บล็อก Spaceship

รูปแบบต่างๆ ของภัยคุกคามทางอีเมล

กลโกงทางอีเมลมีได้หลากหลายรูปแบบ บางอย่างก็ชัดเจนจนแทบขำได้ — ไม่มีความพยายามใดๆ ในการปกปิดว่าเป็นการหลอกลวง

แต่อย่าคิดว่าทั้งหมดจะเป็นแบบนั้น กลโกงทางอีเมลดูเหมือนจะยิ่งเจ้าเล่ห์และสร้างสรรค์มากขึ้นเรื่อยๆ แบบที่แม้แต่คนรุ่น gen-zer ที่เชี่ยวชาญคอมพิวเตอร์ที่สุด โตมากับการนอนกอด iPad ก็ยังต้องมองซ้ำก่อนจะรู้ตัว หากมันไม่ร้ายกาจขนาดนี้ คุณอาจถึงขั้นถอยกลับไปชื่นชมวิธีการของมันด้วยซ้ำ เราจะพาคุณไปรู้จักวิธีสังเกต phishing และกลโกงทางอีเมลทั่วไปอื่นๆ รวมถึงวิธีป้องกันตัวเองจากมัน

ย้อนอดีตกันสักนิด

หลายคนยังจำช่วงแรกๆ ของกลโกงทางอีเมลได้ — ช่วงเวลาอันแสนสงบเมื่อเราทั้งไร้เดียงสามากกว่าเดิม แต่ก็ไว้ใจอีเมลน้อยกว่าด้วย เมื่อเราได้รับข้อความหลอกลวง เราจะอ่านมันด้วยความสนใจปนงุนงง พยายามคิดว่าทำไมผู้ส่งถึงคิดว่า เรา เป็นคนที่เหมาะจะไปขอความช่วยเหลือ

ใครยังจำ The Spanish Prisoner ได้บ้าง? คนผู้โชคร้ายที่มั่งคั่งมากคนหนึ่ง ซึ่งต้องการให้เราช่วยจ่ายค่าไถ่เพื่อให้เขาได้รับการปล่อยตัวจากคุก อย่างน่าขัน กลโกงนี้มีมาก่อนอีเมลเสียอีก โดยมีต้นกำเนิดตั้งแต่ต้นศตวรรษที่ 19 เห็นได้ชัดว่ามีนักท่องอินเทอร์เน็ตหัวขบถคนหนึ่งตัดสินใจทำให้มันกลายเป็นดิจิทัล

ทุกวันนี้ กลโกงทางอีเมลใช้ประโยชน์จากจุดแข็งของรูปแบบดิจิทัลได้มากขึ้นมาก ต่างจากกลโกงยุคบุกเบิกบางอย่าง พวกมันใช้ข้อได้เปรียบที่อินเทอร์เน็ตมอบให้ตลอดหลายปีที่ผ่านมา — เช่น ความสามารถในการประมวลผลการชำระเงินออนไลน์ได้ง่ายขึ้น การพึ่งพาอีเมลมากขึ้นสำหรับการสื่อสารที่สำคัญที่สุดของเรา และวิวัฒนาการของโซเชียลมีเดีย เป็นต้น

เบาะแสของการหลอกลวงตั้งแต่แรกเห็น

ก่อนที่เราจะพิจารณาประเภทต่างๆ ของกลโกงทางอีเมลอย่างใกล้ชิดยิ่งขึ้น เราจะแชร์กฎทั่วไปบางอย่างที่คุณสามารถใช้เพื่อช่วยระบุอีเมลหลอกลวง/สแปมได้ — เพราะทั้งหมดมีองค์ประกอบร่วมกัน — ผู้ส่ง หัวเรื่อง เนื้อหาอีเมล และที่สำคัญที่สุดคือ ความจำเป็นที่ต้องถูกอ่านและเชื่อ

ชื่อบริษัท/ผู้ส่ง

สิ่งที่ควรสังเกต:

  1. การพิมพ์ผิดหรือการเขียนแบรนด์ไม่ถูกต้อง — Paypal เทียบกับ PayPal

  2. สิ่งที่ให้ความรู้สึกอธิบายมากเกินไปหรือไม่น่าเป็นไปได้ — AA Car Emergency เทียบกับ AA

  3. บริษัทที่คุณไม่ได้ซื้อของ/ติดต่อธุรกิจด้วย — ข้อความจาก Barclays ทั้งที่คุณใช้ธนาคาร Lloyds

