Phishing Site เว็บนักเกี่ยว ที่ไม่ใช่ Fishing Site

ตอนที่เราเขียนวันเป็นที่เว็บ เราไม่ทิ้งกัน เปิดให้ลงทะเบียนเพื่อรับเงินจากภาครัฐ แต่สิ่งหนึ่งที่มันมักจะมากับเว็บเหล่านี้แน่ ๆ คือ Phishing Site วันนี้เราอยากมาให้ความรู้เกี่ยวกับมัน มันคืออะไร และ เราจะตรวจสอบได้อย่างไร ว่าเว็บที่เราเข้ามันเป็น Phishing Site หรือไม่อย่างไร

Phishing Site คืออะไร ?

ตัวอย่าง Phishing Site : ลองเข้าหน้าเว็บ Login ของ Google ของจริง แล้วเทียบดู เหมือนมาก ๆ แต่ลองดูที่ Address ดี ๆ เอ๊ะ ไม่น่าใช่นะ

Phishing Site คือเทคนิคในการหลอกลวงประเภทนึง มันมาจากคำว่า Fishing ที่แปลกว่าตกปลาแหละ เหมือนกันเลย คือ การสร้างหน้าเว็บปลอมขึ้นมาเพื่อหลอกเอาข้อมูลบางอย่างไปจากเหยื่อ และนำไปใช้โดยที่ไม่ขออนุญาติ

อ่านดูแล้ว อาจจะดูแปลก ๆ ให้ลองจิตนาการง่าย ๆ เมื่อเราเข้าเว็บธนาคารสักที่นึงแล้ว เราเห็นว่าหน้าเว็บที่เข้า มันก็ดูเหมือนธนาคารที่เราเข้าปกติเลย แล้วเราก็พิมพ์ Username และ Password เข้าไป โดยที่เราไม่รู้เลยว่า หน้าเว็บนั้นไม่ได้ส่งข้อมูลกลับไปที่ธนาคาร แต่เป็น Server ของผู้ที่ไม่หวังดี

สุดท้ายคนเหล่านี้ก็จะได้ Username และ Password สำหรับ Internet Banking ของเรา ซึ่งเขาก็เอาไปเข้าหน้าเว็บจริงได้นั่นเอง นี่แหละคือความน่ากลัว

หรือ Phishing อีกพวกนึงที่เรามักจะเจอกันอย่างเมามันส์คือ Phishing Mail ที่ช่วงนึงมันชอบส่งมาเป็นเมล์จาก บัวหลวง ที่เป็นธนาคาร มีช่วงนึงมันระบาดหนักมาก และนี่ก็โดน แต่ขอโทษนะ กลับบ้านไปทำการบ้านมาใหม่นะ ชั้นไม่ได้ใช้บัวหลวง เลยทำให้ Detect ได้อย่างรวดเร็วว่า มันคือ ของ ปลอม โว้ยยยย

ทำให้เอาจริง ๆ แล้ว สำหรับผู้ใช้อินเตอร์เน็ตทั่วไป การจะแยก Phishing ต่าง ๆ นั้นเราว่าแอบทำได้ยาก ถ้าไม่รู้อะไรเลย คือ หน้าเข้าไปมันก็เหมือนกันหมด รู้ตัวอีกทีคือ เราก็ให้ข้อมูลเขาไปแล้วเนี่ยสิ น่ากลัวแน่นอน

เราจะรู้ได้ยังไงว่า เว็บไหนของจริง เว็บไหนปลอม

การที่จะรู้ว่าเว็บไหนหลอกหรือไม่หลอก วิธีง่าย ๆ คือ ให้เราสังเกต 2 ส่วนคือ เว็บนั้นใช้ HTTPS หรือไม่ และ Certificate ของเว็บนั้น ๆ เราเคยเขียนเรื่องของ HTTPS ไว้ ที่นี่

