ลิงก์แปลกปลอม ก็เหมือน เหยื่อล่อปลา: วิธีสอนลูกให้รู้ทันกลลวง Phishing

Anat Obom

5 days ago

ผมโตมากับการตกปลาครับ ตอนเด็กๆ ผมชอบไปนั่งเฝ้าดูคุณตาเลือกเหยื่อปลอม ท่านมีกล่องใบใหญ่ที่เต็มไปด้วยเหยื่อรูปร่างหน้าตาประหลาดๆ บางตัวก็สีสันสดใสสะท้อนแสงแวววาว บางตัวก็ทำเลียนแบบแมลงปอได้เหมือนจริงจนน่าตกใจ คุณตาสอนผมว่า “หัวใจของการตกปลา ไม่ใช่การมีเบ็ดที่ดีที่สุด แต่คือการเลือก ‘เหยื่อ’ ที่ปลามันอยากจะกินที่สุด” เหยื่อถูกสร้างขึ้นมาเพื่อ “หลอก” ปลาให้คิดว่ามันเป็นอาหารอันโอชะ

พอผมโตขึ้นมาทำงานสาย Cyber Security ผมก็ได้เจอกับ “นักตกปลา” อีกประเภทหนึ่ง แต่คนกลุ่มนี้ไม่ได้ตกปลาในแม่น้ำ พวกเขา “ตก” คนในโลกอินเทอร์เน็ต และ “เหยื่อ” ที่พวกเขาใช้ ก็มีความแนบเนียนไม่แพ้เหยื่อของคุณตาเลยครับ… เราเรียกการตกคนแบบนี้ว่า “Phishing” (ฟิชชิ่ง)

วันก่อนลูกชายผมก็เกือบจะ “ติดเบ็ด” เข้าแล้ว เขาได้รับข้อความ SMS บอกว่า “พัสดุของคุณมีปัญหาในการจัดส่ง กรุณาคลิกลิงก์เพื่ออัปเดตที่อยู่” ด้วยความที่เขากำลังรอของเล่นที่สั่งจากเกมอยู่พอดี เขาก็เกือบจะคลิกไปแล้ว โชคดีที่เขานึกถึงกฎ “ถ้าไม่แน่ใจ ให้เรียกพ่อทันที” ของเราขึ้นมาได้เสียก่อน

เหตุการณ์นี้ทำให้ผมเห็นว่า การสอนเรื่อง Phishing ให้ลูกเข้าใจ คือหนึ่งในบทเรียนที่สำคัญที่สุดในยุคนี้ วันนี้ผมจึงอยากจะขอเจาะลึกเรื่องนี้แบบหมดเปลือก ตั้งแต่การอธิบายว่ามันคืออะไร, มีกี่ประเภท, วิธีสังเกตแบบจับผิดได้จริง, ไปจนถึงวิธีรับมือถ้าเผลอไปติดเบ็ดเข้าครับ

Table of Contents

Phishing คืออะไร? ผมอธิบายให้ลูกชายฟังแบบนี้

ผมชวนลูกชายมานั่งดู “กล่องเหยื่อตกปลา” ของผม แล้วอธิบายว่า:

“Phishing ก็เหมือนการตกปลานี่แหละลูก แต่มันสะกดด้วย ‘Ph’ เพราะมันเป็นการตกปลาผ่าน ‘Phone’ (โทรศัพท์) และโลกออนไลน์ คนไม่ดี หรือที่เราเรียกว่า ‘แฮกเกอร์’ เนี่ย เขาจะสร้าง ‘เหยื่อปลอมดิจิทัล’ ขึ้นมา อาจจะเป็นอีเมล, ข้อความ SMS, หรือข้อความในเกม ที่ดูเหมือนมาจากบริษัทจริงๆ หรือคนที่เรารู้จัก”

“เหยื่อพวกนี้จะพยายามหลอกให้เราทำอะไรบางอย่างอย่างเร่งด่วน เช่น บอกว่าบัญชีเกมของลูกกำลังจะถูกแบนนะ ให้รีบกดลิงก์นี้เพื่อยืนยันตัวตนด่วน! หรือบอกว่าลูกได้รับไอเทมฟรี! ให้รีบกดรับก่อนหมดเขต”

