Smishing ภัยเงียบที่มากับ SMS เรียนรู้วิธีสังเกต และการรับมือ

ในยุคที่สมาร์ตโฟนกลายเป็นปัจจัยที่ 5 การสื่อสารผ่านข้อความจึงเป็นช่องทางที่เข้าถึงตัวเราได้รวดเร็วที่สุด แต่ความสะดวกสบายนี้กลับมาพร้อมกับภัยเงียบที่น่ากลัวอย่าง Smishing หนึ่งในอาวุธหลักของอาชญากรไซเบอร์ที่ใช้เล่นงานผู้ใช้งานทั่วโลก บทความนี้จะพาคุณไปเจาะลึกว่าภัยร้ายที่มาในรูปแบบ SMS นี้มีกลไกอย่างไร และเราจะป้องกันตัวเองได้อย่างไรบ้าง

Smishing คืออะไร

การทำความเข้าใจว่า Smishing คืออะไร ถือเป็นก้าวแรกที่สำคัญในการสร้างภูมิคุ้มกันทางดิจิทัล โดยคำนี้เป็นการผสมผสานระหว่าง SMS และ Phishing เข้าด้วยกัน

Smishing หรือ SMS Phishing คือรูปแบบหนึ่งของการหลอกลวงทางไซเบอร์ที่ใช้ข้อความ SMS เป็นอาวุธหลักในการล่อลวงให้เหยื่อติดกับ โดยผู้ไม่หวังดีจะส่งข้อความปลอมเพื่อกระตุ้นให้ผู้รับเปิดเผยข้อมูลส่วนบุคคลที่สำคัญ เช่น รหัสผ่าน หรือเลขบัตรเครดิต รวมถึงการหลอกให้คลิกลิงก์อันตรายเพื่อดาวน์โหลดไฟล์ที่เป็นมัลแวร์ ซึ่งนำไปสู่ความเสียหายทางการเงินและการถูกขโมยตัวตนได้อย่างง่ายดาย

หัวใจสำคัญของการโจมตีนี้คือการใช้เทคนิค Social Engineering เพื่อสร้างสถานการณ์ที่ดูน่าเชื่อถือ เนื่องจากโทรศัพท์มือถือเป็นอุปกรณ์ส่วนตัวที่คนส่วนใหญ่ไว้วางใจ ผู้โจมตีจึงมักสวมรอยเป็นบุคคล องค์กรชื่อดัง หรือบริการที่เหยื่อคุ้นเคยเพื่อลดทอนความระมัดระวัง นอกจากนี้ยังมีการใช้ข้อมูลส่วนตัวที่หลุดรอดออกมา หรือการสร้างความกดดันด้วยเวลา เพื่อทำให้เหยื่อรู้สึกว่าต้องรีบดำเนินการบางอย่างทันทีโดยไม่ทันยั้งคิด ข้อมูลที่ได้ไปนั้นมักจะถูกนำไปใช้ควบคุมบัญชีออนไลน์ หรือนำไปขายต่อในตลาดมืดให้กับกลุ่มมิจฉาชีพอื่น ๆ ต่อไป

SMS Phishing ทำงานอย่างไร

กระบวนการทำงานของ Smishing นั้นมีความเป็นระบบและซับซ้อนกว่าที่หลายคนคิด โดยมักจะประกอบไปด้วยขั้นตอนสำคัญที่ถูกวางแผนมาอย่างดีดังนี้:

การเลือกกลุ่มเป้าหมาย 

ผู้โจมตีจะรวบรวมหมายเลขโทรศัพท์ผ่านหลายช่องทาง เช่น การซื้อฐานข้อมูลจากตลาดมืด การใช้บอทดึงข้อมูลจากโลกออนไลน์ หรือแม้แต่การสุ่มส่งแบบเหวี่ยงแห (Mass Texting) เพื่อสแกนหาผู้โชคดี ในบางกรณีที่ต้องการผลลัพธ์สูง ผู้โจมตีจะทำการบ้านอย่างหนักเพื่อระบุเป้าหมายเฉพาะเจาะจงและใช้ข้อมูลที่เกี่ยวข้องกับบุคคลนั้นโดยตรงเพื่อให้ดูแนบเนียนที่สุด

