'Phishing' ระบาดหนัก! ขึ้นแท่นภัยคุกคามอันดับหนึ่งของไทย
"ฟิชชิง" ขึ้นแท่น ภัยคุกคามอันดับหนึ่งของประเทศไทย มุ่งเป้าไปขโมยข้อมูลที่เป็นความลับ ข้อมูลบัญชี รายละเอียดบัตรธนาคาร ส่งผลกระทบต่อทั้งผู้ใช้รายบุคคลและองค์กร
KEY
POINTS
- ฟิชชิง (Phishing) กลายเป็นภัยคุกคามทางไซเบอร์อันดับหนึ่งของประเทศไทย
- ส่งผลกระทบต่อทั้งผู้ใช้รายบุคคลและองค์กร ทำให้เกิดความเสียหายทางการเงิน การขโมยข้อมูลส่วนบุคคล และการโจรกรรมข้อมูลประจำตัว
- การโจมตีมีหลายรูปแบบ เช่น อีเมล, ข้อความ, การโทรศัพท์และการปลอมแปลงอีเมลธุรกิจ
- มิจฉาชีพใช้เทคโนโลยี AI และ LLM ทำให้การหลอกลวงมีความซับซ้อนและน่าเชื่อถือมากขึ้น
- ฟิชชิงทางการเงินเป็นหนึ่งในภัยคุกคามอันดับต้นๆ ของธุรกิจในไทย
- ช่วงครึ่งแรกของปี 2568 มีความพยายามโจมตีองค์กรต่างๆ กว่า 182,190 ครั้ง
- ร้านค้าออนไลน์เป็นเหยื่อล่อที่ได้รับความนิยมมากที่สุด
ประเทศไทยเผชิญกับภัยฟิชชิงคุกคามในวงกว้าง อีเมลที่มีลิงก์ฟิชชิงจำนวนมากถูกส่งออกโดยใช้ช่องโหว่ด้านความปลอดภัยในกระบวนการยืนยันตัวตน
แคสเปอร์สกี้ รายงานว่า ฟิชชิงเป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดที่ส่งผลกระทบต่อทั้งผู้ใช้รายบุคคลและองค์กร ความเสียหายที่เกิดขึ้นไม่ได้จำกัดอยู่แค่การสูญเสียทางการเงินเท่านั้น
แต่ยังรวมถึงการขโมยข้อมูลส่วนบุคคลและข้อมูลละเอียดอ่อน อีกทั้งเป็นการสูญเสียความไว้วางใจของผู้ใช้ และท้ายที่สุดก็นำไปสู่การโจรกรรมข้อมูลประจำตัว
ทำความรู้จัก 'ฟิชชิง'
ฟิชชิง (Phishing) เป็นการฉ้อโกงออนไลน์รูปแบบหนึ่ง มุ่งเป้าไปที่การขโมยข้อมูลที่เป็นความลับ เช่น ข้อมูลบัญชี รายละเอียดบัตรธนาคาร ผ่านวิศวกรรมสังคม การโจมตีแบบฟิชชิงโดยทั่วไปจะเกี่ยวข้องกับการส่งอีเมลหรือข้อความในนามขององค์กรจริง มีหัวข้อหรือเนื้อหาหลอกล่อเหยื่อ และลิงก์ไปยังหน้าเว็บที่ขอข้อมูล
รูปแบบฟิชชิงที่พบบ่อย
การโจมตีแบบฟิชชิงมีหลายวิธี ผู้เชี่ยวชาญแคสเปอร์สกี้ระบุว่า คนส่วนใหญ่มักจะประสบกับฟิชชิงอย่างน้อยหนึ่งรูปแบบต่อไปนี้
- อีเมลฟิชชิง (Phishing email) มักจะมาพร้อมคำขอให้คลิกลิงก์ ให้ชำระเงิน ตอบกลับพร้อมข้อมูลส่วนตัว หรือเปิดไฟล์แนบ
- ฟิชชิงด้วยเสียง (Voice phishing - vishing) มิจฉาชีพจะโทรหาและปลอมตัวเป็นบุคคลหรือบริษัท อาจใช้ระบบอัตโนมัติ ปิดบังหมายเลขโทรศัพท์ และกระตุ้นให้เหยื่อดำเนินการ
