Phishing, Smishing และ Vishing: ทําความเข้าใจภัยคุกคามและวิธีการป้องกันตัวเอง

ไม่เป็นความลับเลยที่การเปลี่ยนผ่านสู่ดิจิทัลอย่างรวดเร็วของสังคมได้เปลี่ยนแปลงความสัมพันธ์ส่วนตัวและธุรกิจอย่างลึกซึ้ง การศึกษาแสดงให้เห็นว่าในปี 2024 ความสูญเสียทางการเงินที่เกิดจากการหลอกลวงทางออนไลน์สูงถึง 10.1 พันล้าน R$ เพิ่มขึ้น 17% เมื่อเทียบกับปีที่แล้ว

อย่างไรก็ตาม การเปลี่ยนแปลงนี้ยังขยายพื้นที่การโจมตีสําหรับอาชญากรไซเบอร์ที่ต้องพึ่งพาวิศวกรรมสังคมมากขึ้นในการดําเนินแผนการฉ้อโกงที่ซับซ้อน

ในบรรดาสิ่งที่พบบ่อยที่สุดคือฟิชชิ่ง, smishing และ vishing ' การปฏิบัติที่แม้ว่าจะแตกต่างกันในวิธีการที่ใช้, แบ่งปันเป้าหมายเดียวกัน: หลอกลวงเหยื่อเพื่อขโมยข้อมูลที่ละเอียดอ่อนโดยเฉพาะอย่างยิ่งการเข้าถึงข้อมูลประจําตัว แม้ว่าแบบดั้งเดิมที่เกี่ยวข้องกับการหลอกลวงกับผู้บริโภครูปแบบเหล่านี้ของวิศวกรรมสังคมยังมีประสิทธิภาพสูงในสภาพแวดล้อมขององค์กร นักต้มตุ๋นกําหนดเป้าหมาย บริษัท เพื่อเข้าถึงระบบภายในประนีประนอมห่วงโซ่อุปทานและดําเนินการฉ้อโกงทางการเงินขนาดใหญ่

ฟิชชิ่ง, Smishing และ Vishing เป็นภัยคุกคามเดียวกันหรือไม่?

ประการแรก สิ่งสําคัญคือต้องเข้าใจว่าคําว่าวิศวกรรมสังคมหมายถึงชุดเทคนิคที่นักต้มตุ๋นใช้เพื่อบงการเหยื่อทางอารมณ์และสังคม ทําให้พวกเขากระทําการที่ขัดต่อผลประโยชน์ของตนเองและประนีประนอมความปลอดภัยของพวกเขา

ฟิชชิ่งเป็นประเภทที่รู้จักกันดีที่สุดของการหลอกลวงประเภทนี้ ชุดฟิชชิ่งทางอีเมลสามารถพบได้ในเว็บมืด สําหรับนักต้มตุ๋นที่ไม่เชี่ยวชาญในเรื่องนี้มีผู้ที่ดําเนินการบริการสําหรับพวกเขา มักจะเกี่ยวข้องกับการส่งอีเมลหรือข้อความที่ปลอมตัวเป็นสถาบันที่เชื่อถือได้เช่นธนาคารร้านค้าปลีกหรือบริการออนไลน์

เป้าหมายคือการหลอกให้ผู้รับคลิกลิงก์ที่เป็นอันตรายซึ่งนําไปสู่เว็บไซต์ปลอมซึ่งคล้ายกับเว็บไซต์ดั้งเดิมมากเพื่อจับรหัสผ่านและข้อมูลที่ละเอียดอ่อนอื่น ๆ เช่นหมายเลขเอกสารหรือข้อมูลบัตรเครดิต จากข้อมูลของ Serpro ฟิชชิ่งยังคงเป็นหนึ่งในประเภทของการฉ้อโกงที่พบบ่อยที่สุดในบราซิลและอาชญากรได้ปรับปรุงกลยุทธ์ของพวกเขาด้วยการใช้ปัญญาประดิษฐ์ (AI) และดีพเฟคเพื่อสร้างเนื้อหาที่น่าเชื่อถือและเป็นส่วนตัวมากยิ่งขึ้น กรณีล่าสุดคือการจับกุมชายคนหนึ่งจากการมีส่วนร่วมในกลุ่มอาชญากรที่ใช้วิดีโอที่จัดการกับ Deepfake ด้วยภาพและเสียงของผู้นําเสนอ Marcos Mion

