“ภัยคุกคาม Crypto Phishing มีแนวโน้มสูงขึ้นในบางประเทศในเอเชียตะวันออกเฉียงใต้ แม้ประเทศไทยจะมีตัวเลขการถูกฟิชชิ่งลดลง แต่ก็ไม่ควรวางใจ การศึกษาเคล็ดลับเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ โจรขโมยคริปโตวอลเล็ต ก็ยังมีความจำเป็น
แคสเปอร์สกี้ เปิดเผยข้อมูลจากรายงานใหม่เกี่ยวกับคริปโตฟิชชิงในภูมิภาคเอเชียตะวันออกเฉียงใต้พบว่า มีจำนวนการตรวจจับคริปโตฟิชชิงในปี 2022 ทั้งหมด 147,649 รายการ โดยลดลงเล็กน้อยจากปี 2021 ที่ตรวจพบ 164,330 รายการ
ทั้งนี้ แคสเปอร์สกี้ระบุว่า การลดลงนี้พบแค่ในสามประเทศจากหกประเทศหลักในภูมิภาค ได้แก่ สิงคโปร์ (-74%) ไทย (-51) และเวียดนาม (-15%)
ภัยคุกคามคริปโตฟิชชิงประเภทนี้มีเป้าหมายเพื่อขโมยเงินจากเจ้าของกระเป๋าคริปโต (Crypto Wallet) โดยมีแนวโน้มสูงขึ้นในฟิลิปปินส์ (จากการตรวจจับ 9,164 ครั้งในปี 2021 เป็น 24,737 ครั้งในปี 2022) อินโดนีเซีย (จากการตรวจจับ 19,584 ครั้งในปี 2021 เป็น 24,642 ครั้งในปี 2022) และมาเลเซีย (จากการตรวจจับ 16,071 ครั้งในปี 2021) เป็น 16,767 ในปี 2565)
เอเดรียน เฮีย กรรมการผู้จัดการประจำภูมิภาคเอเชียแปซิฟิก แคสเปอร์สกี้ กล่าวว่า “เมื่อเป็นเรื่องการขโมยเงินคริปโต ก็ไม่มีอะไรหยุดยั้งสแกมเมอร์ได้ ประการแรกเพราะ เงินคริปโตเป็นกระแสนิยมในปัจจุบัน เราเห็นคนนำไปใช้มากขึ้นเรื่อยๆ โดยเฉพาะในเอเชียตะวันออกเฉียงใต้ ในความเป็นจริง ภูมิภาคนี้ทำธุรกรรมคริปโตมากถึง 14% ของโลก และคาดว่าจะเป็นผู้นำในการนำสกุลเงินคริปโตจำนวนมากมาใช้ต่อไป”
“ประการที่สอง ประชากรในภูมิภาคนี้ยังเยาว์วัยและมีความชำนาญด้านดิจิทัลสูง แนวโน้มต่างๆ ที่จะมีในอนาคตจะได้รับการตอบรับด้วยมุมมองในแง่ดีแทนความหวาดระแวงสงสัย ดังนั้นเราจึงเชื่อว่าผู้ที่นำคริปโตมาใช้ควรมีความรู้มากขึ้นเกี่ยวกับกลอุบายล่าสุดที่มิจฉาชีพใช้ เพื่อรักษาทรัพย์สินคริปโตของตนให้ปลอดภัย” เอเดรียน กล่าวเสริม
โรมัน เดเดนอก ผู้เชี่ยวชาญด้านการวิเคราะห์สแปม แคสเปอร์สกี้ กล่าวถึงกลวิธีที่คริปโตฟิชเชอร์ใช้เพื่อจัดการกับทรัพย์สินคริปโตของเหยื่อโดยที่ไม่ทันสงสัย ดังนี้
เงินที่ได้มาฟรีๆ
บ่อยครั้งที่เคสลักษณะนี้จะเริ่มต้นด้วยอีเมล กลโกงที่อยู่เบื้องหลังกรณีนี้เลือกใช้ข้อเสนอต่างๆ เพื่อล่อลวงให้เหยื่อเข้าร่วมในการแจกเงินดิจิทัล เช่น Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) และ Ripple (XRP) รวมมูลค่า 800 ล้านดอลลาร์เป็นเดิมพัน! มิจฉาชีพจะทำเป็นใจกว้างใจดีพอที่จะให้คำแนะนำสามข้อง่ายๆ สำหรับผู้ที่ต้องการรับเงินคริปโตฟรี พร้อมลิงก์ไปยังเว็บไซต์ “โปรโมชัน”
ลองดูหัวอย่างอีเมลกัน มีการลงชื่อว่าเป็นทีมซัพพอร์ตของชุมชนคริปโตแห่งหนึ่ง อาจทำให้คิดได้ว่าเป็นสมาคมของผู้ที่ชื่นชอบคริปโต
อย่างไรก็ตาม โดเมนในอีเมลแอดเดรสของผู้ส่งไม่มีส่วนเกี่ยวข้องใดๆ กับชุมชนคริปโตเลย ซึ่งนี่เป็นจุดแรกที่ผู้รับอีเมลจงอย่ามั่น ประการที่สอง ข้อความในอีเมลที่พิมพ์อย่างลวกๆ เต็มไปด้วยข้อผิดพลาดและพิมพ์ผิด พวกสแกมเมอร์ / มิจฉาชีพมักจะคิดว่าเหยื่อต้องตกตะลึงกับตัวเลขเงินเก้าหลัก จนลืมคำนึงทุกสิ่งทุกอย่าง