  4. อะไรก็ตามที่ดูแปลก — ตั้งแต่สัญลักษณ์และชื่อบริษัทที่ประหลาด ไปจนถึงการเว้นวรรคแปลกๆ — บางครั้งมันก็มีบางอย่างที่รู้สึกไม่ถูกต้องเกี่ยวกับผู้ส่ง

ที่อยู่อีเมลผู้ส่ง

สิ่งที่ควรสังเกต:

  1. ที่อยู่อีเมลที่ไม่สอดคล้องกัน — สิ่งที่ขัดแย้งกับชื่อบริษัท

  2. ของเลียนแบบ — ที่อยู่ที่ออกแบบมาให้ดูเหมือนบริษัทจริง ซึ่งอาจเป็นโดเมน (@paypalcare.com) หรือ TLD (@paypal.club)

  3. ข้อผิดพลาด— การพิมพ์ผิดหรือความผิดปกติอื่นๆ ในที่อยู่

หัวเรื่อง

สิ่งที่ควรสังเกต:

  1. วลีที่ออกแบบมาเพื่อกระตุ้นความเร่งด่วน — ‘คำเตือน: แจ้งชำระเงินครั้งสุดท้าย’

  2. ภาษาที่สัญญาเกินจริง — ‘หาเงิน £1000 ในห้านาที’

  3. ภาษาที่กระตุ้นอารมณ์อย่างรุนแรง — ‘คุณได้รับการว่าจ้างแล้ว! เริ่มงานพรุ่งนี้!’

  4. การพิมพ์ผิด — นักต้มตุ๋นไม่ได้มีชื่อเสียงเรื่องไวยากรณ์ที่ดี

  5. การใช้เครื่องหมายวรรคตอนหรืออีโมจิมากเกินไป — บริษัทจริงมีไม่กี่แห่งที่ใช้สิ่งเหล่านี้

  6. การมีคำว่า ‘Re’ — อาจถูกใช้เพื่อทำให้ดูเหมือนว่าคุณเคยตอบกลับมาก่อน ทั้งที่จริงไม่ได้ตอบ

  7. ปุ่มและไฟล์แนบ— หลีกเลี่ยงการคลิกปุ่มหรือดาวน์โหลดไฟล์แนบในอีเมลที่น่าสงสัยเสมอ

เนื้อหาอีเมล

สิ่งที่ควรสังเกต:

  1. คำสัญญาที่ไม่น่าเชื่อ— คล้ายกับแบบในหัวเรื่อง แต่ในเนื้อหาอีเมลมีพื้นที่ให้ขยายความมากกว่า จึงมีโอกาสทำให้คำโกหกดูน่าเชื่อยิ่งขึ้น

  2. คำกระตุ้นให้ดำเนินการที่ขอข้อมูลส่วนบุคคล — โดยเฉพาะที่อยู่หรือรายละเอียดบัตร

  3. การอ้างถึงสิ่งที่คุณจำไม่ได้— ตั้งแต่งานกิจกรรมไปจนถึงบริการที่คุณไม่เคยได้รับ

  4. การแอบอ้าง— มีคนอ้างว่าเป็นเพื่อนหรือญาติ แต่ฟังดูไม่เหมือนตัวจริงของพวกเขา

ตอนนี้คุณมีพื้นฐานแล้วว่าพวกนักต้มตุ๋นสามารถบิดเบือนส่วนต่างๆ ของอีเมลได้อย่างไร มาดูตัวอย่างเฉพาะกัน

มัลแวร์

สำหรับหลายคน การโจมตีด้วยมัลแวร์น่าจะเป็นอีเมลอันตรายประเภทแรกที่เรา กลัว จริงๆ ในตอนนั้น เราอาจเรียกมันง่ายๆ ว่าไวรัสอีเมล เปิดมันขึ้นมา หน้าจอดับ เกมจบ อะไรทำนองนั้น

ในความเป็นจริง มัลแวร์ครอบคลุมการโจมตีที่เป็นอันตรายหลากหลายรูปแบบ — และบางอย่างก็น่ากลัวกว่าคอมพิวเตอร์ดับอย่างรวดเร็วเสียอีก

