การฟิชชิ่ง

1

2

3

4

5

6

7

ส่วนประกอบทั่วไปของอีเมลฟิชชิ่ง

1	ชื่อโดเมนปลอมแต่คล้ายคลึงกันสำหรับผู้ส่ง
2	การสร้างแบรนด์ที่ไม่ถูกต้อง
3	ข้อมูลทั่วไป
4	ข้อผิดพลาดในการสะกดคำ

5	ความรู้สึกเร่งด่วน
6	ลิงก์ปลอม
7	ชื่อไม่ถูกต้อง

ฟิชชิงเป็นรูปแบบหนึ่งของวิศวกรรมสังคมและการหลอกลวงที่ผู้โจมตีหลอกลวงผู้คนให้เปิดเผยข้อมูลที่ละเอียดอ่อน^{[ 1 ]}หรือติดตั้งมัลแวร์เช่นไวรัส เวิ ร์มแอดแวร์หรือแรนซัมแวร์การโจมตีแบบฟิชชิงมีความซับซ้อนมากขึ้นเรื่อยๆ และมักจะเลียนแบบเว็บไซต์เป้าหมายอย่างโปร่งใส ทำให้ผู้โจมตีสามารถสังเกตทุกอย่างในขณะที่เหยื่อกำลังสำรวจเว็บไซต์ และข้ามผ่านขอบเขตความปลอดภัยเพิ่มเติมใดๆ^{[ 2 ]}ฟิชชิงยังคงเป็นอาชญากรรมไซเบอร์ที่แพร่หลายที่สุดทั่วโลก แม้ว่าศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของสำนักงานสอบสวนกลาง (FBI) จะจัดอันดับให้เป็นอันดับต้นๆ มาโดยตลอด แต่ภัยคุกคามดังกล่าวก็ทวีความรุนแรงขึ้นอย่างมากเนื่องจากการบูรณาการ AI ที่สร้างขึ้น ซึ่งทำให้ผู้โจมตีสามารถเปิดตัวแคมเปญฟิชชิงที่น่าเชื่อถือ อัตโนมัติ และกำหนดเป้าหมายได้อย่างแม่นยำในระดับที่ไม่เคยมีมาก่อน^{[ 3 ]}

คำว่า "phishing" ถูกบันทึกไว้ครั้งแรกในปี 1995 ในชุดเครื่องมือเจาะระบบ AOHellแต่อาจมีการใช้มาก่อนหน้านั้นในนิตยสารแฮกเกอร์2600 ^{[ 4 ]}^{[ 5 ]}^{[ 6 ]}มันเป็นรูปแบบหนึ่งของfishingและหมายถึงการใช้เหยื่อล่อเพื่อ "ตกปลา" เพื่อหาข้อมูลที่ละเอียดอ่อน^{[ 5 ]}^{[ 7 ]}^{[ 8 ]}

มาตรการป้องกันหรือลดผลกระทบของการโจมตีแบบฟิชชิง ได้แก่กฎหมายการให้ความรู้แก่ผู้ใช้ การสร้างความตระหนักรู้แก่สาธารณชน และมาตรการรักษาความปลอดภัยทางเทคนิค^{[ 9 ]}ความสำคัญของการตระหนักรู้เกี่ยวกับฟิชชิงเพิ่มขึ้นทั้งในระดับส่วนบุคคลและระดับมืออาชีพ โดยการโจมตีแบบฟิชชิงในหมู่ธุรกิจเพิ่มขึ้นจาก 72% ในปี 2017 เป็น 86% ในปี 2020 ^{[ 10 ]}และสูงถึง 94% ในปี 2023 ^{[ 11 ]}

เทคนิคและช่องทางการ หลอกลวงแบบฟิชชิ่ง ได้แก่สแปมอีเมล , วิชชิ่ง ( ฟิชชิ่งทางเสียง ), ฟิชชิ่งแบบเจาะจงเป้าหมาย (สเปียร์ฟิชชิ่ง, เวลลิง), สมิชชิ่ง (SMS), ควิชชิ่ง (รหัส QR), การโจมตี แบบ Cross-site scriptingและการโจมตี แบบ MiTM 2FA

งานวิจัยระบุว่าฟิชชิงเป็นภัยคุกคามทางไซเบอร์ที่คงอยู่และพัฒนาอย่างต่อเนื่อง โดยการโจมตีมีการใช้เทคนิคขั้นสูงมากขึ้น เช่น การทำงานอัตโนมัติและการเรียนรู้ของเครื่อง^{[ 12 ]}

ประเภท

การหลอกลวงทางอีเมล

การโจมตีแบบฟิชชิ่ง ซึ่งมักส่งผ่านทางอีเมลพยายามหลอกลวงบุคคลให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือข้อมูลประจำตัวในการเข้าสู่ระบบ การโจมตีส่วนใหญ่เป็นการโจมตีแบบ "กลุ่ม" ที่ไม่ได้กำหนดเป้าหมาย แต่ส่งเป็นจำนวนมากไปยังกลุ่มเป้าหมายกว้าง^{[ 13 ]}^{[ 14 ]}เป้าหมายของผู้โจมตีอาจแตกต่างกันไป โดยเป้าหมายทั่วไป ได้แก่ สถาบันการเงิน ผู้ให้บริการอีเมลและคลาวด์ และบริการสตรีมมิ่ง^{[ 15 ]}ข้อมูลหรือการเข้าถึงที่ถูกขโมยอาจถูกนำไปใช้เพื่อขโมยเงิน ติดตั้งมัลแวร์หรือโจมตีแบบสเปียร์ฟิชชิ่งผู้อื่นภายในองค์กรเป้าหมาย^{[ 16 ]}บัญชีบริการสตรีมมิ่งที่ถูกบุกรุกอาจถูกขายในตลาดมืดได้ เช่นกัน ^{[ 17 ]}

การโจมตี แบบวิศวกรรมสังคมประเภทนี้อาจเกี่ยวข้องกับการส่งอีเมลหรือข้อความหลอกลวงที่ดูเหมือนมาจากแหล่งที่น่าเชื่อถือ เช่น ธนาคารหรือหน่วยงานของรัฐ ข้อความเหล่านี้มักจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบปลอมซึ่งผู้ใช้จะถูกขอให้ป้อนข้อมูลประจำตัว ในหลายกรณี ข้อความเหล่านี้ถูกออกแบบมาเพื่อสร้างความเร่งด่วนหรือความไว้วางใจโดยการเลียนแบบการสื่อสารที่ถูกต้องตามกฎหมาย กระตุ้นให้เหยื่อเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบหรือรายละเอียดทางการเงิน^{[ 18 ]}

สเปียร์ฟิชชิ่ง

การโจมตีแบบ Spear phishing มักมีประสิทธิภาพมากกว่าการโจมตีแบบ Phishing ทั่วไป เนื่องจากมีการปรับแต่งให้เหมาะสมกับบุคคลเฉพาะ และใช้ข้อมูลส่วนบุคคลหรือข้อมูลองค์กรเพื่อเพิ่มความน่าเชื่อถือและอัตราความสำเร็จ^{[ 19 ]}การโจมตีเหล่านี้มักมุ่งเป้าไปที่ผู้บริหารหรือผู้ที่อยู่ในแผนกการเงินที่มีสิทธิ์เข้าถึงข้อมูลและบริการทางการเงินที่ละเอียดอ่อน การโจมตีแบบ Spear phishing มักใช้วิธีการสื่อสารหลายวิธีพร้อมกัน รวมถึงอีเมล SMS และการโทร เพื่อสร้างความรู้สึกเร่งด่วนที่ผิดพลาด^{[ 20 ]}บริษัทบัญชีและบริษัทตรวจสอบบัญชีมีความเสี่ยงต่อการโจมตีแบบ Spear phishing เป็นพิเศษ เนื่องจากมูลค่าของข้อมูลที่พนักงานของพวกเขาสามารถเข้าถึงได้^{[ 21 ]}

กลุ่มภัยคุกคามหมายเลข 4127 ( Fancy Bear ; หน่วย GRU 26165) ที่ดำเนินการโดยรัฐบาลรัสเซียได้ กำหนดเป้าหมาย การรณรงค์หาเสียงเลือกตั้งประธานาธิบดีปี 2016ของฮิลลารี คลินตัน ด้วยการโจมตีแบบสเปียร์ฟิชชิ่งไปยังบัญชี Googleมากกว่า 1,800 บัญชี โดยใช้ โดเมน accounts-google.comเพื่อข่มขู่ผู้ใช้เป้าหมาย^[²²^]^[²³^]

