ซึ่งข้อความการแจ้งเตือนดังกล่าวจะทำให้ผู้เสียหายมีความตื่นตระหนกและเกรงกลัว หากผู้เสียหายหลงเชื่อได้กรอกข้อมูลสำคัญต่างๆ ที่แนบมากับลิงค์ในอีเมลหลอกลวงเหล่านี้ เช่น username และ password สำหรับการเข้าระบบขององค์กร ข้อมูลส่วนบุคคลอื่นๆ หรือหลอกให้ติดตั้ง Malware จากการคลิกลิงก์ ซึ่งจะทำผู้ไม่ประสงค์ดีสามารถโจรกรรมข้อมูลสำคัญ เข้าถึงข้อมูลส่วนตัว นำข้อมูลที่ได้ไปปลอมแปลง ส่งผลให้ผู้เสียหายและองค์กรเสื่อมเสียชื่อเสียง หากผู้ไม่ประสงค์ดีมีการนำข้อมูลที่ได้มาไปใช้งานอย่างผิดกฎหมาย ผู้เสียหายอาจถูกฟ้องร้องดำเนินคดีได้ |
<pre style="color: red"> โปรดระวังและตระหนักอยู่เสมอว่า สำนักบริการเทคโนโลยีสารสนเทศ ไม่มีนโยบายให้ผู้ใช้งานเข้าไปยืนยันความถูกต้องในการใช้บริการสารสนเทศของมหาวิทยาลัยผ่านทางลิงก์ที่แนบมาในอีเมลหรือช่องทางอื่นๆ ทุกช่องทาง </pre> | <pre style="color: red"> โปรดระวังและตระหนักอยู่เสมอว่า สำนักบริการเทคโนโลยีสารสนเทศ ไม่มีนโยบายให้ผู้ใช้งานเข้าไปยืนยันความถูกต้องในการใช้บริการสารสนเทศของมหาวิทยาลัยผ่านทางลิงก์ที่แนบมาในอีเมลหรือช่องทางอื่นๆ ทุกช่องทาง </pre> | ||
รูปที่ 1 ตัวอย่างของ Phishing mail อ้างเป็นหน่วยงานจากมหาวิทยาลัยเชียงใหม่ <br/><br/> [[File:Phishing01.png|link=]] <br/><br/> | รูปที่ 1 ตัวอย่างของ Phishing mail อ้างเป็นหน่วยงานจากมหาวิทยาลัยเชียงใหม่ <br/><br/> [[File:Phishing01.png|link=]] <br/><br/> | ||
− | <pre style="color: blue"> | + | <pre style="color: blue"> วิธีตรวจสอบ Phishing mail |
* มักใช้ชื่ออีเมลที่คล้ายหรือใกล้เคียงกับชื่อขององค์กรนั้นๆ | * มักใช้ชื่ออีเมลที่คล้ายหรือใกล้เคียงกับชื่อขององค์กรนั้นๆ | ||
* มีลิงก์หรือไฟล์แนบที่น่าสงสัย | * มีลิงก์หรือไฟล์แนบที่น่าสงสัย | ||
− | * มีการร้องขอข้อมูลสำคัญ เช่น | + | * มีการร้องขอข้อมูลสำคัญ เช่น username และ password หรือรายละเอียดบัญชีธนาคาร เป็นต้น |
* เนื้อหาแจ้งเตือนว่าด่วน เร่งรีบ สำคัญมาก หลอกล่อให้คลิกลิงก์หรือเปิดไฟล์แนบ | * เนื้อหาแจ้งเตือนว่าด่วน เร่งรีบ สำคัญมาก หลอกล่อให้คลิกลิงก์หรือเปิดไฟล์แนบ | ||
* ภาษาผิดหลักไวยกรณ์ คล้ายกับใช้โปรแกรมแปลภาษา </pre> | * ภาษาผิดหลักไวยกรณ์ คล้ายกับใช้โปรแกรมแปลภาษา </pre> | ||
− | === Phishing | + | === Phishing Web === |
