คำแนะนำด้านความปลอดภัย ME

Phishing

ย้อนกลับ
Phishing

ท่านอาจเคยได้ยินเกี่ยวกับการทุจริตทางสื่ออินเทอร์เน็ต โดยอาศัยการปลอมแปลงหน้าเว็บไซต์ขึ้นมา เพื่อล่อลวงให้ผู้ใช้บริการกรอกข้อมูลรหัสประจำตัว และรหัสผ่านโดยที่มิได้สังเกตเห็นความผิดปกติของเว็บไซต์ที่เปลี่ยนไป ตามหน้าเว็บไซต์ของธนาคารพาณิชย์ในประเทศไทย มักมีการแจ้งเตือนผู้ใช้บริการเกี่ยวกับเว็บไซต์ปลอมแปลงเหล่านี้เป็นประจำ  เพราะเป้าหมายสำคัญของกลุ่มผู้ทุจริตที่เลือกใช้วิธีการโจมตีแบบนี้นั้น มักเป็นเว็บไซต์ที่ให้บริการทางการเงิน โดยหวังผลที่จะแอบลักลอบโอนเงินไปสู่บัญชีปลายทางแห่งใดแห่งหนึ่ง แล้วถอนเงินหรือโอนขโมยเงินเหล่านั้นออกไป นี่เป็นเพียงหนึ่งในเทคนิคของสิ่งที่เรียกว่า Phishing นั่นเอง


Phishing คืออะไร 
Phishing (ฟิชชิ่ง) คือ กลวิธีในการหลอกลวงเพื่อให้ได้มาซึ่งข้อมูลส่วนบุคคล อันจะนำไปสู่การแสวงหาผลประโยชน์ซึ่งอาจก่อให้เกิดความเดือดร้อนแก่ผู้ที่ถูกล่อลวง ข้อมูลส่วนบุคคลที่กล่าวถึงนี้ มักจะเป็นรหัสประจำตัวต่างๆ รหัสในการเข้าใช้งานระบบ รหัสผ่าน เลขที่บัตรเครดิต เลขที่บัญชี หรือเลขที่บัตรประชาชน
 
กลวิธีในการหลอกลวงผ่านช่องทางต่างๆ
E-mail 
การฟิชชิ่งผ่าน e-mail ทำในรูปแบบการปลอมแปลงลักษณะของ e-mail ให้ดูเหมือนถูกส่งมาโดยธนาคาร สถาบันการเงินหรือบริษัทห้างร้านที่มีชื่อเสียง โดยจะทำให้มีเครื่องหมายการค้า สี และรูปแบบ ราวกับถูกส่งมาจากสถาบันดังกล่าวจริงๆ  โดยเนื้อหาของ e-mail จะเป็นการบอกให้ผู้ใช้บริการไปดำเนินการอย่างใดอย่างหนึ่ง ที่พบได้มากคือการหลอกให้คลิกลิงก์ที่อยู่ใน e-mail เพื่อทำการกรอกข้อมูลส่วนตัวต่างๆ เช่น ชื่อ นามสกุล, หมายเลขบัตรประจำตัวประชาชน, เลขบัญชีธนาคาร หากผู้ใช้บริการหากไม่ดำเนินการตามแจ้ง อาจได้รับข้อความในเชิงเตือน หรือขู่ เช่น “หากไม่ดำเนินการภายใน 15 วัน ทางบริษัทมีความจำเป็นต้องปิดบริการของท่าน” 

นอกจากนี้ ยังมีการหลอกลวงผ่าน e-mail โดยอาชญากรจะแอบอ้างว่าเป็นตัวแทนของธนาคาร โดย e-mail ดังกล่าวมีข้อความหลอกลวงเกี่ยวกับการได้รับรางวัลลอตเตอรี่ และต้องการให้ผู้รับ e-mail นั้นตอบกลับโดยกรอกข้อมูลส่วนบุคคลในเอกสารแนบ หรือคลิกลิงก์ที่ส่งมาพร้อมกับ e-mail
e-mail ประเภทดังกล่าวนี้ ไม่ใช่ e-mail ของธนาคาร เป็น e-mail หลอกลวงที่ผู้ไม่หวังดีทำขึ้น เพื่อที่จะลักลอบนำข้อมูลดังกล่าวไปใช้ในทางที่ผิดกฎหมาย ธนาคารจึงขอแนะนำให้ทุกท่านที่ได้รับ e-mail ดังกล่าว อย่าให้ข้อมูลส่วนตัว และไม่กรอกแบบฟอร์ม หรือคลิกลิงก์ที่ส่งมาให้โดยเด็ดขาด เนื่องจากธนาคารไม่มีนโยบายในการส่ง e-mail เพื่อขอข้อมูลส่วนตัวของลูกค้าแต่อย่างใด