การศึกษาวิจัยเกี่ยวกับความอ่อนไหวต่อการโจมตีแบบสเปียร์ฟิชชิ่งในกลุ่มอายุต่างๆ พบว่าร้อยละ 43 ของเยาวชนอายุ 18-25 ปี และร้อยละ 58 ของผู้ใช้ที่มีอายุมากกว่า คลิกที่ลิงก์ฟิชชิ่งจำลองในอีเมลรายวันตลอดระยะเวลา 21 วัน ผู้หญิงที่มีอายุมากกว่ามีความอ่อนไหวสูงสุด ซึ่งลดลงในกลุ่มผู้ใช้อายุน้อยในระหว่างการศึกษา แต่ยังคงมีเสถียรภาพในกลุ่มผู้สูงอายุ^{[ 24 ]}

การหลอกลวงทางเสียง (Vishing)

การโทรผ่านอินเทอร์เน็ต (VoIP) ถูกนำมาใช้ในการโจมตีแบบวิชชิงหรือฟิชชิงทางเสียง^{[ 25 ]}โดยผู้โจมตีจะโทรออกอัตโนมัติไปยังผู้คนจำนวนมาก โดยมักใช้ โปรแกรมสังเคราะห์ เสียงพูดโดยอ้างว่ามีกิจกรรมฉ้อโกงในบัญชีของพวกเขา ผู้โจมตีจะปลอมแปลงหมายเลขโทรศัพท์ที่โทรเข้ามาให้ดูเหมือนว่ามาจากธนาคารหรือสถาบันที่ถูกต้องตามกฎหมาย จากนั้นเหยื่อจะถูกขอให้ป้อนข้อมูลที่ละเอียดอ่อนหรือเชื่อมต่อกับบุคคลจริงที่ใช้ กลยุทธ์ วิศวกรรมสังคมเพื่อขอข้อมูล^{[ 25 ]}วิชชิงใช้ประโยชน์จากความตระหนักและความไว้วางใจของประชาชนที่มีต่อการโทรด้วยเสียงที่ต่ำกว่าเมื่อเทียบกับการฟิชชิงทางอีเมล^{[ 26 ]}

การหลอกลวงทาง SMS (สมิชชิ่ง)

การหลอกลวงทาง SMS ^{[ 27 ]}หรือ smishing ^{[ 28 ]}^{[ 29 ]}เป็นการโจมตีแบบฟิชชิ่งโดยใช้ข้อความ มือถือ เพื่อส่งข้อความล่อ^{[ 30 ]}โดยปกติเหยื่อจะถูกขอให้คลิกลิงก์ โทรไปยังหมายเลขโทรศัพท์ หรือติดต่อ ที่อยู่ อีเมลที่ผู้โจมตีให้มา พวกเขาอาจถูกขอให้ให้ข้อมูลส่วนตัวเช่น ข้อมูลประจำตัวในการเข้าสู่ระบบ^{[ 31 ]}ผู้โจมตีอาจแสร้งทำเป็นเจ้าหน้าที่รัฐ ฝ่ายสนับสนุนลูกค้า ผู้ขนส่ง เพื่อนร่วมงาน หัวหน้า หรือโทรผิดหมายเลข^{[ 32 ]}ความเป็นไปได้ที่หลากหลายทำให้ต้องมีการเฝ้าระวังอย่างต่อเนื่องและการคิดวิเคราะห์เพื่อตรวจจับการโจมตี

ข้อความ Smishing สามารถระบุได้เมื่อมาจากหมายเลขโทรศัพท์ที่ผิดปกติ^{[ 33 ]}ความยากลำบากในการระบุลิงก์ที่ไม่ถูกต้องอาจเพิ่มขึ้นบนอุปกรณ์เคลื่อนที่เนื่องจากการแสดง URL ที่จำกัดในเบราว์เซอร์มือถือ^{[ 34 ]}การหลอกลวงประเภทนี้ใช้วิศวกรรมสังคมหลายรูปแบบ รวมถึงผู้หลอกลวงที่แสร้งทำเป็นสถาบันการเงินหรือฝ่ายบริการลูกค้า

การยึดครองหน้าเว็บ

การโจรกรรมหน้าเว็บเกี่ยวข้องกับการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายหรือชุดเครื่องมือโจมตีโดยการบุกรุกหน้าเว็บที่ถูกต้อง ซึ่งมักใช้ การ เขียนสคริปต์ข้ามไซต์^{[ 35 ]}^{[ 36 ]}แฮกเกอร์อาจแทรกชุดเครื่องมือโจมตี เช่นMPackลงในเว็บไซต์ที่ถูกบุกรุกเพื่อโจมตีผู้ใช้ที่ถูกต้องที่เข้าชมเซิร์ฟเวอร์^{[ 35 ]}^{[ 37 ]}การโจรกรรมหน้าเว็บยังอาจเกี่ยวข้องกับการแทรกเฟรมอินไลน์ ที่เป็นอันตราย ซึ่งทำให้ชุดเครื่องมือโจมตีสามารถโหลดได้^{[ 35 ]}กลยุทธ์นี้มักใช้ร่วมกับ การโจมตี แบบวอเตอร์ริงโฮลกับเป้าหมายขององค์กร^{[ 38 ]}

การหลอกลวงด้วยรหัส QR (QR code phishing)

ในการ "ควิชชิ่ง" ( การหลอกลวง ด้วยรหัส QR ) ผู้หลอกลวงใช้ประโยชน์จากความสะดวกของรหัส QR เพื่อหลอกลวงผู้ใช้ให้เปิดเผยข้อมูลที่ละเอียดอ่อน โดยการสแกนรหัสที่มีลิงก์เว็บไซต์ที่เป็นอันตรายฝังอยู่ แตกต่างจากการหลอกลวงแบบดั้งเดิมซึ่งอาศัยลิงก์หลอกลวงในอีเมลหรือเว็บไซต์ การควิชชิ่งใช้รหัส QR เพื่อหลีกเลี่ยงตัวกรองอีเมล^{[ 39 ]}^{[ 40 ]}และดูไม่น่าสงสัย เนื่องจากเหยื่ออาจไม่ได้ตรวจสอบอย่างละเอียดเท่ากับ URL รหัสปลอมอาจถูกส่งทางอีเมล โซเชียลมีเดีย หรือสติกเกอร์ที่พิมพ์ออกมาวางทับรหัส QR ที่ถูกต้อง เช่น บนโฆษณาหรือป้ายประกาศที่จอดรถ^{[ 41 ]}^{[ 40 ]}เมื่อเหยื่อสแกนรหัส พวกเขาอาจถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล ข้อมูลประจำตัวในการเข้าสู่ระบบ หรือรายละเอียดทางการเงิน^{[ 39 ]}

เนื่องจากการใช้ QR Code แพร่หลายมากขึ้น เช่น การชำระเงิน การเช็คอินงานอีเวนต์ และข้อมูลผลิตภัณฑ์ การหลอกลวงด้วย QR Code จึงกลายเป็นปัญหาสำคัญด้านความปลอดภัยทางดิจิทัล อาชญากรไซเบอร์ยังสามารถผสานการหลอกลวงด้วย QR Code เข้ากับ Browser-in-The-Browser (BiTB) เพื่อหลอกให้ผู้ใช้ยอมรับการเข้าถึงแบบสองปัจจัยของผู้โจมตี แนวโน้มเหล่านี้บ่งชี้ถึงความซับซ้อนที่เพิ่มขึ้นของกลยุทธ์การหลอกลวง^{[ 42 ]}ผู้ใช้ควรใช้ความระมัดระวังเมื่อสแกน QR Code ที่ไม่คุ้นเคยและตรวจสอบให้แน่ใจว่ามาจากแหล่งที่เชื่อถือได้ แม้ว่าศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ ของสหราชอาณาจักร จะประเมินความเสี่ยงไว้ต่ำกว่าการล่อลวงประเภทอื่นก็ตาม^{[ 43 ]}

การฟิชชิ่งแบบคนกลาง (Man-in-the-Middle Phishing)

การโจมตีแบบฟิชชิงแบบดั้งเดิมมักจำกัดอยู่เพียงการขโมยข้อมูลประจำตัวของผู้ใช้ที่ป้อนลงในเว็บไซต์ปลอมโดยตรง อย่างไรก็ตาม การเกิดขึ้นของ เทคนิคฟิชชิงแบบ คนกลาง (Man-in-the-Middleหรือ MitM) ได้พัฒนาความซับซ้อนของการโจมตีเหล่านี้อย่างมาก ทำให้ผู้ร้ายทางไซเบอร์สามารถหลีกเลี่ยง กลไก การตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) ในระหว่างที่ผู้ใช้กำลังใช้งานบริการเว็บอยู่ การโจมตีแบบฟิชชิง MitM ใช้เครื่องมือตัวกลางที่ดักฟังการสื่อสารระหว่างผู้ใช้และบริการที่ถูกต้อง