คอยติดตามการกดแป้นพิมพ์? ใช้ CPU ของคุณจนหมดโดยที่คุณไม่รู้ตัว? สอดแนมคุณ? บังคับให้โฆษณาแปลกๆ เด้งขึ้นมาทุกห้านาที? ใช่แล้ว มัลแวร์ครอบคลุมโปรแกรมเล็กๆ หลากหลายชนิดที่ฝังตัวอยู่ในคอมพิวเตอร์ของคุณโดยที่คุณไม่รู้ตัว และหน้าที่ของมันก็มีตั้งแต่สิ่งที่เกี่ยวข้องกับพวกชอบแกล้งแบบมุ่งร้าย ไปจนถึงอาชญากรเต็มรูปแบบ มันหลบเลี่ยงเก่ง และมักกำจัดได้ยาก — ถ้าคุณรู้ด้วยซ้ำว่ามันอยู่ตรงนั้น

วิธีตรวจจับมัลแวร์

หากคุณกำลังพบอาการใดๆ ที่ระบุไว้ข้างต้น มีโอกาสสูงว่าเป็นมัลแวร์ สิ่งนี้อาจมาจากอีเมล — แต่ไม่จำเป็นเสมอไป ยังมีวิธีอื่นที่โปรแกรมเหล่านี้จะฝังตัวในคอมพิวเตอร์ของคุณได้เช่นกัน — การดาวน์โหลด เว็บไซต์ไม่น่าไว้ใจ และแม้แต่อุปกรณ์ฮาร์ดแวร์อันตราย หากคุณเคยเจอแฟลชไดรฟ์ USB ตกอยู่บนถนน อย่าเสียบดูว่ามีอะไรอยู่ในนั้น

ปกป้องตัวเองจากมัลแวร์

เสี่ยงที่จะพูดในสิ่งที่ชัดเจนเกินไป ลองใช้ซอฟต์แวร์ตรวจจับมัลแวร์ดู แต่ เลือกสิ่งที่น่าเชื่อถือ.

หากคุณค้นหาใน Google ว่าจะป้องกันมัลแวร์ตั้งแต่แรกได้อย่างไร คำแนะนำอันดับต้นๆ คือการติดตั้งซอฟต์แวร์ป้องกันไวรัส โดยส่วนตัวแล้ว ฉันไม่รู้จักใครที่ทำแบบนี้มาตั้งแต่ช่วงปลายทศวรรษ 2010 แต่ฉันจะเป็นใครไปขัดแย้งกับองค์ความรู้ของมนุษยชาติทั้งหมดและประสบการณ์มวลรวมที่ถูกทำให้เป็นเนื้อเดียวกันเป็นคำตอบบรรทัดเดียวจาก Gemini ซึ่งส่งมาในเวลาเพียงเศษเสี้ยวของเศษเสี้ยว วินาที?

อย่างไรก็ตาม การป้องกันภัยคุกคามที่ระบบปฏิบัติการมอบให้นั้นโดยทั่วไปดีกว่าในยุคแรกๆ มาก โดยเฉพาะ Windows ที่มีการอัปเดตเพื่อป้องกันภัยคุกคาม แต่ที่สำคัญกว่านั้นคือ ซอฟต์แวร์อีเมลจำนวนมากกำลังทำงานนี้แทนเรา โดยการกรองอีเมลที่น่าสงสัยออกก่อนที่จะมาถึงเรา

เป็นความคิดที่ดีที่จะหาผู้ให้บริการอีเมลที่ส่งเสริมการป้องกันมัลแวร์ที่ดี และสแกนอีเมลของคุณก่อนที่จะมาถึงคุณ สิ่งนี้ดีเป็นพิเศษเมื่อต้องหลีกเลี่ยงการโจมตีทางจิตวิทยา (และเราจะพูดถึงเรื่องนั้นในอีกสักครู่)

หากเราพูดถึงการป้องกัน มากกว่าการป้องกันล่วงหน้า การสำรองข้อมูลเป็นประจำก็เป็นความคิดที่ดี เผื่อว่าคุณจะโดนการโจมตีประเภทนี้เข้า โดยส่วนตัวฉันแนะนำบางอย่างอย่าง Mega Sync ซึ่งจะอัปเดตทุกครั้งที่คุณกดบันทึกไฟล์

Phishing

ทุกวันนี้ คุณน่าจะมีโอกาสเจอกลโกง phishing ทางอีเมลมากที่สุด ทำไม? เพราะเหมือนทำนองเพลงที่ติดหู หรือกลิ่นของฤดูใบไม้ผลิ เราทุกคนต่างอ่อนไหวต่อเสน่ห์ของมัน แต่คุณจะระบุ phishing ได้อย่างไร?

