วิธีป้องกันตัวเองจากการโจมตีแบบฟิชชิง

ฟิชชิงคืออะไร?

ฟิชชิงคือการโจมตีทางวิศวกรรมสังคม (social engineering) ที่ผู้โจมตีสร้างสำเนาเว็บไซต์ที่ถูกกฎหมายขึ้นมาอย่างน่าเชื่อถือ มักจะเหมือนต้นฉบับทุกพิกเซล และหลอกล่อให้เหยื่อกรอกข้อมูลรับรองที่นั่น ทันทีที่เหยื่อส่งแบบฟอร์ม ผู้โจมตีจะดักจับชื่อผู้ใช้ รหัสผ่าน และปัจจัยที่สองใดๆ แล้วนำไปใช้ยึดครองบัญชีจริงภายในไม่กี่วินาที

คำนี้มาจากการเปรียบเทียบกับการ "ตกปลา" เหยื่อด้วยเหยื่อล่อ (มักจะเป็นอีเมล) โดยการสะกดที่เปลี่ยนไปนั้นเน้นย้ำว่าผู้โจมตีมักใช้หมายเลข โทรศัพท์ (ฟิชชิงทาง SMS หรือที่เรียกว่า "smishing") และโครงสร้างพื้นฐานที่ดูเป็นมืออาชีพ

ทำไมฟิชชิงยังคงเป็นภัยคุกคามอันดับ 1

การละเมิดบัญชีในระดับใหญ่ส่วนใหญ่ในปัจจุบันไม่ได้เกี่ยวข้องกับการแฮก การถอดรหัสผ่าน หรือการเลี่ยงการเข้ารหัส แต่เกี่ยวข้องกับมนุษย์ที่พิมพ์รหัสผ่านลงในเว็บไซต์ปลอม ฟิชชิงมีลักษณะดังนี้:

• ราคาถูก — ผู้โจมตีสามารถส่งอีเมลหลายล้านฉบับในราคาของเซิร์ฟเวอร์ VPS และโดเมนที่ปลอมแปลง
• กรองได้ยาก — ชุดเครื่องมือยุคใหม่หมุนเวียนโดเมน ใช้โฮสติ้งที่ถูกกฎหมาย และปรับตัวให้เข้ากับตัวกรองแบบเรียลไทม์
• มีประสิทธิภาพ — แม้แต่ผู้ใช้ที่มีความตระหนักด้านความปลอดภัยก็ยังตกเป็นเหยื่อของการโจมตีแบบมีเป้าหมาย (spear phishing) ที่ออกแบบมาอย่างดี
• ขยายได้ — ฟิชชิงที่สำเร็จครั้งเดียวมักให้สิทธิ์เข้าถึงบริการที่เชื่อมต่อหลายสิบรายการผ่านการนำรหัสผ่านไปใช้ซ้ำ

รายงานการสืบสวนการละเมิดข้อมูลของ Verizon ปี 2024 พบว่า ฟิชชิงเป็นช่องทางการเข้าถึงเริ่มต้นในการละเมิดมากกว่า 36% ทั้งหมด — มากกว่าสาเหตุเดียวอื่นใด

การทำงานของฟิชชิงยุคใหม่

ฟิชชิงได้พัฒนาไปไกลเกินกว่าอีเมล "เจ้าชายไนจีเรีย" ในยุค 2000 การโจมตีแบบฟิชชิงยุคใหม่มักประกอบด้วย:

1. เหยื่อล่อที่น่าเชื่อถือ

มักเป็นอีเมล ข้อความ หรือข้อความแชทที่สร้างความเร่งด่วน ("บัญชีของคุณจะถูกระงับ") อำนาจ ("ทีมความปลอดภัยของ Microsoft") หรือความอยากรู้อยากเห็น ("มีคนแท็กคุณในรูปภาพ") Spear-phishing ก้าวไปอีกขั้นด้วยการใช้รายละเอียดส่วนตัวที่ดึงมาจาก LinkedIn ข้อมูลที่รั่วไหล หรือการติดต่อก่อนหน้า