Evilginx ซึ่งเดิมทีถูกสร้างขึ้นเป็นเครื่องมือโอเพนซอร์สสำหรับการทดสอบการเจาะระบบและการแฮ็กอย่างมีจริยธรรม ได้ถูกกลุ่มอาชญากรไซเบอร์นำไปใช้ในการโจมตีแบบ MitM (Man-in-the-Middle) Evilginx ทำงานเหมือนตัวกลาง โดยส่งต่อข้อมูลระหว่างเหยื่อและเว็บไซต์จริงโดยไม่บันทึกรหัสผ่านหรือรหัสล็อกอิน ทำให้ระบบรักษาความปลอดภัยตรวจจับได้ยากขึ้น เนื่องจากโดยปกติแล้วระบบจะมองหาเว็บไซต์ฟิชชิ่งที่เก็บข้อมูลที่ถูกขโมยไว้ ด้วยการดักจับโทเค็นล็อกอินและคุกกี้เซสชันได้ทันที ผู้โจมตีสามารถเจาะเข้าไปในบัญชีและใช้งานได้เหมือนผู้ใช้จริง ตราบใดที่เซสชันยังคงใช้งานอยู่

ผู้โจมตีใช้วิธีการต่างๆ รวมถึงอีเมลฟิชชิ่ง กลยุทธ์วิศวกรรมสังคม หรือการเผยแพร่ลิงก์ที่เป็นอันตรายผ่านแพลตฟอร์มโซเชียลมีเดีย เมื่อเหยื่อโต้ตอบกับเว็บไซต์ปลอม เครื่องมือ MitM จะดักจับกระบวนการตรวจสอบสิทธิ์ ทำให้สามารถข้ามการป้องกัน 2FA ได้อย่างมีประสิทธิภาพ^{[ 44 ]}

เทคนิค

การจัดการลิงก์

การโจมตีแบบฟิชชิ่งมักเกี่ยวข้องกับการสร้างลิงก์ ปลอม ที่ดูเหมือนมาจากองค์กรที่ถูกต้องตามกฎหมาย^{[ 45 ]}ลิงก์เหล่านี้อาจใช้URLหรือโดเมนย่อย ที่สะกดผิด เพื่อหลอกลวงผู้ใช้ ในตัวอย่าง URL ต่อไปนี้http://www.yourbank.example.com/อาจดูเหมือนว่า URL นี้จะนำผู้ใช้ไปยัง ส่วนตัว อย่างของ เว็บไซต์ yourbank สำหรับผู้ที่ไม่ได้รับการฝึกฝน URL นี้ชี้ไปยังส่วน " yourbank " (เช่น โดเมนย่อยฟิชชิ่ง) ของ เว็บไซต์ ตัวอย่าง (ชื่อโดเมนของผู้ฉ้อโกง) กลยุทธ์อีกอย่างหนึ่งคือการทำให้ข้อความที่แสดงของลิงก์ดูน่าเชื่อถือ ในขณะที่จริงๆ แล้วเชื่อมโยงไปยังเว็บไซต์ของผู้โจมตีแบบฟิชชิ่ง เพื่อตรวจสอบปลายทางของลิงก์ ไคลเอนต์อีเมลและเว็บเบราว์เซอร์หลายตัวจะแสดง URL ในแถบสถานะเมื่อ วาง เมาส์เหนือลิงก์นั้น อย่างไรก็ตาม ผู้โจมตีแบบฟิชชิ่งบางรายอาจสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยนี้ได้^{[ 46 ]}

ชื่อโดเมนสากล (IDN) สามารถถูกโจมตีได้ด้วยการปลอมแปลง IDN ^{[ 47 ]}หรือการโจมตีแบบโฮโมกราฟ^{[ 48 ]}เพื่อให้ผู้โจมตีสามารถสร้างเว็บไซต์ปลอมที่มีที่อยู่เหมือนกับเว็บไซต์ที่ถูกต้องได้ การโจมตีเหล่านี้ถูกใช้โดยนักฟิชชิ่งเพื่อปลอมแปลง URL ที่เป็นอันตรายโดยใช้ตัวเปลี่ยนเส้นทาง URL แบบเปิด บนเว็บไซต์ที่เชื่อถือได้^{[ 49 ]}^{[ 50 ]}^{[ 51 ]}ตัวอย่างเช่น ในhttp://www.exаmple.com/ซึ่งตัวอักษรตัวที่สามไม่ใช่ ตัวอักษร ละติน ' a ' แต่เป็น ตัวอักษร ซีริลลิก ' а ' เมื่อเหยื่อใช้ลิงก์โดยไม่รู้ว่าตัวอักษรถูกแทนที่ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นhttp://www.xn--exmple-4nf.com/อันตราย

วิศวกรรมทางสังคม

การฟิชชิ่งมักใช้ เทคนิค วิศวกรรมสังคมเพื่อหลอกผู้ใช้ให้กระทำการต่างๆ เช่น คลิกที่ลิงก์หรือเปิดไฟล์แนบ หรือเปิดเผยข้อมูลที่ละเอียดอ่อน มักเกี่ยวข้องกับการแสร้งทำเป็นหน่วยงานที่น่าเชื่อถือและสร้างความรู้สึกเร่งด่วน^{[ 52 ]}เช่น ขู่ว่าจะปิดหรือยึดบัญชีธนาคารหรือบัญชีประกันของเหยื่อ^{[ 53 ]}

เทคนิคทางเลือกอื่นนอกเหนือจากการหลอกลวงแบบปลอมตัวคือการใช้ บทความ ข่าวปลอมเพื่อหลอกเหยื่อให้คลิกที่ลิงก์ที่เป็นอันตราย ลิงก์เหล่านี้มักนำไปสู่เว็บไซต์ปลอมที่ดูเหมือนถูกต้องตามกฎหมาย^{[ 10 ]}แต่จริงๆ แล้วดำเนินการโดยผู้โจมตีที่อาจพยายามติดตั้งมัลแวร์หรือแสดงการแจ้งเตือน "ไวรัส" ปลอมแก่เหยื่อ^{[ 54 ]}

ข้อกังวลหลักในบริบทปัจจุบันคือศักยภาพของ AI เชิงสร้างสรรค์ในการทำให้การหลอกลวงและการวิศวกรรมสังคมรุนแรงขึ้น การสร้างข้อความและรูปภาพด้วย AI ช่วยเพิ่มความสมจริงให้กับเนื้อหาภาพ ทำให้เกิดรูปแบบการบิดเบือนที่เชื่อมโยงกันมากขึ้น นอกจากนี้ยังช่วยเสริมความสามารถของผู้โจมตีในการกำหนดเป้าหมายเหยื่อและทำให้กระบวนการอัตโนมัติง่ายขึ้นซึ่งช่วยเพิ่มประสิทธิภาพการโจมตี^{[ 55 ]}

ประวัติศาสตร์

ประวัติศาสตร์ยุคแรก

เทคนิคฟิชชิงในยุคแรกสามารถสืบย้อนไปได้ถึงช่วงทศวรรษ 1990 เมื่อ แฮกเกอร์ หมวกดำและ ชุมชน ซอฟต์แวร์ละเมิดลิขสิทธิ์ใช้AOLเพื่อขโมยข้อมูลบัตรเครดิตและก่ออาชญากรรมออนไลน์อื่นๆ คำว่า "ฟิชชิง" กล่าวกันว่าถูกคิดค้นโดย Khan C. Smith ซึ่งเป็นผู้ส่งสแปมและแฮกเกอร์ที่มีชื่อเสียง^{[ 56 ]}^{[ a ]} และมีการกล่าวถึงครั้งแรกในเครื่องมือแฮ็กAOHellซึ่งเปิดตัวในปี 1994 AOHell อนุญาตให้แฮกเกอร์ปลอมตัวเป็นพนักงาน AOL และส่งข้อความโต้ตอบแบบทันทีไปยังเหยื่อเพื่อขอให้เปิดเผยรหัสผ่าน^{[ 60 ]}^{[ 61 ]}เพื่อเป็นการตอบสนอง AOL ได้ใช้มาตรการป้องกันฟิชชิงและในที่สุดก็ปิดฉากซอฟต์แวร์ละเมิดลิขสิทธิ์บนแพลตฟอร์มของตน^{[ 62 ]}^{[ 63 ]}

