02-107-8406
GIST Store
คำศัพท์ ITsecurity

Phishing

ฟิชชิง

ฟิชชิงคือการหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่านหรือเลขบัตรเครดิต โดยอ้างอิงจากเว็บไซต์หรืออีเมลที่ดูเหมือนแท้จริง

ความหมาย

ฟิชชิง (Phishing) เป็นเทคนิคการโจมตีไซเบอร์ที่ใช้หลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัว เช่น รหัสผ่าน เลขบัตรเครดิต หรือข้อมูลประจำตัว โดยอ้างอิงจากแหล่งที่ดูเหมือนน่าเชื่อถือ เช่น อีเมลจากธนาคาร หรือเว็บไซต์ของบริษัทใหญ่ ผู้โจมตีมักสร้างอีเมลหรือหน้าเว็บที่เลียนแบบอย่างแม่นยำ เพื่อให้เหยื่อไม่สังเกตเห็นความผิดปกติ

  • มักใช้ข้อความเร่งด่วน เช่น "บัญชีของคุณถูกปิดกั้น" หรือ "กรุณาตรวจสอบภายใน 24 ชั่วโมง"
  • ใช้ลิงก์ที่ดูคล้ายเว็บไซต์จริงแต่เปลี่ยนโดเมนเล็กน้อย
  • อาจแนบไฟล์แน่นอนที่มีมัลแวร์ซ่อนอยู่

หลักการทำงาน

ฟิชชิงทำงานโดยอาศัยจิตวิทยาของมนุษย์ โดยใช้ความกลัว ความเร่งด่วน หรือความไว้วางใจในองค์กรที่รู้จัก เพื่อให้เหยื่อคลิกลิงก์หรือเปิดไฟล์โดยไม่ระมัดระวัง

  • ผู้โจมตีสร้างอีเมลปลอมที่ดูเหมือนมาจากบริษัทชื่อดัง เช่น Google, ธนาคารไทยพาณิชย์
  • อีเมลจะมีลิงก์ไปยังเว็บไซต์ปลอมที่จับข้อมูลผู้ใช้ทันที
  • เมื่อเหยื่อกรอกข้อมูล เช่น รหัสผ่าน ระบบจะส่งข้อมูลนั้นไปยังผู้โจมตี
  • ในบางกรณี อีเมลอาจแนบไฟล์แอดวานซ์ที่ติดมัลแวร์ เช่น ไฟล์ .docx หรือ .pdf ที่เรียกใช้โค้ดอันตรายเมื่อเปิด

ตัวอย่างการใช้งานจริง

ฟิชชิงถูกใช้ในหลายกรณีเพื่อขโมยข้อมูลสำคัญ:

  • โจมตีบัญชีธนาคารผ่านอีเมลปลอมที่อ้างว่ามีกิจกรรมผิดปกติ
  • หลอกพนักงานบริษัทให้กรอกข้อมูลเข้าสู่ระบบภายในองค์กรผ่านเว็บไซต์ปลอม
  • ใช้ในภัยคุกคามแบบเลือกเป้าหมาย (Spear Phishing) โดยปรับแต่งอีเมลเฉพาะบุคคล เช่น ชื่อผู้รับ อีเมลจริง หรือตำแหน่งงาน
  • โจมตีผ่านโซเชียลมีเดีย เช่น ส่งข้อความปลอมผ่าน Facebook Messenger หรือ LINE

ความสับสนที่พบบ่อย

  • ไม่ใช่การแฮกโดยตรง: ฟิชชิงไม่ได้เจาะระบบโดยตรง แต่อาศัยการหลอกให้เหยื่อเปิดเผยข้อมูลเอง
  • ไม่จำเป็นต้องมีเทคนิคสูง: ผู้โจมตีสามารถใช้เครื่องมือฟรี เช่น GoPhish หรือ Mailchimp ในการสร้างแคมเปญฟิชชิงได้ง่าย
  • ไม่ใช่แค่อีเมลเท่านั้น: ฟิชชิงยังเกิดผ่าน SMS (Smishing), สายโทรศัพท์ (Vishing) และโซเชียลมีเดีย

ผลกระทบต่อการเลือกซื้อ

องค์กรและบุคคลควรพิจารณาฟิชชิงเป็นภัยคุกคามหลักเมื่อเลือกโซลูชันด้านความปลอดภัย:

  • ระบบป้องกันอีเมล (Email Security Gateway) ควรมีฟีเจอร์ตรวจจับฟิชชิงอัตโนมัติ
  • ควรเลือกแพลตฟอร์มที่รองรับการยืนยันตัวตนแบบสองชั้น (2FA)
  • พนักงานควรมีการอบรมด้านความปลอดภัยไซเบอร์อย่างสม่ำเสมอ
  • ระบบตรวจสอบพฤติกรรมผู้ใช้ (UEBA) สามารถช่วยตรวจจับการล็อกอินจากแหล่งที่ไม่ปกติได้

คำที่เกี่ยวข้อง

  • spear phishing
  • smishing
  • vishing
  • email security
  • social engineering
← ดูคำศัพท์ทั้งหมด