การคลิกลิงก์จะส่งผู้ใช้ไปยังหน้าเว็บไซต์ฟิชชิง เป็นโดเมนที่ไม่เกี่ยวข้องกับอีเมลแอดเดรสของผู้ส่ง ข้อสังเกตคือ การออกแบบเว็บไซต์ที่ดูไม่น่าเชื่อถือ และไม่มีการกล่าวถึงชุมชนคริปโตใดๆ เลย
เมื่อมาถึงขั้นตอนนี้ เหยื่อจะถูกขอให้บอกข้อมูลวอลเล็ตของตนเองที่ต้องการให้โอนเงินไปให้ มิจฉาชีพนั้นทำงานครอบคลุมวอลเล็ตทั่วไปทั้ง Blockchain.com, Trust Wallet, MetaMask, Coinbase, Binance, Crypto.com และ Exodus แต่สำหรับผู้ใช้วอลเล็ตอื่นๆ มิจฉาชีพก็เพิ่มปุ่มวอลเล็ตอื่นๆ ให้ใส่ข้อมูลได้ ดูแล้วเป็นการอำนวยความสะดวกให้แก่ผู้ใช้
ขั้นต่อไปเป็นส่วนที่น่าสนใจที่สุด นั่นคือ การรับโทเค็น ผู้ใช้ต้องป้อนชุดคำลับหรือกลุ่มคำ (Seed Phrase) ซึ่งเป็นหนึ่งในกระบวนการความปลอดภัยสำหรับการถึงกระเป๋าเงินดิจิทัล ทันทีที่ผู้ใช้กรอกข้อมูลในช่องและคลิกปุ่มถัดไป การแจ้งเตือนจะปรากฏขึ้นบนหน้าจอว่าทุกอย่างสำเร็จและเงินดิจิทัลจะเข้าบัญชีของผู้โชคดีภายใน 24 ชั่วโมง
สิ่งที่แปลกคือ เว็บไซต์นั้นไม่มีการตรวจสอบ แม้ว่าจะมีการป้อนคำแบบสุ่มหรือแม้แต่ตัวเลข (ซึ่งที่จริงจะไม่สามารถใส่ตัวเลขได้เลย) แต่เว็บไซต์ยังคงแจ้งว่ารายงานการโอนสำเร็จแล้ว แน่นอนว่าหากมีการพิมพ์วลีจริงเข้าไป ผู้ใช้ก็ยังไม่ได้รับเงินรางวัลอยู่ดี
กลุ่มคำคือกุญแจสู่ประตูทุกบาน
พวกสแกมเมอร์อาศัยข้อเท็จจริงที่ว่าผู้ใช้มักจะปกป้องคีย์ส่วนตัว (private key) ของตนเป็นอย่างดี ซึ่งจะเปิดการเข้าถึงคริปโตวอลเล็ตทันที แต่หลายคนไม่ทราบว่า Seed Phrase ของตนนั้นก็เป็นความลับสุดยอดเช่นกัน และไม่คิดให้ถี่ถ้วนก่อนที่จะกรอกข้อมูลนี้บนเว็บไซต์เพื่อหวังรางวัล
อันที่จริงแล้ว Seed Phrase นั้นมีค่าไม่น้อยไปกว่ากัน ผู้โจมตีสามารถสร้างคีย์ส่วนตัวอันใหม่และเข้าถึงวอลเล็ตของเหยื่อได้ กล่าวอีกนัยหนึ่ง กลุ่มคำนี้เปิดทางให้มิจฉาชีพปล้นเงินของคุณได้อย่างมีประสิทธิภาพเช่นเดียวกับคีย์ส่วนตัว ซึ่งหมายความว่าคุณควรปกป้องกลุ่มคำให้พ้นจากการสอดรู้สอดเห็นเช่นเดียวกับคีย์ส่วนตัว
วิธีปกป้องเงินคริปโต
แคสเปอร์สกี้ขอสรุป เคล็ดลับบางประการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมิจฉาชีพ ดังนี้
- เก็บกลุ่มคำของคุณไว้เป็นความลับ อย่าเปิดเผยให้ใครรู้ และใช้กรอกข้อมูลเพื่อกู้คืนการเข้าถึงวอลเล็ตของตัวเองเท่านั้น อย่าจัดเก็บกลุ่มคำไว้ในบริการแบ่งปันไฟล์สาธารณะ หรือส่งผ่านแอปส่งข้อความโต้ตอบ หรือทางอีเมล
- อย่าคลิกลิงก์ในอีเมลที่เกี่ยวกับการแจกของรางวัล การให้ของขวัญ การระงับบัญชีหรือการปิดบัญชีธนาคาร อีเมลประเภทนี้น่าจะมาจากอาชญากรไซเบอร์
- ใช้โซลูชันการรักษาความปลอดภัยที่เชื่อถือได้ซึ่งจะแจ้งเตือนเกี่ยวกับหน้าเว็บฟิชชิง และป้องกันไม่ให้คุณส่งต่อข้อมูลที่ละเอียดอ่อนนี้ให้กับผู้ไม่หวังดี