การเตรียมโครงสร้างสำหรับการโจมตี

มิจฉาชีพจะสร้างระบบนิเวศปลอมขึ้นมา ไม่ว่าจะเป็นเว็บไซต์ Phishing หรือแอปพลิเคชันอันตราย โดยใช้เครื่องมืออย่าง SMS Gateway หรือโทรศัพท์ที่ถูกแฮ็กมาเป็นช่องทางส่งข้อความ เพื่อปกปิดตัวตนและหลบหลีกการตรวจสอบจากเจ้าหน้าที่ หากหมายเลขใดถูกระงับ พวกเขาก็สามารถเปลี่ยนหมายเลขใหม่ได้ในพริบตา

การสร้างข้อความหลอกลวง 

ความน่ากลัวในปัจจุบันคือการนำ AI หรือเทคโนโลยี LLM มาใช้ช่วยร่างข้อความ ทำให้ภาษาที่ใช้ดูเป็นทางการและสมจริงมากยิ่งขึ้น ข้อความเหล่านี้มักจะสั้น กระชับ และสร้างความเร่งด่วน เช่น การแจ้งเตือนอัปเดตตารางงานหรือบัญชีถูกระงับ เพื่อบีบให้เหยื่อตัดสินใจภายใต้ความตกใจ

การโต้ตอบและการรวบรวมข้อมูล 

เมื่อเหยื่อหลงเชื่อคลิกลิงก์ พวกเขาจะถูกนำไปที่หน้า Login ปลอม หรือแบบฟอร์มที่ดูเหมือนของจริงเพื่อกรอกข้อมูล เช่น Username, Password หรือรหัส OTP ในบางกรณีอาจมีการแชทโต้ตอบสด ๆ เพื่อสร้างความตายใจก่อนจะขอข้อมูลสำคัญเพิ่มเติม

การติดตั้งมัลแวร์และการนำข้อมูลไปใช้ 

หากเป้าหมายคือการคุมเครื่อง เหยื่ออาจถูกหลอกให้ติดตั้งไฟล์มัลแวร์โดยไม่รู้ตัว ซึ่งจะทำให้ผู้โจมตีเข้าถึงข้อมูลเชิงลึกหรือควบคุมอุปกรณ์ได้จากระยะไกล สุดท้ายข้อมูลทั้งหมดจะถูกนำไปใช้ฉ้อโกงทางการเงิน หรือถูกนำไปประมูลขายในตลาดมืดเพื่อสร้างผลกำไรสูงสุดให้แก่ผู้โจมตี

รูปแบบของการโจมตีแบบ Smishing

การโจมตีแบบ Smishing สามารถปรากฏได้หลายลักษณะ ขึ้นอยู่กับวิธีการหลอกลวงและเป้าหมายของผู้โจมตี โดยรูปแบบที่พบบ่อยมีดังต่อไปนี้:

  • การยืนยันบัญชีผู้ใช้งาน: การหลอกลวงประเภทนี้มักมาในรูปแบบข้อความที่แอบอ้างว่าเป็นบริการอีเมล แพลตฟอร์มโซเชียลมีเดีย หรือบริการสตรีมมิงที่เหยื่อใช้งานอยู่ เนื้อหาของข้อความจะพยายามโน้มน้าวให้ผู้รับ “ยืนยันบัญชี” ผ่านการกดลิงก์ที่แนบมา และกรอกชื่อผู้ใช้รวมถึงรหัสผ่านลงในหน้าเข้าสู่ระบบปลอมที่ผู้หลอกลวงสร้างขึ้น
  • การหลอกลวงเกี่ยวกับบัญชีธนาคาร: ผู้โจมตีจะปลอมตัวเป็นธนาคารของเหยื่อ พร้อมอ้างว่าพบบัญชีมีพฤติกรรมผิดปกติหรือมีธุรกรรมที่น่าสงสัย จากนั้นแนบลิงก์เพื่อให้ผู้ใช้งาน “ยืนยันตัวตน” ซึ่งมีลักษณะคล้ายกับการหลอกลวงแบบยืนยันบัญชีทั่วไป
  • การปลอมเป็นฝ่ายสนับสนุนด้านเทคนิค: ข้อความ Smishing ประเภทนี้จะอ้างว่ามีปัญหาเกี่ยวกับอุปกรณ์หรือบริการที่เหยื่อใช้งานอยู่ สำหรับพนักงานในองค์กร ผู้โจมตีอาจส่งข้อความแจ้งว่าบัญชีถูกล็อก พร้อมแอบอ้างว่าเป็นทีม IT ของบริษัทเพื่อสร้างความน่าเชื่อถือ
  • การหลอกลวงด้วยการแจกรางวัล: ข้อความจะระบุว่าผู้รับได้รับรางวัล ถูกรางวัลลอตเตอรี่ หรือชนะกิจกรรมชิงโชค และสามารถรับของรางวัลได้ผ่านลิงก์ที่แนบมา ซึ่งปลายทางของลิงก์มักเป็นหน้าเว็บที่ใช้หลอกให้กรอกข้อมูลส่วนตัว
  • การแจ้งเตือนการยกเลิกบริการ: ข้อความประเภทนี้พยายามสร้างความตื่นตระหนกให้ผู้รับ โดยอ้างว่าบริการหรือสมาชิกที่สมัครใช้งานกำลังจะถูกยกเลิก หากไม่ดำเนินการบางอย่างทันที
  • การแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ: Smishing รูปแบบนี้มักปลอมเป็นบริษัทขนส่งหรือบริการจัดส่งสินค้า โดยอาจแจ้งว่าพัสดุกำลังอยู่ระหว่างจัดส่ง พร้อมแนบ “ลิงก์ติดตามพัสดุ” ที่แท้จริงแล้วเป็นเว็บไซต์ปลอมสำหรับขโมยข้อมูล หรืออาจอ้างว่าพัสดุสำคัญไม่สามารถนำส่งได้เพื่อกระตุ้นให้เหยื่อรีบดำเนินการ
  • การอ้างอิงเรื่องภาษี: ข้อความ Smishing บางประเภทอาจแจ้งว่าผู้รับมียอดภาษีค้างชำระกับหน่วยงานของรัฐ หรือในบางกรณีอาจอ้างว่าผู้รับมีสิทธิ์ได้รับเงินคืนภาษี และจำเป็นต้องดำเนินการบางอย่างเพื่อรับเงินดังกล่าว
  • การปลอมตัวเป็นผู้บริหารองค์กร: ผู้โจมตีอาจแอบอ้างว่าเป็น CEO หรือผู้บริหารระดับสูงในองค์กรของเหยื่อ โดยการโจมตีลักษณะนี้มักมีการปรับแต่งข้อมูลให้เฉพาะบุคคลมากขึ้น เช่น การเรียกชื่อจริงของผู้รับ การระบุสถานที่ทำงาน หรือใช้ข้อมูลพื้นฐานอื่น ๆ ที่สามารถค้นหาได้ทางออนไลน์ เพื่อเพิ่มความน่าเชื่อถือให้ข้อความ
  • ข้อความปลอมที่ดูเกินจริง: ข้อความ Smishing หลายประเภทอาจดูไม่น่าเชื่อถืออย่างชัดเจนสำหรับคนส่วนใหญ่ เช่น “ผมเป็นเจ้าชายจากต่างประเทศและบัญชีของผมถูกอายัด หากคุณช่วยส่งเงินมา 200 ดอลลาร์ ผมจะคืนให้ 100,000 ดอลลาร์เมื่อเข้าถึงบัญชีได้” แม้ว่าจะมีเพียงคนส่วนน้อยที่หลงเชื่อ แต่ผู้หลอกลวงก็ใช้ข้อความลักษณะนี้เพื่อคัดกรองกลุ่มเป้าหมาย แยกผู้ที่มีแนวโน้มหลงเชื่อออกจากผู้ที่ระมัดระวังมากกว่า
  • ข้อความที่ไม่ระบุชัดว่าเป็นใคร: ข้อความ Smishing บางแบบแทบไม่มีข้อมูลใด ๆ และเขียนในลักษณะเหมือนมาจากคนรู้จัก เช่น “ตอนนี้คุณอยู่ในเมืองไหม?” หรือ “คุณยังทำงานที่เดิมอยู่หรือเปล่า?” จุดประสงค์คือทำให้ผู้รับเข้าใจผิดว่ารู้จักผู้ส่งแต่ไม่มีเบอร์โทรศัพท์ จึงตอบกลับข้อความ ผู้โจมตีอาจใช้วิธีนี้เพื่อเริ่มบทสนทนาที่ยืดเยื้อและจบลงด้วยการขอข้อมูลส่วนตัว หรืออาจใช้เพียงเพื่อตรวจสอบว่าหมายเลขโทรศัพท์ดังกล่าวยังใช้งานอยู่ และเจ้าของหมายเลขมีแนวโน้มตอบกลับข้อความจากเบอร์แปลกหรือไม่ ก่อนจะกลับมาใช้กลลวงที่น่าเชื่อถือมากขึ้นในภายหลัง ดังนั้นจึงไม่ควรตอบกลับข้อความลักษณะนี้ แม้จะเป็นการตอบเล่นก็ตาม

