ประกาศแจ้งเตือนให้ระวังการหลอกลวงผ่านโทรศัพท์มือถือ (Vishing)
เรียบเรียงโดย : กิติศักดิ์ จิรวรรณกูล
ประกาศเมื่อ : 6 มิถุนายน 2551
กล่าวโดยทั่วไป
ทีมงาน ThaiCERT ได้รับแจ้งเหตุการณ์ว่ามีการหลอกลวงข้อมูลส่วนบุคคลผ่านทางโทรศัพท์ รวมทั้งอาจหลอกลวงให้เหยื่อโอนเงินไปยังผู้ไม่ประสงค์ดีก็ได้ ซึ่งเทคนิคที่ใช้คือ Social Engineering (เป็นการหลอกล่อให้เหยื่อหลงเชื่อ และยอมให้ข้อมูลหรือทรัพย์สินมีค่า) ประกอบกับการหลอกลวงข้อมูลแบบฟิชชิ่ง (Phishing) แต่ฟิชชิ่งนั้นอาศัยอีเมล์ ดังนั้นจึงมีการนิยามภัยคุกคามลักษณะนี้ว่าวิชชิ่ง (Vishing หรือ Voice + Phishing)
I. คำอธิบาย
รูปแบบการหลอกลวง
ผู้ไม่ประสงค์ดีอาศัยหลักการทางจิตวิทยาหลอกล่อโดยการโทรศัพท์มาหาเหยื่อเพื่อแจ้งข่าวให้เหยื่อตกใจ เช่น หลอกลวงว่าเหยื่อกำลังหลบหนีคดี หรือหลอกลวงว่าเหยื่อเป็นผู้โชคดีได้รับรางวัล เป็นต้น ประกอบกับผู้ไม่ประสงค์ดีอาจใช้เทคนิคการซ่อนหมายเลขโทรศัพท์ เพื่อปิดบังหมายเลขโทรศัพท์ ส่งผลให้เหยื่อไม่สามารถยืนยันผู้ที่โทรศัพท์เข้ามาได้จนทำให้หลงเชื่อและแจ้งข้อมูลส่วนบุคคลของเหยื่อให้แก่ผู้ไม่ประสงค์ดีได้ รวมทั้งการหลอกล่อให้เหยื่อไปยืนยันการได้รับรางวัลที่เครื่องกดเงินอัตโนมัติและให้ดำเนินการตามที่ผู้ไม่ประสงค์ดีบอกทีละขั้นตอน ซึ่งในท้ายที่สุดแล้วเป็นการหลอกให้เหยื่อโอนเงินไปให้ โดยที่เหยื่อเข้าใจว่านี่เป็นเพียงกระบวนการยืนยันการรับของรางวัล ในบางกรณีการหลอกลวงข้อมูลนั้นผู้ไม่ประสงค์นี้อาจใช้ระบบโทรศัพท์อัตโนมัติและหลอกลวงให้เหยื่อเชื่อว่าเป็นระบบยืนยันตัวตน เมื่อเหยื่อตอบโทรศัพท์กลับผู้ไม่ประสงค์ดีจะทำการบันทึกการสนทนา และนำข้อมูลนั้นออกไปใช้ได้
นอกจากนี้บางกรณีอาจหลอกลวงสองชั้น โดยที่ผู้ไม่ประสงค์ดีเองปลอมเป็นเหยื่อโทรศัพท์ไปหาธนาคารเพื่อขอกู้ยืมเงิน ซึ่งธนาคารก็มีการยืนยันแล้วพบว่าเป็นเจ้าของบัญชี จึงโอนเงินให้เหยื่อ (ในกรณีนี้ผู้ไม่ประสงค์ดีจะต้องมีข้อมูลส่วนบุคคลของเหยื่อมากพอสมควร) จากนั้นผู้ไม่ประสงค์ดีจะโทรศัพท์ไปหาเหยื่อโดยครั้งนี้จะหลอกลวงว่าตนเองนั้นเป็นพนักงานธนาคารทำการโอนเงินให้ผิดบัญชี ขอให้โอนกลับไปยังบัญชีอื่น ซึ่งบัญชีนั้นเป็นของผู้ไม่ประสงค์ดี พอสิ้นเดือนทางธนาคารแจ้งยอดการกู้เงินมาให้เหยื่อ ส่งผลให้เหยื่อนั้นต้องสูญเสียเงินไปอย่างง่ายดาย
ผลกระทบที่อาจเกิดขึ้น
- ผู้เสียหายอาจถูกหลอกให้โอนเงินไปให้ผู้ไม่ประสงค์ดี หรือถูกหลอกลวงข้อมูลส่วนบุคคล
- ผู้ไม่ประสงค์ดีอาจนำข้อมูลส่วนบุคคลของเหยื่อเปิดเผยในอินเทอร์เน็ต หรือถูกนำไปใช้ในทางเสียหายได้
- ผู้ไม่ประสงค์ดีอาจทำการขู่กรรโชกทรัพย์ด้วยข้อมูลส่วนบุคคลของเหยื่อที่ให้ไปได้
II. วิธีแก้ไขและวิธีการป้องกัน
- ผู้ใช้งานโทรศัพท์มือถือควรมีความตระหนักต่อความเสี่ยงของการหลอกลวงนี้ และตรวจสอบความน่าเชื่อถือของคู่สนทนาว่ามีความน่าเชื่อถือหรือไม่
- ห้ามรับสายโทรศัพท์ที่ไม่แน่ใจผู้โทรศัพท์
- เก็บข้อมูลการโทรศัพท์ เช่นหมายเลขโทรศัพท์ วันและเวลาที่ใช้ เพื่อใช้อ้างอิงเวลาเกิดเหตุการณ์การละเมิดความปลอดภัย
- หากไม่แน่ใจว่าถูกล่อลวงทางการเงินหรือไม่ ให้ทำการติดต่อไปยังธนาคารผ่านทาง Call Center เพื่อตรวจสอบ และหาทางระงับการโอนเงินในกรณีที่พบว่าถูกหลอกลวง
- ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ผ่านทางอีเมล์ และเว็บไซต์ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)
- ศีกษาข้อมูลเพิ่มเติม พร้อมแนวทางป้องกันจาก http://www.thaicert.org/paper/basic/phishing.php
ที่มา http://thaicert.nectec.or.th
ความคิดเห็น