พิชชิ่งที่ไม่ใช่การตกปลา (Phishing)
Phishing ออกเสียงว่าฟิชชิ่งเหมือนการตกปลา แต่จริงแล้วมันเป็นการโจมตีทาง Cyber รูปแบบหนึ่ง ที่ไม่ได้อาศัยเทคนิคทาง IT นัก แต่จะเป็นเทคนิคทางสังคม หรือเขาเรียกเฉพาะว่า Social Engineering เป็นหลัก
โดยคำกลางๆแล้ว คำว่า Phishing 🎣 จะหมายถึง Email Phishing 📩 คือเป็นการส่งอีเมล์หลอกลวงให้เหยื่อเข้ากดเข้ามาใส่ข้อมูลส่วนตัว อาจจะทำเหมือนหน้าเว็บธนาคาร ให้ใส่ user password แล้วคนร้ายก็เอาข้อมูลนี้ไปใช้ขโมยเงินเรา แบบนี้เป็นต้น
หรือจะส่งมาเป็นไฟล์แนบ ในไฟล์ฝังไวรัสมา เปิดปุ๊ปติดปั๊ป นั้นก็ใช่
เอาแค่การส่งเมล์รูปแบบเขาก็มีหลากหลาย แตกย่อยกันไปอีก แต่ละอันฝรั่งเขาก็สรรหาคำมาเรียกให้เฉพาะเจาะจงกันไป
ถ้ามีเป้าหมายชัดเจน ส่งให้เฉพาะคนนั้นคนนี้นะ ไม่ได้กวาดสุ่มส่งมั่วๆ แบบนี้เขาเรียก Spear phishing 🎯 คือเป็นหอกพุ่ง มุ่งเป้าไปเลย เช่น ส่ง Resume ให้ hr เปิดมามีไวรัส
ถ้ามีเป้าหมาย แต่เป้านั้นตำแหน่งใหญ่ๆ โตๆ ส่งให้ director ceo แบบนี้เขาเรียก Whaling 🐋 คือตกปลาเหมือนกัน แต่เขาเอาตัวใหญ่ คือตกวาฬกันเลย
นอกจากนี้ยังแยกตามช่องทางที่ใช้หลอกได้อีก
ถ้าหลอกมาทาง SMS เรียก Smishing 💬 หรือ SMS phishing แบบที่เขาส่ง link ให้โหลดโปรแกรม หรือพวกแอปกู้เงิน
ถ้าหลอกมาทางโทรศัพท์ เรียก Vishing 📞 หรือ Voice phishing อย่างพวกแก๊งคอลเซ็นเตอร์
ที่ว่ามาข้างบน เป็นเทคนิคที่เหมือน "ตกปลา" คือโยนเหยื่อล่อไป แล้วดูว่าจะมีปลามาติดไหม เหมือนเราไปหาปลา ยังมีเทคนิค Social engineer อีกแบบหนึ่งที่จะตรงข้ามกัน คือแทนที่จะไปหาปลา ก็เป็นรอให้ปลามาหาแทน
นึกภาพตามก็เหมือนกับการวางกับดักดักปลา ถ้ารู้ว่าปลาชอบไปอยู่ตรงนี้ หากินตรงนี้ ก็ไปวางกับดักไว้ตรงนั้น
ในทางไอที ถ้าเขารู้ว่าเป้าหมายชอบเข้าเว็บอะไร เขาก็เอากับดักไปไปไว้ที่เว็บนั้น ตั้งโพสหลอก ฝังมัลแวร์ redirect หรืออะไรก็ตามแต่ที่จะทำให้ผู้ใช้งานโดนหลอก แบบนี้เขาก็มีคำเฉพาะเรียกอีกว่า Pharming 🌱 คือเหมือนทำฟาร์มทิ้งไว้ แล้วรอเหยื่อผู้เคราะห์ร้ายมาซื้อของจากฟาร์มเรา
คำศัพท์ คำเฉพาะพวกนี้จะเจอก็แต่ในตำรา ในข้อสอบ ในการทำงานจริง ชีวิตจริงผมเจอแค่คำเดียว เรียกการหลอกพวกนี้รวมๆเลยว่า ฟิชชิ่ง Phishing แต่ก็ให้รู้ไว้นะครับว่าการหลอกมันมีได้มากกว่าแค่ส่งอีเมล์เท่านั้น
ดูเพิ่มเติมในซีรีส์
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