การโจมตีแบบ phishing มีประสิทธิภาพเพราะความยืดหยุ่นของมัน บางครั้ง phishing ก็ตรวจจับได้ไม่ยาก มันอาจเป็นอะไรก็ได้: อะไรก็ได้จริงๆ ที่ทำให้ใครสักคนกรอกข้อมูลส่วนตัวของตน ลองนึกถึงเหตุผลใดก็ตามที่อาจทำให้คุณรู้สึกจำเป็นต้องแชร์ข้อมูลส่วนตัว หรือส่งเงินให้ใครบางคน และมันก็มีศักยภาพที่จะกลายเป็นอีเมล phishing ได้

นี่เป็นเพียงตัวอย่างบางส่วน และโปรดจำไว้ว่า หัวใจสำคัญของ phishing คืออีเมลทั้งหมดเหล่านี้ ดูเหมือน จริง แต่ ปลอม:

  1. การแจ้งเตือนรีเซ็ตรหัสผ่าน

  2. กรอกรายละเอียดธนาคารที่ขาดหายไป

  3. กรอกที่อยู่ไปรษณีย์ของคุณให้ครบเพื่อเปิดใช้งานการจัดส่ง

  4. ต่ออายุการสมัครสมาชิกของคุณ

  5. คุณคือผู้ชนะการแข่งขัน!

  6. เพื่อนที่กำลังเดือดร้อนขอความช่วยเหลือ

  7. การแจ้งคืนภาษี

  8. ขอรับเงินบริจาคเพื่อการกุศล

ถ้าคุณยังไม่เคยเห็นกลโกง phishing เลย คุณยังจะเรียกตัวเองว่า phish ได้ไหม? มันแพร่หลายเสียจนยากจะจินตนาการถึงอีเมลโดยไม่มีมัน แต่การ phish มีมากกว่าหนึ่งวิธี…

Spear phishing และ whaling

Spear phishing และ whaling มุ่งเป้าไปที่บุคคลเฉพาะเจาะจง โดยมักใช้กลยุทธ์ที่รุกหนักกว่า

Spear phishing ใช้ความรู้ส่วนบุคคล ซึ่งมักได้มาจากหลายแหล่ง เพื่อสร้างอีเมลที่น่าเชื่อถือมากขึ้น เพราะมันเขียนขึ้นโดยใช้ข้อมูลส่วนตัว จึงอาจอ้างถึงเพื่อนจริง สถานการณ์จริง หรือแม้แต่แอบอ้างเป็นธนาคาร (ฯลฯ) ได้อย่างแนบเนียนยิ่งขึ้น หากคุณคิดว่าสิ่งนี้ไม่น่าเกิดขึ้นกับคุณ โปรดจำไว้ว่าคนส่วนใหญ่มักมีข้อมูลที่เข้าถึงได้สาธารณะทางออนไลน์มากกว่าที่ตนเองตระหนัก

หากมีคนแอบอ้างเป็นเพื่อนของคุณ และอ้างถึงเหตุการณ์ที่เฉพาะเจาะจงมากซึ่งคุณทั้งคู่เคยไปร่วมเมื่อสิบปีก่อน ทำไมคุณจะไม่เชื่อล่ะ? อาจต้องใช้เวลาสักพักกว่าคุณจะนึกออกว่าคุณเคยโพสต์เรื่องนั้นไว้อย่างละเอียดบน Facebook และโพสต์นั้นเปิดให้สาธารณะเห็นได้ เมื่อพวกเขาขอยืมเงินคุณ บางทีคุณอาจยื่นมือช่วย

เราทุกคนล้วนเสี่ยงต่อ spear phishing ซึ่งทำให้มันอันตรายกว่ากลโกงที่เห็นได้ชัดกว่า ข้อดีอย่างหนึ่งคือระดับการค้นคว้าที่ต้องใช้เพื่อทำให้กลโกง spearphishing สำเร็จนั้นน่าท้อใจสำหรับนักต้มตุ๋นส่วนใหญ่ พวกเขาเลือกหว่านแหด้วยอีเมลจำนวนมากที่แม้จะมีคนตอบน้อยกว่าก็ยังง่ายกว่า แต่ในอนาคต AI จะเข้ามามีบทบาทตรงนี้หรือไม่? เราจำเป็นต้องระมัดระวังอยู่เสมอ