“เป้าหมายของเขาคือการหลอกให้เรา ‘ฮุบเหยื่อ’ ซึ่งก็คือการกดลิงก์ หรือกรอกข้อมูลส่วนตัวอย่างชื่อผู้ใช้, รหัสผ่าน, หรือข้อมูลบัตรเครดิตลงใน ‘เว็บไซต์ปลอม’ ที่เขาเตรียมไว้ ซึ่งหน้าตาจะเหมือนกับของจริงเป๊ะๆ เลย”

รู้จัก “บ่อตกปลา” และ “ประเภทของเหยื่อ”: Phishing ไม่ได้มาทางอีเมลอย่างเดียว

ในฐานะคนทำงานสายไอที ผมอยากจะอธิบายให้ชัดเจนว่ามิจฉาชีพสมัยนี้ไม่ได้ตกปลาแค่ใน “บ่ออีเมล” อีกต่อไปแล้ว พวกเขามีบ่อและเหยื่อหลายประเภทมาก ที่บ้านเราจะเรียกชื่อมันให้เป็นเรื่องสนุกเพื่อให้ลูกชายจดจำได้ง่ายครับ

1. ฟิชชิ่งแบบดั้งเดิม (Email Phishing): นี่คือ “นักตกปลาในทะเลสาบใหญ่” พวกเขาจะส่งอีเมลเหยื่อล่อแบบหว่านแหไปทั่ว หาใครก็ได้ที่หลงเชื่อ เนื้อหามักจะเป็นเรื่องทั่วไป เช่น “บัญชีธนาคารของคุณมีปัญหา” หรือ “คุณถูกรางวัลใหญ่”
2. สมิชชิ่ง (SMiShing – SMS Phishing): นี่คือ “นักตกปลาในลำธาร” ที่มาทางข้อความ SMS ในมือถือของเราโดยตรง ซึ่งจะอันตรายกว่าเพราะมันรู้สึกส่วนตัวและเร่งด่วนกว่า เช่น ข้อความเรื่องพัสดุ, แจ้งหนี้ค่าโทรศัพท์, หรือลิงก์เล่นพนันออนไลน์ที่ส่งมาเชิญชวน
3. วิชชิ่ง (Vishing – Voice Phishing): นี่คือ “นักตกปลาแบบใช้เสียงล่อ” หรือที่เรารู้จักกันในชื่อ “แก๊งคอลเซ็นเตอร์” นั่นเองครับ พวกเขาจะใช้การโทรศัพท์เพื่อสร้างความตกใจหรือความดีใจ และหลอกให้เราโอนเงินหรือบอกข้อมูลส่วนตัว
4. สเปียร์ฟิชชิ่ง (Spear Phishing): นี่คือ “นักตกปลามือฉมัง” ที่อันตรายที่สุด พวกเขาจะไม่หว่านแห แต่จะเลือก “ตกปลาตัวใหญ่” แค่ตัวเดียว พวกเขาจะทำการบ้านมาอย่างดี รู้จักชื่อจริง, ที่ทำงาน, หรือแม้แต่ชื่อเพื่อนของเรา แล้วสร้างอีเมลที่ดูน่าเชื่อถือมากๆ ขึ้นมาโดยเฉพาะ เช่น อีเมลที่อ้างว่าเป็นหัวหน้างานส่งมาสั่งให้โอนเงินด่วน หรือเป็นเพื่อนสนิทส่งไฟล์งานมาให้

“กล่องอุปกรณ์จับผิดเหยื่อปลอม”: 6 สัญญาณเตือนที่ผมสอนลูกชายให้สังเกต

การจะมองเหยื่อปลอมให้ออกต้องใช้ทักษะการสังเกตเหมือนช่างฝีมือ ผมได้รวบรวม 6 เทคนิคที่ผมใช้ในงาน Cyber Security มาย่อยให้เป็นภาษาที่ลูกชายและคุณพ่อคุณแม่เข้าใจได้ง่ายๆ ครับ

1. “ที่อยู่ผู้ส่ง” ดูแปลกๆ เหมือนของทำเลียนแบบ เวลาผมซื้อเครื่องมือ ผมจะดูยี่ห้อที่น่าเชื่อถือเสมอ ของปลอมมักจะทำโลโก้คล้ายๆ แต่ไม่เหมือนเป๊ะ ในอีเมลก็เช่นกันครับ จุดที่ต้องดูจุดแรกคือ “ที่อยู่ผู้ส่ง”

