ฟิชชิง (Phishing) คือกลโกงหลอกเอารหัสผ่านจากผู้ใช้งานโดยสร้างหน้าเว็บปลอมให้คล้ายของจริงมากที่สุดจนเหยื่อหลงเชื่อกรอก user และ password จริงลงไป โดยวิธีระวังง่าย ๆ คือให้สังเกตุที่ url เพราะถึงจะเนียนยังไงก็ปลอมชื่อเว็บไม่ได้ แต่ล่าสุดมีฟิงชิงแบบใหม่ที่นำ url ของจริงมาใส่ในหน้าเว็บปลอมได้แล้ว
กลโกงดังกล่าวเพจ ISAN FANPAGE ได้นำมาเผยแพร่เตือนภัยกัน เรียกวิธีการหลอกเอารหัสผ่านนี้ว่า Browser In The Browser (BITB) Attack หรือแปลไทยง่าย ๆ ว่าการโจมตีบราวเซอร์ในบราวเซอร์ ด้วยการสร้างหน้าป๊อปอัปล็อกอินผ่านโซเชียลมีเดียปลอมขึ้นมา ซึ่งแต่เดิมเราสามารถแยกหน้าเว็บจริงกับปลอมได้ไม่ยากนักเพราะหน้าปลอมจะสะกด url ผิดจากของจริงเพราะการจดทะเบียนชื่อเว็บ (Domain name) จะไม่สามารถใช้ซ้ำกันได้ หรือบางครั้งจะไม่มีไอคอนแม่กุญแจขึ้นข้างชื่อเว็บ แต่คราวนี้มิจฉาชีพใช้วิธีใหม่เขียน JavaScript เรนเดอร์ทุกอย่างตั้งแต่หน้าตาป๊อปอัป แม่กุญแจ ยัน url ที่เหมือนของจริงทั้งหมด โดยไม่ต้องไปจด Domain name ใด ๆ เพราะป๊อปอัปก็ไม่ใช่ป๊อปอัปจริง ๆ ด้วยซ้ำ ซึ่งหากใครเข้าเว็บโจรแล้วเผลอกดล็อกอินผ่านโซเชียลมีเดียโดยการคลิกปุ่มบนเว็บนั้นก็อาจหลงกลกรอกรหัสผ่านเสิร์ฟข้อมูลให้มิจฉาชีพถึงถิ่น
วิธีการเลี่ยงถูกหลอกคือไม่ล็อกอินโซเชียลมีเดียต่าง ๆ ผ่านป๊อปอัปของเว็บบุคคลที่สามแต่ให้ไปล็อกอินผ่านเว็บโซเชียลมีเดียของเราจริง ๆ ค้างไว้ก่อนแล้วค่อยกลับไปใช้งานเว็บนั้น ถ้าไม่ใช่เว็บมิจฉาชีพมันควรจะเชื่อมต่อบัญชีให้อัตโนมัติโดยไม่ต้องกรอกรหัสอีกรอบ อีกวิธีคือให้ลองลากป๊อปอัปออกมาจากหน้าบราวเซอร์หลักดู ถ้าลากออกมาไม่ได้คือปลอม 100% (ดูคลิปด้านล่าง) และอีกขั้นตอนสุดท้ายที่ควรทำคือสมัครบริการ Two-Factor Authentication (2FA) หรือรหัสผ่านสองชั้นซึ่งแม้ใครได้รหัสบัญชีเราไปก็ยังต้องขอรหัสชั้นที่สองถึงจะล็อกอินได้
อย่างไรก็ดี ไม่มีวิธีไหนป้องกันมิจฉาชีพได้เต็มร้อย ฉะนั้นจึงควรหมั่นอัปเดตข่าวสารใหม่อยู่เสมอ (โดยการกดติดตามเพจ GAMERGUY) เสมือนซอฟต์แวร์ที่ต้องออกแพทช์ใหม่มาอุดช่องโหว่ต่าง ๆ นั่นเอง
Source: facebook.com, mrd0x.com, github.com
