“พบความพยายามโจมตีด้านการเงินสูงในไทย การ ฟิชชิ่ง ผ่านร้านค้าออนไลน์ ระบบการชำระเงิน และธนาคาร คิดเป็น 55.63% เตือนความเสี่ยงฟิชชิ่งที่มากับ ซูเปอร์แอปส์ รวมฟังก์ชันการเงิน
แคสเปอร์สกี้ เปิดเผยรายงานภัยคุกคามรูปแบบ ฟิชชิ่ง ทางการเงิน กำลังเฟื่องฟูในเอเชียตะวันออกเฉียงใต้ ในช่วงเดือนกุมภาพันธ์ – เมษายน ที่ผ่านมา การรายงานดังกล่าวเป็นการเก็บข้อมูลจากผู้ใช้ของแคสเปอร์สกี้ ซึ่งแสดงให้เห็นถึง ความพยายาม ในการโจมตีด้วยฟิชชิ่ง เป็นที่นิยมมากที่สุดในหมู่มิจฉาชีพ
ระบบการชำระเงิน เป้าใหญ่ที่สุดของฟิชชิ่ง
ในภาพรวมของภูมิภาคเอเชียตะวันออกเฉียงใต้ พบความพยายามในการโจมตีด้วย ฟิชชิ่ง หรืออีเมลอันตรายซึ่งกำหนดเป้าหมายโจมตีไปยัง ระบบการชำระเงิน (payment system) 32.11% รองลงมาคือ ร้านค้าออนไลน์ (e-shop) 10.80% และ ธนาคาร 5.03%
กล่าวสรุปได้ว่า ความพยายามโจมตีด้วยฟิชชิ่งทุก 1 ใน 2 ครั้ง หรือคิดเป็น 47.94% เกี่ยวข้องกับการเงิน
ไทย เจอปัญหาฟิชชิ่งผ่านร้านค้าออนไลน์
ฟิลิปปินส์ประสบปัญหาฟิชชิ่งที่เกี่ยวข้องกับการเงินมากที่สุด (68.95%) อันดับ 2 สิงคโปร์ (55.67%) ตามด้วยไทย (55.63%) มาเลเซีย (50.58%) อินโดนีเซีย (42.81%) และเวียดนาม (36.12%) ขณะที่สัดส่วนการโจมตีด้วยฟิชชิ่งที่เกี่ยวข้องกับการเงินทั่วโลกในช่วงเวลาเดียวกันอยู่ที่ 48.22%
ตัวเลขที่น่าสังเกตคือ ขณะที่ฟิชชิ่งโจมตีผ่านระบบการชำระเงินมีสัดส่วนสูงสุดสำหรับทุกประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้
แต่สำหรับประเทศไทย ความพยายามโจมตีด้านการเงินสูงสุดของประเทศคือ การฟิชชิ่งผ่านร้านค้าออนไลน์ (28.16%) รองลงมาคือระบบการชำระเงิน (22.22%) และธนาคาร (5.25 %) กล่าวคือ ความพยายามโจมตีด้วยฟิชชิ่งของไทยนั้นเกี่ยวข้องกับการเงินคิดเป็น 55.63% หรือทุกการโจมตี 1 ใน 2 ครั้ง
ตัวเลขสัดส่วนนี้มาจากข้อมูลที่ไม่เปิดเผยชื่อตามการทริกเกอร์คอมโพเนนต์ที่กำหนดในระบบป้องกันฟิชชิ่ง (Anti-Phishing) ของแคสเปอร์สกี้บนคอมพิวเตอร์ของผู้ใช้ คอมโพเนนต์จะตรวจจับหน้าเพจทั้งหมดที่มีเนื้อหาฟิชชิ่งที่ผู้ใช้พยายามเปิดโดยคลิกลิ้งก์ในข้อความอีเมลหรือบนเว็บ โดยที่ลิ้งก์ไปยังหน้าเพจเหล่านี้มีอยู่ในฐานข้อมูลแคสเปอร์สกี้
สำหรับประเทศไทย ตัวเลขการตรวจจับความพยายามโจมตีร้านค้าออนไลน์ที่มีสัดส่วนสูงสุดนี้ไม่ใช่เรื่องแปลก โดยมีจำนวนโดดเด่นตั้งแต่เดือนกุมภาพันธ์ (29.37%) จำนวนลดลงเล็กน้อยในเดือนมีนาคม (25.31%) แต่เพิ่มขึ้นเป็นระดับสูงสุดใหม่ในเดือนเมษายน (29.79%)