การที่จะดูว่าเว็บนั้นใช้ HTTPS หรือไม่ทำได้ง่ายมาก ๆ คือ ให้เราดูที่ Address Bar ของ Web Browser ที่เราใช้ ถ้าด้านหน้ามันขึ้นต้นด้วย https ก็ถือว่า โอเคในขั้นแรกแล้ว

ส่วนที่ 2 คือ การดู Certificate ด้วยความทันสมัยของ Web Browser สมัยใหม่ที่รู้ว่า User ทั่ว ๆ ไป การจะรู้เรื่องพวกนี้ทำได้ยากมาก อย่างใน Google Chrome เอง ถ้าเรากดที่รูปแม่กุญแจตรง Address Bar มันจะขึ้นมาเลยว่า Connection is Secure อันนี้ก็ถือว่าโอเคแล้ว

ใน Version ใหม่ ๆ ถ้า Certificate มีปัญหา มันจะแจ้งเตือน และอาจจะไม่ให้เราเข้าเว็บอยู่แล้ว ถ้าเข้าได้ เราแนะนำว่า อย่ากรอกข้อมูลส่วนตัวไปจะดีกว่า หรือ แม้กระทั่ง HTTP ปกติก็ไม่แนะนำเช่นกัน

หรือถ้าไม่มั่นใจอีก เราแนะนำให้ไปใช้พวก Extension บางตัวที่มันจะเช็คเว็บที่เราเข้าเลยว่า มันเข้าข่ายเป็น Phishing หรือไม่ และ บางตัวยังเช็คได้อีกว่ามันมีพวก Malware ที่อาจจะทำอันตรายกับระบบของเราอีกรึเปล่า อย่างตัวที่เราใช้คือ Bitdefender TrafficLight ถือว่าช่วยได้เยอะเลยในการ ป้องกันไม่ให้เราเข้าสู่หน้าเว็บไซต์ที่อันตราย

บางคนบอกเราว่า ให้ลองดูจากหน้าเว็บเลยว่า ถ้าเว็บขององค์กรใหญ่ ๆ ไม่น่าจะทำหน้าเว็บที่ดูง่าย ๆ โบราณ ๆ งานขยะออกมา เพราะพวกนี้มักจะทำหลายเว็บ การจะให้แต่ละหน้ามันเหมือนเป๊ะ มันต้องใช้เวลา เลยทำให้แต่ละเว็บมันดูกาก ๆ กว่า ถ้าไม่สังเกตก็ไม่รู้อะไรแบบนั้น แต่เราจะบอกว่า เออ..... มันใช้ไม่ได้กับเว็บขององค์กรสำคัญ ๆ ในประเทศเราไง

แล้ว Email ละ เราจะเช็คยังไง

สำหรับ Phishing Mail นั้น วิธีที่เราใช้เช็คคือ Address ที่ส่งมาว่ามันคือ เว็บนั้นจริง ๆ หรือไม่ ตัวอย่างที่เราเจอเยอะมากคือจาก Apple ที่ชอบมาบอกว่า Account เราถูก Lock ต้องเข้าลิงค์ในเมล์เพื่อปลดล๊อคพวกนั้น

ใช่เรามี Apple Account แต่ถ้าคิดดี ๆ แล้ว Apple ไม่น่าทำแบบนี้แน่ ๆ ใช่มั้ย อะ โอเค เราไม่ว่าอะไร ถ้าไม่รู้ มันไม่แปลก งั้นอีกสิ่งที่จะพอทำให้เอ๊ะได้ น่าจะเป็น Address ที่มาของมัน

ถ้ามันเป็นเว็บ Apple จริง มันต้องเป็นสักอย่าง @apple.com แน่ ๆ แต่ถ้าไม่ใช่แล้วละก็ ให้พึงระลึกไว้ก่อนเลยว่า มันมาละ โดนต้มละ ก็ลบทิ้งไปก็จบ

