การระบุหาอีเมลฉ้อฉลและแบบแผนฟิชชิ่ง

ใช้กับ
Microsoft Office Outlook® 2003
Microsoft Outlook® 2000 และ 2002
นักสืบ

นักหลอกลวงมืออาชีพมักวนเวียนอยู่มานานแล้วแต่ในตอนนี้เราอยู่ในยุคของอินเทอร์เน็ตซึ่งเป็นยุคที่นักหลอกลวงเหล่านี้มาวนเวียนอยู่บนเว็บเพื่อหาเหยื่อผู้บริโภคทางออนไลน์ที่ไม่รู้ทันการฉ้อโกงทางออนไลน์กำลังมีเพิ่มเป็นอย่างมากและเทคนิคในการสร้างเว็บไซต์และข้อความอีเมลหลอกลวงยิ่งมีความซับซ้อนมากขึ้น กรุณาเรียนรู้เพิ่มเติมเกี่ยวกับว่าคุณสามารถช่วยป้องกันตัวคุณได้อย่างไรจากการถูกฉ้อโกงทางออนไลน์

อะไรคือการฉ้อโกงหรือฟิชชิ่งทางออนไลน์

ฟิชชิ่ง (Phishing ออกเสียงเหมือน "Fishing") คือเทคนิคการฉ้อฉลแบบออนไลน์ที่อาชญากรใช้เพื่อล่อลวงให้คุณเปิดเผยข้อมูลส่วนบุคคล ฟิชชิ่งเป็นวิธีก่ออาชญากรรมออนไลน์ที่เพิ่มขึ้นอย่างรวดเร็วที่สุด ซึ่งใช้สำหรับขโมยข้อมูลการเงินส่วนบุคคลและกระทำการขโมยข้อมูลประจำตัวบุคคล

นักฟิชชิ่งใช้ยุทธวิธีต่างๆ มากมายเพื่อหลอกล่อคุณ รวมทั้งอีเมลและเว็บไซต์ที่เลียนแบบตราสินค้าที่เป็นที่รู้จักและน่าเชื่อถือ วิธีฟิชชิ่งแบบทั่วไปได้แก่การ "ส่งอีเมลที่ไม่พึงประสงค์" ผู้รับด้วยข้อความอีเมลปลอมที่เหมือนข้อความที่ถูกต้องจากบริษัทหรือเว็บไซต์ที่เป็นที่รู้จัก ที่ผู้รับไว้ใจ เช่น บริษัทบัตรเครดิต ธนาคาร องค์กรการกุศล หรือเว็บไซต์ซื้อขายของออนไลน์แบบอีคอมเมิร์ซ วัตถุประสงค์ของข้อความปลอมเหล่านี้คือเพื่อหลอกล่อลูกค้าให้บอกข้อมูลส่วนตัวดังต่อไปนี้

บรรดาอาชญากรจะใช้ข้อมูลนี้ในรูปแบบต่างๆ เพื่อประโยชน์ทางการเงิน ตัวอย่างเช่น วิธีทั่วไปคือการขโมยข้อมูลประจำตัวบุคคล ซึ่งอาชญากรจะขโมยข้อมูลส่วนบุคคลของคุณ รับเอาข้อมูลประจำตัว แล้วทำสิ่งต่อไปนี้

  • สมัครขอสินเชื่อและได้สินเชื่อในชื่อของคุณ
  • ถอนเงินจากบัญชีธนาคารหรือสั่งจ่ายเงินตามบัตรเครดิตของคุณ
  • โอนเงินจากบัญชีการลงทุนหรือเครดิตไลน์ของคุณมายังบัญชีเช็คของคุณและใช้สำเนาบัตรเดบิตเพื่อถอนเงินสดจากบัญชีเช็คที่เครื่องเอทีเอ็มทั่วโลก

สำหรับเคล็ดลับเกี่ยวกับวิธีหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อของการฉ้อฉลแบบออนไลน์ ให้ดูที่ส่วนวิธีที่ดีที่สุดในการช่วยปกป้องตัวคุณเองจากการฉ้อฉลแบบออนไลน์ ซึ่งจะอธิบายต่อไปในบทความนี้