Whaling

แล้ว whaling คืออะไร? ในหลายๆ ด้าน การโจมตีแบบ whaling ก็แทบจะเหมือนกับ spear phishing แต่เจาะจงไปที่บุคคลที่มีมูลค่าสุทธิสูง เช่น CEO

ความจริงอันน่าเศร้าคือสถานะของพวกเขาทำให้พวกเขาเป็นเป้าหมายที่คุ้มค่าต่อการลงทุนเวลา และปัจจัยอื่นๆ (เช่น ความมั่งคั่ง ความรับผิดชอบ เวลาที่จำกัด และเครือข่ายผู้ติดต่อขนาดใหญ่) ก็หมายความว่ามีจุดอ่อนหลายอย่างให้ฉวยโอกาสได้ ตัวอย่างเช่น บางทีพวกเขาอาจต้องแค่โน้มน้าว PA หรือเลขานุการว่าตนได้รับการอนุมัติจาก CEO แล้ว ดังนั้นดูเหมือนว่า whaling ในเชิงธุรกิจจะเป็นเรื่องไม่ดีเสมอ

วิธีป้องกัน spear phishing และ whaling

นอกเหนือจากสิ่งที่ระบุไว้ในคู่มือทั่วไปของเราข้างต้น คุณควรตั้งค่าการกรองสแปมที่แข็งแกร่งด้วย ปัจจัยมนุษย์คือจุดที่อีเมล phishing โดดเด่นจริงๆ หากมัลแวร์เป็นกลลวงง่ายๆ ในระดับหนึ่ง phishing ต้องอาศัยให้เราเป็นผู้สมรู้ร่วมคิดด้วย เพราะท้ายที่สุดแล้ว เราต้องเป็นฝ่ายมอบข้อมูลของเราออกไป อย่างที่เราได้พูดคุยกัน มันทำเช่นนี้โดยอาศัยการกระตุ้นการตอบสนองทางอารมณ์ของเรา

ดังนั้น การทำให้แน่ใจว่าเราไม่ต้องสัมผัสกับมันตั้งแต่แรกจึงเป็นวิธีที่แข็งแกร่งที่สุดในการต่อสู้กับมัน ตัวกรองสแปมจะมองหาองค์ประกอบหลายอย่างเมื่อพิจารณาอีเมล ซึ่งเราในฐานะมนุษย์ทำไม่ได้ มันตรวจสอบกับบัญชีดำ รูปแบบพฤติกรรมที่รู้จัก และแม้แต่วิธีที่เรียกว่า Bayesian filtering ซึ่งเปรียบเทียบเนื้อหาของอีเมลกับอีเมลสแปมที่รู้จักและอีเมลที่ถูกต้อง เพื่อคำนวณความน่าจะเป็นว่าเป็นสแปมหรือไม่ นอกจากนี้ ตัวกรองสแปมที่ดียังคำนึงถึงสิ่งที่ผู้ใช้อื่นทำเครื่องหมายว่าเป็นสแปมด้วย ก่อให้เกิดสิ่งที่เรียกว่าวงจรป้อนกลับจากผู้ใช้

อีเมลธุรกิจที่ถูกเจาะ

แตกต่างจากทุกอย่างที่เราดูมาจนถึงตอนนี้เล็กน้อย เรื่องนี้มาจากอีกมุมหนึ่ง — แนวคิดที่ว่าบัญชีอีเมลที่ถูกต้องตามกฎหมายถูกเจาะ ไม่จำเป็นต้องเป็นบัญชีธุรกิจก็ได้ แต่เพื่อประโยชน์ของหัวข้อนี้ มีปัจจัยที่น่าสนใจกว่าให้พูดถึงหากเราสมมติว่ามันเป็นเช่นนั้น

หากนักต้มตุ๋นสามารถเข้าถึงบัญชีอีเมลธุรกิจได้อย่างผิดกฎหมาย พวกเขาสามารถแอบอ้างเป็นพนักงานเพื่อขอเงินทุน หรือแม้แต่เข้าถึงระบบภายในอื่นๆ ที่อาจมีข้อมูลอ่อนไหวได้

การเจาะบัญชีธุรกิจยังอาศัยลักษณะทางสังคมอีกอย่างหนึ่งที่มีอยู่ในหลายธุรกิจ โดยเฉพาะธุรกิจขนาดใหญ่: ไม่น่าเป็นไปได้ที่พนักงานทุกคนจะรู้จักกันทั้งหมด สิ่งนี้เมื่อรวมกับความจริงที่ว่าผู้คนถูกคาดหวังให้สุภาพในสภาพแวดล้อมการทำงาน หมายความว่าอีเมลเหล่านี้มีข้อได้เปรียบเพิ่มเติมเมื่อเทียบกับบัญชีส่วนตัว