Phishing Web คือ การปลอมแปลงหน้าเว็บไซต์จริง เพื่อหลอกเอาข้อมูลเช่น username และ password ของผู้เสียหาย ถ้าหากผู้เสียหายไม่ระมัดระวังก็อาจจะกรอกข้อมูลต่าง ๆ ส่งให้ผู้ไม่ประสงค์ดีโดยที่ไม่รู้ตัว โดย Phishing Web มักจะเป็นลิงก์ปลอมที่แนบมากับอีเมล เมื่อผู้เสียหายกดเปิดก็จะเข้าสู่ Phishing Web (เว็บไซต์ปลอมที่ทำเลียนแบบเว็บไซต์ของจริง) ที่ผู้ไม่ประสงค์ดีสร้างขึ้นเพื่อหลอกให้ผู้เสียหายกรอก username และ password หรือข้อมูลส่วนตัวอื่น ๆ ทันที โดยทั้งหมดทำผ่านหน้าเว็บที่คล้ายของจริง ที่ผู้ไม่ประสงค์ดีเป็นคนตั้งขึ้นมา <br/><br/> | Phishing Web คือ การปลอมแปลงหน้าเว็บไซต์จริง เพื่อหลอกเอาข้อมูลเช่น username และ password ของผู้เสียหาย ถ้าหากผู้เสียหายไม่ระมัดระวังก็อาจจะกรอกข้อมูลต่าง ๆ ส่งให้ผู้ไม่ประสงค์ดีโดยที่ไม่รู้ตัว โดย Phishing Web มักจะเป็นลิงก์ปลอมที่แนบมากับอีเมล เมื่อผู้เสียหายกดเปิดก็จะเข้าสู่ Phishing Web (เว็บไซต์ปลอมที่ทำเลียนแบบเว็บไซต์ของจริง) ที่ผู้ไม่ประสงค์ดีสร้างขึ้นเพื่อหลอกให้ผู้เสียหายกรอก username และ password หรือข้อมูลส่วนตัวอื่น ๆ ทันที โดยทั้งหมดทำผ่านหน้าเว็บที่คล้ายของจริง ที่ผู้ไม่ประสงค์ดีเป็นคนตั้งขึ้นมา <br/><br/> | ||
รูปที่ 2 ตัวอย่างของ Phishing Web ที่ทำเลียนแบบเว็บไซต์ของจริง <br/><br/> ภาพจาก : https://www.facebook.com/informationcovid19 <br/> [[File:Phishing02.png|link=]] <br/><br/> | รูปที่ 2 ตัวอย่างของ Phishing Web ที่ทำเลียนแบบเว็บไซต์ของจริง <br/><br/> ภาพจาก : https://www.facebook.com/informationcovid19 <br/> [[File:Phishing02.png|link=]] <br/><br/> |
Revision as of 03:44, 13 July 2021
รู้จัก Phishing
Phishing เป็นคำเปรียบเทียบที่พ้องเสียงมาจาก Fishing ที่แปลว่า การตกปลา โดยในการตกปลานั้น ต้องมีเหยื่อล่อให้ปลามาติดเบ็ด จึงเปรียบเทียบถึงการสร้างสถานการณ์โดยการส่งข้อความ อีเมล หรือเว็บไซต์ปลอม เพื่อเป็นเหยื่อล่อให้ผู้เสียหายเข้ามาติดเบ็ด และหลอกล่อผู้เสียหายให้กรอกข้อมูลส่วนตัวต่าง ๆ หรือ ส่งโปรแกรมให้ติดตั้งลงเครื่องคอมพิวเตอร์ตามที่ผู้ไม่ประสงค์ดีต้องการ ซึ่งการทำ Phishing ที่พบเห็นบ่อยในประเทศไทยมีอยู่ 2 รูปแบบ คือ
- Phishing Mail
- Phishing Web
Phishing mail