“พฤติกรรมการทำงานของฟิชเชอร์นั้น อาศัยวิธีการ สุ่มเป้าหมาย และเทคนิคการหลอกลวงให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลสำคัญโดยใช้หลักจิตวิทยา ที่เรียกว่า วิศวกรรมสังคม (Social Engineering) เพื่อส่งลิงก์หรือข้อความสั้นมาทางอีเมล โดยไม่ได้เป็นการฟิชชิ่งที่ได้ข้อมูลมาจากกระบวนการของการทำธุรกรรมอีคอมเมิร์ซหรือธุรกรรมการเงินดิจิทัล” ผู้บริหารกล่าว
ซึ่ง ระบบการชำระเงิน ร้านค้าออนไลน์ และธนาคาร ล้วนเป็นเป้าหมายหลักที่ชัดเจนสำหรับฟิชเชอร์ ซึ่งบ่งชี้ว่า ฟิชเชอร์สนใจข้อมูลส่วนบุคคลที่ให้การเข้าถึงเงินมากที่สุด ข้อความฟิชชิ่งมักจะอยู่ในรูปแบบของการแจ้งเตือนปลอมจากธนาคาร ผู้ให้บริการ ระบบ e-pay และองค์กรต่างๆ ข้อความแจ้งเตือนจะพยายามกระตุ้นให้ผู้รับใส่ข้อมูลหรืออัปเดตข้อมูลส่วนบุคคลของตนอย่างเร่งด่วนด้วยสาเหตุใดสาเหตุหนึ่ง ที่มักเกี่ยวข้องกับการสูญเสียข้อมูล ความล้มเหลวของระบบ ฯลฯ
คำแนะนำขั้นตอนที่สำคัญเพิ่มเติมที่องค์กรควรพิจารณา
เบญจมาศ จูฑาพิพัฒน์ ผู้จัดการประจำประเทศไทย แคสเปอร์สกี้ กล่าวว่า “เป็นที่ชัดเจนว่า การป้องกันนั้นย่อมดีกว่าการรักษาแก้ไข แม้ว่าบริษัทการเงินส่วนใหญ่จะมีระบบรักษาความปลอดภัยเพื่อปกป้องลูกค้าจากการตกเป็นเหยื่อของกิจกรรมที่น่าสงสัย แต่ยังมีขั้นตอนอีกมากมายที่สามารถทำได้ในเชิงรุกมากขึ้นทั้งในระดับบุคคลและระดับธนาคาร”
สำหรับองค์กร วิธีการป้องกันที่สำคัญที่สุดคือต้องตระหนักว่าการรักษาความปลอดภัยทางไซเบอร์ควรเป็นกลยุทธ์ที่ยืดหยุ่น ไม่ใช่แพลตฟอร์มคงที่ ควรจะผสมผสานเทคโนโลยีและความพยายามเข้าด้วยกัน และมีการอัปเกรด อัปเดต และปรับปรุงอย่างต่อเนื่อง
ธนาคารและผู้ให้บริการจำเป็นต้องสร้างความมั่นใจให้กับทีมรักษาความปลอดภัย (หรือผู้เชี่ยวชาญด้านความปลอดภัย) ที่จะสามารถรับประกันได้ว่าโครงสร้างพื้นฐานการป้องกันทางไซเบอร์ได้รับการอัปเดต และจะสามารถให้การสนับสนุนในกรณีที่มีการโจมตีทางไซเบอร์
โดย เบญจมาศ ได้ให้คำแนะนำขั้นตอนที่สำคัญเพิ่มเติมที่องค์กรควรพิจารณา มีดังนี้