ตัวอย่าง: อีเมลที่อ้างว่ามาจาก Microsoft แต่ที่อยู่ผู้ส่งกลับเป็น support@micr0soft-security.com (ใช้เลข 0 แทนตัว O) หรือ microsoft@hotmail.co.th ซึ่งบริษัทใหญ่ๆ จะไม่ใช้โดเมนฟรีแบบนี้แน่นอน

2. “เนื้อหา” ที่เร่งรีบ กดดัน เหมือนช่างที่ทำงานลวกๆ ผมสอนลูกเสมอว่างานฝีมือที่ดีต้องใช้เวลาและความใจเย็น คนที่ทำงานลวกๆ ผลงานมักจะออกมาไม่ดี เช่นเดียวกันกับมิจฉาชีพ พวกเขาไม่อยากให้เรามีเวลาคิด เขาจึงมักจะสร้าง “ความรู้สึกเร่งด่วน” (Sense of Urgency) กดดันเรา

ตัวอย่าง: หัวข้ออีเมลมักจะเขียนว่า “ด่วน! บัญชีของคุณจะถูกระงับใน 24 ชั่วโมง” หรือ “ยืนยันข้อมูลของคุณเพื่อหลีกเลี่ยงการปิดบัญชี”

3. “ข้อเสนอ” ที่ดีเกินจริง เหมือนเครื่องมือวิเศษที่ไม่มีอยู่จริง ในโรงไม้ ไม่มีเครื่องมือวิเศษที่ทำงานทุกอย่างให้เราได้ในปุ่มเดียว ทุกอย่างต้องใช้แรงและเวลา ในโลกออนไลน์ก็เช่นกันครับ

ตัวอย่าง: “คุณคือผู้โชคดีได้รับ iPhone ฟรี! คลิกเพื่อรับสิทธิ์”, “ทำงานออนไลน์ง่ายๆ ได้เงินวันละ 5,000 บาท” ผมสอนลูกเสมอว่า “ของฟรีและดี…ไม่มีในโลกออนไลน์”

4. “คำทักทาย” ที่ไม่เจาะจง เหมือนจดหมายที่จ่าหน้าซองผิด เวลาธนาคารหรือบริษัทที่เราใช้บริการส่งอีเมลหาเรา เขาจะระบุชื่อเราเสมอ เพราะเขารู้ว่าเราเป็นใคร

ตัวอย่าง: อีเมล Phishing มักจะใช้คำทักทายกว้างๆ เช่น “เรียน ลูกค้าผู้มีอุปการะคุณ” (Dear Valued Customer) หรือ “ถึงผู้ใช้งานบัญชี” เพราะเขาส่งแบบหว่านและไม่รู้ว่าชื่อจริงของเราคืออะไร

5. “ภาษา” ที่สะกดผิดๆ ถูกๆ เหมือนแบบแปลนที่เขียนมั่วๆ ถ้าสถาปนิกเขียนแบบแปลนผิดๆ ถูกๆ เราคงไม่กล้าสร้างบ้านตามแบบนั้นแน่ๆ อีเมลจากบริษัทใหญ่ๆ มักจะผ่านการตรวจสอบอย่างดี

ตัวอย่าง: อีเมล Phishing โดยเฉพาะที่แปลมาจากภาษาอื่น มักจะมีคำที่สะกดผิด, ไวยากรณ์เพี้ยนๆ, หรือการเว้นวรรคที่ดูไม่เป็นมืออาชีพ

6. “ตัวลิงก์” ที่ซ่อนที่อยู่จริงไว้ เหมือนเหยื่อที่เคลือบยาพิษ นี่คือส่วนที่สำคัญที่สุดและเป็นเทคนิคที่ผมอยากให้คุณพ่อคุณแม่สอนลูกๆ มากที่สุดครับ มันคือ “เวทมนตร์” ของชาวไซเบอร์ที่เรียกว่า “การโฮเวอร์” (Hovering)

วิธีใช้: บนคอมพิวเตอร์ ให้ลอง “เลื่อนเมาส์ไปวางค้างไว้บนลิงก์นั้นๆ (ห้ามคลิกเด็ดขาด!)” แล้วจะมีกรอบข้อความเล็กๆ แสดง “ที่อยู่เว็บไซต์ที่แท้จริง” ขึ้นมา เราจะเห็นทันทีว่าแม้ข้อความบนลิงก์จะเขียนว่า www.facebook.com แต่ที่อยู่จริงอาจจะเป็น www.faceb00k-login.xyz หรือเว็บแปลกๆ อื่นๆ นี่คือการตรวจสอบไส้ในของเหยื่อก่อนที่จะฮุบเข้าไปครับ

สถานการณ์ฉุกเฉิน: ถ้าเผลอ “ติดเบ็ด” ไปแล้วต้องทำอย่างไร?