เปรียบเทียบ Smishing แตกต่างจาก Phishing อย่างไร

โดยพื้นฐานแล้ว Phishing คือภาพรวมของอาชญากรรมทางไซเบอร์ที่ปลอมตัวเป็นแหล่งที่น่าเชื่อถือ เช่น ธนาคาร หรือหน่วยงานราชการ เพื่อหลอกลวงข้อมูลผ่านช่องทางต่าง ๆ โดยทั่วไปที่มักจะพบเห็นได้บ่อยในรูปแบบอีเมล 

แต่สำหรับ Smishing นั้นถือเป็นประเภทย่อย ที่เจาะจงใช้ช่องทาง SMS บนโทรศัพท์มือถือเป็นหลัก ความน่ากลัวของ Smishing คือคนส่วนใหญ่มักมีความระมัดระวังต่อข้อความในโทรศัพท์น้อยกว่าอีเมล ทำให้โอกาสที่เหยื่อจะหลงเชื่อและคลิกลิงก์มีสูงกว่ามาก

ตัวอย่างการโจมตีแบบ Smishing

หากจะให้เห็นภาพความเสียหายที่ชัดเจน ต้องย้อนกลับไปในปี 2020 กับกรณีของ Bank of Ireland ซึ่งถือเป็นเหตุการณ์ Smishing ที่รุนแรงและซับซ้อนมาก มิจฉาชีพส่ง SMS ที่ดูเหมือนออกมาจากระบบของธนาคารจริง ๆ หลอกให้ลูกค้ากว่า 300 รายคลิกลิงก์ไปยังหน้าเว็บไซต์ Phishing ที่ทำเลียนแบบได้แนบเนียน ผลคือลูกค้าหลงกรอกรหัส 365 PIN ข้อมูลบัตร และ PIN 4 หลัก จนสูญเสียเงินรวมกว่า 800,000 ยูโร เหตุการณ์นี้ชี้ให้เห็นว่าแม้แต่องค์กรระดับโลกก็ถูกนำชื่อไปแอบอ้างจนสร้างความเสียหายมหาศาลได้

วิธีสังเกตข้อความ Smishing

การป้องกันที่ดีที่สุดคือการมีสติและสังเกต Red Flags หรือสัญญาณเตือนภัยเหล่านี้:

  1. ข้อความที่ไม่ได้ร้องขอ: อยู่ดี ๆ ก็ส่งมาทั้งที่ไม่เคยทำธุรกรรมด้วย
  2. ความเร่งด่วนที่ผิดปกติ: บังคับให้ทำภายในเวลาที่กำหนด ไม่เช่นนั้นจะถูกระงับบัญชีหรือเสียสิทธิ์
  3. หมายเลขผู้ส่งแปลกประหลาด: มาจากเบอร์ส่วนตัวหรือเบอร์ต่างประเทศที่ดูไม่เป็นทางการ
  4. การขอข้อมูลสำคัญ: จำไว้ว่าองค์กรที่น่าเชื่อถือและธนาคาร จะไม่มีนโยบาย ขอรหัสผ่านหรือ OTP ผ่านทาง SMS โดยเด็ดขาด

วิธีรับมือเมื่อได้รับข้อความที่อาจเป็น Smishing

หากคุณได้รับข้อความที่เข้าข่ายน่าสงสัย นี่คือแนวทางปฏิบัติที่ควรทำทันที:

  • หลีกเลี่ยงการคลิกลิงก์ทุกประเภท: อย่ากดลิงก์เด็ดขาด หากสงสัยให้เข้าเว็บไซต์ทางการด้วยการพิมพ์ URL เองหรือใช้งานผ่านแอปพลิเคชัน Official เท่านั้น
  • หลีกเลี่ยงการตอบกลับข้อความ: การตอบโต้แม้จะเป็นคำด่า หรือถามกลับ เป็นการยืนยันให้มิจฉาชีพรู้ว่าเบอร์นี้มีคนถือเครื่องอยู่จริง และคุณจะตกเป็นเป้าหมายที่หนักกว่าเดิม
  • รายงานหมายเลขและบล็อกทันที: ใช้ฟีเจอร์ Block และ Report Spam บนมือถือ เพื่อช่วยให้ระบบเครือข่ายกรองเบอร์เหล่านี้ออกไป
  • แจ้งทีม IT หรือฝ่ายรักษาความปลอดภัย: หากเป็นเบอร์ที่ส่งเข้าเครื่องทำงาน การแจ้งฝ่าย IT จะช่วยป้องกันการโจมตีระดับองค์กรได้ทันท่วงที
  • ตรวจสอบข้อมูลกับแหล่งที่มาโดยตรง: โทรสอบถาม Call Center ของหน่วยงานนั้น ๆ เพื่อยืนยันข้อเท็จจริง
  • ปิดฟีเจอร์แจ้งเตือนการอ่านข้อความ: การปิดฟีเจอร์นี้จะช่วยไม่ให้ผู้ส่งรู้ว่าเราเปิดอ่านข้อความแล้ว ลดข้อมูลที่มิจฉาชีพจะนำไปวิเคราะห์ต่อได้

