Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Microsoft Security

ฟิชชิ่งคืออะไร

การโจมตีฟิชชิ่งมีจุดมุ่งหมายเพื่อขโมยหรือทำลายข้อมูลที่ละเอียดอ่อนโดยหลอกลวงให้ผู้อื่นเปิดเผยข้อมูลส่วนบุคคล เช่น รหัสผ่านและหมายเลขบัตรเครดิต

ป้องกันฟิชชิ่ง

การโจมตีฟิชชิ่งประเภทต่างๆ

การโจมตีฟิชชิ่งมาจากนักต้มตุ๋นที่ปลอมแปลงเป็นแหล่งที่น่าเชื่อถือและช่วยให้เข้าถึงข้อมูลที่ละเอียดอ่อนทุกประเภทได้ง่ายขึ้น เมื่อเทคโนโลยีพัฒนาขึ้น การโจมตีทางไซเบอร์ก็เช่นกัน เรียนรู้เกี่ยวกับฟิชชิ่งประเภทที่แพร่หลายที่สุด

อีเมลฟิชชิ่ง
การโจมตีประเภทนี้คือรูปแบบฟิชชิ่งที่พบบ่อยที่สุด ซึ่งใช้กลวิธีอย่างไฮเปอร์ลิงก์ปลอมเพื่อหลอกล่อให้ผู้รับอีเมลเปิดเผยข้อมูลส่วนบุคคลของตน ผู้โจมตีมักปลอมตัวเป็นผู้ให้บริการบัญชีรายใหญ่ เช่น Microsoft หรือ Google หรือแม้กระทั่งปลอมเป็นเพื่อนร่วมงาน

มัลแวร์ฟิชชิ่ง
การโจมตีประเภทนี้เป็นวิธีการฟิชชิ่งที่แพร่หลายอีกวิธีหนึ่ง ซึ่งเกี่ยวข้องกับการวางมัลแวร์ที่ปลอมแปลงเป็นไฟล์แนบที่น่าเชื่อถือ (เช่น ประวัติย่อหรือใบแจ้งยอดจากธนาคาร) ในอีเมล ในบางกรณี การเปิดไฟล์แนบมัลแวร์อาจทำให้ระบบไอทีทั้งหมดเป็นอัมพาตได้

สเปียร์ฟิชชิ่ง
ในขณะที่การโจมตีฟิชชิ่งส่วนใหญ่ใช้การเหวี่ยงแหเป็นวงกว้าง สเปียร์ฟิชชิ่งจะกำหนดเป้าหมายเฉพาะบุคคลใดบุคคลหนึ่งโดยใช้ประโยชน์จากข้อมูลที่รวบรวมผ่านการวิจัยเกี่ยวกับงานและชีวิตทางสังคมออนไลน์ของเป้าหมาย ซึ่งการโจมตีเหล่านี้จะมีการปรับให้ตรงเป้าหมายอย่างมาก ทำให้เลี่ยงการรักษาความปลอดภัยทางไซเบอร์ได้เป็นอย่างดี

เวลลิ่ง
เมื่อคนร้ายมุ่งเป้าไปที่ “ปลาใหญ่” เช่น ผู้บริหารธุรกิจหรือผู้มีชื่อเสียง จะเรียกว่า เวลลิ่ง นักต้มตุ๋นเหล่านี้มักจะทำการวิจัยเกี่ยวกับเป้าหมายค่อนข้างมาก เพื่อค้นหาช่วงเวลาที่เหมาะสมในการขโมยข้อมูลประจำตัวในการเข้าสู่ระบบหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ยิ่งคุณมีข้อมูลเหล่านี้เยอะ ผู้โจมตีเวลลิ่งก็ยิ่งได้ประโยชน์มาก

