รู้ทันภัย Phishing ปลอดภัยได้แค่ไม่ด่วนเชื่อและกด link ซี้ซั้ว
แม้ว่าจะมีข่าวที่ประกาศเตือนภัยมิจฉาชีพในรูปแบบต่าง ๆ อยู่ทุกวัน แต่ในขณะเดียวกันก็มีข่าวของคนที่ตกเป็นเหยื่อแก๊งมิจฉาชีพอยู่ทุกวันเช่นเดียวกัน มูลค่าความเสียหายก็มีตั้งแต่ไม่กี่บาท (มักไม่เป็นข่าว แต่เริ่มมีการเตือนกันเองในหมู่คนรู้จัก) ไปจนถึงหลักล้านบาท ส่วนความเคลื่อนไหวของหน่วยงานที่มีหน้าที่รับผิดชอบก็เริ่มออกมาตรการต่าง ๆ เพื่อป้องกันประชาชนไม่ให้ตกเป็นเหยื่อมากขึ้น มาตรการแบบวัวหายแล้วล้อมคอก เพราะขยับตัวออกเดินตามหลังมิจฉาชีพอยู่หลายก้าว เรียกได้ว่าเป็นการแก้ไขปัญหาอาชญากรรมทางการเงินของภาครัฐที่ทำงานไม่ทันโจรเท่าไรนัก
อย่างไรก็ตาม มาตรการการจัดการภัยทุจริตทางการเงิน ที่ธนาคารแห่งประเทศไทยเพิ่งจะมีการออกมาตรการที่ชัดเจนเมื่อไม่นานที่ผ่านมาก็ค่อนข้างที่จะมีช่องโหว่อยู่พอสมควร อย่างเช่นมาตรการการให้ผู้ใช้บริการยืนยันตัวตนด้วย biometrics ในกรณีที่ลูกค้าทำธุรกรรมผ่าน mobile banking ในเงื่อนไขที่กำหนดไว้ อย่างการโอนเงินมากกว่า 50,000 บาท หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาท ขึ้นไป ตรงจุดนี้ สำหรับคนหาเช้ากินค่ำที่ตกเป็นเหยื่อแก๊งมิจฉาชีพ จำนวนเงินที่ถูกโอนออกไปจากบัญชีอาจไม่มากถึง 50,000 บาท แต่มันก็เป็นเงินที่พวกเขาหามาอย่างยากลำบากและต้องเก็บไว้ใช้ดำรงชีพเหมือนกัน และมันอาจเป็นเงินสุทธิทั้งหมดที่พวกเขามีด้วย
นั่นหมายความว่าหากเหยื่อมีเงินในบัญชีไม่ถึง 50,000 บาท แล้วถูกมิจฉาชีพในกลโกงต่าง ๆ โอนเงินจำนวนนั้นออกไปทั้งหมด พวกเขาก็อาจจะไม่สามารถเข้าถึงมาตรการการยืนยันตัวตนก่อนที่เงินจะถูกโอนออกไป เพราะจำนวนเงินมันไม่ได้มากถึง 50,000 บาท ซึ่งเงินไม่ถึง 50,000 บาทที่โดนโกงไปนั้น มันก็ทำให้พวกเขาหมดตัวได้เช่นกัน พวกเขาอาจมีเงินในบัญชีอยู่ 5,000 บาทกับเศษสตางค์อีกนิดหน่อย และโดนมิจฉาชีพโอนออกไปจนเกลี้ยงบัญชี แต่ทำไมพวกเขาจึงไม่สามารถเข้าถึงมาตรการการยืนยันตัวตนก่อนที่เงินเหล่านั้นจะถูกโอนออกไปโดยไม่รู้ตัวบ้าง!