ADSelfService Plus ช่วยปกป้ององค์กรของคุณได้อย่างไร

การรับมือกับภัยคุกคามในปัจจุบันลำพังเพียงแค่การระมัดระวังตัวอาจไม่เพียงพอ ADSelfService Plus จึงถูกออกแบบมาเป็นโซลูชันที่ครบวงจร เพื่อเสริมความปลอดภัยและตัดวงจรการโจมตีแบบ Smishing ได้อย่างมีประสิทธิภาพ

การยืนยันตัวตนแบบหลายปัจจัย (MFA)

ADSelfService Plus ยกระดับความปลอดภัยด้วยระบบ Multi-Factor Authentication (MFA) ในการเข้าสู่ระบบ ซึ่งถือเป็นปราการด่านสำคัญที่ช่วยปกป้องบัญชีผู้ใช้งาน แม้ว่าพนักงานจะเผลอให้รหัสผ่านแก่ผู้โจมตีผ่านการถูก Smishing แต่ผู้ไม่หวังดีก็ยังไม่สามารถเข้าสู่ระบบได้ เพราะติดขั้นตอนการยืนยันตัวตนชั้นที่สอง ทำให้การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตนั้นทำได้ยากจนแทบเป็นไปไม่ได้

รองรับการยืนยันตัวตนแบบ FIDO2

Smishing คือ

เทคโนโลยี FIDO2 ช่วยให้องค์กรก้าวข้ามขีดจำกัดของการใช้รหัสผ่านแบบเดิม ๆ โดยผู้ใช้งานสามารถยืนยันตัวตนผ่าน Security Key แบบฮาร์ดแวร์ หรือใช้ข้อมูลชีวมิติ เช่น การสแกนนิ้วหรือใบหน้า วิธีนี้ช่วยกำจัดความเสี่ยงจากการถูกขโมยข้อมูลผ่านหน้าเว็บปลอมได้เกือบ 100% เนื่องจากผู้โจมตีไม่สามารถจำลอง Security Key หรือข้อมูลทางกายภาพของเจ้าของบัญชีได้

ระบบ Self-Service Password Reset ที่ปลอดภัย

หนึ่งในมุกยอดนิยมของมิจฉาชีพคือการปลอมเป็นเจ้าหน้าที่ IT เพื่อหลอกถามรหัสผ่าน ADSelfService Plus ช่วยตัดโอกาสนี้ทิ้งด้วยการเปิดให้ผู้ใช้งานสามารถรีเซ็ตรหัสผ่านได้ด้วยตนเองผ่านระบบที่ปลอดภัยและได้รับการรับรอง โดยไม่จำเป็นต้องติดต่อหรือให้ข้อมูลสำคัญกับบุคคลที่สาม ช่วยลดความเสี่ยงจากการโจมตีประเภท Social Engineering ได้อย่างดีเยี่ยม

การบังคับใช้นโยบายรหัสผ่านที่รัดกุม 
Smishing คือ

ระบบนี้จะช่วยกำหนดมาตรฐานความปลอดภัยให้สูงขึ้น โดยบังคับให้ผู้ใช้งานต้องสร้างรหัสผ่านที่มีความซับซ้อนและคาดเดาได้ยาก การตั้งนโยบายที่รัดกุมจะช่วยป้องกันการเจาะข้อมูลผ่านการสุ่มรหัสหรือการเดาจากข้อมูลพื้นฐานที่ผู้โจมตีอาจหามาได้จากโลกออนไลน์

ยกระดับความปลอดภัยไซเบอร์วันนี้ด้วย ADSelfService Plus หากคุณกำลังมองหาตัวช่วยที่จะมาเสริมความแข็งแกร่งให้กับระบบ Identity และป้องกันการโจมตีทางไซเบอร์ทุกรูปแบบ ให้เราช่วยดูแลองค์กรของคุณ สามารถทอลองใช้งานฟรี 30 วันได้แล้วที่นี่

ติดตามข่าวสารเพิ่มเติมได้ที่

Linkedin : https://www.linkedin.com/company/manageenginethailand
Facebook: https://www.facebook.com/manageenginethailand