Phishing ຄືຫຍັງ?
Phishing ແມ່ນການໂຈມຕີທາງວິສະວະກຳສັງຄົມທີ່ຜູ້ໂຈມຕີສ້າງສຳເນົາທີ່ໜ້າເຊື່ອຖືຂອງເວັບໄຊທ໌ທີ່ຖືກຕ້ອງ — ມັກຈະຄ້າຍຄືກັນທຸກ pixel — ແລະ ຫລອກລວງຜູ້ຖືກໂຈມຕີໃຫ້ໃສ່ຂໍ້ມູນລະຫັດຜ່ານທີ່ນັ້ນ. ທັນທີທີ່ຜູ້ຖືກໂຈມຕີສົ່ງຟອມ, ຜູ້ໂຈມຕີຈະຈັບຊື່ຜູ້ໃຊ້, ລະຫັດຜ່ານ, ແລະ ປັດໃຈທີສອງໃດໆ, ຈາກນັ້ນໃຊ້ຂໍ້ມູນເຫຼົ່ານັ້ນເພື່ອຍຶດບັນຊີຈິງພາຍໃນວິນາທີ.
ຄຳວ່ານີ້ມາຈາກຄຳອຸປມາຂອງການ "ຫາປາ" ຜູ້ຖືກໂຈມຕີດ້ວຍເຫຍື່ອ (ສ່ວນໃຫຍ່ແມ່ນອີເມວ). ການສະກົດຄຳໄດ້ປ່ຽນໄປເພື່ອເນັ້ນໃຫ້ເຫັນວ່າຜູ້ໂຈມຕີມັກໃຊ້ ໂທລະສັບ (phone numbers) (SMS phishing, ຫລື "smishing") ແລະ ໂຄງສ້າງທີ່ເບິ່ງດ້ານວິຊາຊີບ.
ເປັນຫຍັງ phishing ຍັງຄົງເປັນໄພຂົ່ມຂູ່ອັນດັບ 1
ການລະເມີດບັນຊີຂະໜາດໃຫຍ່ສ່ວນໃຫຍ່ໃນທຸກວັນນີ້ບໍ່ກ່ຽວຂ້ອງກັບການ hack, ການ crack ລະຫັດຜ່ານ, ຫລື ການຂ້າມຜ່ານການເຂົ້າລະຫັດ. ເຂົາເຈົ້າກ່ຽວຂ້ອງກັບມະນຸດທີ່ພິມລະຫັດຜ່ານໃສ່ໃນເວັບໄຊທ໌ປອມ. Phishing ແມ່ນ:
- ລາຄາຖືກ — ຜູ້ໂຈມຕີສາມາດສົ່ງອີເມວຫຼາຍລ້ານສະບັບໃນລາຄາຂອງ VPS ດຽວ ແລະ ໂດເມນທີ່ ຖືກ spoof
- ກັ່ນຕອງໄດ້ຍາກ — ຊຸດທີ່ທັນສະໄໝໝຸນວຽນໂດເມນ, ໃຊ້ hosting ທີ່ຖືກຕ້ອງ, ແລະ ປັບຕົວເຂົ້າກັບຕົວກັ່ນຕອງໃນເວລາຈິງ
- ມີປະສິດທິຜົນ — ເຖິງແມ່ນຜູ້ໃຊ້ທີ່ຮູ້ດ້ານຄວາມປອດໄພກໍ່ຍັງຕົກໃຈກັບຄວາມພະຍາຍາມທີ່ຖືກໂຈມຕີສະເພາະ (spear phishing)
- ຂະຫຍາຍໄດ້ — phishing ທີ່ສຳເລັດຜົນຄັ້ງດຽວມັກໃຫ້ການເຂົ້າເຖິງ services ທີ່ເຊື່ອມຕໍ່ຫຼາຍສິບຈຸດໂດຍການໃຊ້ລະຫັດຜ່ານຊ້ຳ
ລາຍງານການສືບສວນການລະເມີດຂໍ້ມູນ Verizon ປີ 2024 ພົບວ່າ phishing ແມ່ນ vector ການເຂົ້າເຖິງເບື້ອງຕົ້ນໃນກວ່າ 36% ຂອງການລະເມີດທັງໝົດ — ຫຼາຍກວ່າສາເຫດດຽວໃດໆ.