สมิชชิ่ง
สมิชชิ่งคือการรวมกันระหว่างคำว่า “SMS” กับ “ฟิชชิ่ง” ซึ่งเกี่ยวข้องกับการส่งข้อความที่ปลอมแปลงเป็นการติดต่อสื่อสารที่น่าเชื่อถือจากธุรกิจต่างๆ เช่น Amazon หรือ FedEx ผู้คนมักเสี่ยงต่อการถูกหลอกลวงทาง SMS เนื่องจากข้อความจะถูกส่งเป็นข้อความตัวอักษรธรรมดาๆ และดูเจาะจงมากกว่า

วิชชิ่ง
ในการโจมตีวิชชิ่ง ผู้โจมตีในคอลล์เซนเตอร์ที่ฉ้อฉลพยายามหลอกล่อให้ผู้คนมอบข้อมูลที่ละเอียดอ่อนทางโทรศัพท์ ในหลายกรณี กลโกงเหล่านี้ใช้การโจมตีแบบวิศวกรรมสังคมเพื่อหลอกล่อให้เหยื่อติดตั้งมัลแวร์ลงในอุปกรณ์ของตนในรูปแบบของแอป

กลวิธีฟิชชิ่งที่พบได้บ่อย

การสื่อสารที่มีเล่ห์เหลี่ยม
ผู้โจมตีมีฝีมือในการจัดการกับเหยื่อของตนให้เปิดเผยข้อมูลที่ละเอียดอ่อนโดยปกปิดข้อความและไฟล์แนบที่เป็นอันตรายในที่ที่ผู้คนแยกแยะไม่ออก (เช่น ในกล่องจดหมายอีเมล) หลายคนล้วนทึกทักไปเองว่าข้อความที่ส่งมาในกล่องจดหมายนั้นปกติดี แต่โปรดระวัง อีเมลฟิชชิ่งมักจะดูปลอดภัยและไม่โดดเด่น ใช้เวลาเพิ่มขึ้นสักเล็กน้อยแล้วตรวจสอบไฮเปอร์ลิงก์และที่อยู่อีเมลของผู้ส่งก่อนคลิก เพื่อป้องกันไม่ให้ถูกหลอก

การรับรู้ถึงความต้องการ
ผู้คนมักตกเป็นเหยื่อฟิชชิ่ง เพราะคิดว่าจำเป็นต้องดำเนินการ ตัวอย่างเช่น ผู้ที่ตกเป็นเหยื่ออาจดาวน์โหลดมัลแวร์ที่ปลอมแปลงเป็นประวัติย่อ เนื่องจากพวกเขากำลังจ้างงานอย่างเร่งด่วนหรือป้อนข้อมูลประจำตัวของธนาคารบนเว็บไซต์ที่น่าสงสัยเพื่อกอบกู้บัญชีที่ตนได้รับแจ้งว่าจะหมดอายุในไม่ช้า การสร้างการรับรู้ถึงความต้องการแบบผิดๆ เป็นเคล็ดลับที่ใช้อย่างแพร่หลาย เพราะได้ผลจริง ให้ตรวจสอบอย่างถี่ถ้วนหรือติดตั้งเทคโนโลยีการป้องกันอีเมลที่จะทำงานส่วนยากๆ นี้ให้คุณ เพื่อรักษาข้อมูลของคุณให้ปลอดภัย

ความไว้วางใจแบบผิดๆ
คนร้ายจะหลอกผู้คนโดยสร้างความรู้สึกไว้วางใจแบบผิดๆ ทำให้หลงเชื่อ แม้กระทั่งกลโกงที่มองเห็นได้ง่ายที่สุด คนร้ายฟิชชิ่งสามารถหลอกล่อให้คุณดำเนินการก่อนที่คุณจะรู้ว่าคุณถูกหลอกโดยการแอบอ้างว่าเป็นแหล่งข้อมูลที่น่าเชื่อถือ เช่น Google, Wells Fargo หรือ UPS ข้อความฟิชชิ่งจำนวนมากมักเล็ดลอดสายตาไป เพราะไม่มีมาตรการรักษาความปลอดภัยทางไซเบอร์ขั้นสูง ปกป้องข้อมูลส่วนตัวของคุณด้วยเทคโนโลยีการรักษาความปลอดภัยอีเมลที่ออกแบบมาเพื่อระบุเนื้อหาที่น่าสงสัยและกำจัดทิ้งก่อนที่จะส่งมาถึงกล่องจดหมายของคุณ