ในโรงไม้ อุบัติเหตุเกิดขึ้นได้เสมอ สิ่งสำคัญคือต้องรู้วิธีปฐมพยาบาลเบื้องต้น ในโลกออนไลน์ก็เช่นกันครับ ถ้าวันหนึ่งลูกเดินหน้าซีดมาบอกว่า “พ่อครับ…หนูเผลอกดลิงก์แล้วกรอกรหัสผ่านไปแล้ว” นี่คือแผนรับมือฉุกเฉินของบ้านเราครับ

กฎข้อที่ 1: อย่าตื่นตระหนก (และพ่อแม่ก็ห้ามดุ): สิ่งแรกคือต้องสงบสติอารมณ์ และย้ำกับลูกว่า “ไม่เป็นไรนะลูก ขอบคุณที่กล้ามาบอกพ่อ” การสร้างความไว้วางใจสำคัญกว่าการตำหนิ
กฎข้อที่ 2: ตัดการเชื่อมต่อทันที: เหมือนการรีบปิดสวิตช์เครื่องมือไฟฟ้า ให้รีบตัดการเชื่อมต่ออินเทอร์เน็ตของอุปกรณ์นั้นๆ ทันที (ปิด Wi-Fi, ดึงสาย LAN ออก) เพื่อป้องกันไม่ให้แฮกเกอร์ส่งคำสั่งเข้ามาเพิ่มเติมหรือขโมยข้อมูลออกไปได้อีก
กฎข้อที่ 3: เปลี่ยนรหัสผ่านทั้งหมด: รีบใช้อุปกรณ์เครื่องอื่นที่ปลอดภัย เข้าไปเปลี่ยนรหัสผ่านของบัญชีที่โดน Phishing ทันที และถ้าใช้รหัสผ่านนั้นซ้ำกับเว็บอื่นๆ ก็ต้องตามไปเปลี่ยนให้หมด (นี่เป็นเหตุผลว่าทำไมการใช้รหัสผ่านไม่ซ้ำกันจึงสำคัญมาก ซึ่งเราจะคุยกันในบทความหน้า)
กฎข้อที่ 4: สแกนไวรัส: เปิดโปรแกรม Antivirus เพื่อสแกนหาโปรแกรมไม่พึงประสงค์ (มัลแวร์/โทรจัน) ที่อาจจะถูกติดตั้งเข้ามาตอนที่คลิกลิงก์
กฎข้อที่ 5: แจ้งให้คนอื่นทราบ: หากบัญชีที่โดนเป็นโซเชียลมีเดีย ให้รีบแจ้งเพื่อนๆ ว่าเราอาจโดนแฮก เพื่อป้องกันไม่ให้เพื่อนของเราตกเป็นเหยื่อต่อไป

บทสรุป: สร้างเด็กที่ “รอบคอบ” ไม่ใช่เด็กที่ “ขี้กลัว”

การสอนเรื่อง Phishing ไม่ใช่การทำให้ลูกกลัวอินเทอร์เน็ตจนไม่กล้าคลิกอะไรเลยนะครับ แต่คือการฝึกฝน “สัญชาตญาณ” แห่งความรอบคอบให้เขา เหมือนที่ช่างไม้ที่ชำนาญจะรู้ได้ทันทีว่าไม้ชิ้นไหนมีรอยร้าว หรือเสียงของเครื่องมือตัวไหนเริ่มผิดปกติ

เด็กที่เข้าใจกลไกของ “เหยื่อล่อ” จะเปลี่ยนจาก “ปลา” ที่รอให้คนมาตก กลายเป็น “นักตกปลา” ที่ชาญฉลาดเสียเอง เขาสามารถสนุกกับโลกออนไลน์ได้อย่างเต็มที่ โดยที่ยังคงความสามารถในการมองเห็นและหลีกเลี่ยงอันตรายได้อย่างสง่างามครับ

ในบทความต่อไป เราจะมาเจาะลึกเรื่องการสร้าง “กุญแจห้องนิรภัย” หรือเทคนิคการตั้งรหัสผ่านที่แข็งแกร่ง ซึ่งเป็นด่านป้องกันที่สำคัญที่สุดด่านหนึ่งในโลกดิจิทัลกันครับ!