- ข้อความฟิชชิง (SMS phishing - smishing) จะปลอมเป็นองค์กรที่ถูกต้อง ระบุความเร่งด่วนในข้อความที่มีลิงก์หรือหมายเลขโทรศัพท์ที่สแกมเมอร์ต้องการให้เหยื่อใช้
- ฟิชชิงบนโซเชียลมีเดีย มิจฉาชีพจะใช้โพสต์หรือข้อความส่วนตัวเพื่อล่อลวงเหยื่อให้ติดกับดัก อาจปลอมตัวเป็นเพื่อนหรือสร้างความสัมพันธ์เพื่อหลอกลวง
- ฟิชชิงผลการค้นหา เป็นวิธีการที่ทำให้เว็บปลอมปรากฏในผลการค้นหาของ search engine ขึ้นก่อนเว็บจริง เรียกอีกอย่างว่า SEO phishing หรือ SEM phishing
- BEC (Business email compromise) เป็นวิธีการเพื่อเจาะระบบการสื่อสารของบริษัทเพื่อให้ได้ข้อมูลที่มีค่าสูง ซึ่งอาจเป็นการปลอมตัวเป็น CEO หรือผู้ขายที่นำส่งใบแจ้งหนี้ปลอม
- ฟิชชิงทางการเงิน (Financial phishing) มุ่งเป้าไปที่ธนาคาร ระบบการชำระเงิน และร้านค้าออนไลน์โดยเฉพาะ โดยใช้เว็บไซต์ปลอมที่ออกแบบมาเพื่อเลียนแบบแพลตฟอร์มที่ถูกต้องและหลอกล่อผู้ใช้ให้เปิดเผยข้อมูลทางการเงินที่ละเอียดอ่อน
- ฟิชชิงคริปโต (Cryptocurrency phishing) มุ่งเป้าไปที่ผู้ที่มีคริปโตวอลเล็ต อาชญากรไซเบอร์เหล่านี้พยายามขโมยเงินคริปโตจากผู้ที่มีเงินคริปโตอยู่แล้ว แทนที่ขุดคริปโตด้วยตัวเอง
ฟิชชิง มีทั้งแบบขนาดใหญ่ (และไม่ได้กำหนดเป้าหมาย) หรือแบบเจาะจง (หรือที่เรียกว่าสเปียร์ฟิชชิง) ฟิชชิงแบบกลุ่มจะถูกส่งไปยังอีเมลทุกอีเมลที่ผู้โจมตีเข้าถึงได้ สเปียร์ฟิชชิงจะกำหนดเป้าหมายไปยังผู้รับเฉพาะราย ซึ่งมักจะเริ่มต้นด้วยการรวบรวมข้อมูลและสร้างโปรไฟล์ของผู้รับเหล่านั้น
ลักษณะภูมิทัศน์ของฟิชชิง
แคสเปอร์สกี้ พบว่า มีความพยายามโจมตี 893 ล้านครั้งในปี 2567 เพิ่มขึ้นจาก 709 ล้านครั้งในปี 2566 และ 507 ล้านครั้งในปี 2565
แผนการโจมตีต่างๆ มีความซับซ้อนและออกแบบมาเพื่อก่อผลกระทบสูงสุด เอื้อต่อการโจรกรรมการเงินและข้อมูลส่วนบุคคล ผู้โจมตียังใช้ประโยชน์จากประเด็นข่าวสำคัญ หัวข้อที่กำลังได้รับความนิยม และมีเป้าหมายทางการเงินในแคมเปญสแปมของตน
ฟิชชิงทางการเงินซึ่งปลอมตัวเป็นธนาคาร ระบบชำระเงิน และร้านค้าออนไลน์ เป็นหนึ่งในภัยคุกคามอันดับต้นๆ ของธุรกิจในประเทศไทยและเอเชียตะวันออกเฉียงใต้
ล่าสุด ตรวจพบและบล็อกความพยายามโจมตีแบบฟิชชิงทางการเงินจำนวน 182,190 ครั้ง ที่มุ่งเป้าไปที่องค์กรและธุรกิจต่างๆ ในประเทศในช่วงเดือนมกราคม - มิถุนายน 2568 โดยเฉลี่ย 1,006 ครั้งต่อวัน