การชักใยทางอารมณ์
ผู้ไม่หวังดีจะใช้กลวิธีทางจิตวิทยาเพื่อโน้มน้าวให้เป้าหมายลงมือทำก่อนที่จะได้คิดไตร่ตรองอะไร หลังจากสร้างความไว้วางใจโดยการแอบอ้างเป็นแหล่งข้อมูลที่คุ้นเคย ก็จะสร้างความรู้สึกผิดๆ ว่าต้องดำเนินการโดยเร็ว ผู้โจมตีใช้ประโยชน์จากอารมณ์ เช่น ความกลัวและความวิตกกังวล เพื่อให้ได้สิ่งที่ต้องการ ผู้คนมักจะตัดสินใจอย่างรวดเร็วเมื่อได้รับแจ้งว่าจะสูญเสียเงิน มีปัญหาทางกฎหมาย หรือไม่สามารถเข้าถึงแหล่งข้อมูลที่จำเป็นอย่างมากได้อีกต่อไป โปรดระมัดระวังข้อความใดๆ ที่บอกให้คุณต้อง “ดำเนินการทันที” เพราะอาจเป็นข้อความหลอกลวง

ความอันตรายของอีเมลฟิชชิ่ง

การโจมตีฟิชชิ่งที่ประสบความสำเร็จอาจมีผลร้ายแรง ซึ่งอาจเป็นการขโมยเงิน การเรียกเก็บเงินที่ฉ้อฉลจากบัตรเครดิต การสูญเสียสิทธิ์การเข้าถึงรูปภาพ วิดีโอ และไฟล์ต่างๆ รวมถึงอาชญากรไซเบอร์ที่แอบอ้างเป็นคุณและทำให้ผู้อื่นตกอยู่ในความเสี่ยงด้วย

ในที่ทำงาน ความเสี่ยงที่มีต่อนายจ้างอาจรวมถึงการสูญเสียเงินทุนของบริษัท การเปิดเผยข้อมูลส่วนบุคคลของลูกค้าและเพื่อนร่วมงาน การขโมยหรือการทำให้เข้าถึงไฟล์ที่ละเอียดอ่อนไม่ได้ รวมถึงความเสียหายต่อชื่อเสียงของบริษัทด้วย ในหลายๆ กรณี ความเสียหายเหล่านี้ไม่สามารถย้อนคืนหรือแก้ไขได้

โชคดีที่มีวิธีป้องกันฟิชชิ่งมากมาย ทั้งที่บ้านและที่ทำงาน

สำรวจบริการการป้องกันภัยคุกคามของ Microsoft

เคล็ดลับง่ายๆ ในการหลีกเลี่ยงฟิชชิ่ง

อย่าเชื่อชื่อที่แสดง

ตรวจสอบที่อยู่อีเมลของผู้ส่งก่อนเปิดข้อความ เพราะชื่อที่แสดงอาจปลอมแปลงมาได้

ตรวจดูการพิมพ์ผิด

การสะกดคำและไวยากรณ์ที่ผิดเป็นเรื่องปกติในอีเมลฟิชชิ่ง ถ้าอะไรดูไม่ปกติ อย่าปักใจเชื่อ

ดูให้ดีก่อนคลิก

วางเมาส์เหนือไฮเปอร์ลิงก์ในเนื้อหาที่ดูน่าเชื่อถือ เพื่อตรวจสอบที่อยู่ลิงก์

อ่านประโยคหรือคำทักทาย

หากอีเมลใช้คำว่า “ลูกค้าผู้มีอุปการคุณ” แทนที่จะเรียกชื่อคุณ โปรดระวังให้ดี อาจเป็นอีเมลหลอกลวงได้