ทศวรรษ 2000

ในช่วงทศวรรษ 2000 การโจมตีแบบฟิชชิงมีความเป็นระบบและมุ่งเป้าหมายมากขึ้น ความพยายามโจมตีระบบการชำระเงินโดยตรงครั้งแรกที่ทราบกันดีคือE-goldซึ่งเกิดขึ้นในเดือนมิถุนายน พ.ศ. 2544 และหลังจากเหตุการณ์โจมตี 11 กันยายน ไม่นาน ก็ มีการโจมตีแบบฟิชชิง "ตรวจสอบบัตรประจำตัวหลังเหตุการณ์ 9/11" ตามมา^{[ 64 ]}การโจมตีแบบฟิชชิงครั้งแรกที่ทราบกันดีต่อธนาคารค้าปลีกได้รับการรายงานในเดือนกันยายน พ.ศ. 2546 ^{[ 65 ]}ระหว่างเดือนพฤษภาคม พ.ศ. 2547 ถึงพฤษภาคม พ.ศ. 2548 ผู้ใช้คอมพิวเตอร์ประมาณ 1.2 ล้านคนในสหรัฐอเมริกาประสบความสูญเสียจากการโจมตีแบบฟิชชิง รวมเป็นเงินประมาณ929 ล้านดอลลาร์สหรัฐ [ ^{66 ] การ}โจมตีแบบฟิชชิงได้รับการยอมรับว่าเป็นส่วนหนึ่งของตลาดมืดที่มีการจัดระเบียบอย่างเต็มรูปแบบ และความเชี่ยวชาญเฉพาะด้านก็เกิดขึ้นในระดับโลก โดยให้บริการซอฟต์แวร์ฟิชชิงสำหรับการชำระเงิน ซึ่งถูกประกอบและนำไปใช้ในแคมเปญฟิชชิงโดยแก๊งค์ที่มีการจัดระเบียบ^{[ 67 ]}^{[ 68 ]} ภาคการธนาคาร ของสหราชอาณาจักรได้รับผลกระทบจากการโจมตีแบบฟิชชิง โดยความสูญเสียจากการฉ้อโกงทางเว็บแบงก์กิ้งเพิ่มขึ้นเกือบสองเท่าในปี 2548 เมื่อเทียบกับปี 2547 ^{[ 69 ]}^{[ 70 ]}ในปี 2549 การโจรกรรมแบบฟิชชิงเกือบครึ่งหนึ่งกระทำโดยกลุ่มที่ดำเนินการผ่านเครือข่ายธุรกิจรัสเซียซึ่งตั้งอยู่ในเซนต์ปีเตอร์สเบิร์ก^{[ 71 ]}การหลอกลวงทางอีเมลที่แอบอ้างเป็นกรมสรรพากรก็ถูกนำมาใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้เสียภาษีชาวสหรัฐฯ^{[ 72 ]}เว็บไซต์เครือข่ายสังคมออนไลน์เป็นเป้าหมายหลักของการโจมตีแบบฟิชชิง เนื่องจากรายละเอียดส่วนบุคคลในเว็บไซต์ดังกล่าวสามารถนำไปใช้ในการขโมยข้อมูลส่วนบุคคลได้ [ ^{73 ] ใน}ปี 2550 ผู้ใหญ่ 3.6 ล้านคนสูญเสียเงิน 3.2 พันล้านดอลลาร์สหรัฐฯเนื่องจากการโจมตีแบบฟิชชิง^{[ 74 ]}กลุ่มทำงานต่อต้านฟิชชิ่งรายงานว่าได้รับรายงานอีเมลฟิชชิ่งจำนวน 115,370 ฉบับจากผู้บริโภค โดยสหรัฐอเมริกาและจีนเป็นเจ้าของหน้าเว็บฟิชชิ่งมากกว่า 25% ในไตรมาสที่สามของปี 2552 ^{[ 75 ]}

ทศวรรษ 2010

การโจมตีแบบฟิชชิงในช่วงทศวรรษ 2010 มีจำนวนเพิ่มขึ้นอย่างมาก ในปี 2011 คีย์หลักสำหรับ โทเค็นความปลอดภัย RSA SecurIDถูกขโมยผ่านการโจมตีแบบฟิชชิง^{[ 76 ]}^{[ 77 ]}แคมเปญฟิชชิงของจีนยังมุ่งเป้าไปที่เจ้าหน้าที่ระดับสูงในรัฐบาลและกองทัพของสหรัฐอเมริกาและเกาหลีใต้ รวมถึงนักเคลื่อนไหวทางการเมืองของจีนด้วย^{[ 78 ]}^{[ 79 ]}ตามที่ Ghosh กล่าว การโจมตีแบบฟิชชิงเพิ่มขึ้นจาก 187,203 ครั้งในปี 2010 เป็น 445,004 ครั้งในปี 2012 ในเดือนสิงหาคม 2013 Outbrain ประสบกับการโจมตีแบบสเปียร์ฟิชชิง^{[ 80 ]}และในเดือนพฤศจิกายน 2013 ข้อมูลลูกค้าและบัตรเครดิต 110 ล้านรายการถูกขโมยจาก ลูกค้า ของ Targetผ่านบัญชีผู้รับเหมาช่วงที่ถูกฟิชชิง^{[ 81 ]}ต่อมา CEO และเจ้าหน้าที่รักษาความปลอดภัยด้านไอทีถูกไล่ออก^{[ 82 ]}ในเดือนสิงหาคม 2557 การรั่วไหลของภาพถ่ายคนดัง จาก iCloudเกิดขึ้นจากอีเมลฟิชชิ่งที่ส่งไปยังเหยื่อซึ่งดูเหมือนมาจาก Apple หรือ Google ^{[ 83 ]}ในเดือนพฤศจิกายน 2557 การโจมตีแบบฟิชชิ่งต่อICANNทำให้สามารถเข้าถึงระบบข้อมูลโซนส่วนกลางได้ นอกจากนี้ยังได้รับข้อมูลเกี่ยวกับผู้ใช้ในระบบ และเข้าถึงวิกิ บล็อก และพอร์ทัลข้อมูล whois ของคณะกรรมการที่ปรึกษาภาครัฐของ ICANN ^{[ 84 ]} Fancy Bear เชื่อมโยงกับการโจมตีแบบสเปียร์ฟิชชิ่งต่อ ระบบอีเมล ของเพนตากอนในเดือนสิงหาคม 2558 ^{[ 85 ]}^{[ 86 ]}และกลุ่มนี้ใช้ช่องโหว่แบบ zero-day ของ Java ในการโจมตีแบบสเปียร์ฟิชชิ่งต่อทำเนียบขาวและ NATO ^{[ 87 ]}^{[ 88 ]} Fancy Bear ดำเนินการโจมตีแบบสเปียร์ฟิชชิ่งไปยังที่อยู่อีเมลที่เกี่ยวข้องกับคณะกรรมการแห่งชาติประชาธิปไตยในไตรมาสแรกของปี 2559 ^{[ 89 ]}^{[ 90 ]}ในเดือนสิงหาคม 2559 สมาชิกของBundestagและพรรคการเมืองต่างๆ เช่นSahra Wagenknechtผู้นำกลุ่มLinken , Junge UnionและCDUของSaarlandตกเป็นเป้าหมายของการโจมตีแบบสเปียร์ฟิชชิ่งที่ต้องสงสัยว่าดำเนินการโดย Fancy Bear ในเดือนสิงหาคม 2559 องค์การต่อต้านการใช้สารต้องห้ามโลก (WADA)รายงานว่าได้รับอีเมลฟิชชิ่งที่ส่งไปยังผู้ใช้ฐานข้อมูลของตนโดยอ้างว่าเป็น WADA อย่างเป็นทางการ แต่สอดคล้องกับกลุ่มแฮ็กเกอร์ชาวรัสเซีย Fancy Bear ^[^{91 ]}^]^{[ 92 ]}^{[ 93 ]}ในปี 2017 องค์กร 76% ประสบกับการโจมตีแบบฟิชชิง โดยเกือบครึ่งหนึ่งของด้านความปลอดภัยของข้อมูลที่ได้รับการสำรวจรายงานว่ามีการเพิ่มขึ้นจากปี 2016 ในช่วงครึ่งแรกของปี 2017 ธุรกิจและผู้อยู่อาศัยในกาตาร์ได้รับผลกระทบจากการโจมตีแบบฟิชชิงมากกว่า 93,570 ครั้งภายในระยะเวลาสามเดือน^{[ 94 ]}ในเดือนสิงหาคม 2017 ลูกค้าของAmazonเผชิญกับการโจมตีแบบฟิชชิงในวัน Amazon Prime Day เมื่อแฮกเกอร์ส่งข้อเสนอที่ดูเหมือนถูกต้องตามกฎหมายให้กับลูกค้าของ Amazon เมื่อลูกค้าของ Amazon พยายามทำการซื้อโดยใช้ "ข้อเสนอ" เหล่านั้น การทำธุรกรรมจะไม่เสร็จสมบูรณ์ ทำให้ลูกค้าของผู้ค้าปลีกป้อนข้อมูลที่อาจถูกบุกรุกและขโมยได้^{[ 95 ]}ในปี 2018 บริษัท block.one ซึ่งพัฒนาบล็อกเชน EOS.IO ถูกโจมตีโดยกลุ่มฟิชชิ่งที่ส่งอีเมลฟิชชิ่งไปยังลูกค้าทั้งหมดโดยมีเป้าหมายเพื่อดักจับรหัสกระเป๋าเงินคริปโตเคอร์เรนซีของผู้ใช้ และการโจมตีในภายหลังมุ่งเป้าไปที่โทเค็นแอร์ดรอป^{[ 96 ]}

