กรณีศึกษา : การโจมตีแบบฟิชชิ่งลูกค้าธนาคาร

กรณีศึกษา : การโจมตีแบบฟิชชิ่งลูกค้าธนาคาร

เมื่อเดือนเมษายน 2548 ลูกค้าธนาคารซิตี้แบงค์ได้รับอีเมลหลอกลวงเพื่อให้เชื่อมโยงเข้าไปยังเว็บไซต์ของธนาคารเพื่อทำธุรกรรมทางการเงิน เว็บไซต์ที่ให้เชื่อมโยงไปนั้นมีลักษณะคล้ายคลึงกับเว็บไซต์ของธนาคารมาก ข้อความในอีเมลแจ้งให้ลูกค้าธนาคารเข้าไปยังเว็บไซต์เพื่อกรอกข้อมูลต่างๆ เช่น ข้อมูลส่วนตัว รหัสบัตรเครดิต บัญชีผู้ใช้ และรหัสผ่าน



คำถาม

1. การกระทำดังกล่าวเป็นเทคนิคการโจมตีแบบฟิชชิ่งอย่างไร จงอธิบาย

ตอบ :
คือ การกระทำความผิดด้วยการหลอกลวง เพื่อให้ได้ข้อมูลสำคัญบางอย่างของผู้อื่นไป อาทิ เช่น พาสเวิร์ด, หมายเลขบัตรเครดิต, หมายเลขพิน หรือบรรดาเลขหลายไอเดนติตี้อื่น ๆ โดยเฉพาะอย่างยิ่งข้อมูล หรือรหัสที่เกี่ยวข้องกับ การเงิน การธนาคาร โดยผู้กระทำ Phisher จะส่งข้อความหลอกลวงนั้นผ่านทางอีเมล์บ้าง ไปยังลูกค้าของสถานบันการเงิน หรือ ธนาคาร ที่หมายตา ทำทีแจ้งแก่ลูกค้า หลอกว่าทางบริษัท หรือธนาคาร มีปัญหาเกี่ยวกับระบบคอมพิวเตอร์ ขณะนี้อยู่ใน ระหว่างการ ซ่อมแซม และรวบรวมข้อมูลที่เสียหาย จึงจำเป็นต้องขอทราบข้อมูลของลูกค้า ให้ลูกค้ารีบติดต่อกลับ หรือมอบข้อมูลเหล่านั้นกลับโดยเร็ว โดยให้เข้าไปที่เว็บไซท์ หรือบริการ Online ของบริษัท หรือธนาคารนั้น ๆ ตามลิงก์ที่แนบมาด้วยแล้วในอีเมล์


2. จงยกตัวอย่างกรณีศึกษาการโจมตีแบบฟิชชิ่งมา 2 ตัวอย่าง

ตอบ :
๐ ทำเป็นรูปแบบของเว็ปไซต์ โดยเว็ปไซต์ที่จัดทำขึ้นนั้นจะเป็นเว็ปไซต์ที่ เลียนแบบมาจากเว็ปไซต์ของสถาบันการเงินต่างๆ โดยบุคคลที่เข้าไปในเว็ปไซต์อาจหลงเชื่อว่าเป็นเว็ปไซต์ของสถาบันการเงินจริง จึงทำการกรอกข้อมูลของบัตรเครดิต ข้อมูลทางการเงิน รวมไปถึงข้อมูลต่างๆ ได้

๐ การหลอกล่อเพื่อให้ได้มาซึ่งรางวัล เช่น บริษัทแห่งหนึ่งส่งข้อความทาง E-mail แมสเซนเจอร์บ้างตามถนัด ไปยังลูกค้าของสถานบันการเงินหรือ ธนาคาร ที่หมายตา (มีการเชื่องโยงถึงเว็บไซต์ปลอม) ทำทีแจ้งว่าท่านเป็นผู้โชคดีได้รับรางวัลใหญ่ที่สุดที่บริษัทเคยมีมา (เงินรางวัล บ้าน รถยนต์) รางวัลนั้นอาจเป็นสิ่งล่อใจให้ท่านกรอกข้อมูลส่วนตัวที่ใช้ระบุตัวตนของบุคคล เช่น ชื่อ ที่อยู่ ที่อยู่อีเมล์ หมายเลขบัตรประจำตัว IP แอดเดรสข้อมูลเหล่านั้นข้อมูลนั้นไป อาจนำไปทำธุรกรรมอะไรบางอย่างที่ส่งผลร้ายแก่ท่าน