ตรวจทานลายเซ็น

ตรวจสอบข้อมูลที่ติดต่อในส่วนท้ายอีเมล ผู้ส่งที่ไม่ได้หลอกลวงจะใส่ข้อมูลเหล่านี้เอาไว้ด้วย

ระวังคำขู่ต่างๆ

วลีที่สร้างความหวาดกลัว เช่น “บัญชีของคุณถูกระงับ” เป็นที่แพร่หลายในอีเมลฟิชชิ่ง

ปกป้องจากภัยคุกคามทางไซเบอร์

แม้ว่าการหลอกลวงแบบฟิชชิ่งและภัยคุกคามทางไซเบอร์อื่นๆ จะพัฒนาอย่างต่อเนื่อง แต่ก็มีหลายอย่างที่คุณทำได้เพื่อปกป้องตัวเอง

คนทำงานอยู่ในห้องเซิร์ฟเวอร์

ยึดหลักการ Zero Trust

หลักการ Zero Trust เช่น การรับรองความถูกต้องโดยใช้หลายปัจจัย สิทธิ์การเข้าถึงเท่าที่จำเป็น และการเข้ารหัสแบบครบวงจร ช่วยปกป้องคุณจากภัยคุกคามทางไซเบอร์ที่พัฒนาอยู่ตลอดนี้ได้

เรียนรู้เพิ่มเติม

ปกป้องแอปและอุปกรณ์ของคุณ

ป้องกัน ตรวจจับ และตอบโต้ต่อฟิชชิ่งและการโจมตีทางไซเบอร์อื่นๆ ด้วย Microsoft Defender for Office 365

เรียนรู้เพิ่มเติม

รักษาความปลอดภัยการเข้าถึง

ปกป้องผู้ใช้จากการโจมตีที่ซับซ้อน พร้อมกับป้องกันองค์กรจากภัยคุกคามตามข้อมูลประจำตัว

เรียนรู้เพิ่มเติม

คำถามที่ถามบ่อย

  • เป้าหมายหลักของกลโกงฟิชชิ่งคือการขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลประจำตัวต่างๆ ให้ระวังข้อความใดๆ (ทั้งทางโทรศัพท์ อีเมล หรือข้อความ) ที่ขอข้อมูลที่ละเอียดอ่อนหรือขอให้คุณพิสูจน์ตัวตนของคุณ

    ผู้โจมตีล้วนทำการบ้านมาอย่างดีเพื่อเลียนแบบสิ่งที่คุณคุ้นเคย และใช้โลโก้ การออกแบบ และส่วนต่อประสานแบบเดียวกันกับแบรนด์หรือบุคคลที่คุณคุ้นเคยอยู่แล้ว ระมัดระวังตัวอยู่เสมอ อย่าคลิกลิงก์หรือเปิดไฟล์แนบ เว้นแต่คุณจะแน่ใจว่าข้อความนั้นปลอดภัย

    เคล็ดลับในการแยกแยะอีเมลฟิชชิ่งมีดังนี้:

    • คำขู่ให้ดำเนินการโดยเร็วหรือเรียกร้องให้ดำเนินการ (ตัวอย่างเช่น “เปิดเดี๋ยวนี้”)
    • ผู้ส่งรายใหม่หรือผู้ส่งที่ไม่คุ้นเคย ใครก็ตามที่ส่งอีเมลถึงคุณเป็นครั้งแรก
    • การสะกดคำและไวยากรณ์ผิดๆ (มักเกิดจากการแปลภาษาต่างประเทศที่ไม่เป็นธรรมชาติ)
    • ลิงก์หรือไฟล์แนบที่น่าสงสัย ข้อความไฮเปอร์ลิงก์ที่แสดงลิงก์จากที่อยู่ IP หรือโดเมนอื่น

    การสะกดผิดเล็กๆ น้อยๆ (เช่น “micros0ft.com” หรือ “rnicrosoft.com”)