ตัวอย่างของแบบแผนฟิชชิ่ง

ตัวอย่างรูปแบบฟิชชิ่งบางตัวอย่างรวมทั้ง

  • ข้อความอีเมลปลอมที่ดูเหมือนจะมาจากบริษัทที่คุณทำธุรกิจด้วยจะเตือนคุณว่าบริษัทนั้นๆ ต้องการตรวจสอบความถูกต้องของข้อมูลบัญชีผู้ใช้ของคุณ หรือบัญชีผู้ใช้ของคุณจะถูกระงับ
  • การผสมผสานของการฉ้อโกงการประมูลและไซต์คนกลาง (escrow) ปลอม ซึ่งจะเกิดขึ้นเมื่อรายการสินค้าได้ถูกหยิบยกขึ้นมาเพื่อจำหน่ายในการประมูลทางออนไลน์ที่ชอบด้วยกฎหมายเพื่อหลอกให้คุณชำระเงินไปยังไซต์คนกลาง (escrow) ปลอม
  • ธุรกรรมการขายทางออนไลน์ปลอมซึ่งเป็นกรณีที่อาชญากรเสนอซื้อบางสิ่งจากท่าน และขอชำระราคาที่เกินกว่าราคาสินค้า โดยให้คุณส่งเงินจำนวนที่เกินราคาดังกล่าวกลับไปให้เป็นเช็คแต่กลายเป็นว่าเงินที่อาชญากรส่งให้ไม่มีการจ่ายเงินแต่เงินที่ส่งไปให้อาชญากรกลับเป็นเงินสดเข้ากระเป๋าอาชญากรไป นอกจากนั้น เช็คที่คุณส่งไปยังมีหมายเลขบัญชี รหัสการเราต์ของธนาคาร ที่อยู่และหมายเลขโทรศัพท์
  • หน่วยงานการกุศลปลอมขอให้คุณช่วยบริจาคเงิน โชคไม่ดีที่อาชญากรหลายรายมักฉวยโอกาสจากความใจบุญของคุณ

ยังมีแบบแผนฟิชชิ่งอีกมากมายที่รอให้ค้นหา หากต้องการรายงานล่าสุดเกี่ยวกับ แบบแผนฟิชชิ่งที่ได้รับการเปิดเผย โปรดดูที่เว็บไซต์ Anti-Phishing Working Group

ฉันจะบอกได้อย่างไรว่าอีเมลของฉันเป็นอีเมลหลอก

สิ่งที่แย่ก็คือ การโจมตีด้วยฟิชชิ่งมีความซับซ้อนมากขึ้น จึงเป็นเรื่องยากมากที่บุคคลทั่วไปจะบอกได้ว่าข้อความอีเมลนั้นเป็นเรื่องฉ้อฉลหรือไม่ ด้วยเหตุนี้รูปแบบฟิชชิ่งจึงแพร่หลายอย่างรวดเร็วและประสบความสำเร็จในหมู่อาชญากร ตัวอย่างเช่น ข้อความอีเมลปลอมจะเชื่อมโยงไปยังโลโก้บริษัทจริงซึ่งเป็นตราสินค้าที่เป็นที่รู้จัก อย่างไรก็ตาม คุณสามารถระวังสิ่งต่อไปนี้

ฉันจะรู้ได้อย่างไรว่าเป็นเว็บไซต์หลอกลวง

เช่นเดียวกับข้อความอีเมลฉ้อฉล เว็บไซต์หลอกลวงจะมีภาพกราฟิกโลโก้และการเชื่อมโยงเว็บที่น่าเชื่อถือ สิ่งนี้ทำให้ยากจะบอกได้ว่าเป็นการฉ้อฉลหรือไม่ กลยุทธ์ที่ดีที่สุดคือไม่คลิกการเชื่อมโยงในข้อความอีเมลที่น่าสงสัย สิ่งที่ต้องมองหาว่าเว็บไซต์ที่ถูกกฎหมายควรจะมีคือสิ่งต่อไปนี้