ดังนั้น วิธีที่จะช่วยให้ตัวเราปลอดภัยจากเหตุการณ์ดังกล่าวได้มากที่สุด คงต้องเริ่มจากการพึ่งพาตัวเองเป็นหลัก ดูแลความปลอดภัยของทรัพย์สินของตัวเอง อย่างที่สื่อต่าง ๆ มักจะประกาศเตือนว่าวิธีการที่ง่ายที่สุดคือ อย่ากดลิงก์ใด ๆ ที่ถูกส่งมาทางข้อความสั้น (SMS) หรือลิงก์ที่ถูกส่งมาอีเมลและแอปฯ แชตต่าง ๆ จากบุคคลหรือแอคเคาท์ที่ไม่รู้จัก หรือไม่แน่ใจว่าเป็นแอคเคาท์ของหน่วยงานนั้น ๆ จริงหรือเปล่า เพราะการกดเข้าไปในลิงก์เหล่านั้น จะเพิ่มความเสี่ยงให้กับอุปกรณ์ที่คุณใช้งานอยู่และพวกบัญชีธนาคารที่ถูกผูกไว้ในเครื่อง คุณอาจติดตั้งแอปฯ ดูดเงินของโจรหรือแอปฯ ควบคุมอุปกรณ์จากระยะไกลโดยไม่รู้ตัว ทำให้อุปกรณ์และบัญชีของคุณ รวมถึงข้อมูลต่าง ๆ ตกอยู่ในมือโจร
ลักษณะของภัยที่ถูกหลอกให้กดเข้าไปในลิงก์ปลอมต่าง ๆ เพื่อขโมยข้อมูลส่วนตัวต่าง ๆ ของเรา รวมถึงทำให้เราติดตั้งแอปฯ แปลก ๆ ลงในอุปกรณ์ได้สำเร็จ เรียกว่า ภัย Phishing
รู้จักภัย Phishing จะได้ไม่ตกเป็นเหยื่อ
สำนักงานตำรวจแห่งชาติ ระบุว่า “Phishing” คือ การหลอกลวงผ่านอินเทอร์เน็ต อย่างไรก็ตาม มันไม่ใช่การล่อลวงธรรมดา ๆ ที่เราอาจรู้ได้ทันทีว่าหลอกลวง แต่มักจะมีการใช้วิธีทางจิตวิทยาเข้าร่วมด้วยเพื่อให้ดูน่าเชื่อถือมากขึ้น หรือเล่นกับความรู้สึกของคน ส่วนใหญ่แล้วจะมาในรูปแบบของอีเมล เว็บไซต์ และสื่อสังคมออนไลน์รูปแบบต่าง ๆ เพื่อที่จะหลอกให้ผู้ใช้กรอกข้อมูลส่วนบุคคลที่เป็นความลับ ไม่ว่าจะเป็นรหัสผ่าน หมายเลขบัตรประชาชน เลขที่ Passport รวมไปถึงข้อมูลลับทางการเงิน ทั้งเลขที่บัญชีและรหัสผ่าน หรืออาจจะเป็นการหลอกให้กดยอมรับและติดตั้งมัลแวร์แปลก ๆ เข้าสู่อุปกรณ์อิเล็กทรอนิกส์ของตัวเอง และพวกโจรก็ใช้ประโยชน์หลังการติดตั้งมัลแวร์อีกที
ดังนั้น ภัย Phishing จึงเป็นการหลอกลวงอย่างมีศิลปะชวนให้เชื่อ ซึ่งจะทำให้เราหลงเชื่อได้ง่ายกว่า โดยอาจจะมาในรูปของอีเมลแจ้งเตือนทั้งจากธนาคาร เว็บไซต์สื่อสังคมออนไลน์ที่เราใช้งานกันเป็นประจำอย่าง Facebook หรือ Twitter ที่พอเราได้เห็นชื่อของผู้ส่งข้อความก็จะเกิดความเชื่อว่าปลอดภัยและยอมทำตามโดยง่าย หรืออาจมีการล่อลวงด้วยของฟรี เพื่อเล่นกับความรู้สึกอยากได้ของฟรีของมนุษย์ เช่น กดลิงก์นี้ก็จะได้รับเงินง่าย ๆ หรือคุณได้รับการอนุมัติเงินจำนวนเท่านั้นเท่านี้ คลิกลิงก์เพื่อรับเงิน หรือกรณีที่หลอกลวงด้วยชื่อของสายการบินดัง โดยอ้างว่าคุณได้รับตั๋วเครื่องบินฟรี กดลิงก์นี้เพื่อรับตั๋วเครื่องบิน