ทั้งนี้ ธนาคารยึดมั่นในการดูแลรักษาข้อมูลส่วนบุคคลของลูกค้า และมีมาตรการที่เข้มงวดในการป้องกัน ติดตามตรวจสอบ และดำเนินการทางกฎหมาย แก่ผู้ที่ไม่หวังดีที่มีเจตนาก่อให้เกิดความเสียหายด้วยการปลอมแปลงข้อมูลของธนาคาร และลักลอบนำข้อมูลไปใช้โดยผิดกฎหมาย

Web site
โดยการสร้างเว็บไซต์เลียนแบบ ซึ่งมักจะเป็นกลวิธีที่ถูกใช้กับเว็บไซต์ทางการเงิน เช่น ธนาคารออนไลน์ เป็นต้น เพราะในเว็บไซต์เหล่านี้เป็นช่องทางที่นำไปสู่บัญชีที่เก็บเงินของลูกค้าได้ดีที่สุด ซึ่งเมื่อผู้ทำการ Phishing ได้ทราบข้อมูลรหัสประจำตัวและรหัสผ่านครบแล้ว ก็จะนำข้อมูลดังกล่าวไปทำธุรกรรมทางการเงิน เช่น โอนเงินไปยังบัญชีปลายทาง (ซึ่งถูกเปิดขึ้นเพื่อรอรับเงินที่ได้มาด้วยวิธีการทุจริตนี้) จากนั้นคนร้ายจะไปถอนเงินออกจากบัญชี หรือนำไปซื้อสิ่งของจนหมดสิ้น

ทางโทรศัพท์
โดยการแอบอ้างเป็นพนักงานหรือเจ้าหน้าที่ในหน่วยงานราชการ ธนาคาร หรือบริษัทต่างๆ แล้วทำการติดต่อลูกค้าโดยแจ้งให้ลูกค้าทำการโอนเงินทาง ATM ไปยังบัญชีปลายทาง ซึ่งถูกเปิดเอาไว้โดยกลุ่มบุคคลทุจริตนั้นเอง หรือบางครั้งอาจใช้วิธีหลอกถามข้อมูลส่วนตัว ซึ่งสามารถนำไปใช้ในภายหลัง เพื่อย้อนกลับมาโจมตีบัญชีของลูกค้าเองอีกครั้ง

ในประเทศไทย การ Phishing ทางโทรศัพท์เป็นวิธีที่ถูกพบบ่อยที่สุด เนื่องจากประชากรส่วนมากยังไม่มีความรู้ในการใช้งานอินเทอร์เน็ตหรือธนาคารออนไลน์ แต่มีการใช้บัตร ATM กันอย่างกว้างขวาง จึงเป็นเป้าหมายกลุ่มใหญ่ที่โจมตีแล้วได้ผลมากกว่า

Mobile Application
อาชญากรที่ทำการ Phishing ผ่านโมบายแอปพลิเคชัน จะสร้างโมบายแอปพลิเคชันซึ่งมีลักษณะคล้ายโมบายแบงก์กิ้งแอปพลิเคชันต้นฉบับ โดยแอปพลิเคชันปลอมเหล่านี้จะมีการฝังมัลแวร์ไว้ ซึ่งทำให้อุปกรณ์ของผู้ใช้บริการอาจถูกควบคุมโดยมัลแวร์ทันทีหลังจากดาวน์โหลด
เมื่อมัลแวร์เข้าควบคุมอุปกรณ์ของคุณ มันสามารถโทรหาผู้อื่น ส่งข้อความหรือข้อมูลที่เก็บในอุปกรณ์ผ่าน SMS รวมถึงจับ GPS location ของผู้ใช้งาน และส่งข้อมูลทั้งหมดไปยังผู้ไม่หวังดีที่นั่งรอรับข้อมูลส่วนตัวของคุณอยู่อย่างใจเย็น โดยที่เจ้าของอุปกรณ์ไม่รับทราบ

SMS Phishing หรือ SMiShing
เป็นการหลอกลวงโดยใช้ SMS เช่น การส่ง SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลขดังต่อไปนี้ ซึ่งผู้รับสายปลายทางอาจเป็นแก๊งหลอกลวงให้โอนเงิน หรือหลอกสอบถามข้อมูลส่วนบุคคล หรือส่งข้อความ SMS ขอให้ท่านคลิกลิงก์ที่ให้มา ซึ่งเมื่อท่านคลิกแล้วอาจทำให้โทรศัพท์มือถือของท่าน (โดยเฉพาะสมาร์ทโฟน) ติดมัลแวร์ได้
ทำอย่างไรไม่ให้เป็นเหยื่อ Phishing