วิธีป้องกันสิ่งนี้

การทำให้มั่นใจว่าพนักงานทุกคนใช้การยืนยันตัวตนแบบสองปัจจัย (email 2FA) และเลือกรหัสผ่านที่รัดกุม จะช่วยลดความเสี่ยงของบัญชีที่ถูกขโมย/ถูกแฮ็กได้อย่างมาก 2FA ช่วยให้เจ้าของบัญชีรู้เสมอหากมีใครพยายามบุกรุก และรหัสผ่านที่รัดกุมทำให้การโจมตีแบบ brute-force ยากขึ้น

คุณยังสามารถลดโอกาสเกิดปัญหาในอนาคตได้ด้วยการปิดใช้งานบัญชีของพนักงานที่ออกจากบริษัททันที สุสานของบัญชีที่ไม่ได้ใช้งานซึ่งปล่อยทิ้งไว้ให้จับฝุ่นนั้นเป็นอุบัติเหตุที่รอวันเกิดขึ้น

ใบแจ้งหนี้ปลอม

หนึ่งในธีมที่คุณอาจเริ่มสังเกตเห็นคือการฉวยประโยชน์จากอารมณ์สุดขั้วในรูปแบบต่างๆ จนถึงตอนนี้เราได้พิจารณาความกลัวหรือความประมาทของ CEO และความเฉยเมยที่คาดกันว่าพนักงานคนหนึ่งมีต่ออีกคนหนึ่ง ตอนนี้มาลองดูความโกรธกันบ้าง

มีคนอ้างว่าคุณเป็นหนี้เขา และเรียกร้องให้ชำระคืนทันที พวกเขาโกรธ พูดสิ่งที่ทำให้คุณเริ่มสงสัยความทรงจำของตัวเอง หรือสร้างสถานการณ์ที่คุณไม่แน่ใจว่าไม่ใช่เรื่องจริง ความเกรี้ยวกราดและความโกรธดำเนินต่อไปจนแทบดูเหมือนว่าการจ่ายเงินให้พวกเขาง่ายกว่า

สิ่งนี้อาจไม่รู้สึกว่าเป็นไปได้มากนักสำหรับพวกเราหลายคน แต่บางทีนั่นอาจเป็นสิ่งที่แย่ที่สุดเกี่ยวกับมัน: มีโอกาสสูงที่ ‘พวกเรา’ จะไม่ใช่เป้าหมายของพวกเขา ความสำเร็จของพวกเขาจะอยู่ที่คนเปราะบาง ผู้ที่อาจจำอะไรไม่ได้จริงๆ หรือไว้ใจคนแปลกหน้ามากกว่า

การป้องกัน

หากเราสมมติว่า เรา จะไม่จ่ายใบแจ้งหนี้สุ่มที่ได้รับทางอีเมล ก็อาจคุ้มค่าที่จะใช้โอกาสนี้แนะนำให้พูดคุยกับคนในชีวิตของคุณที่มีประสบการณ์ออนไลน์น้อยกว่า ถามพวกเขาว่าต้องการความช่วยเหลือในการระบุกลโกงหรือไม่ และอธิบายว่าเพียงเพราะมีคนเรียกร้องเงิน ไม่ได้แปลว่าคำกล่าวอ้างของพวกเขาถูกต้องตามกฎหมาย ท้ายที่สุดแล้ว เราต้องดูแลกันและกัน และไม่มีใครอยากเห็นใครเดินเข้าไปติดกับกลโกงที่เห็นได้ชัดเจน

มี แหล่งข้อมูลที่คุณสามารถแนะนำให้ผู้คนไปดูได้ ซึ่งจะพาพวกเขาเรียนรู้เรื่องนี้ในแบบที่เป็นมิตรต่อผู้ใช้

กลโกงข้อเสนองาน

ต่างจากบางประเภท กลโกงเหล่านี้อาจสังเกตได้ยากแม้แต่สำหรับคนที่มีประสบการณ์มากที่สุด เหตุผลหนึ่งคือมันไม่ได้อยู่ในสุญญากาศของอีเมล หากพวกเราคนใดได้รับอีเมลแบบไม่มีปี่มีขลุ่ยบอกว่าเราได้งาน เราคงรู้ทันทีว่าเป็นสแปม แต่ถ้ามันไม่ได้เกิดขึ้นแบบนั้นล่ะ?