- พิจารณาแพลตฟอร์มข้อมูลภัยคุกคาม (threat intelligence platform) องค์ประกอบสำคัญอีกประการหนึ่งเพื่อเข้าถึงแนวโน้มและข้อมูลภัยคุกคามด้านความปลอดภัยด้านไอทีล่าสุด ซึ่งเรียกอีกอย่างว่า Threat intelligence ข้อมูลภัยคุกคามจะให้ข้อมูลเชิงลึกเพื่อดำเนินการและแสดงภาพสถานะดิจิทัลของธนาคารที่ใหญ่ขึ้นและแม่นยำยิ่งขึ้น เพื่อให้ความรู้แก่ผู้มีส่วนได้ส่วนเสียระดับอาวุโสเกี่ยวกับความเสี่ยงและจุดอ่อนที่กำลังเกิดขึ้น ซึ่งจะช่วยให้สามารถตัดสินใจอย่างชาญฉลาดถึงสิ่งที่ต้องทำเพื่อป้องกันอันตรายที่อาจเกิดขึ้น ปรับปรุงกระบวนการรักษาความปลอดภัยที่มีอยู่เพื่อป้องกันภัยคุกคามที่รู้จักได้ดียิ่งขึ้น และอุดช่องว่างใดๆ ของโครงสร้างพื้นฐานด้านไอทีอย่างต่อเนื่อง
- ตรวจสอบให้แน่ใจว่าระบบรักษาความปลอดภัยทางไซเบอร์ของผู้จำหน่ายบุคคลที่สาม (เธิร์ดปาร์ตี้) ได้รับการอัปเดต มีรายงานเพิ่มขึ้นว่าการละเมิดระบบรักษาความปลอดภัยของบุคคลที่สามส่งผลต่อธุรกิจ ไม่ว่าจะเป็นธนาคาร รัฐบาล หรือองค์กรเอกชน ก็ไม่สามารถรอดพ้นจากภัยคุกคามด้านความปลอดภัยเหล่านี้ได้ และสิ่งสำคัญที่เราจะต้องเพิ่มความระมัดระวังในการรักษาความปลอดภัยทางไซเบอร์ ไม่สำคัญว่าผู้ขายบุคคลที่สามจะบอกคุณระบบของตนนั้นปลอดภัยเพียงใด เนื่องจากการโจมตีซัพพลายเชนที่เด่นชัดได้แสดงให้เราเห็นว่าการรับผิดชอบต่อการรักษาความปลอดภัยทางไซเบอร์ของตนเองนั้นมีความสำคัญมากกว่าการปล่อยให้อยู่ในมือของคู่ค้า
- การดำเนินการตามมาตรการป้องกันจำเป็นต้องล้ำหน้าไปไกลกว่าการปกป้องระบบของตนเอง ธนาคารต้องใช้มาตรการเชิงรุกเพื่อเตือนลูกค้าไม่ให้ตกเป็นเหยื่อผู้แอบอ้าง การหลอกลวงและการโจมตีแบบฟิชชิ่ง แม้ว่าจะเกิดขึ้นนอกระบบก็ตาม
สำหรับ คำแนะนำเพื่อช่วยผู้ใช้ทั่วไปในการป้องกันตนเองจากการโจมตีแบบฟิชชิ่ง มีดังนี้
- ไม่โต้ตอบ แม้แต่การตอบกลับอย่างการส่งข้อความว่า “ยกเลิกการสมัคร” (UNSUBSCRIBE) หรือ “หยุดส่งข้อความ” (STOP) เพราะอาจเป็นวิธีการระบุหมายเลขโทรศัพท์ที่ผู้ใช้ใช้งานอยู่ ผู้โจมตีจะเล่นกับความอยากรู้หรือความวิตกกังวลของผู้ใช้เกี่ยวกับสถานการณ์ต่างๆ แต่คุณสามารถเลือกที่จะไม่ข้องเกี่ยวได้
- หลีกเลี่ยงการใช้ลิ้งก์หรือข้อมูลติดต่อในอีเมลหรือข้อความ แนะนำให้ติดต่อไปที่ช่องทางการติดต่อโดยตรง นอกจากนี้ยังสามารถตรวจสอบประกาศเร่งด่วนได้โดยตรงในบัญชีออนไลน์หรือผ่านทางโทรศัพท์สายด่วนอย่างเป็นทางการของหน่วยงานนั้นๆ ได้
- สังเกตุและระวังข้อผิดพลาดต่างๆ การสะกดคำผิด และอักขระแปลกๆ ในข้อความ ผู้คุกคามบางคนมีปัญหากับภาษาอังกฤษจริงๆ หรือมีข้อผิดพลาดบางอย่างเกิดขึ้นโดยเจตนา เมื่อพยายามที่จะหลบเลี่ยงตัวกรองสแปม (เช่น การใช้ตัวเลขเพื่อแทนที่ตัวอักษรบางตัว เช่น “Bank L0an” แทน “Bank Loan”)