ทศวรรษ 2020

การโจมตีแบบฟิชชิ่งได้พัฒนาขึ้นในช่วงทศวรรษ 2020 โดยรวมถึงองค์ประกอบของวิศวกรรมสังคม ดังที่แสดงให้เห็นจาก การละเมิดข้อมูลของ ทวิตเตอร์ เมื่อวันที่ 15 กรกฎาคม 2020 ในกรณีนี้ แฮ็กเกอร์วัย 17 ปีและผู้ร่วมงานได้สร้างเว็บไซต์ปลอมที่คล้ายกับ ผู้ให้บริการ VPN ภายในของทวิตเตอร์ ที่พนักงานที่ทำงานจากระยะไกลใช้ โดยปลอมตัวเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือ พวกเขาโทรหาพนักงานทวิตเตอร์หลายคนและสั่งให้พวกเขาส่งข้อมูลประจำตัวไปยังเว็บไซต์ VPN ปลอม^{[ 97 ]}โดยใช้รายละเอียดที่พนักงานที่ไม่รู้เรื่องให้มา พวกเขาสามารถควบคุมบัญชีผู้ใช้ที่มีชื่อเสียงหลายบัญชี รวมถึงบัญชีของบารัค โอบามาอีลอนมัสก์โจ ไบเดนและบัญชีบริษัทของแอปเปิล อิงค์ จากนั้นแฮ็กเกอร์ได้ส่งข้อความไปยังผู้ติดตามทวิตเตอร์เพื่อขอ Bitcoinโดยสัญญาว่าจะเพิ่มมูลค่าการทำธุรกรรมเป็นสองเท่า แฮ็กเกอร์รวบรวม Bitcoin ได้ 12.86 BTC (ประมาณ 117,000 ดอลลาร์ในขณะนั้น) ^{[ 98 ]} ในช่วงทศวรรษ 2020 แพลตฟอร์มPhishing as a Service (PhaaS) เช่น Darculaช่วยให้ผู้โจมตีสามารถปลอมแปลงเว็บไซต์ที่น่าเชื่อถือได้อย่างง่ายดาย^{[ 99 ]}

การป้องกันฟิชชิ่ง

มีเว็บไซต์ต่อต้านฟิชชิ่งที่เผยแพร่ข้อความที่เพิ่งแพร่หลายบนอินเทอร์เน็ต เช่นFraudWatch Internationalและ Millersmiles เว็บไซต์เหล่านี้มักให้รายละเอียดเฉพาะเกี่ยวกับข้อความนั้นๆ^{[ 100 ]}^{[ 101 ]}

เมื่อไม่นานมานี้ในปี 2550 การนำกลยุทธ์ต่อต้านฟิชชิงมาใช้โดยธุรกิจที่ต้องการปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการเงินยังอยู่ในระดับต่ำ^{[ 102 ]}มีเทคนิคต่างๆ มากมายในการต่อสู้กับฟิชชิง รวมถึงกฎหมายและเทคโนโลยีที่สร้างขึ้นโดยเฉพาะเพื่อป้องกันฟิชชิง เทคนิคเหล่านี้รวมถึงขั้นตอนที่บุคคลและองค์กรสามารถดำเนินการได้ ปัจจุบันสามารถรายงานการฟิชชิงทางโทรศัพท์ เว็บไซต์ และอีเมลไปยังหน่วยงานที่เกี่ยวข้องได้แล้ว ดังที่อธิบายไว้ด้านล่าง

การฝึกอบรมผู้ใช้

ภาพจากแอนิเมชั่นของคณะกรรมการการค้าแห่งสหรัฐอเมริกา (FTC)ที่มีจุดประสงค์เพื่อให้ความรู้แก่ประชาชนเกี่ยวกับกลโกงฟิชชิ่ง

การให้ความรู้เกี่ยวกับการฟิชชิงที่มีประสิทธิภาพ ซึ่งรวมถึงความรู้เชิงแนวคิด^{[ 103 ]}และข้อเสนอแนะ^{[ 104 ]}^{[ 105 ]}เป็นส่วนสำคัญของกลยุทธ์ต่อต้านฟิชชิงขององค์กรใดๆ แม้ว่าจะมีข้อมูลจำกัดเกี่ยวกับประสิทธิผลของการให้ความรู้ในการลดความเสี่ยงต่อการตกเป็นเหยื่อของฟิชชิง^{[ 106 ]}แต่ก็มีข้อมูลมากมายเกี่ยวกับภัยคุกคามนี้ทางออนไลน์^{[ 53 ]}

การจำลองแคมเปญฟิชชิง ซึ่งองค์กรต่างๆ ทดสอบการฝึกอบรมพนักงานโดยการส่งอีเมลฟิชชิงปลอม มักใช้เพื่อประเมินประสิทธิภาพ ตัวอย่างหนึ่งคือการศึกษาโดยห้องสมุดการแพทย์แห่งชาติซึ่งองค์กรได้รับอีเมล 858,200 ฉบับในช่วงระยะเวลาทดสอบ 1 เดือน โดย 139,400 ฉบับ (16%) เป็นอีเมลการตลาด และ 18,871 ฉบับ (2%) ถูกระบุว่าเป็นภัยคุกคามที่อาจเกิดขึ้น แคมเปญเหล่านี้มักใช้ในอุตสาหกรรมการดูแลสุขภาพ เนื่องจากข้อมูลด้านการดูแลสุขภาพเป็นเป้าหมายที่มีค่าสำหรับแฮกเกอร์ แคมเปญเหล่านี้เป็นเพียงวิธีหนึ่งที่องค์กรต่างๆ กำลังดำเนินการเพื่อต่อสู้กับฟิชชิง^{[ 107 ]}

การฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยช่วยให้ผู้ใช้สามารถระบุตัวบ่งชี้การหลอกลวงทางอีเมลที่พบบ่อย ซึ่งรวมถึง

คำขอข้อมูล
อีเมลและ URL ไม่ตรงกัน
คำทักทายที่ไม่ธรรมดา
การพิมพ์ผิดและข้อผิดพลาด
คำขอเร่งด่วน
สิ่งที่แนบมาที่ผิดปกติ
กราฟิกคุณภาพต่ำ^{[ 108 ]}

อีเมลที่ถูกต้องเกือบทั้งหมดจากบริษัทถึงลูกค้าจะมีข้อมูลบางอย่างที่ไม่สามารถเข้าถึงได้ง่ายโดยผู้โจมตีแบบฟิชชิ่ง ตัวอย่างเช่น บริษัทบางแห่ง เช่นPayPalมักจะระบุชื่อผู้ใช้ของลูกค้าในอีเมลเสมอ ดังนั้นหากอีเมลระบุผู้รับในลักษณะทั่วไป ("เรียน ลูกค้า PayPal") ก็มีแนวโน้มที่จะเป็นการพยายามโจมตีแบบฟิชชิ่ง^{[ 109 ]}นอกจากนี้ PayPal ยังมีวิธีการต่างๆ ในการตรวจสอบอีเมลปลอมและแนะนำให้ผู้ใช้ส่งต่ออีเมลที่น่าสงสัยไปยังโดเมน [email protected] เพื่อตรวจสอบและเตือนลูกค้ารายอื่น อย่างไรก็ตาม การสันนิษฐานว่าการมีข้อมูลส่วนบุคคลเพียงอย่างเดียวรับประกันว่าข้อความนั้นถูกต้องนั้นไม่ปลอดภัย^{[ 110 ]}และการศึกษาบางชิ้นแสดงให้เห็นว่าการมีข้อมูลส่วนบุคคลไม่ได้ส่งผลกระทบอย่างมีนัยสำคัญต่ออัตราความสำเร็จของการโจมตีแบบฟิชชิ่ง^{[ 111 ]}ซึ่งบ่งชี้ว่าคนส่วนใหญ่ไม่ได้ให้ความสนใจกับรายละเอียดดังกล่าว