Phishing Mail เป็นการส่งอีเมลหลอกลวง โดยจะเริ่มต้นจากข้อความอีเมลที่ดูเหมือนกับว่าเป็นการแจ้งเตือนอย่างเป็นทางการและมีความเร่งด่วนจากแหล่งที่เชื่อถือได้ เช่น หน่วยงานไอทีของมหาวิทยาลัย ธนาคาร บริษัทบัตรเครดิต หรือหน่วยงานอื่นๆ อันเป็นที่รู้จักของคนทั่วไป เป็นต้น ซึ่งข้อความการแจ้งเตือนดังกล่าวจะทำให้ผู้เสียหายมีความตื่นตระหนกและเกรงกลัว หากผู้เสียหายหลงเชื่อได้กรอกข้อมูลสำคัญต่างๆ ที่แนบมากับลิงค์ในอีเมลหลอกลวงเหล่านี้ เช่น username และ password สำหรับการเข้าระบบขององค์กร ข้อมูลส่วนบุคคลอื่นๆ หรือหลอกให้ติดตั้ง Malware จากการคลิกลิงก์ ซึ่งจะทำผู้ไม่ประสงค์ดีสามารถโจรกรรมข้อมูลสำคัญ เข้าถึงข้อมูลส่วนตัว นำข้อมูลที่ได้ไปปลอมแปลง ส่งผลให้ผู้เสียหายและองค์กรเสื่อมเสียชื่อเสียง หากผู้ไม่ประสงค์ดีมีการนำข้อมูลที่ได้มาไปใช้งานอย่างผิดกฎหมาย ผู้เสียหายอาจถูกฟ้องร้องดำเนินคดีได้
โปรดระวังและตระหนักอยู่เสมอว่า สำนักบริการเทคโนโลยีสารสนเทศ ไม่มีนโยบายให้ผู้ใช้งานเข้าไปยืนยันความถูกต้องในการใช้บริการสารสนเทศของมหาวิทยาลัยผ่านทางลิงก์ที่แนบมาในอีเมลหรือช่องทางอื่นๆ ทุกช่องทาง
รูปที่ 1 ตัวอย่างของ Phishing mail อ้างเป็นหน่วยงานจากมหาวิทยาลัยเชียงใหม่
วิธีตรวจสอบ Phishing mail * มักใช้ชื่ออีเมลที่คล้ายหรือใกล้เคียงกับชื่อขององค์กรนั้นๆ * มีลิงก์หรือไฟล์แนบที่น่าสงสัย * มีการร้องขอข้อมูลสำคัญ เช่น username และ password หรือรายละเอียดบัญชีธนาคาร เป็นต้น * เนื้อหาแจ้งเตือนว่าด่วน เร่งรีบ สำคัญมาก หลอกล่อให้คลิกลิงก์หรือเปิดไฟล์แนบ * ภาษาผิดหลักไวยกรณ์ คล้ายกับใช้โปรแกรมแปลภาษา
Phishing Web
Phishing Web คือ การปลอมแปลงหน้าเว็บไซต์จริง เพื่อหลอกเอาข้อมูลเช่น username และ password ของผู้เสียหาย ถ้าหากผู้เสียหายไม่ระมัดระวังก็อาจจะกรอกข้อมูลต่าง ๆ ส่งให้ผู้ไม่ประสงค์ดีโดยที่ไม่รู้ตัว โดย Phishing Web มักจะเป็นลิงก์ปลอมที่แนบมากับอีเมล เมื่อผู้เสียหายกดเปิดก็จะเข้าสู่ Phishing Web (เว็บไซต์ปลอมที่ทำเลียนแบบเว็บไซต์ของจริง) ที่ผู้ไม่ประสงค์ดีสร้างขึ้นเพื่อหลอกให้ผู้เสียหายกรอก username และ password หรือข้อมูลส่วนตัวอื่น ๆ ทันที โดยทั้งหมดทำผ่านหน้าเว็บที่คล้ายของจริง ที่ผู้ไม่ประสงค์ดีเป็นคนตั้งขึ้นมา
รูปที่ 2 ตัวอย่างของ Phishing Web ที่ทำเลียนแบบเว็บไซต์ของจริง
ภาพจาก : https://www.facebook.com/informationcovid19