- ตอบโต้ช้าลงเมื่อได้รับข้อความที่เป็นเรื่องเร่งด่วน อีเมลและ SMS มักจะถูกอ่านขณะผู้ใช้กำลังเดินทาง หากผู้ใช้ฟุ้งซ่านหรือรีบร้อน ก็จะละเลยความระแวดระวัง จึงควรตั้งสติและดำเนินการอย่างระมัดระวัง
- ดาวน์โหลดแอปป้องกันมัลแวร์ซึ่งสามารถป้องกันแอปที่เป็นอันตรายได้ เพื่อสร้างความปลอดภัย
แฮกเกอร์มุ่งเป้าไปที่ Super Apps
อีกหนึ่งประการสำคัญ จากผลการสำรวจเรื่องฟิชชิ่งผู้บริหารของแคสเปอร์สกี้ ให้ความเห็นว่า “นอกจากการทำธุรกรรมดิจิทัลที่เพิ่มมากขึ้นในภูมิภาคเอเชียตะวันออกเฉียงใต้แล้ว เรายังเห็นการเพิ่มขึ้นของ ซูเปอร์แอปส์ (Super Apps) ในภูมิภาคอีกด้วย”
“ซูเปอร์แอปส์เป็นแอปพลิเคชันมือถือที่รวมฟังก์ชันการเงินยอดนิยมทั้งหมด รวมทั้ง e-banking, mobile wallets, การซื้อของออนไลน์ ประกันภัย การจองการเดินทาง และการลงทุนต่างๆ การใส่ข้อมูลและเงินดิจิทัลของเราไว้ในที่เดียวสามารถทำให้ผลกระทบของการโจมตีแบบฟิชชิ่งขยายตัวในอัตราที่คาดไม่ถึง”
ซูเปอร์แอปส์ เป็นวิธีการที่ธนาคารแบบดั้งเดิมและผู้ให้บริการใช้เพื่อสร้างความโดดเด่นในอุตสาหกรรมที่มีการใช้งานพลุกพล่าน ขณะที่ธนาคารและผู้ให้บริการพยายามทำงานร่วมกับบุคคลที่สาม และรวบรวมบริการทั้งหมดไว้ในแอปมือถือเครื่องเดียว พื้นที่การโจมตีก็ขยายกว้างขึ้น มีช่องทางให้เจาะเป็นช่องโหว่มากขึ้น
ฟิชชิ่งเป็นกลอุบายที่ยังคงมีประสิทธิภาพมากที่สุดสำหรับอาชญากรไซเบอร์ เป็นวิธีที่รู้จักกันดีในการเจาะเข้าไปในเครือข่ายของผู้ใช้และบริษัท โดยเล่นกับอารมณ์ของผู้ใช้
โดยสถานการณ์ที่อาจเป็นไปได้คือแอปหนึ่งแอปที่มีรายละเอียดทางการเงินทั้งหมดของผู้ใช้ แค่ลิ้งก์ฟิชชิ่งธรรมดาอันเดียวที่ขอข้อมูลประจำตัวของผู้ใช้ อาจทำให้ข้อมูลทั้งหมดที่มีอยู่ในแอปเสียหายได้ ซึ่งความเสียหายจากภัยคุกคามนี้จะขยายผลออกไปได้อีก
“ดังนั้นธนาคาร นักพัฒนาแอป และผู้ให้บริการจึงควรบูรณาการการรักษาความปลอดภัยทางไซเบอร์ตั้งแต่เริ่มต้นการพัฒนาแอปพลิเคชัน คาดว่า แฮกเกอร์จะมุ่งเป้าไปที่ซูเปอร์แอปส์ที่เพิ่มขึ้น ทั้งโครงสร้างพื้นฐานและผู้ใช้ผ่านการโจมตีทางวิศวกรรมสังคม”
“แคสเปอร์สกี้ขอกระตุ้นให้บริษัทฟินเทคทุกแห่งปรับใช้แนวทางที่ปลอดภัยโดยการออกแบบในระบบของตน และให้การศึกษาเชิงรุกแก่ผู้ใช้อย่างต่อเนื่องในช่วงเวลานี้ที่การโจมตีแบบฟิชชิ่งยังคงเติบโตอย่างต่อเนื่อง”
Featured Image: Password photo created by freepik – www.freepik.com
