Phishing คือ การหลอกให้เข้าเว็บไซต์ปลอมเพื่อขโมยข้อมูลของเหยื่อ เป็นคำพ้องเสียงกับ Fishing ที่หมายถึง การตกปลา ซึ่งเหยื่อ ก็คือ ปลานั่นเอง กล่าวคือ คือ การล่อหลอกเหยื่อเข้าหน้าเว็บไซต์ปลอม ซึ่งทำให้ดูคล้ายกับหน้าล็อกอินของเว็บไซต์จริง จุดประสงค์เพื่อขโมยพาสเวิร์ด และนำไปสู่การขโมยข้อมูลอื่น ๆ โดยเฉพาะในเรื่องธุรกรรมทางการเงิน

Scam คือการแอบอ้างเพื่ออาศัยผลจากความเข้าใจผิด เช่น การสร้างหน้าเว็บไซต์ปลอมแอบอ้างว่าเป็นเว็บไซต์ของบริการที่มีชื่อเสียง หลอกให้ร่วมเล่นเกมเพื่อชิงรางวัล เพื่อขโมยข้อมูลส่วนบุคคล ซึ่งจะนำไปสู่การปลอมแปลงอื่น ๆ เพื่อผลประโยชน์ของผู้ไม่หวังดีต่อไป

การจะสร้างหน้าเว็บไซต์ฟิชชิ่งให้ดูแนบเนียน จำเป็นต้องอาศัยปัจจัยหลายอย่าง นอกจากทำหน้าตาของเว็บไซต์ปลอมให้ดูเหมือนเว็บไซต์จริงแล้ว สิ่งหนึ่งที่จะทำให้เหยื่อสังเกตเห็นความผิดปกติได้ยากคือ URL ของเว็บไซต์ปลอมที่ใกล้เคียงกับเว็บไซต์จริง อย่างแนบเนียนมากที่สุด

โจมตีของ ฟิชชิ่ง แบ่งออกเป็น 2 รูปแบบ

* การจดโดเมนที่มีชื่อใกล้เคียงกับโดเมนของบริการที่มีอยู่จริง (Fake Domain)

* การเจาะระบบเว็บไซต์อื่น เพื่อนำหน้าเว็บไซต์ปลอมไปฝังไว้ (Compromised) ตัวอย่างวิธีการโจมตีด้วย ฟิชชิ่ง มีดังนี้

* ส่งลิงก์ไปทางอีเมล, SMS, โปรแกรมแช็ต, โซเชียลมีเดีย, QR code แนวทางป้องกันเบื้องต้น

* พิจารณาที่อยู่ผู้ส่ง หัวข้อ เนื้อหาในอีเมล และลิงก์ของเว็บไซต์ปลายทาง

* ไม่ควรคลิกลิงก์จากอีเมล ควรพิมพ์ URL เพื่อเข้าเว็บไซต์โดยตรง

*  การสังเกตว่าเว็บไซต์เป็น HTTPS หรือไม่นั้นไม่สามารถช่วยแยกแยะเว็บไซต์ฟิชชิงได้ เพราะเว็บฟิชชิงจำนวนมากใช้ HTTPS แล้ว

*  ตรวจสอบกับหน่วยงาน องค์กร ต้นทาง ว่ามีข่าวสารแจ้งเตือนหรือไม่ รวมทั้งติดตามข่าวสารด้าน Cybersecurity จากแหล่งที่น่าเชื่อถือ เช่น ThaiCERT เป็นต้น

ที่มา : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์