พบด้วยว่า ร้านค้าออนไลน์เป็นเหยื่อล่อที่ได้รับความนิยมมากที่สุด คิดเป็นสัดส่วน 53.04% ของความพยายามหลอกลวงทางการเงินทั้งหมดในประเทศไทย
ความซับซ้อนของฟิชชิงที่ขับเคลื่อนด้วย AI
ปัจจุบันการฟิชชิงมีความซับซ้อนมากขึ้น เนื่องจากการใช้ AI (Artificial Intelligence) และ LLM (Large Language Models) เพื่อสร้างเนื้อหาที่น่าเชื่อถือของอีเมล ข้อความ และเว็บไซต์ โดยการกำจัดข้อผิดพลาดทางไวยากรณ์ที่ถูกจับสังเกตได้
ยิ่งไปกว่านั้น AI ยังเป็นเครื่องมือสร้างดีพเฟกที่สมจริงทั้งเสียงและวิดีโอของเพื่อนร่วมงาน ผู้บริหาร เจ้าหน้าที่ธนาคาร หรือบุคคลที่มีชื่อเสียง เพื่อใช้ดึงข้อมูลที่ละเอียดอ่อนจากเหยื่อ หรือส่งเสริมแผนการโกงซึ่งมักใช้ในวิศวกรรมสังคมเพื่อหลบเลี่ยงรหัสการยืนยันตัวตนแบบสองปัจจัย (2FA) หรือเพื่อโน้มน้าวให้โอนเงิน
ฟิชชิงเป็นภัยคุกคามต่อองค์กร : ฟิชชิงเป็นภัยคุกคามที่มีหลายแง่มุมและทำให้เกิดความเสียหายมูลค่าสูงสำหรับองค์กร ทั้งการโจมตีแบบเจาะจงเป้าหมายไปจนถึงแคมเปญขนาดใหญ่ที่ใช้ประโยชน์จากทรัพยากรขององค์กร
องค์กรขนาดใหญ่มักประสบปัญหาความปลอดภัยที่ซับซ้อนเนื่องจากขนาดการดำเนินงานที่มีขนาดใหญ่ ส่วนธุรกิจขนาดกลางและขนาดเล็ก (SMB) และหน่วยงานภาครัฐก็ประสบปัญหาทรัพยากรที่มีจำกัดและเหตุการณ์ที่ส่งผลกระทบสูง
โดยอีเมลขององค์กรนับเป็นความเสี่ยงที่สำคัญ รายงานแคสเปอร์สกี้พบว่า อีเมลในกล่องจดหมายขององค์กรจำนวน 47% ถูกจัดประเภทเป็นสแปม ซึ่งรวมถึงฟิชชิงและข้อความอันตรายจำนวนมากที่มุ่งเป้าไปที่ธุรกิจ
ไซมอน เติ้ง ผู้จัดการทั่วไป ภูมิภาคอาเซียนและกลุ่มประเทศเกิดใหม่ของเอเชีย แคสเปอร์สกี้ กล่าวว่า การขโมยข้อมูลประจำตัวแบบเจาะจงเป้าหมายก็เป็นแผนกลโกงที่น่าตกใจเช่นกัน
ฟิชชิงมักเลียนแบบแพลตฟอร์มที่สำคัญสำหรับการดำเนินธุรกิจ เช่น โฆษณาและการลงทะเบียน เพื่อขโมยข้อมูลประจำตัวสำหรับเข้าสู่ระบบและเข้าถึงบัญชีธุรกิจ ฐานข้อมูลลูกค้าขนาดใหญ่ หรือความสามารถในการทำธุรกรรมทางการเงิน
นอกจากนี้ ความปลอดภัยทางไซเบอร์ของซัพพลายเชนควรได้รับการตรวจสอบเพื่อป้องกันผลกระทบที่เป็นอันตรายต่อองค์กรหลัก ผู้เชี่ยวชาญของเรามองว่าผู้โจมตีมักใช้ผู้รับเหมาและซัพพลายเออร์เป็นจุดเข้าเครือข่ายโดยใช้กลยุทธ์ฟิชชิงเพื่อขโมยข้อมูลบัญชี