นักต้มตุ๋นยังดําเนินการหลอกลวงเช่น Business Email Compromise (BEC) และการหลอกลวง CEO ปลอม โดยอีเมลสวมรอยเป็นผู้บริหารเพื่อหลอกพนักงานให้โอนเงินหรือให้ข้อมูลประจําตัว

ในทางกลับกัน smishing (รวม SMS และฟิชชิ่ง) ใช้ข้อความเพื่อหลอกลวงเหยื่อ ด้วยการเผยแพร่แอปพลิเคชันส่งข้อความ เช่น WhatsApp และ Telegram วิธีการนี้จึงได้รับความสนใจ โดยใช้ประโยชน์จากแนวโน้มของผู้คนในการตอบกลับข้อความที่ดูเร่งด่วนอย่างรวดเร็ว หรือสําคัญ

Vishing (voice phishing) ดําเนินการผ่านการโทรศัพท์ซึ่งนักต้มตุ๋นแอบอ้างเป็นตัวแทนของบริษัทหรือสถาบัน น้ําเสียงโน้มน้าวใจรวมกับการใช้ข้อมูลที่ได้รับก่อนหน้านี้ในการรั่วไหลทําให้เหยื่อมีแนวโน้มที่จะแบ่งปันข้อมูลที่เป็นความลับทางโทรศัพท์ การหลอกลวงประเภทนี้ส่งผลกระทบต่อบริษัทของบราซิลมากขึ้นโดยเฉพาะองค์กรขนาดใหญ่

บัญชีเก่าเป็นทรัพย์สินที่มีค่าที่สุดสําหรับอาชญากร

การเติบโตของการหลอกลวงเหล่านี้เกี่ยวข้องโดยตรงกับมูลค่าที่ระบบนิเวศตามบัญชีเป็นตัวแทน บัญชีเก่าที่เชื่อถือได้นั้นมีค่าสําหรับอาชญากรมากกว่าการขโมยเงินโดยตรง เนื่องจากบัญชีที่มีประวัติกิจกรรมที่ถูกต้องตามกฎหมายมีโอกาสน้อยที่จะถูกตรวจพบโดยอัตโนมัติโดยระบบตรวจจับการฉ้อโกงแบบดั้งเดิม

นักต้มตุ๋นใช้ฟิชชิ่งและรูปแบบต่างๆร่วมกันเพื่อเข้าถึงบัญชีเหล่านี้ซึ่งอาจมีความสัมพันธ์และธุรกรรมหลายปีที่ตรวจสอบชื่อเสียงของพวกเขา เมื่อเข้าไปข้างในแล้วอาชญากรสามารถศึกษาประวัติการซื้อรูปแบบพฤติกรรมและในบางกรณีแม้กระทั่งโต้ตอบกับฝ่ายบริการลูกค้าโดยแสร้งทําเป็นว่าเป็นเจ้าของบัญชีที่ถูกต้องตามกฎหมาย

ตามที่ได้ชี้ให้เห็นในรายงานของ Nethone ผู้ฉ้อโกงบางคนถึงกับสร้างความสัมพันธ์กับตัวแทนสนับสนุนโดยหลอกให้พวกเขาทําการเปลี่ยนแปลงบัญชีที่เอื้อต่อการดําเนินการรัฐประหาร (การครอบครองบัญชี) การโจมตีประเภทนี้ไม่เพียงทําให้เกิดความสูญเสียทางการเงินโดยตรงเท่านั้น แต่ยังกระทบต่อความไว้วางใจในแพลตฟอร์มและบริการดิจิทัลอีกด้วย

ผลกระทบของปัญญาประดิษฐ์และระบบอัตโนมัติต่อการฉ้อโกง

ในอดีต แคมเปญวิศวกรรมสังคมจําเป็นต้องมีการวางแผน เวลา และการปรับแต่งด้วยตนเองในระดับหนึ่ง อย่างไรก็ตาม การนําแบบจําลองภาษากําเนิด (LLM) มาใช้ในวงกว้างได้เปลี่ยนแปลงภูมิทัศน์นี้ไปอย่างสิ้นเชิง