    1. จดรายละเอียดของการโจมตีให้มากที่สุดเท่าที่คุณจะจำได้ จดบันทึกข้อมูลทั้งหมดที่คุณอาจมอบให้ไป เช่น ชื่อผู้ใช้ หมายเลขบัญชี หรือรหัสผ่าน
    2. เปลี่ยนรหัสผ่านบัญชีที่เกี่ยวข้องทันที รวมถึงทุกที่ที่คุณอาจใช้รหัสผ่านเดียวกันด้วย
    3. ตรวจสอบให้แน่ใจว่าคุณใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (หรือสองขั้นตอน) กับทุกบัญชีที่คุณใช้
    4. แจ้งผู้ที่เกี่ยวข้องทั้งหมดว่าข้อมูลของคุณถูกบุกรุก
    5. หากคุณสูญเสียเงินหรือตกเป็นเหยื่อของการโจรกรรมข้อมูลประจำตัว ให้รายงานแก่หน่วยงานบังคับใช้กฎหมายในพื้นที่และคณะกรรมาธิการว่าด้วยการค้าแห่งสหพันธรัฐ แจ้งรายละเอียดที่คุณจดบันทึกไว้ในขั้นตอนที่ 1

    หากคุณเชื่อว่าคุณอาจตกเป็นเหยื่อการโจมตีฟิชชิ่งโดยไม่ได้ตั้งใจ คุณควรทำดังนี้:

    โปรดทราบว่าเมื่อคุณส่งข้อมูลของคุณให้แก่ผู้โจมตีแล้ว มีแนวโน้มที่ข้อมูลนั้นจะถูกเปิดเผยต่อผู้ไม่หวังดีคนอื่นๆ อย่างรวดเร็ว ประมาณการณ์ไว้ว่าจะมีอีเมล ข้อความ และการโทรฟิชชิ่งใหม่มาถึงคุณอีก

  • หากคุณได้รับข้อความน่าสงสัยในกล่องขาเข้าของ Microsoft Outlook ให้เลือกรายงานข้อความจาก Ribbon แล้วเลือกฟิชชิ่ง นี่เป็นวิธีที่เร็วที่สุดในการลบข้อความออกจากกล่องขาเข้าของคุณ ใน Outlook.com ให้เลือกกล่องกาเครื่องหมายถัดจากข้อความน่าสงสัยในกล่องขาเข้าของคุณ แล้วเลือกลูกศรที่อยู่ถัดจากขยะ แล้วเลือกฟิชชิ่ง

    หากคุณสูญเสียเงินหรือตกเป็นเหยื่อของการโจรกรรมข้อมูลประจำตัว ให้รายงานแก่หน่วยงานบังคับใช้กฎหมายในพื้นที่และติดต่อคณะกรรมาธิการว่าด้วยการค้าแห่งสหพันธรัฐ พวกเขามีเว็บไซต์เฉพาะทางสำหรับการแก้ไขปัญหาลักษณะนี้

  • ไม่ แม้ว่าฟิชชิ่งจะพบเห็นได้ทั่วไปในรูปแบบอีเมล แต่ผู้โจมตีฟิชชิ่งก็ยังใช้การโทร ข้อความ และแม้แต่การค้นหาบนเว็บเพื่อขโมยข้อมูลที่ละเอียดอ่อนได้

  • อีเมลสแปมเป็นข้อความขยะอันไม่พึงประสงค์ ซึ่งมีเนื้อหาที่ไม่เกี่ยวข้องหรือเป็นเชิงพาณิชย์ อาจเป็นโฆษณาแผนเงินด่วน ข้อเสนอที่ผิดกฎหมาย หรือส่วนลดปลอมๆ

    ส่วนฟิชชิ่งเป็นการกำหนดเป้าหมายที่เฉพาะเจาะจงมากขึ้น (และมักจะปลอมแปลงได้ดีกว่า) เพื่อขโมยข้อมูลที่ละเอียดอ่อนโดยหลอกล่อให้เหยื่อมอบข้อมูลบัญชีและข้อมูลประจำตัวต่างๆ โดยสมัครใจ

ติดตาม Microsoft