วิธีสังเกตฟิชชิง
ผู้ใช้และประชาชนอาจถูกโจมตีด้วยฟิชชิงได้ จึงจำเป็นต้องรู้ถึงสัญญาณเตือน เนื่องจากการหลอกลวงบนเว็บไม่ใช่เรื่องใหม่ แต่ฟิชชิงนั้นตรวจจับได้ยากกว่า แคสเปอร์สกี้จึงแนะนำดังนี้
- ตรวจสอบ URL: ระวัง URL ที่ดูเหมือนเว็บไซต์จริงแต่มีความแตกต่างกันเล็กน้อย มองหาคำที่เกินมา เครื่องหมายขีดหรือจุด แทนที่เครื่องหมายทับ หรือโดเมนที่ไม่ตรงกับบริษัทที่อ้าง
- อีเมลคุณภาพต่ำ: ระวังอีเมลหรือเว็บไซต์ที่มีไวยากรณ์ไม่ถูกต้อง สะกดผิด หรือกราฟิกที่ไม่เป็นมืออาชีพ
- ระวังคำขอเร่งด่วน: ฟิชชิงมักทำให้ผู้ใช้เกิดความรู้สึกรีบร้อนเร่งด่วน โดยอ้างว่าบัญชีถูกระงับหรือถูกแฮ็ก และให้ดำเนินการหรือตรวจสอบข้อมูลส่วนบุคคลทันที
- ระวังคำทักทายที่ไม่เป็นส่วนตัว: คำทักทายทั่วๆ ไป เช่น ‘เรียนผู้ใช้’ อาจเป็นสัญญาณเตือน ทั้งนี้มิจฉาชีพก็อาจเก่งขึ้นและใช้ชื่อของผู้ใช้แทน
- ตรวจสอบแอดเดรสของผู้ส่ง: แอดเดรสผู้ส่งที่น่าสงสัยเป็นสัญญาณที่ชัดเจนของความพยายามฟิชชิง
วิธีป้องกันตนเองจากฟิชชิง
ผู้เชี่ยวชาญแนะนำเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของฟิชชิงและสแกม ดังนี้
- วิธีที่ดีที่สุดในการจัดการกับฟิชชิงคือการ ‘รายงาน บล็อก และลบ’ อีเมลและข้อความเหล่านั้นทันที
- ตรวจสอบข้อความ การโทร หรือลิงก์ที่ไม่พึงประสงค์ แม้ว่าจะดูเหมือนถูกต้องตามกฎหมายก็ตาม อย่าแชร์รหัส 2FA
- ตรวจสอบวิดีโออย่างละเอียดเพื่อหาการเคลื่อนไหวที่ผิดปกติหรือข้อเสนอที่เกินจริง ซึ่งอาจเป็นดีพเฟค
- ปฏิเสธคำขอเข้าถึงกล้องจากเว็บไซต์ที่ไม่ได้รับการยืนยัน และหลีกเลี่ยงการอัปโหลดลายเซ็นไปยังแพลตฟอร์มที่ไม่รู้จัก
- เปิดอีเมลและคลิกลิงก์เฉพาะเมื่อมั่นใจว่าสามารถไว้วางใจผู้ส่งได้
- หากผู้ส่งเป็นบุคคลที่ถูกต้องตามกฎหมาย แต่เนื้อหาของข้อความดูแปลก ควรตรวจสอบกับผู้ส่งผ่านช่องทางการสื่อสารอื่น
- จำกัดการแชร์รายละเอียดที่ละเอียดอ่อนทางออนไลน์ เช่น รูปถ่ายเอกสารหรือข้อมูลงานที่ละเอียดอ่อน
- ให้ความรู้แก่พนักงานเกี่ยวกับกลยุทธ์การหลอกลวงสมัยใหม่ เช่น การแบ่งปันแหล่งข้อมูลจากแคสเปอร์สกี้ และสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์โดยรวมอย่างต่อเนื่อง
- ใช้โซลูชันความปลอดภัยที่สามารถตรวจจับและบล็อกแคมเปญสแปมและฟิชชิงได้