วิธีที่ดีที่สุดในการช่วยปกป้องตัวคุณเองจากการฉ้อฉลแบบออนไลน์

  • อย่าตอบกลับข้อความอีเมลที่ร้องขอข้อมูลส่วนบุคคลของคุณอย่างเด็ดขาด  ให้ตั้งข้อสงสัยไว้ให้มากถ้ามีข้อความอีเมลจากองค์กรธุรกิจหรือบุคคลที่ขอข้อมูลส่วนบุคคลของคุณ   หรือผู้ที่ส่งข้อมูลส่วนบุคคลของคุณมาให้และขอให้คุณปรับปรุงหรือยืนยัน ให้โทรไปยังหมายเลขโทรศัพท์จากบันทึกข้อมูลบัญชีของคุณแทน อย่าโทรศัพท์ไปยังหมายเลขที่อยู่ในข้อความอีเมล และในทำนองเดียวกัน อย่าให้ข้อมูลส่วนบุคคลแก่ใครที่โทรมาหาคุณโดยไม่ได้รับเชิญ
  • อย่าคลิกการเชื่อมโยงในอีเมลที่น่าสงสัย  อย่าคลิกการเชื่อมโยงที่อยู่ในข้อความอีเมลที่น่าสงสัย การเชื่อมโยงนั้นอาจไม่น่าไว้วางใจ แต่ให้เยี่ยมชมเว็บไซต์ด้วยการพิมพ์ URL ของเว็บไซต์นั้นลงในเบราว์เซอร์ หรือใช้การเชื่อมโยงในรายการโปรดของคุณแทน อย่าคัดลอกแล้ววางการเชื่อมโยงจากข้อความลงในเบราว์เซอร์
  • ใช้รหัสผ่านที่มีความปลอดภัยสูงและให้เปลี่ยนรหัสดังกล่าวบ่อยๆ   ถ้าบัญชีผู้ใช้ของคุณยอมให้ทำได้ ให้ใช้รหัสผ่านที่ยากต่อการคาดเดา อันประกอบด้วยอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ ซึ่งทำให้ผู้อื่นคาดเดาได้ยาก อย่าใช้คำศัพท์ ให้ใช้รหัสผ่านแตกต่างกันสำหรับบัญชีผู้ใช้แต่ละบัญชี และเปลี่ยนรหัสผ่านบ่อยๆ แต่การจดจำรหัสผ่านเหล่านั้นทั้งหมดก็ทำได้ยาก สำหรับเคล็ดลับในการสร้างรหัสผ่านที่คาดเดาได้ยากและวิธีจดจำและเก็บรหัสผ่านอย่างปลอดภัย โปรดดูที่ การสร้างรหัสผ่านที่คาดเดาได้ยาก
  • อย่าส่งข้อมูลส่วนบุคคลในข้อความอีเมลทั่วไป  ข้อความอีเมลแบบธรรมดาจะไม่มีการเข้ารหัสลับและจะเหมือนกับการส่งไปรษณียบัตร ถ้าคุณต้องใช้ข้อความอีเมลในการทำธุรกรรมส่วนบุคคล ให้ใช้ Outlook เพื่อเซ็นชื่อแบบดิจิทัลและเข้ารหัสลับข้อความโดยใช้การรักษาความปลอดภัยแบบ S/MIME (S/MIME: Secure Multipurpose Internet Mail Extension (S/MIME) คือมาตรฐานอินเทอร์เน็ตสำหรับข้อความอีเมลที่ถูกเซ็นชื่อแบบดิจิทัลและมีการเข้ารหัสลับ) MSN®, Hotmail®, Outlook Express, Microsoft Office Outlook Web Access, Lotus Notes, Netscape และ Eudora ล้วนสนับสนุนการรักษาความปลอดภัยแบบ S/MIME
  • ให้ทำธุรกิจเฉพาะกับบริษัทที่คุณรู้จักและไว้วางใจ  ใช้บริษัทที่ก่อตั้งขึ้นและเป็นที่รู้จักอย่างแพร่หลายที่มีชื่อเสียงในด้านการบริการที่มีคุณภาพ เว็บไซต์ทางธุรกิจควรมีคำชี้แจงสิทธิ์ส่วนบุคคลที่ระบุอย่างเฉพาะเจาะจงว่าบริษัทจะไม่ส่งต่อชื่อและข้อมูลของคุณไปยังบุคคลอื่นเสมอ