โดยทั่วไป Phishing จะนิยมให้กดที่ลิงก์ที่แนบมาด้วย เพื่อพาเราไปยังหน้าเว็บอื่นเพื่อทำการกรอกข้อมูล แน่นอนว่าเว็บที่ลิงก์พาเราไปนั้นก็จะทำเลียนแบบเว็บไซต์ของหน่วยงานหรือองค์กรที่มีอยู่จริงจนเกือบจะเหมือนกับต้นฉบับ หรืออาจจะแสร้งทำเป็นหน่วยงานปลอม ๆ ที่ไม่มีอยู่จริง แต่ทำหน้าตาเว็บไซต์ให้ดูน่าเชื่อถือก็ได้เช่นกัน เหมือนอย่างที่แก๊งคอลเซ็นเตอร์ชอบอ้างชื่อหน่วยงานนั้นหน่วยงานนี้ขึ้นมาทั้งที่ไม่มีอยู่จริง แต่ใครมันจะไปรู้ได้ทั้งหมดล่ะว่าหน่วยงานนั้น ๆ ไม่มีอยู่จริง แค่ใส่ชื่อที่ดูน่าเชื่อถือเข้าไปคนก็เชื่อแล้ว
นอกจากนี้ ข้อมูลจากสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ให้ความหมายของ Phishing ว่าเป็นเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน
โดย Phishing เป็นคำพ้องเสียงของคำว่า Fishing ซึ่งหมายถึงการตกปลา เปรียบเทียบง่าย ๆ ก็คือ การหลอกลวงดังกล่าวเหมือนการตกปลา ปลาหลงกลเหยื่อล่อที่นำมาใช้ในการตกปลาจนติดเบ็ดในที่สุด ซึ่งมันก็คือกลวิธีที่มิจฉาชีพใช้ในการหลอกลวงเหยื่อ ไม่ว่าจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้เหยื่ออ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าถูกส่งมาจากธนาคารที่เหยื่อใช้บริการอยู่ โดยเนื้อความก็จะแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า ธนาคารจึงต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล หากเหยื่อหลงกลกดเข้าไปแล้วกรอกข้อมูลก็เป็นอันจบกัน
เพราะมิจฉาชีพมีข้อมูลทุกอย่างของเหยื่ออยู่ในมือ โดยเหยื่อเป็นคนกรอกข้อมูลเหล่านั้นเองโดยไม่รู้ว่าลิงก์ที่กดเข้ามาเป็นลิงก์ปลอมที่หลอกเอาข้ามูลต่าง ๆ หรือบางลิงก์กดเข้าไปแล้วมีวิธีการที่แยบยลยิ่งกว่า การกดลิงก์เท่ากับการกดตกลงติดตั้งมัลแวร์ตัวร้ายที่สามารถขโมยข้อมูลต่าง ๆ ที่ต้องการโดยอัตโนมัติ เหยื่อจะยิ่งไม่เอะใจเพราะตนเองไม่ได้กรอกข้อมูลอะไรผ่านลิงก์นั้น แต่มัลแวร์จะสามารถสอดแนม ติดตาม หรือแม้กระทั่งควบคุมอุปกรณ์จากระยะไกล และแอบทำงานตอนที่เราไม่รู้ตัว ลักษณะก็คือการที่มิจฉาชีพสามารถโอนเงินออกไปจากบัญชีเราได้โดยที่เราไม่ได้ทำธุรกรรมเอง กว่าจะรู้ตัวก็คือ ยอดเงินในบัญชีเป็น 0 แล้วนั่นเอง
การระวังภัย Phishing เริ่มต้นได้ที่ตัวเรา
สำหรับวิธีเบื้องต้นที่ง่ายและเบสิกที่สุด ที่นักท่องอินเทอร์เน็ตอย่างเรา ๆ ควรทราบเพื่อป้องกันตัวเองและทรัพย์สินจากภัยออนไลน์ในรูปแบบต่าง ๆ คือ ต้องรู้ว่ามิจฉาชีพจะเข้าถึงอุปกรณ์ของเราได้ก็ต่อเมื่อเราไปกดลิงก์เพื่อกรอกข้อมูลหรือติดตั้งอะไรบางอย่างไว้ในอุปกรณ์ (ซึ่งอาจจะไม่รู้ตัว) ดังนั้น วิธีป้องกันง่าย ๆ จึงมีดังนี้