ການ phishing ທີ່ທັນສະໄໝທຳງານແນວໃດ
Phishing ໄດ້ພັດທະນາໄປໄກຈາກອີເມວ "ເຈົ້າຊາຍໄນຈີເຣຍ" ຂອງຍຸກ 2000. ການໂຈມຕີ phishing ທີ່ທັນສະໄໝໂດຍທົ່ວໄປປະກອບດ້ວຍ:
1. ເຫຍື່ອທີ່ໜ້າເຊື່ອຖື
ມັກຈະເປັນອີເມວ, ຂໍ້ຄວາມ, ຫລື ຂໍ້ຄວາມ chat ທີ່ສ້າງຄວາມຮີບດ່ວນ ("ບັນຊີຂອງທ່ານຈະຖືກລະງັບ"), ສ່ວນໜ້າ ("ທີມຄວາມປອດໄພ Microsoft"), ຫລື ຄວາມຢາກຮູ້ ("ມີຄົນ tag ທ່ານໃນຮູບ"). Spear-phishing ກ້າວໄປໄກກວ່ານີ້ດ້ວຍລາຍລະອຽດສ່ວນຕົວທີ່ດຶງມາຈາກ LinkedIn, ຂໍ້ມູນທີ່ຖືກ dump, ຫລື ການໂຕ້ຕອບທີ່ຜ່ານມາ.
2. ເວັບໄຊທ໌ປອມທີ່ຄ້າຍຄືກັນທຸກ pixel
ຜູ້ໂຈມຕີໃຊ້ ຊຸດ phishing ທີ່ຫາໄດ້ທົ່ວໄປທີ່ clone HTML, CSS, ແລະ JavaScript ຂອງເວັບໄຊທ໌ເປົ້າໝາຍ. ຊຸດຫຼາຍຢ່າງຖືກຂາຍເປັນ service (phishing-as-a-service), ພ້ອມດ້ວຍ dashboard ທີ່ໃຊ້ໄດ້ ແລະ ການສະໜັບສະໜຸນລູກຄ້າ.
3. Proxy ໃນເວລາຈິງສຳລັບ 2FA
ສ່ວນທີ່ອັນຕະລາຍ: ຊຸດທີ່ທັນສະໄໝບໍ່ພຽງແຕ່ຈັບລະຫັດຜ່ານຂອງທ່ານ. ເຂົາເຈົ້າທຳໜ້າທີ່ເປັນ man-in-the-middle proxy ທີ່ສົ່ງຕໍ່ທຸກຢ່າງທີ່ທ່ານພິມ — ລວມທັງລະຫັດ TOTP ຂອງທ່ານ — ໄປຫາເວັບໄຊທ໌ຈິງພາຍໃນວິນາທີ, ຂ້າມ 2FA ສ່ວນໃຫຍ່. ເຕັກນິກນີ້ເອີ້ນວ່າ adversary-in-the-middle (AiTM) ແລະ ຖືກໃຊ້ໃນເຄື່ອງມືເຊັ່ນ Evilginx2 ແລະ Modlishka.
4. ການລັກ session token
ເມື່ອທ່ານຢືນຢັນຕົວຕົນຜ່ານ proxy, ຜູ້ໂຈມຕີຈະຈັບ session cookie ຂອງທ່ານ ແລະ ສາມາດໃຊ້ມັນເພື່ອຢູ່ໃນສະຖານະ login ເຖິງແມ່ນວ່າທ່ານຈະປ່ຽນລະຫັດຜ່ານແລ້ວ. ນີ້ຄືເຫດຜົນທີ່ການຕອບສະໜອງ phishing ສະເໝີລວມທັງການຍົກເລີກ session ທີ່ໃຊ້ງານຢູ່, ບໍ່ພຽງແຕ່ການໝຸນວຽນລະຫັດຜ່ານ.
ສິ່ງທີ່ໄດ້ຜົນຈິງໃນການຢຸດ phishing
ກຸນແຈຄວາມປອດໄພ hardware (FIDO2 / WebAuthn)
ນີ້ຄືໝວດດຽວຂອງການປ້ອງກັນທີ່ ຕ້ານ phishing ໄດ້ໂດຍການອອກແບບ. ເມື່ອທ່ານ login ດ້ວຍ FIDO2 key, ກຸນແຈຂອງທ່ານຢືນຢັນໂດເມນທີ່ແນ່ນອນຂອງເວັບໄຊທ໌ທີ່ຂໍການຢືນຢັນຕົວຕົນໂດຍການເຂົ້າລະຫັດ. ເວັບໄຊທ໌ປອມ — ບໍ່ວ່າຈະດີທາງສາຍຕາສໍ່າໃດ — ມີໂດເມນທີ່ຕ່າງກັນ, ດັ່ງນັ້ນກຸນແຈຈຶ່ງປະຕິເສດທີ່ຈະຕອບສະໜອງ. ການ handshake ການເຂົ້າລະຫັດຈຶ່ງບໍ່ສຳເລັດ.