จะเป็นอย่างไรถ้าการหลอกลวงเริ่มต้นจากประกาศงานจริงบนเว็บไซต์หางานจริง คุณสมัครงานนั้นพร้อมกับงานจริงอื่นๆ อีกหลายงาน และมันก็ดูมีโอกาสพอๆ กับงานอื่นทั้งหมด ถ้าอย่างนั้นนี่ก็คืออีเมลที่คุณกำลังรอ — หวังว่าจะได้รับ ด้วยซ้ำ และเช่นเดียวกับ spear phishing สิ่งนี้สร้างโอกาสที่ซับซ้อนยิ่งขึ้นสำหรับการหลอกลวง เพราะตอนนี้ คุณ กลายเป็นผู้มีส่วนร่วมโดยสมัครใจแล้ว — อย่างน้อยก็ในตอนแรก

แต่ในอะไรล่ะ? กลโกงเหล่านี้มีได้หลากหลายรูปแบบ แต่โดยพื้นฐานแล้ว เช่นเดียวกับ แชร์ลูกโซ่ในอดีต พวกมันขอเงินล่วงหน้าโดยอ้างว่าเป็นค่าใช้จ่าย ค่าซื้ออุปกรณ์ หรือแม้แต่ค่าฝึกอบรมสำหรับตำแหน่งงาน — และไม่มีอะไรเป็นเรื่องจริงเลย บางครั้งอาจมีคนอื่นในระบบที่เชื่อว่ามันเป็นเรื่องจริงด้วยเช่นกัน และสิ่งนี้อาจทำให้ดูมีความชอบธรรมทั้งที่ไม่มีเลย

วิธีสังเกตกลโกงข้อเสนองาน

มีเบาะแสบางอย่างที่คุณสามารถสังเกตได้เมื่อสมัครงาน ซึ่งอาจบ่งชี้ว่างานนั้นไม่ถูกต้องตามกฎหมาย:

  1. เงินเดือนที่ไม่สมจริง — ถ้ามันดีเกินกว่าจะเป็นจริง มันก็มักจะไม่จริง

  2. งานที่คลุมเครือหรือไม่น่าเป็นไปได้ — จะมีใครต้องการหรืออยากให้ใครทำบทบาทนี้จริงหรือ?

  3. ไม่ต้องสัมภาษณ์ — หรือเสนอรับเข้าทำงานอย่างกระตือรือร้นโดยไม่มีการตรวจสอบที่เหมาะสม

  4. การสื่อสารที่ไม่เป็นมืออาชีพ — ขอข้อมูลมากเกินกว่าที่ควรจำเป็น

  5. บริษัทแทบไม่มีตัวตนบนออนไลน์ — หรือเป็นบริษัทที่เว็บไซต์ดูไม่น่าไว้ใจสักเท่าไร รูปภาพสต็อก รีวิวที่ไม่น่าเป็นไปได้ ไม่มีเนื้อหาจริง — ประมาณนั้น

ในทำนองเดียวกัน คุณก็ไม่ควรตัดงานที่ถูกต้องตามกฎหมายทิ้งเพียงเพราะประกาศงานจัดทำมาไม่ดี ดังนั้นสิ่งสำคัญที่สุดที่ต้องระวังคือใครก็ตามที่ขอเงินก่อนคุณเริ่มงาน แทบจะ ไม่มีกรณีใดเลย ที่งานควรให้คุณจ่ายอะไรล่วงหน้า ยิ่งไม่ต้องพูดถึงการให้ทำงานใดๆ ฟรี

ไม่ว่าคุณจะมั่นใจในกระบวนการก่อนหน้านั้นแค่ไหน ทันทีที่บทสนทนาเปลี่ยนไปเป็นเรื่องการโอนเงิน มั่นใจได้เลย — นั่นคือการหลอกลวง

กลโกงโรแมนซ์

อาจเป็นการบิดเบือนอารมณ์ที่ทรงพลังที่สุดทั้งหมด: ความรู้สึกของเราเมื่อเรากำลังมีความรัก

ฉันมีประสบการณ์ตรงเกี่ยวกับคนในแอปหาคู่ที่ขอยืมเงิน (ซึ่งเป็นที่ที่การหลอกลวงประเภทนี้มักเกิดขึ้นมากที่สุดในปัจจุบัน) มันไม่ได้พบได้น้อยอย่างที่คุณคิด — และในบางกรณี เราอาจถึงขั้นลำบากที่จะ คิด ว่านี่คือการหลอกลวง…