  • ตรวจสอบให้แน่ใจว่าเว็บไซต์นั้นใช้การเข้ารหัสลับ  ที่อยู่เว็บควรนำหน้าด้วย https:// แทนที่จะเป็น http:// ตามปกติในแถบที่อยู่ของเบราว์เซอร์ นอกจากนี้ ให้คลิกสองครั้งที่ไอคอนรูปกุญแจ ไอคอนรูปกุญแจ บนแถบสถานะของเบราว์เซอร์ของคุณเพื่อแสดงใบรับรองดิจิทัลสำหรับไซต์นั้น ชื่อที่ตามหลัง ออกให้แก่ ในใบรับรองควรตรงกับไซต์ที่คุณคิดว่าคุณเข้าอยู่ ถ้าสงสัยว่าเว็บไซต์นั้นไม่ใช่เว็บไซต์ที่ควรจะเป็น ให้ออกจากไซต์นั้นทันที และรายงานไซต์ดังกล่าว อย่าทำตามคำแนะนำใดๆ ที่ไซต์นั้นแสดง
  • ช่วยปกป้องพีซีของคุณ  เป็นเรื่องสำคัญที่จะต้องใช้ไฟร์วอลล์ ปรับปรุงข้อมูลในเครื่องคอมพิวเตอร์ของคุณเสมอ และใช้โปรแกรมป้องกันไวรัส โดยเฉพาะอย่างยิ่งถ้าคุณเชื่อมต่อกับอินเทอร์เน็ตผ่านเคเบิลโมเด็มหรือโมเด็ม Digital Subscriber Line (DSL) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีทำเช่นนี้ โปรดเยี่ยมชม การปกป้องพีซีของคุณ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันไวรัส โปรดดูที่ วิธีที่ดีที่สุดในการป้องกันไวรัส และ วิธีที่ดีที่สุดในการช่วยป้องกันอีเมลที่ไม่พึงประสงค์ นอกจากนี้คุณควรพิจารณาการใช้ซอฟต์แวร์ป้องกันสปายแวร์ด้วย คุณสามารถดาวน์โหลดซอฟต์แวร์ป้องกันสปายแวร์ของ Microsoft หรือใช้ผลิตภัณฑ์อื่นๆ จากไซต์การดาวน์โหลดและการทดลองใช้ซอฟต์แวร์รักษาความปลอดภัย
  • ตรวจสอบการทำธุรกรรมของคุณ  ทบทวนการยืนยันคำสั่งซื้อ และบัตรเครดิตและใบแจ้งยอดบัญชีธนาคารของคุณทันทีที่คุณได้รับสิ่งเหล่านี้เพื่อตรวจสอบให้แน่ใจว่าได้มีการคิดเงินคุณเฉพาะในธุรกรรมที่ทำขึ้นเท่านั้น ให้รายงานความไม่ชอบมาพากลที่เกิดในบัญชีธนาคารของคุณทันทีโดยหมุนไปที่หมายเลขโทรศัพท์ที่แสดงอยู่ในใบแจ้งยอดบัญชีธนาคารของคุณ การใช้บัตรเครดิตใบเดียวสำหรับการซื้อสินค้าทางออนไลน์จะทำให้ง่ายสำหรับการเฝ้าติดตามธุรกรรมของคุณ
  • ใช้บัตรเครดิตในการทำธุรกรรมทางอินเทอร์เน็ต  ในท้องที่ส่วนใหญ่ความรับผิดในกรณีที่มีการปลอมบัตรเครดิตมีความรับผิดไม่มากนัก ในทางตรงกันข้าม ในกรณีที่คุณใช้การเดบิตโดยตรงจากบัญชีธนาคารของคุณหรือบัตรเดบิต ความรับผิดที่เกิดขึ้นมักเต็มจำนวนของจำนวนเงินตามที่ปรากฏในบัญชีธนาคาร นอกจากนั้น บัตรเครดิตที่มีวงเงินจำกัด นิยมใช้สำหรับการทำธุรกรรมบนอินเทอร์เน็ตเนื่องจากมีวงเงินจำกัดที่จะสูญเสียเมื่อบัตรโดนขโมย แต่ยังมีทางเลือกที่ดีกว่านั้น บริษัทผู้ออกบัตรเครดิตหลายรายได้เสนอให้มีทางเลือกในการซื้อสินค้าทางออนไลน์ด้วยหมายเลขบัตรเครดิตแบบใช้ครั้งเดียวแบบเสมือนซึ่งจะหมดอายุภายในหนึ่งหรือสองเดือนเท่านั้น สำหรับข้อมูลเพิ่มเติม ให้สอบถามธนาคารของท่านเกี่ยวกับหมายเลขบัตรเครดิตแบบเสมือนที่หมดอายุเร็ว