Google ໄດ້ຮຽກຮ້ອງ YubiKeys ສຳລັບພະນັກງານທັງໝົດ 85,000+ ໃນປີ 2017 ແລະ ລາຍງານ ການໂຈມຕີ phishing ທີ່ສຳເລັດຜົນສູນ ໃນບັນຊີຂອງບໍລິສັດໃນຊຸ່ວປີຕໍ່ມາ.
Passkeys
Passkeys ແມ່ນການພັດທະນາ FIDO2 ທີ່ເປັນມິດກັບຜູ້ບໍລິໂພກ. ເຂົາເຈົ້າໃຊ້ການເຂົ້າລະຫັດທີ່ຜູກມັດກັບໂດເມນດຽວກັນ ແລະ ຖືກສ້າງໄວ້ໃນ iOS, Android, macOS, ແລະ Windows. ຖ້າເວັບໄຊທ໌ທີ່ທ່ານໃຊ້ຮອງຮັບ passkeys, ການເປີດໃຊ້ງານໜຶ່ງອັນຈະເຮັດໃຫ້ບັນຊີນັ້ນຕ້ານ phishing ໄດ້.
ຕົວຈັດການລະຫັດຜ່ານ
ຕົວຈັດການລະຫັດຜ່ານຄືແນວຫ້ອງຮົບທີສອງຂອງທ່ານ ເພາະວ່າມັນ autofill ຂໍ້ມູນລະຫັດຜ່ານໃນ ໂດເມນທີ່ແນ່ນອນ ທີ່ຖືກບັນທຶກໄວ້ເທົ່ານັ້ນ. ຖ້າທ່ານລົງຢູ່ paypaI.com (I ໃຫຍ່) ແທນ paypal.com, ຕົວຈັດການຂອງທ່ານຈະປະຕິເສດການ fill ຟອມຢ່າງງຽບໆ. ການປະຕິເສດນັ້ນຄືສັນຍານເຕືອນທີ່ດັງວ່າມີສິ່ງໃດຜິດປົກກະຕິ.
ການກັ່ນຕອງອີເມວ ແລະ DNS
ຜູ້ໃຫ້ບໍລິການອີເມວໃຊ້ DMARC, SPF, ແລະ DKIM ເພື່ອກວດຈັບທີ່ຢູ່ຜູ້ສົ່ງທີ່ຖືກ spoof. ຜູ້ໃຫ້ບໍລິການທີ່ທັນສະໄໝສ່ວນໃຫຍ່ຈັບຄວາມພະຍາຍາມທີ່ຊັດເຈນ, ແຕ່ການໂຈມຕີທີ່ມຸ່ງເປົ້າໝາຍຍັງລອດຜ່ານໄດ້. ເປີດໃຊ້ປຸ່ມ "ລາຍງານ phishing" ໃນ mail client ຂອງທ່ານ ເພື່ອທ່ານຈະຊ່ວຍປັບປຸງຕົວກັ່ນຕອງ.