อีเมลจากธนาคารและบริษัทบัตรเครดิตมักจะมีหมายเลขบัญชีบางส่วน แต่ผลการวิจัยแสดงให้เห็นว่าคนส่วนใหญ่มักไม่แยกแยะระหว่างตัวเลขหลักแรกและหลักสุดท้าย^{[ 112 ]}

การศึกษาวิจัยเกี่ยวกับการโจมตีแบบฟิชชิงในสภาพแวดล้อมของเกมพบว่าเกมเพื่อการศึกษาสามารถให้ความรู้แก่ผู้เล่นเกี่ยวกับการเปิดเผยข้อมูลได้อย่างมีประสิทธิภาพ และสามารถเพิ่มความตระหนักรู้เกี่ยวกับความเสี่ยงจากการโจมตีแบบฟิชชิง จึงช่วยลดความเสี่ยงได้^{[ 113 ]}

กลุ่มทำงานต่อต้านฟิชชิงซึ่งเป็นหนึ่งในองค์กรต่อต้านฟิชชิงที่ใหญ่ที่สุดในโลก จัดทำรายงานเกี่ยวกับแนวโน้มการโจมตีแบบฟิชชิงเป็นประจำ^{[ 114 ]}

แนวทางทางเทคนิค

มีวิธีการทางเทคนิคมากมายที่สามารถนำมาใช้ป้องกันการโจมตีแบบฟิชชิงไม่ให้เข้าถึงผู้ใช้ หรือป้องกันไม่ให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญได้สำเร็จ

การกรองอีเมลหลอกลวง

ตัวกรองสแปมเฉพาะทางสามารถลดจำนวนอีเมลฟิชชิงที่ส่งถึงกล่องจดหมายของผู้รับได้ ตัวกรองเหล่านี้ใช้วิธีการหลายอย่าง รวมถึงการเรียนรู้ของเครื่อง^{[ 115 ]}และ วิธี การประมวลผลภาษาธรรมชาติเพื่อจำแนกอีเมลฟิชชิง^{[ 116 ]}^{[ 117 ]}และปฏิเสธอีเมลที่มีที่อยู่ปลอม^{[ 118 ]}

เบราว์เซอร์แจ้งเตือนผู้ใช้เกี่ยวกับเว็บไซต์ที่เป็นการหลอกลวง

แนวทางยอดนิยมอีกวิธีหนึ่งในการต่อสู้กับฟิชชิงคือการรักษารายชื่อเว็บไซต์ที่เป็นอันตรายที่รู้จักและตรวจสอบ URL กับรายชื่อนั้นแบบเรียลไทม์ เบราว์เซอร์เหล่านี้มักจะดึงข้อมูลข่าวกรองผ่านพันธมิตรด้านความปลอดภัยที่เชื่อถือได้หรือส่วนขยายเบราว์เซอร์ เฉพาะทาง เช่นGoogle Safe Browsing , Microsoft Defender Smartscreen, Bitdefender TrafficLight, uBlock Origin Lite ^{[ 119 ]} , Netcraft Extension ^{[ 120 ]}และ Blue Arca PhishGuard เบราว์เซอร์เว็บ เช่นGoogle Chrome , Microsoft Edge , Mozilla Firefox , SafariและOperaล้วนมีมาตรการป้องกันฟิชชิงประเภทนี้^{[ 121 ]}^{[ 122 ]}^{[ 123 ]}^[¹²⁴^]^[¹²⁵^] Firefox 2ใช้ซอฟต์แวร์ป้องกันฟิชชิงของ Google Opera 9.1 ใช้ แบล็คลิ สต์แบบเรียลไทม์ จาก^Phishtank , cysconและGeoTrustรวมถึงไวท์ลิสต์แบบเรียลไทม์^จาก GeoTrustการใช้งานบางอย่างของแนวทางนี้จะส่ง URL ที่เข้าชมไปยังบริการส่วนกลางเพื่อตรวจสอบ ซึ่งทำให้เกิดความกังวลเกี่ยวกับความเป็นส่วนตัว^[¹²⁶^]จากการศึกษาในปี 2026 โดยAV-Comparativesพบว่า Avast Secure Browser และ Norton Security Browser มีประสิทธิภาพมากที่สุดในการตรวจจับเว็บไซต์หลอกลวง โดยบล็อก URL ฟิชชิ่งได้ 94% ในขณะที่ Google Chrome บล็อกได้ 72% ^[¹²⁷^]

แนวทางที่นำมาใช้ในช่วงกลางปี 2549 เกี่ยวข้องกับการเปลี่ยนไปใช้ บริการ DNS พิเศษ ที่กรองโดเมนฟิชชิ่งที่รู้จัก^{[ 128 ]}

เพื่อลดปัญหาเว็บไซต์ฟิชชิ่งที่ปลอมตัวเป็นเว็บไซต์เหยื่อโดยการฝังภาพ (เช่นโลโก้ ) ของเว็บไซต์นั้น เจ้าของเว็บไซต์หลายรายจึงได้แก้ไขภาพเพื่อส่งข้อความไปยังผู้เข้าชมว่าเว็บไซต์นั้นอาจเป็นเว็บไซต์หลอกลวง ภาพอาจถูกย้ายไปยังชื่อไฟล์ใหม่และแทนที่ภาพต้นฉบับอย่างถาวร หรือเซิร์ฟเวอร์สามารถตรวจจับได้ว่าภาพนั้นไม่ได้ถูกร้องขอในระหว่างการเรียกดูตามปกติ และจะส่งภาพเตือนแทน^{[ 129 ]}^{[ 130 ]}

การเพิ่มประสิทธิภาพการเข้าสู่ระบบด้วยรหัสผ่าน

เว็บไซต์Bank of America ^{[ 131 ]}^{[ 132 ]}เป็นหนึ่งในหลายเว็บไซต์ที่ขอให้ผู้ใช้เลือกรูปภาพส่วนตัว (ทำการตลาดในชื่อSiteKey ) และแสดงรูปภาพที่ผู้ใช้เลือกนี้พร้อมกับแบบฟอร์มใดๆ ที่ขอรหัสผ่าน ผู้ใช้บริการออนไลน์ของธนาคารได้รับคำแนะนำให้ป้อนรหัสผ่านเฉพาะเมื่อเห็นรูปภาพที่เลือกไว้เท่านั้น ธนาคารได้ยกเลิกการใช้ SiteKey ในภายหลัง การศึกษาหลายชิ้นชี้ให้เห็นว่าผู้ใช้จำนวนน้อยเท่านั้นที่งดเว้นการป้อนรหัสผ่านเมื่อไม่มีรูปภาพ^{[ 133 ]}^{[ 134 ]}นอกจากนี้ คุณสมบัตินี้ (เช่นเดียวกับรูปแบบอื่นๆ ของการตรวจสอบสิทธิ์แบบสองปัจจัย ) ยังมีความเสี่ยงต่อการโจมตีอื่นๆ เช่น การโจมตีที่ธนาคารNordea ของสแกนดิเนเวียประสบ ในช่วงปลายปี 2548 ^{[ 135 ]}และCitibankในปี 2549 ^{[ 136 ]}

ระบบที่คล้ายกันนี้ ซึ่งแสดง "คำใบ้เอกลักษณ์" ที่สร้างขึ้นโดยอัตโนมัติซึ่งประกอบด้วยคำสีภายในกรอบสีให้กับผู้ใช้เว็บไซต์แต่ละรายนั้น มีการใช้งานในสถาบันการเงินอื่นๆ^{[ 137 ]}

สกินความปลอดภัย^{[ 138 ]}^{[ 139 ]}เป็นเทคนิคที่เกี่ยวข้องซึ่งเกี่ยวข้องกับการซ้อนภาพที่ผู้ใช้เลือกไว้บนแบบฟอร์มการเข้าสู่ระบบเพื่อเป็นสัญญาณบ่งชี้ว่าแบบฟอร์มนั้นถูกต้อง อย่างไรก็ตาม ต่างจากรูปแบบภาพบนเว็บไซต์ ภาพนั้นจะถูกแชร์ระหว่างผู้ใช้และเบราว์เซอร์เท่านั้น ไม่ใช่ระหว่างผู้ใช้และเว็บไซต์ รูปแบบนี้ยังอาศัย โปรโตคอล การตรวจสอบสิทธิ์ร่วมกันซึ่งทำให้มีความเสี่ยงต่อการโจมตีที่ส่งผลกระทบต่อรูปแบบการตรวจสอบสิทธิ์เฉพาะผู้ใช้น้อยลง