ฉันจะรายงานการฉ้อฉลแบบออนไลน์และการสวมรอยบุคคลได้อย่างไร

ในกรณีที่ท่านเชื่อว่าท่านได้รับข้อความอีเมลการฉ้อโกงหรือท่านได้ตกเป็นเหยื่อการฉ้อโกงทางออนไลน์ ท่านสามารถรายงานปัญหาดังกล่าวไปยังกลุ่มต่างๆ ดังต่อไปนี้

  • FBI  FBI: ศูนย์รับเรื่องราวร้องทุกข์เกี่ยวกับการฉ้อโกงทางอินทอร์เน็ต (IFCC) ที่ทำงานด้านการบังคับใช้กฎหมายทั่วโลกและอุตสาหกรรมที่พร้อมจะปิดเว็บไซต์ฟิชชิ่ง และระบุตัวผู้กระทำผิดที่อยู่เบื้องหลังการฉ้อโกงดังกล่าว
  • FTC   ในกรณีที่คุณเชื่อว่าข้อมูลส่วนบุคคลของท่านถูกขโมย คุณควรรายงานไปยัง FTC: ทรัพยากรแห่งชาติเพื่อการระบุตัวขโมย และเข้าเยี่ยมชมเว็บไซต์เพื่อเรียนรู้วิธีการในการบรรเทาความเสียหาย
  • แนบและส่งต่อข้อความอีเมลปลอมไปยังเจ้าหน้าที่   การรายงานข้อความอีเมลปลอมไปยังเจ้าหน้าที่จะช่วยในการพยายามต่อสู้กับรูปแบบฟิชชิ่ง มีข้อมูลฝังอยู่ในส่วนหัวของข้อความอีเมลที่ผู้เชี่ยวชาญด้านเทคนิคต้องการเพื่อหาการฉ้อฉลหรือการใช้ในทางที่ผิด หากไม่มีสิ่งนั้น ผู้เชี่ยวชาญอาจไม่สามารถดำเนินการสืบสวนได้ ให้ทำตามขั้นตอนต่างๆ ด้านล่างนี้เพื่อส่งส่วนหัวต้นฉบับแบบเต็มของข้อความที่คุณต้องการรายงาน ที่อยู่อีเมลบางรายการที่คุณสามารถใช้รายงานจดหมายที่น่าสงสัยคือ

    reportphishing@antiphishing.org จะส่งไปที่ กลุ่มทำงานต่อต้านฟิชชิ่ง ซึ่งเป็นสมาคมอุตสาหกรรมแห่งหนึ่ง

    spam@uce.gov จะส่งไปที่ FTC

    abuse@msn.com จะส่งไปที่ MSN

    abuse@microsoft.com จะส่งไปที่ Microsoft

    ในขั้นตอนเหล่านี้ ให้คุณคัดลอกส่วนหัวจากข้อความอีเมลที่เป็นปัญหาลงในข้อความใหม่ นอกจากนี้ คุณยังสามารถแนบข้อความที่เป็นปัญหาไปกับข้อความใหม่ได้