2. เว็บไซต์ปลอมที่เหมือนต้นฉบับทุกพิกเซล

ผู้โจมตีใช้ ชุดเครื่องมือฟิชชิง สำเร็จรูปที่โคลน HTML, CSS และ JavaScript ของเว็บไซต์เป้าหมาย ชุดเครื่องมือหลายชุดถูกขายในรูปแบบบริการ (phishing-as-a-service) พร้อมแดชบอร์ดที่ใช้งานได้และการสนับสนุนลูกค้า

3. พร็อกซีเรียลไทม์สำหรับ 2FA

ส่วนที่อันตราย: ชุดเครื่องมือยุคใหม่ไม่ได้แค่ดักจับรหัสผ่านของคุณเท่านั้น แต่ทำหน้าที่เป็น พร็อกซีแบบ man-in-the-middle ที่ส่งต่อทุกสิ่งที่คุณพิมพ์ — รวมถึงรหัส TOTP ของคุณ — ไปยังเว็บไซต์จริงภายในไม่กี่วินาที ทำให้เลี่ยง 2FA ส่วนใหญ่ได้ เทคนิคนี้เรียกว่า adversary-in-the-middle (AiTM) และถูกใช้ในเครื่องมืออย่าง Evilginx2 และ Modlishka

4. การขโมย session token

เมื่อคุณยืนยันตัวตนผ่านพร็อกซี ผู้โจมตีจะจับ session cookie ของคุณและสามารถใช้มันเพื่อยังคงล็อกอินอยู่แม้หลังจากที่คุณเปลี่ยนรหัสผ่านแล้ว นี่คือเหตุผลที่การตอบสนองต่อฟิชชิงต้องรวมถึงการยกเลิกเซสชันที่ใช้งานอยู่ ไม่ใช่แค่การเปลี่ยนรหัสผ่านเท่านั้น

สิ่งที่หยุดฟิชชิงได้จริง

กุญแจความปลอดภัยฮาร์ดแวร์ (FIDO2 / WebAuthn)

นี่คือหมวดหมู่มาตรการป้องกันเดียวที่ ต้านทานฟิชชิงได้โดยการออกแบบ เมื่อคุณล็อกอินด้วยกุญแจ FIDO2 กุญแจของคุณจะตรวจสอบโดเมนที่แน่ชัดของเว็บไซต์ที่ขอการยืนยันตัวตนด้วยการเข้ารหัส เว็บไซต์ปลอม — ไม่ว่าจะสมบูรณ์แบบทางภาพเพียงใด — มีโดเมนที่แตกต่างกัน ดังนั้นกุญแจจึงปฏิเสธที่จะตอบสนอง การจับมือทางการเข้ารหัสนั้นเสร็จสิ้นไม่ได้

Google สั่งให้พนักงานทั้งหมดกว่า 85,000 คนใช้ YubiKey ในปี 2017 และรายงานว่า ไม่มีการโจมตีแบบฟิชชิงที่สำเร็จ บนบัญชีของบริษัทเลยในช่วงปีต่อมา

พาสคีย์ (Passkeys)

พาสคีย์คือวิวัฒนาการของ FIDO2 ที่เป็นมิตรกับผู้บริโภค ใช้การเข้ารหัสที่ผูกกับโดเมนเช่นเดียวกัน และถูกสร้างไว้ใน iOS, Android, macOS และ Windows หากเว็บไซต์ที่คุณใช้รองรับพาสคีย์ การเปิดใช้งานพาสคีย์จะทำให้บัญชีนั้นป้องกันฟิชชิงได้

ตัวจัดการรหัสผ่าน

ตัวจัดการรหัสผ่านคือแนวป้องกันที่สองของคุณ เพราะมันจะกรอกข้อมูลรับรองอัตโนมัติเฉพาะบน โดเมนที่แน่ชัด ที่บันทึกไว้เท่านั้น หากคุณเข้าสู่ paypaI.com (ตัว I ใหญ่) แทน paypal.com ตัวจัดการของคุณจะปฏิเสธการกรอกฟอร์มอย่างเงียบๆ การปฏิเสธนั้นเป็นสัญญาณเตือนที่ดังมากว่ามีบางอย่างผิดปกติ

การกรองอีเมลและ DNS

ผู้ให้บริการอีเมลใช้ DMARC, SPF และ DKIM เพื่อตรวจจับที่อยู่ผู้ส่งที่ปลอมแปลง ผู้ให้บริการยุคใหม่ส่วนใหญ่จับความพยายามที่ชัดเจนได้ แต่การโจมตีแบบมีเป้าหมายยังคงผ่านมาได้ เปิดใช้งานปุ่ม "รายงานฟิชชิง" ในไคลเอนต์อีเมลของคุณเพื่อช่วยปรับปรุงตัวกรอง