เทคนิคอีกอย่างหนึ่งอาศัยตารางภาพแบบไดนามิกที่แตกต่างกันในแต่ละครั้งที่พยายามเข้าสู่ระบบ ผู้ใช้ต้องระบุภาพที่ตรงกับหมวดหมู่ที่เลือกไว้ล่วงหน้า (เช่น สุนัข รถยนต์ และดอกไม้) หลังจากที่ระบุภาพที่ตรงกับหมวดหมู่ได้อย่างถูกต้องแล้วเท่านั้น จึงจะสามารถป้อนรหัสผ่านตัวอักษรและตัวเลขเพื่อเข้าสู่ระบบให้เสร็จสมบูรณ์ แตกต่างจากภาพนิ่งที่ใช้ในเว็บไซต์ของ Bank of America วิธีการตรวจสอบสิทธิ์แบบไดนามิกที่ใช้ภาพจะสร้างรหัสผ่านแบบใช้ครั้งเดียวสำหรับการเข้าสู่ระบบ ต้องอาศัยการมีส่วนร่วมอย่างแข็งขันจากผู้ใช้ และเป็นเรื่องยากมากสำหรับเว็บไซต์ฟิชชิ่งที่จะจำลองได้อย่างถูกต้อง เนื่องจากจะต้องแสดงตารางภาพที่สร้างขึ้นแบบสุ่มที่แตกต่างกันซึ่งรวมถึงหมวดหมู่ลับของผู้ใช้ด้วย^{[ 140 ]}

การตรวจสอบและการดำเนินการ

บริษัทหลายแห่งเสนอบริการป้องกันความเสี่ยงทางดิจิทัล (DRP) เพื่อตรวจจับ บล็อก และปิดเว็บไซต์ บัญชีโซเชียล แอปพลิเคชัน และโครงสร้างพื้นฐานดิจิทัลที่เป็นอันตรายซึ่งแอบอ้างเป็นองค์กรที่ถูกต้องตามกฎหมาย^{[ 141 ]}ในขณะที่เครื่องมือในยุคแรกๆ จำเป็นต้องมีการกำกับดูแลด้วยตนเองอย่างกว้างขวาง ผู้จำหน่ายสมัยใหม่ เช่นNetcraft , ZeroFoxและRecorded Future ^{[ 142 ]}^{ได้ก้าวไปสู่ระดับการทำงานอัตโนมัติที่สูงขึ้นเพื่อต่อสู้ กับ}ความเร็วของการฟิชชิงที่ขับเคลื่อนด้วย AI บุคคลทั่วไปสามารถมีส่วนร่วมได้โดยการรายงานการฟิชชิงไปยังกลุ่มอาสาสมัครและกลุ่มอุตสาหกรรม^{[ 143 ]}เช่นcysconหรือPhishTank ^[ 144 ^]สามารถรายงานหน้าเว็บและอีเมลฟิชชิงไปยัง Google ได้^{[ 145 ]}^{[ 146 ]}

การตรวจสอบสิทธิ์แบบหลายปัจจัย

องค์กรต่างๆ สามารถนำการตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย (MFA) มาใช้ ซึ่งกำหนดให้ผู้ใช้ต้องใช้ปัจจัยอย่างน้อย 2 ปัจจัยเมื่อเข้าสู่ระบบ (ตัวอย่างเช่น ผู้ใช้ต้องแสดงทั้งสมาร์ทการ์ดและรหัสผ่าน ) วิธีนี้ช่วยลดความเสี่ยงได้ในระดับหนึ่ง ในกรณีที่การโจมตีแบบฟิชชิ่งประสบความสำเร็จ รหัสผ่านที่ถูกขโมยไปเพียงอย่างเดียวไม่สามารถนำไปใช้ซ้ำเพื่อเจาะระบบที่ได้รับการป้องกันได้ อย่างไรก็ตาม มีวิธีการโจมตีหลายวิธีที่สามารถเอาชนะระบบทั่วไปได้^{[ 147 ]}โครงการ MFA เช่นWebAuthnแก้ไขปัญหานี้โดยการออกแบบ

การตอบสนองทางกฎหมาย

วิดีโอแนะนำจากคณะกรรมการการค้าแห่ง สหรัฐอเมริกา (Federal Trade Commission ) เกี่ยวกับวิธีการยื่นเรื่องร้องเรียนต่อคณะกรรมการการค้าแห่งสหรัฐอเมริกา

เมื่อวันที่ 26 มกราคม พ.ศ. 2547 คณะกรรมการการค้าแห่งสหรัฐอเมริกาได้ยื่นฟ้องคดีฟิชชิงครั้งแรกต่อวัยรุ่นชาวแคลิฟอร์เนียที่ต้องสงสัยว่าสร้างเว็บเพจเลียนแบบAmerica Onlineและขโมยข้อมูลบัตรเครดิต^{[ 148 ]}ประเทศอื่นๆ ได้ปฏิบัติตามแนวทางนี้โดยการติดตามและจับกุมผู้กระทำการฟิชชิง หัวหน้าแก๊งฟิชชิง Valdir Paulo de Almeida ถูกจับกุมในบราซิลในข้อหานำแก๊งอาชญากรรม ฟิชชิงที่ใหญ่ที่สุดแก๊งหนึ่ง ซึ่งในสองปีขโมยเงินได้ระหว่าง18 ล้านดอลลาร์สหรัฐถึง37 ล้านดอลลาร์สหรัฐ^{[ 149} ] ทางการสหราชอาณาจักรได้จำคุกชายสองคนในเดือนมิถุนายน พ.ศ. 2548 ในข้อหาเกี่ยวข้องกับการหลอกลวงฟิชชิง^{[ 150 ]}ในคดีที่เชื่อมโยงกับปฏิบัติการ Firewall ของ^{หน่วย}สืบราชการลับสหรัฐฯซึ่งมุ่งเป้าไปที่เว็บไซต์ "carder" ที่มีชื่อเสียง^{[ 151 ]}ในปี พ.ศ. 2549 ตำรวจญี่ปุ่นจับกุมบุคคล 8 คนในข้อหาสร้างเว็บไซต์ Yahoo Japan ปลอม ได้เงิน 100 ล้านเยน ( 870,000 ดอลลาร์สหรัฐ ) ^{[ 152 ]}และFBIได้จับกุมแก๊ง 16 คนในสหรัฐอเมริกาและยุโรปในปฏิบัติการ Cardkeeper ^{[ 153 ]}

วุฒิสมาชิกแพทริค ลีฮีได้เสนอกฎหมายต่อต้านฟิชชิ่งปี 2005 ต่อรัฐสภาสหรัฐอเมริกาเมื่อวันที่ 1 มีนาคม 2005 กฎหมายฉบับ นี้ มีจุดมุ่งหมายเพื่อกำหนดโทษปรับสูงสุด 250,000 ดอลลาร์สหรัฐ และจำคุกสูงสุด 5 ปี สำหรับผู้กระทำความผิดที่ใช้เว็บไซต์และอีเมลปลอมเพื่อหลอกลวงผู้บริโภค[ ¹⁵⁴^]^ในสหราชอาณาจักรกฎหมายฉ้อโกงปี 2006 ^[¹⁵⁵^]ได้กำหนดความผิดฐานฉ้อโกงทั่วไปซึ่งมีโทษจำคุกสูงสุด 10 ปี และห้ามการพัฒนาหรือครอบครองชุดเครื่องมือฟิชชิ่งโดยมีเจตนาที่จะกระทำการฉ้อโกง^[¹⁵⁶^]