- อย่าคลิกลิงก์ URL หรือดาวน์โหลดไฟล์จากแหล่งที่มาที่ไม่รู้จักหรือน่าสงสัยเด็ดขาด หากเป็นข้อความ SMS หรืออีเมล คุณสามารถเปิดอ่านเพื่อเช็กได้ว่าคือข้อความนั้นคืออะไร ใครส่งมา แต่ห้ามคลิกลิงก์ที่แนบมาโดยเด็ดขาด หากไม่แน่ใจว่าเป็นลิงก์ปลอมหรือไม่ ซึ่งธนาคารแห่งประเทศไทยกำลังดำเนินมาตรการที่ให้สถาบันการเงินงดการส่งลิงก์ทุกประเภทผ่าน SMS อีเมล และงดส่งลิงก์ขอข้อมูลสำคัญ ทำให้หลังจากนี้หากมีลิงก์แนบมากับข้อความหรืออีเมล ก็สามารถสันนิษฐานได้เลยว่ามาจากมิจฉาชีพ
- ถึงแม้จะรู้จักแหล่งที่มา แต่ต้องเช็กให้ดีอีกครั้งว่าข้อความหรืออีเมลดังกล่าวถูกส่งจากแหล่งที่มานั้นจริงหรือไม่ จะกรอกข้อมูลอะไรลงไปในเว็บไซต์ดูให้ดีเสียก่อน บางทีอาจมีตัวหนังสือที่แตกต่างกันเพียงเล็กน้อยเท่านั้น ต้องใช้ทักษะการจับผิดเข้ามาช่วย อย่าด่วนทำธุรกรรมใด ๆ โดยไม่เช็กให้รอบคอบ ตรวจสอบการทำธุรกรรมออนไลน์ทุกครั้ง ว่าทำผ่านเว็บไซต์ที่ปลอดภัย โดย URL จะต้องขึ้นต้นด้วย https:// แทนที่จะเป็น http:// และต้องมีไอคอนแม่กุญแจอยู่ทางด้านซ้ายของแถบ URL ด้วย หรือยอมเสียเวลานิดหน่อยเพื่อติดต่อหน่วยงานนั้น ๆ โดยตรงเลยดีกว่า
- การตรวจสอบประวัติและความน่าเชื่อถือ ให้นำรายละเอียดต่าง ๆ ของ URL หรือชื่อไฟล์ไปสืบค้นใน GOOGLE ดูก่อนก็ได้ หากมีการใช้ลิงก์ชื่อนี้หรือชื่อไฟล์นี้หลอกลวงผู้อื่นมาแล้ว มักจะมีคนมาอัปเดตข้อมูลความเลวร้ายเอาไว้
- อย่าโลภอยากได้นั่นนี่จากข้อความโฆษณาที่อ้างว่าจะให้เงิน ให้รางวัล หรือส่วนลดฟรี อย่าเห็นแก่ของฟรีมูลค่าไม่กี่บาท จำไว้ว่า “ของฟรีไม่มีในโลก” เพราะข้อมูลต่าง ๆ ของเรามีค่ามากกว่านั้นมาก หากมิจฉาชีพได้ไป มันจะกลายเป็นขุมทรัพย์ที่ใช้หากินได้ไม่สิ้นสุด โดยเฉพาะเลขบัตรประจำตัวประชาชน
- สำคัญที่สุดคือ “มีสติ” เตือนตัวเองเสมอว่าทุกวันนี้มิจฉาชีพหากินกันง่าย ๆ แต่เงินที่เราหามานั้นมันยาก ยอมเสียเวลาเพื่อตรวจสอบความน่าเชื่อถือของข้อความ อีเมล และลิงก์ก่อนทุกครั้ง อย่าด่วน อย่าเร่ง อย่ารีบ อย่าใจร้อน อย่าสะเพร่าอ่านไม่ละเอียด อย่าใช้ทางลัด และอย่าหลงเชื่ออะไรง่าย ๆ แม้ว่ามันจะยุ่งยากกว่า แต่ตรวจสอบไปที่หน่วยงานนั้น ๆ โดยตรงจะปลอดภัยที่สุด
ภัย Phishing นับว่าเป็นอันตรายในยุคดิจิทัลที่ทุกคนควรต้องรู้ให้ทันเพื่อความปลอดภัยของตัวเอง มันอาศัยหลักการทำงานที่ง่ายมาก ๆ เพียงแค่เราหลงเชื่อแล้วกดก็เข้าไปก็เท่านั้นเอง แต่เราสามารถป้องกันตัวเองได้ด้วยการระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้น และสังเกตให้ดีว่าข้อความหรืออีเมลต่าง ๆ ที่แนบลิงก์มานั้นมีความน่าเชื่อถือมากน้อยเพียงใด อ่านทุกข้อความโดยละเอียด ตั้งสติ อย่าใจร้อน อย่าด่วนเชื่อ และถ้าไม่แน่ใจก็ตรวจสอบเสียก่อน เสียเวลานิดหน่อยแต่ปลอดภัยกว่า เพียงเท่านี้ก็สามารถช่วยระวังภัยให้ตนเองได้ในระดับหนึ่งแล้ว