ตัวอย่างที่เราเจอมาล่าสุดคือ มาจาก Bank of America แน่นอน ว่าเรา Spot ได้เลยว่า ตอแหล แน่นอน เพราะเราไม่เคยมีบัญชีจากธนาคารนี้มาก่อน แต่ถ้าสมมุติว่าเรามีละกัน เราจะมองหาอะไรต่อ ถ้าเป็นเรา เราจะดูชื่อผู้ส่งก่อนเลยว่า มันเป็นใคร

อ้าว ปรากฏว่าชื่อ Alert ซึ่งแน่นอนแหละ ว่าระดับธนาคารมันไม่น่าทำเรื่องโง่ ๆ แบบนี้แน่นอน ก็น่าจะรู้แล้วละว่า ปลอมแน่นอน หรืออีกหลักฐานที่คิดว่าน่าจะใช้คือ ถ้าเราเข้าไปดูที่ Address ของผู้ส่ง มันเป็น @forged.se

ซึ่งถ้าเราเข้าไปหาใน Google จริง ๆ Bank of America ไม่ได้ใช้ชื่อเว็บนี้แต่เป็น https://www.bankofamerica.com ซึ่งวิธีการหา เราแนะนำให้ใช้สิ่งที่เราบอกเรื่อง Phishing Site ด้วย จะได้ไม่โดนหลุมซ้อนหลุม

องค์กร ควรปรับตัวอย่างไร

Photo Credit: davidstewartgets via Wunderstock

สำหรับองค์กร การโจมตีพวกนี้มันเป็นการทำ Social Engineering อย่างนึง ซึ่ง อาจจะพุ่งเป้าไปที่องค์กรหนึ่ง ๆ โดยตรง ซึ่งเราสามารถป้องกันการโจมตีประเภทนี้ด้วยการอบรมพนักงานให้รู้จักป้องกันตัวเอง เพื่อสร้าง Security Awareness กับพนักงาน ก็จะช่วยได้ในระดับหนึ่ง

และในส่วนของ Infrastructure เอง ก็สามารถนำ Email Security Product เข้ามาช่วยกรอง ก็สามารถช่วยได้ในระดับหนึ่ง

จากที่เจอมา สิ่งที่จะป้องกันได้ดีที่สุด กลับไม่ใช้ Product ราคาแพงแสนล้าน เพราะบางทีพวกนี้เจอเนียน ๆ หน่อยก็จบแล้ว กรองได้แค่ตัวที่มันอาจจะชัด ๆ หน่อย เป็นด้านหน้าไป แต่คนที่เป็นด้านสุดท้ายคือ ผู้ใช้ เองที่จะเป็นคนตัดสินใจ คลิกเข้าไปต่างหาก ทำให้เรามองว่า การอบรมให้พนักงานรู้เท่าทัน เรื่องของความปลอดภัยบนไซเบอร์เป็นสิ่งที่น่าลงทุน

หรือในฝั่งขององค์กรที่เป็นผู้ส่งเอง ก็ต้องมีการประชาสัมพันธ์ให้กับลูกค้าตลอดเวลาว่า Phishing แบบไหนที่เราเจอบ้าง เพื่อให้ลูกค้าของเราระมัดระวังในการเข้าใช้งาน ไม่ให้ถูกขโมยข้อมูลได้โดยง่าย

สรุป

Phishing เป็นเทคนิคในการหลอก โดยการสร้างหน้าปลอมมาเพื่อทำให้เราเชื่อ และให้ข้อมูลไป ซึ่งอาจจะมาในรูปของเว็บไซต์ หรือ อีเมล์ก็ได้ หรือ ช่องทางอื่น ๆ ได้อีกมากมาย ทำให้เราเองที่เป็นผู้ใช้อินเตอร์เน็ต จะต้องตรวจสอบดี ๆ ก่อนที่จะเข้าไปอ่าน หรือให้ข้อมูลกับเว็บไซต์ หรือ อีเมล์ เหล่านั้น สวัสดี