บริษัทต่างๆ ยังได้เข้าร่วมความพยายามในการปราบปรามการฟิชชิงด้วย เมื่อวันที่ 31 มีนาคม 2548 ไมโครซอฟต์ได้ยื่นฟ้องคดีรัฐบาลกลางจำนวน 117 คดีในศาลแขวงสหรัฐฯ เขตตะวันตกของวอชิงตันคดีเหล่านี้กล่าวหาจำเลยที่ใช้นามแฝงว่า " จอห์น โด " ว่าได้รหัสผ่านและข้อมูลที่เป็นความลับ เดือนมีนาคม 2548 ยังเป็นเดือนที่ไมโครซอฟต์และรัฐบาลออสเตรเลียได้ ร่วมมือกัน สอนเจ้าหน้าที่บังคับใช้กฎหมายถึงวิธีการต่อสู้กับอาชญากรรมทางไซเบอร์ต่างๆ รวมถึงการฟิชชิงด้วย^{[ 157 ]}ไมโครซอฟต์ประกาศแผนการฟ้องร้องเพิ่มเติมอีก 100 คดีนอกสหรัฐอเมริกาในเดือนมีนาคม 2549 ^{[ 158 ]}ตามมาด้วยการเริ่มต้นการฟ้องร้อง 129 คดีในเดือนพฤศจิกายน 2549 ซึ่งเป็นการผสมผสานระหว่างการดำเนินคดีอาญาและทางแพ่ง^{[ 159 ]} AOLได้เสริมความพยายามต่อต้านการหลอกลวงทางอีเมล (phishing ) ^{[ 160 ]}ในช่วงต้นปี 2549 ด้วยการฟ้องร้อง 3 คดี^{[ 161 ]}เพื่อเรียกร้องค่าเสียหายรวม18 ล้านดอลลาร์สหรัฐภายใต้การแก้ไขเพิ่มเติมพระราชบัญญัติอาชญากรรมคอมพิวเตอร์แห่งรัฐเวอร์จิเนียปี 2548 ^{[ 162 ]}^{[ 163 ]}และEarthlinkได้เข้าร่วมโดยให้ความช่วยเหลือในการระบุตัวชาย 6 คนที่ถูกตั้งข้อหาฉ้อโกงการหลอกลวงทางอีเมลในรัฐคอนเนตทิคัตในเวลาต่อมา^{[ 164 ]}

ในเดือนมกราคม พ.ศ. 2550 เจฟฟรีย์ เบรตต์ กู๊ดอิน จากแคลิฟอร์เนีย กลายเป็นจำเลยคนแรกที่ถูกคณะลูกขุนตัดสินว่ามีความผิดภายใต้บทบัญญัติของพระราชบัญญัติ CAN-SPAM ปี พ.ศ. 2546เขาถูกตัดสินว่ามีความผิดฐานส่งอีเมลหลายพันฉบับไปยัง ผู้ใช้ AOLโดยแอบอ้างเป็นแผนกเรียกเก็บเงินของบริษัท ซึ่งทำให้ลูกค้าส่งข้อมูลส่วนบุคคลและข้อมูลบัตรเครดิต เขาอาจต้องโทษจำคุกถึง 101 ปีสำหรับการละเมิด CAN-SPAM และอีก 10 ข้อหา รวมถึงการฉ้อโกงทางโทรศัพท์การใช้บัตรเครดิตโดยไม่ได้รับอนุญาต และการใช้เครื่องหมายการค้าของ AOL ในทางที่ผิด แต่เขาถูกตัดสินจำคุก 70 เดือน กู๊ดอินถูกควบคุมตัวตั้งแต่ไม่มาปรากฏตัวในศาลในการพิจารณาคดีครั้งก่อน และเริ่มรับโทษจำคุกทันที^{[ 165 ]}^{[ 166 ]}^{[ 167 ]}^{[ 168 ]}

เหตุการณ์สำคัญ

การโจรกรรมฟิชชิ่งทางวรรณกรรม ปี 2016–2021

ผลกระทบเฉพาะภาคส่วน

การดูแลสุขภาพ

การฟิชชิ่งเป็นสาเหตุหลักของการละเมิดข้อมูลด้านการดูแลสุขภาพในสหรัฐอเมริกา โดยสำนักงานสิทธิพลเมืองของกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา ได้ระบุอย่างสม่ำเสมอว่าการโจมตีผ่านอีเมลเป็นเวกเตอร์การโจมตีเริ่มต้นที่พบบ่อยที่สุดในการละเมิดที่รายงานภายใต้กฎการแจ้งเตือน การละเมิดพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ (HIPAA) ^{[ 169 ]}กฎความปลอดภัยของ HIPAA กำหนดให้หน่วยงานที่อยู่ภายใต้การคุ้มครองต้องดำเนินการสร้างความตระหนักรู้ด้านความปลอดภัยและโปรแกรมการฝึกอบรมสำหรับพนักงาน รวมถึงการฝึกอบรมเกี่ยวกับขั้นตอนการป้องกันและตรวจจับซอฟต์แวร์ที่เป็นอันตรายและการตรวจสอบความพยายามในการเข้าสู่ระบบ (45 CFR 164.308(a)(5)) ^{[ 170 ]}

ประกาศร่างกฎระเบียบ (NPRM) เดือนธันวาคม 2024 เพื่อปรับปรุงกฎความปลอดภัยของ HIPAA เสนอให้เสริมสร้างการป้องกันการฟิชชิงโดยกำหนดให้ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับการเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ ทั้งหมด กำหนดให้มีการฝึกอบรมการป้องกันการฟิชชิงพร้อมแบบฝึกหัดจำลอง และนำการควบคุมทางเทคนิคมาใช้เพื่อตรวจจับและบล็อกอีเมลที่เป็นอันตราย^{[ 171 ]}ข้อเสนอเหล่านี้เกิดขึ้นส่วนหนึ่งจากการละเมิดข้อมูลด้านการดูแลสุขภาพขนาดใหญ่ที่เริ่มต้นผ่านการฟิชชิง รวมถึงการโจมตีทางไซเบอร์ Change Healthcare ในปี 2024 ที่ทำให้ข้อมูลของบุคคลประมาณ 100 ล้านคนถูกละเมิด^{[ 172 ]}

ดูเพิ่มเติม

ซอฟต์แวร์ป้องกันฟิชชิ่ง – ซอฟต์แวร์ที่ใช้ป้องกันการหลอกลวง
การแอบอ้างแบรนด์ – การสวมรอยเป็นตัวตนออนไลน์ของผู้อื่น
คลิกแจ็กกิ้ง
การโจมตี แบบฟิชชิ่งระหว่างเซสชัน – รูปแบบหนึ่งของการโจมตีแบบฟิชชิ่ง
การฉ้อโกงทางอินเทอร์เน็ต – การฉ้อโกงหรือการหลอกลวงโดยใช้อินเทอร์เน็ต
ม้าโทรจัน
Typosquatting – รูปแบบหนึ่งของการจดทะเบียนชื่อเว็บไซต์โดยมิชอบ ซึ่งอาศัยความผิดพลาดในการป้อนที่อยู่เว็บไซต์

หมายเหตุ

^การสะกดคำน่าจะได้รับแรงบันดาลใจจากคำสแลง " phreaking " ซึ่งหมายถึงการแฮ็กรูปแบบก่อนหน้านี้ที่เกี่ยวข้องกับการดัดแปลงและใช้ประโยชน์จากการสื่อสารโทรคมนาคม^{[ 57 ]}^{[ 58 ]}^{[ 59 ]}

ลิงก์ภายนอก

กลุ่มทำงานต่อต้านฟิชชิ่ง
ศูนย์การจัดการอัตลักษณ์และการคุ้มครองข้อมูล – วิทยาลัยยูติกา
การอุดช่องโหว่ "ฟิชชิ่ง": กฎหมายกับเทคโนโลยี ( เก็บถาวรเมื่อ 2005-12-28 ที่Wayback Machine ) – Duke Law & Technology Review
ตัวอย่างการพยายามหลอกลวงทางอีเมล (Phishing) พร้อมภาพหน้าจอและคำอธิบาย – StrategicRevenue.com
ความพยายามที่ไร้ผล: การหลอกลวงทางอีเมล (Phishing) คือโศกนาฏกรรมของส่วนรวม – บริษัท ไมโครซอฟต์
ฐานข้อมูลสำหรับข้อมูลเกี่ยวกับเว็บไซต์ฟิชชิ่งที่ประชาชนรายงานเข้ามา – PhishTank
ผลกระทบของแรงจูงใจต่อการแจ้งเตือนและการลบเนื้อหา − ห้องปฏิบัติการคอมพิวเตอร์ มหาวิทยาลัยเคมบริดจ์ (PDF, 344 kB)

[60] การสะกดคำน่าจะได้รับแรงบันดาลใจจากคำสแลง " phreaking " ซึ่งหมายถึงการแฮ็กรูปแบบก่อนหน้านี้ที่เกี่ยวข้องกับการดัดแปลงและใช้ประโยชน์จากการสื่อสารโทรคมนาคม^{[ 57 ]}^{[ 58 ]}^{[ 59 ]}

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[

[

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ a ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

66 ] การ

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

[ 72 ]

73 ] ใน

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

[ 78 ]

[ 79 ]

[ 80 ]

[ 81 ]

[ 82 ]

[ 83 ]

[ 84 ]

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ 89 ]

[ 90 ]

[

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]

[ 96 ]

[ 97 ]

[ 98 ]

[ 99 ]

[ 100 ]

[ 101 ]

[ 102 ]