  • ระมัดระวังไม่หลงเชื่อข้อความใดๆ ใน e-mail หรือโทรศัพท์ หากมีการอ้างว่าส่งหรือติดต่อมาจากสถาบัน หรือบริษัทใดก็ตาม ควรค้นหาหมายเลขโทรศัพท์ของสถาบันหรือบริษัทนั้น หรือติดต่อไปยังหน่วยงาน Call Center ของบริษัทนั้นๆ (อย่าติดต่อไปตามหมายเลขโทรศัพท์ที่มีอยู่ใน e-mail ต้องสงสัยฉบับนั้น) เพื่อตรวจสอบว่ามีการส่ง e-mail ลักษณะดังกล่าวจริงหรือไม่ หรือส่งจากหน่วยงานใด
  • ไม่คลิกลิงก์ใน e-mail เพื่อการเข้าสู่หน้าเว็บไซต์ ให้ใช้วิธีพิมพ์ URL เข้าสู่เว็บไซต์ของบริษัทดังกล่าวด้วยตัวท่านเอง เป็นวิธีการป้องกันมิให้เผลอคลิกเข้าสู่เว็บไซต์ปลอมที่กลุ่มผู้กระทำการทุจริตนั้นเตรียมไว้
  • หากเกิดความสงสัย อย่าเปิดเผยข้อมูลส่วนบุคคล เช่น เลขที่บัตรประชาชน เลขบัตรเครดิต เลขที่บัญชี หรือรหัส ATM แก่บุคคลอื่น
  • หมั่นตรวจสอบข้อมูลการทำรายการธุรกรรมของท่านอย่างสม่ำเสมอ โดยไม่จำเป็นต้องรอให้ครบ 1 เดือน แล้วจึงตรวจสอบจากใบแจ้งรายการ และตรวจสอบให้แน่ใจว่าไม่มีรายการธุรกรรมแปลกปลอม หากพบรายการที่น่าสงสัย ให้ติดต่อธนาคารหรือบริษัทผู้ให้บริการ
  • ก่อนทำการดาวน์โหลด ผู้ใช้งานควรสังเกตและดูชื่อผู้พัฒนาโปรแกรม เช่น หากเป็นแอปพลิเคชัน  Mobile banking จะต้องเป็นชื่อธนาคารเท่านั้น ในกรณีที่ไม่แน่ใจไม่ควรดาวน์โหลด หรืออาจจะเช็คกับบริษัทเจ้าของแอปพลิเคชันก่อนว่าเป็นของจริง และที่สำคัญควรลงโปรแกรม  Anti-virus ในอุปกรณ์และหมั่นอัพเดทอยู่เสมอ เพื่อเพิ่มความปลอดภัยในการใช้งานอุปกรณ์อิเล็กทรอนิกส์ของคุณ
  • เมื่อได้รับข้อความ SMS หรือ IM ที่น่าสงสัย จงอย่าคลิกลิงก์ใดๆ ในข้อความนั้น แม้ข้อความจะถูกส่งมาจากผู้ที่ท่านรู้จักก็ตาม 

ME by TMB สนับสนุนการต้านภัย Phishing
ธนาคารฯ ให้ความสำคัญกับการระวังป้องกันภัยจากกลุ่มบุคคลที่ใช้วิธี Phishing ในการล่อลวงข้อมูลจากลูกค้า โดยเปิดช่องทางรับแจ้งเหตุต้องสงสัย ผ่านทั้งทาง ME Call Center หมายเลขโทรศัพท์ 02-502-0000 และทางเว็บไซต์ธนาคาร ซึ่งในกรณีที่มีรายการที่ต้องสงสัยว่าอาจเป็น Phishing ที่แอบอ้างเป็น  ME by TMB ลูกค้าสามารถแจ้งให้ธนาคารฯตรวจสอบข้อเท็จจริงได้ นอกจากนี้ในส่วนของบริการ ME by TMB ธนาคารฯ ได้ติดตั้งระบบ Anti-Phishing ซึ่งจะทำหน้าที่ในการตรวจสอบเว็บไซต์ที่พยายามปลอมแปลงลักษณะหรือชื่อของเว็บไซต์ธนาคาร และดำเนินการขั้นเด็ดขาด เพื่อความปลอดภัยของลูกค้า
 
บทความโดย: พันธุ์สวัสดิ์ ไพฑูรย์พงษ์

มีเรื่องไหนที่คุณอยากรู้?
เราพร้อมช่วยคุณทุกวัน 24 ชม.

ME CALL CENTER : 02-502-0000

ME BOT วีดีโอวิธีการสมัคร