ประกาศแจ้งเตือนให้ระวังการหลอกลวงผ่านโทรศัพท์มือถือ (Vishing)
เรียบเรียงโดย กิติศักดิ์ จิรวรรณกูล ประกาศเมื่อ 6 มิถุนายน 2551
กล่าวโดยทั่วไป
ทีมงาน ThaiCERT ได้รับแจ้งเหตุการณ์ว่ามีการหลอกลวงข้อมูลส่วนบุคคลผ่านทางโทรศัพท์ รวมทั้งอาจหลอกลวงให้เหยื่อโอนเงินไปยังผู้ไม่ประสงค์ดีก็ได้ ซึ่งเทคนิคที่ใช้คือ Social Engineering (เป็นการหลอกล่อให้เหยื่อหลงเชื่อ และยอมให้ข้อมูลหรือทรัพย์สินมีค่า) ประกอบกับการหลอกลวงข้อมูลแบบฟิชชิ่ง (Phishing) แต่ฟิชชิ่งนั้นอาศัยอีเมล์ ดังนั้นจึงมีการนิยามภัยคุกคามลักษณะนี้ว่าวิชชิ่ง (Vishing หรือ Voice + Phishing)
1. คำอธิบาย
รูปแบบการหลอกลวง
ผู้ไม่ประสงค์ดีอาศัยหลักการทางจิตวิทยาหลอกล่อโดยการโทรศัพท์มาหาเหยื่อเพื่อแจ้งข่าวให้เหยื่อตกใจ เช่น หลอกลวงว่าเหยื่อกำลังหลบหนีคดี หรือหลอกลวงว่าเหยื่อเป็นผู้โชคดีได้รับรางวัล เป็นต้น ประกอบกับผู้ไม่ประสงค์ดีอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ ส่งผลให้เหยื่อไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้จนทำให้หลงเชื่อและแจ้งข้อมูลส่วนบุคคลของเหยื่อให้แก่ผู้ไม่ประสงค์ดีได้ รวมทั้งการหลอกล่อให้เหยื่อไปยืนยันการได้รับรางวัลที่เครื่องกดเงินอัตโนมัติและให้ดำเนินการตามที่ผู้ไม่ประสงค์ดีบอกทีละขั้นตอน ซึ่งในท้ายที่สุดแล้วเป็นการหลอกให้เหยื่อโอนเงินไปให้ โดยที่เหยื่อเข้าใจว่านี่เป็นเพียงกระบวนการยืนยันการรับของรางวัล ในบางกรณีการหลอกลวงข้อมูลนั้นผู้ไม่ประสงค์นี้อาจใช้ระบบโทรศัพท์อัตโนมัติและหลอกลวงให้เหยื่อเชื่อว่าเป็นระบบยืนยันตัวตน เมื่อเหยื่อตอบโทรศัพท์กลับผู้ไม่ประสงค์ดีจะทำการบันทึกการสนทนา และนำข้อมูลนั้นออกไปใช้ได้
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืมเงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเองนั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
ผลกระทบที่อาจเกิดขึ้น
ผู้เสียหายอาจถูกหลอกให้โอนเงินไปให้ผู้ไม่ประสงค์ดี หรือถูกหลอกลวงข้อมูลส่วนบุคคล
ผู้ไม่ประสงค์ดีอาจนำข้อมูลส่วนบุคคลของเหยื่อเปิดเผยในอินเทอร์เน็ต หรือถูกนำไปใช้ในทางเสียหายได้
ผู้ไม่ประสงค์ดีอาจทำการขู่กรรโชกทรัพย์ด้วยข้อมูลส่วนบุคคลของเหยื่อที่ให้ไปได้
2. วิธีแก้ไขและวิธีการป้องกัน
-ผู้ใช้งานโทรศัพท์มือถือควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของคู่สนทนาว่ามีความน่าเชื่อถือหรือไม่
-ห้ามรับสายโทรศัพท์ที่ไม่แน่ใจผู้โทรศัพท์
เก็บข้อมูลการโทรศัพท์ เช่นหมายเลขโทรศัพท์ วันและเวลาที่ใช้ เพื่อใช้อ้างอิงเวลาเกิดเหตุการณ์การละเมิดความปลอดภัย
-หากไม่แน่ใจว่าถูกล่อลวงทางการเงินหรือไม่ ให้ทำการติดต่อไปยังธนาคารผ่านทาง Call Center เพื่อตรวจสอบ และหาทางระงับการโอนเงินในกรณีที่พบว่าถูกหลอกลวง
-ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ผ่านทางอีเมล์ และเว็บไซต์ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
ศีกษา ข้อมูลเพิ่มเติม พร้อมแนวทางป้องกันจาก http://www.thaicert.org/paper/basic/phishing.php
อ้างอิง http://thaicert.nectec.or.th/
วันอาทิตย์ที่ 15 มิถุนายน พ.ศ. 2551
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น