คำว่า Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น ในบทความนี้จะเน้นในเรื่องของ Phishing ที่มีจุดมุ่งหมายเพื่อหลอกลวงทางการเงิน เนื่องจากจะทำให้ผู้อ่านมองเห็นผลกระทบได้ง่าย
คำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่าย ๆ ผู้อ่านสามารถจินตนาการได้ว่า เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อที่เด่น ๆ ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าอีเมลฉบับนั้นถูกส่งออกมาจากธนาคารที่ผู้เสียหายใช้บริการอยู่ โดยเนื้อความในอีเมลแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า และธนาคารต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล เป็นต้น เมื่อผู้เสียหายคลิกที่ลิงก์ดังกล่าว ก็จะพบกับหน้าเว็บไซต์ปลอมของธนาคารซึ่งผู้โจมตีได้เตรียมไว้ เมื่อผู้เสียหายเข้าไปล็อกอิน ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านของผู้เสียหายไปในทันที ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น
หน้าเว็บไซต์ปลอมบางหน้าจะใช้วิธีการที่แยบยล นั่นคือการฝังโทรจันที่สามารถขโมยข้อมูลที่ต้องการมากับหน้าเว็บไซต์ปลอมนั้นด้วย เช่น โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน ของระบบนั้นก็จะถูกส่งไปยังผู้ไม่ประสงค์ดี
เนื้อหายาวหน่อย แต่เพื่อประโยชน์ของท่านเอง ทนอ่านหน่อยนะครับ

Refer: https://www.thaicert.or.th/papers/general/…/pa2012ge007.html