ສັນຍານເຕືອນທີ່ຕ້ອງລະວັງ
ເມື່ອທ່ານໄດ້ຮັບຂໍ້ຄວາມທີ່ຂໍໃຫ້ທ່ານ login, ຢືນຢັນ, ຫລື ດຳເນີນການດ່ວນ:
- ຄວາມຮີບດ່ວນ ແລະ ການຂົ່ມຂູ່ — "ບັນຊີຂອງທ່ານຈະຖືກປິດໃນ 24 ຊົ່ວໂມງ"
- ການທັກທາຍທົ່ວໄປ — "ທ່ານລູກຄ້າທີ່ນັບຖື" ແທນຊື່ຂອງທ່ານ
- ໂດເມນທີ່ຄ້າຍຄືກັນ —
paypaI.com,app1e.com,secure-microsoft-login.net - ໄຟລ໌ແນບທີ່ບໍ່ຄາດຄິດ — ໂດຍສະເພາະໄຟລ໌
.zip,.html, ຫລື.pdfທີ່ຂໍໃຫ້ທ່ານ login ເພື່ອເບິ່ງ - ຂໍ້ຜິດພາດດ້ານໄວຍາກອນ ຫລື ການຈັດຮູບແບບ — ບໍລິສັດໃຫຍ່ໆກວດທານອີເມວຂອງເຂົາເຈົ້າ
- ລິ້ງທີ່ບໍ່ກົງກັນ — ເລື່ອນໄປໃສ່ລິ້ງ ແລະ ກວດສອບວ່າຈຸດໝາຍປາຍທາງກົງກັບຂໍ້ຄວາມ
ຖ້າມີຫຍັງທີ່ຮູ້ສຶກຜິດປົກກະຕິ, ປິດອີເມວ. ໄປທີ່ເວັບໄຊທ໌ດ້ວຍຕົນເອງ. ຖ້າມີບັນຫາຈິງ, ທ່ານຈະເຫັນມັນເມື່ອ login ຜ່ານ workflow ປົກກະຕິຂອງທ່ານ.
ຄວນເຮັດຫຍັງຖ້າໄດ້ຕົກໃຈ
ດຳເນີນການໄວ — ຄວາມໄວມີຄວາມສຳຄັນ ເພາະຜູ້ໂຈມຕີເລີ່ມໃຊ້ຂໍ້ມູນລະຫັດຜ່ານພາຍໃນນາທີ.
- ປ່ຽນລະຫັດຜ່ານທັນທີ ໃນອຸປະກອນອື່ນ (ຕົວຢ່າງ, ໂທລະສັບຂອງທ່ານ ຖ້າທ່ານຕົກໃຈຢູ່ laptoplຂອງທ່ານ)
- ຍົກເລີກ session ທີ່ໃຊ້ງານຢູ່ທັງໝົດ ໃນການຕັ້ງຄ່າບັນຊີ — ນີ້ຈະໄລ່ຜູ້ທີ່ກຳລັງໃຊ້ session token ທີ່ຖືກລັກໃຫ້ອອກ
- ເປີດໃຊ້ 2FA ຖ້າຍັງບໍ່ໄດ້ເຮັດ, ແລະ ໃຊ້ hardware key ຫລື passkey ຖ້າເປັນໄປໄດ້
- ກວດສອບການໃຊ້ງານທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ — ອີເມວທີ່ສົ່ງ, ການ login ລ່ວງຫຼ້ານ, ການປ່ຽນ billing, ກົດ forwarding ໃໝ່
- ແຈ້ງສະຖາບັນທີ່ໄດ້ຮັບຜົນກະທົບ ຖ້າເປັນບັນຊີການເງິນ ຫລື ບັນຊີວຽກ
- ກວດສອບບັນຊີອື່ນໆ ທີ່ໃຊ້ລະຫັດຜ່ານດຽວກັນ — ເຖິງແມ່ນທ່ານໝັ້ນໃຈວ່າບໍ່ໄດ້ໃຊ້ລະຫັດຜ່ານຊ້ຳ, ກໍ່ຍັງຄວນກວດ
ສຸດທ້າຍ
Phishing ເຕີບໂຕໄດ້ ເພາະວ່າມັນຂ້າມຜ່ານເຕັກໂນໂລຊີ ແລະ ມຸ່ງເປົ້າໝາຍໃສ່ມະນຸດ. ການປ້ອງກັນທີ່ດີທີ່ສຸດຜະສົມສາມຊັ້ນ: ຕົວຈັດການລະຫັດຜ່ານ (ປະຕິເສດ autofill ໃນໂດເມນທີ່ຜິດ), 2FA ທີ່ຕ້ານ phishing (hardware keys ຫລື passkeys ທີ່ຜູກມັດກັບໂດເມນຈິງ), ແລະ ຄວາມລະມັດລະວັງທີ່ດີ (ຢ່າເຄີຍ login ຈາກລິ້ງໃນອີເມວ).
ເປີດໃຊ້ທັງສາມຢ່າງໃນບັນຊີທີ່ສຳຄັນທີ່ສຸດຂອງທ່ານ — ອີເມວ — ກ່ອນ. ຈາກນັ້ນ, ສ່ວນທີ່ເຫຼືອຂອງຊີວິດດິຈິຕອລຂອງທ່ານຈະປອດໄພຂຶ້ນຢ່າງມີຄວາມໝາຍ.