ทุกวันนี้ ด้วยเครื่องมืออัตโนมัติที่ใช้ AI แบบกําเนิด อาชญากรสามารถสร้างและเปิดตัวแคมเปญฟิชชิ่งได้ภายในไม่กี่นาที ข้อความที่เขียนอย่างดีซึ่งครั้งหนึ่งเคยต้องใช้ความคล่องแคล่วหรือเวลาในการร่างตอนนี้ถูกสร้างขึ้นโดยอัตโนมัติด้วยความซับซ้อนในระดับสูง ส่งผลให้ปริมาณและความถี่ของการโจมตีเหล่านี้เพิ่มขึ้นอย่างน่าตกใจ

การเติบโตนี้ไม่เพียงสะท้อนถึงการเข้าถึงแคมเปญฉ้อโกงที่มากขึ้นเท่านั้น แต่ยังรวมถึงประสิทธิภาพของเทคนิคและระบบอัตโนมัติที่ใช้ AI ใหม่ด้วย

ที่คิดว่าฟิชชิ่ง, smishing และ vishing เป็นความเสี่ยงเฉพาะผู้บริโภคแต่ละรายเข้าใจผิด บริษัทต่างๆยังตกเป็นเหยื่อของการหลอกลวงเหล่านี้บ่อยครั้งโดยเฉพาะอย่างยิ่งเมื่อข้อมูลประจําตัวขององค์กรถูกเปิดเผยบนเว็บมืด จากการวิเคราะห์โดย Nethone นักต้มตุ๋นสามารถรับข้อมูลพนักงานที่รั่วไหลได้รับสิทธิพิเศษในการเข้าถึงระบบภายในและฐานข้อมูลที่ละเอียดอ่อน

จากที่นั่นพวกเขาทําการเคลื่อนไหวที่ละเอียดอ่อน: พวกเขาศึกษาพฤติกรรมการซื้อหรือการดําเนินงานของ บริษัท สร้างปฏิสัมพันธ์กับการสนับสนุนด้านเทคนิคหรือเชิงพาณิชย์และค่อยๆจัดการกระบวนการภายในเพื่อทําธุรกรรมที่ฉ้อโกงโดยไม่ทําให้เกิดความสงสัยในทันที การปฏิบัตินี้ไม่เพียง แต่ความปลอดภัยขององค์กรเท่านั้น แต่ยังรวมถึงความสัมพันธ์ของความไว้วางใจกับลูกค้าและคู่ค้าด้วย

คุณจะป้องกันตัวเองจากภัยคุกคามเหล่านี้ได้อย่างไร?

การป้องกันฟิชชิ่ง การสมิชชิ่ง และการตกปลาเกี่ยวข้องกับการผสมผสานระหว่างเทคโนโลยี กระบวนการ และความตระหนักรู้

การศึกษาและความตระหนัก: ทั้งธุรกิจและผู้ใช้จําเป็นต้องได้รับการศึกษาเพื่อรับรู้สัญญาณทั่วไปของการหลอกลวงเหล่านี้ เช่น การสะกดผิด ความเร่งด่วนมากเกินไปในข้อความ การร้องขอข้อมูลที่ละเอียดอ่อน และช่องทางการสื่อสารที่ผิดปกติ

การรับรองความถูกต้องแบบหลายปัจจัย (MFA): แม้ว่าข้อมูลประจําตัวจะถูกบุกรุก แต่การใช้การตรวจสอบสิทธิ์หลายชั้นจะทําให้การเข้าถึงโดยไม่ได้รับอนุญาตทําได้ยาก

การตรวจสอบข้อมูลรับรอง: เครื่องมือที่ตรวจสอบการเปิดเผยข้อมูลประจําตัวบนเว็บมืดถือเป็นสิ่งสําคัญสําหรับธุรกิจและบุคคลในการได้รับการแจ้งเตือนอย่างรวดเร็วถึงการรั่วไหล

ระบบตรวจจับการฉ้อโกงที่ใช้ AI: เช่นเดียวกับอาชญากร บริษัทต่างๆ จําเป็นต้องหันมาใช้ปัญญาประดิษฐ์เพื่อตรวจจับรูปแบบพฤติกรรมที่ผิดปกติซึ่งบ่งชี้ถึงการบุกรุกหรือความพยายามในการฉ้อโกงที่อาจเกิดขึ้น

ในช่วงเวลาที่ความไว้วางใจเป็นสกุลเงินที่มีคุณค่า การปกป้องข้อมูลประจําตัวและการรักษาท่าทีที่ระมัดระวังถือเป็นสิ่งสําคัญในการรักษาความสมบูรณ์ทางดิจิทัลของบุคคลและธุรกิจ