    1. ใน Outlook ให้คลิกขวาที่ข้อความที่น่าสงสัยซึ่งคุณต้องการรายงาน แล้วคลิก ตัวเลือก บนเมนูทางลัด
    2. เมื่อต้องการตัดลอกส่วนหัวแบบเต็ม ให้คลิกขวาในกล่อง ส่วนหัวอินเทอร์เน็ต แล้วคลิก เลือกทั้งหมด บนเมนูทางลัด
    3. เมื่อต้องการคัดลอกส่วนหัวแบบเต็ม ให้กด CTRL+C แล้วคลิก ปิด
    4. เปิดข้อความใหม่ แล้วพิมพ์ที่อยู่อีเมลของบริษัทที่คุณกำลังจะรายงานข้อความที่เป็นปัญหา  ตัวอย่างเช่น reportphishing@antiphishing.org 
    5. ถ้าตัวแก้ไขอีเมลของคุณคือ Microsoft Word ให้คลิกลูกศรลง Button image ที่อยู่ติดกับ แทรกแฟ้ม Button image แล้วคลิก รายการ ถ้า Microsoft Word ไม่ใช่ตัวแก้ไขอีเมล บนเมนู แทรก ให้คลิก รายการ
    6. คลิกข้อความที่คุณต้องการรายงาน แล้วคลิก ตกลง การกระทำเช่นนี้จะแนบข้อความที่เป็นปัญหาไปกับข้อความใหม่
    7. ในบรรทัด เรื่อง ให้พิมพ์ ฉันขอรายงานอีเมลที่น่าสงสัย หรืออะไรก็ได้ที่คุณคิดว่าจะอธิบายสิ่งที่คุณกำลังทำได้ดีที่สุด
    8. ในเนื้อความของข้อความใหม่ ให้กด CTRL+V เพื่อวางส่วนหัวที่คุณคัดลอกมาในขั้นตอนที่ 3
    9. คลิก ส่ง

เคล็ดลับเกี่ยวกับการซื้อสินค้าและการชำระเงินทางออนไลน์ที่มีความปลอดภัยมากกว่า

ในกรณีที่คุณต้องการข้อมูลเพิ่มเติมจาก Microsoft เกี่ยวกับวิธีในการช่วยคุ้มครองข้อมูลส่วนบุคคลของคุณในขณะที่ซื้อสินค้าและชำระเงินทางออนไลน์ โปรดเข้าเยี่ยมที่ การฉ้อโกงทางออนไลน์ พึงเข้าใจว่าไม่ใช่การขโมยรหัสทั้งหมดที่จะเป็นพวกแฮ็กเกอร์ที่มีเทคโนโลยีสูง บางกรณีอาจใช้เทคโนโลยีที่ต่ำ เช่น การซื้อเศษเอกสาร เพื่อหาข้อมูลส่วนบุคคล ซึ่งมักจะซื้อเศษใบเสร็จรับเงินที่ฉีกขาด เอกสารเสนออนุมัติเครดิตล่วงหน้า และเอกสารอื่นๆ ที่มีข้อมูลส่วนบุคคลก่อนที่จะนำไปทิ้งหรือนำกลับมาใช้ใหม่

วิธีที่ Outlook 2003 ช่วยปกป้องคุณจากรูปแบบฟิชชิ่ง

สำหรับข้อมูลเฉพาะเกี่ยวกับวิธีที่ Outlook 2003 ช่วยปกป้องคุณจากรูปแบบฟิชชิ่ง โปรดดูที่บทความชื่อ การบล็อกข้อความที่น่าสงสัยและรูปแบบฟิชชิ่ง

 
 
นำไปใช้กับ:
Office 2003, Outlook 2003, Outlook