สัญญาณเตือนที่ควรระวัง

เมื่อคุณได้รับข้อความที่ขอให้ล็อกอิน ยืนยัน หรือดำเนินการอย่างเร่งด่วน:

• ความเร่งด่วนและการคุกคาม — "บัญชีของคุณจะถูกปิดภายใน 24 ชั่วโมง"
• คำทักทายทั่วไป — "เรียน ลูกค้า" แทนชื่อของคุณ
• โดเมนที่มีลักษณะคล้ายกัน — paypaI.com, app1e.com, secure-microsoft-login.net
• ไฟล์แนบที่ไม่คาดคิด — โดยเฉพาะไฟล์ .zip, .html หรือ .pdf ที่ขอให้คุณล็อกอินเพื่อดู
• ข้อผิดพลาดทางไวยากรณ์หรือการจัดรูปแบบ — บริษัทขนาดใหญ่ตรวจทานอีเมลของตนอย่างรอบคอบ
• ลิงก์ที่ไม่ตรงกัน — วางเมาส์เหนือลิงก์และตรวจสอบว่าปลายทางตรงกับข้อความหรือไม่

หากมีสิ่งใดรู้สึกผิดปกติ ให้ปิดอีเมล นำทางไปยังเว็บไซต์ด้วยตนเอง หากมีปัญหาจริง คุณจะเห็นมันเมื่อล็อกอินผ่านขั้นตอนปกติของคุณ

สิ่งที่ควรทำหากตกเป็นเหยื่อ

ดำเนินการอย่างรวดเร็ว — ความเร็วมีความสำคัญเพราะผู้โจมตีเริ่มใช้ข้อมูลรับรองภายในไม่กี่นาที

1. เปลี่ยนรหัสผ่านทันที บนอุปกรณ์อื่น (เช่น โทรศัพท์ของคุณ หากคุณตกเป็นเหยื่อบนแล็ปท็อป)
2. ยกเลิกเซสชันที่ใช้งานอยู่ทั้งหมด ในการตั้งค่าบัญชี — นี่จะไล่ออกทุกคนที่กำลังใช้ session token ที่ถูกขโมย
3. เปิดใช้งาน 2FA หากยังไม่ได้เปิด และใช้กุญแจฮาร์ดแวร์หรือพาสคีย์หากเป็นไปได้
4. ตรวจสอบกิจกรรมที่ไม่ได้รับอนุญาต — อีเมลที่ส่งออก การล็อกอินล่าสุด การเปลี่ยนแปลงการเรียกเก็บเงิน กฎการส่งต่อใหม่
5. แจ้งสถาบันที่ได้รับผลกระทบ หากเป็นบัญชีทางการเงินหรือบัญชีงาน
6. ตรวจสอบบัญชีอื่นๆ ที่ใช้รหัสผ่านเดียวกัน — แม้คุณแน่ใจว่าไม่ได้นำรหัสผ่านมาใช้ซ้ำ ก็ควรตรวจสอบ

บทสรุป

ฟิชชิงเจริญเติบโตได้เพราะมันเลี่ยงเทคโนโลยีและมุ่งเป้าไปที่มนุษย์ มาตรการป้องกันที่ดีที่สุดผสมผสานสามชั้น: ตัวจัดการรหัสผ่าน (ปฏิเสธการกรอกข้อมูลอัตโนมัติบนโดเมนที่ผิด) 2FA ที่ต้านทานฟิชชิงได้ (กุญแจฮาร์ดแวร์หรือพาสคีย์ที่ผูกกับโดเมนจริง) และ ความสงสัยที่มีสุขภาพดี (อย่าล็อกอินผ่านลิงก์ในอีเมลเด็ดขาด)

เปิดใช้งานทั้งสามอย่างบนบัญชีที่สำคัญที่สุดของคุณ — อีเมลของคุณ — ก่อน จากนั้น ชีวิตดิจิทัลส่วนที่เหลือของคุณจะปลอดภัยขึ้นอย่างมีนัยสำคัญ