เส้นแบ่งจะพร่าเลือนไปอย่างรวดเร็วเมื่อหัวใจเริ่มมีอิทธิพลเหนือเหตุผลของเรา บางทีส่วนหนึ่งของเราอาจคิดด้วยซ้ำว่า “บางทีฉันอาจกำลังถูกหลอก แต่เงินสิบปอนด์จะสำคัญอะไรเมื่อเทียบกับความรัก?” แต่คนคนนั้นอาจใช้เวลาทั้งวันอยู่บนแอปหาคู่ หากพวกเขาทำให้คนสิบคนต่อวันบริจาคคนละสิบปอนด์ได้ นั่นก็ถือว่าเป็นรายได้ที่ไม่เลวเลย และแน่นอนว่ามันจัดเป็นการหลอกลวง

วิธีหยุดตัวเองไม่ให้ตกหลุมรักกลโกงโรแมนซ์

เสี่ยงที่จะฟังดูเหมือนคอลัมนิสต์ให้คำปรึกษาปัญหาหัวใจ แต่อย่าปล่อยให้หัวใจนำทาง หากสมองของคุณบอกว่านี่คือการหลอกลวง มันก็น่าจะใช่ อย่าให้เงินกับคนที่คุณยังไม่รู้จักดี ไม่ว่าพวกเขาจะอ้างว่ารักคุณมากแค่ไหนก็ตาม นี่คือความจริงอันน่าเศร้าของชีวิตที่ผู้คนใช้ความรู้สึกสุดโต่งมาเป็นเครื่องมือในการชักจูง

กลโกงรางวัล

หลายคนน่าจะจำได้ว่าเคยได้รับใบปลิวทางไปรษณีย์บอกว่าเราถูกลอตเตอรี่ และต้องโทรไปที่หมายเลขหนึ่งเพื่อรับรางวัล ฉันเดาว่ามันคงหลีกเลี่ยงไม่ได้ที่สิ่งนี้จะกลายมาเป็นอีเมลด้วย

คงไม่มีอะไรให้พูดมากนักที่ยังไม่เคยพูดในหัวข้ออื่นๆ บางทีเราอาจสร้างคติประจำใจสำหรับชีวิตได้ง่ายๆ ว่า ถ้าอีเมลบอกว่าคุณถูกรางวัล คุณไม่ได้ถูกรางวัล*

*เว้นแต่ว่าคุณจะถูกรางวัลจริงๆ แต่คุณ ไม่ได้ ถูกรางวัลแน่นอน เลิกคิดถึงรางวัลนั้นได้แล้ว

การป้องกัน

ฟังนะ คุณไม่ได้ ไม่ได้ ถูกรางวัลจริงๆ ซื้อลอตเตอรี่ถ้าคุณจำเป็นต้องทำ — แต่กดปุ่มสแปมไปเลย

การปกป้องตัวเองและผู้อื่น

พูดกันอย่างจริงจัง ไม่ว่าจะเป็นสแปมหรือการหลอกลวง มันไม่ใช่เรื่องน่าขำเลย ผู้คนได้รับความเสียหาย สูญเสียเงิน หรือรู้สึกโง่หลังจากนั้นจริงๆ

เราได้แนะนำหลายวิธีในการปกป้องตัวเอง แต่จริงๆ แล้วมันสรุปได้เป็นสามเรื่อง:

  • เปิดใช้ความปลอดภัยให้มากที่สุดเท่าที่คุณทำได้

ไม่ว่าผู้ให้บริการของคุณจะมีอะไรให้ ไม่ว่าจะเป็น 2FA รหัสผ่านที่สร้างอัตโนมัติ หรือแม้แต่การเข้ารหัส — อะไรก็ตาม ให้ตั้งค่าไว้ สิ่งเหล่านี้เพียงทำให้บัญชีของคุณถูกยึดได้ยากขึ้นอีกเล็กน้อย

  • เลือกผู้ให้บริการที่ใส่ใจเรื่องความปลอดภัย

ผู้ให้บริการที่มี ซอฟต์แวร์จัดการสแปมที่แข็งแกร่งและการอัปเดตความปลอดภัยบ่อยครั้ง น่าจะเป็นรูปแบบการป้องกันระยะยาวที่ดีที่สุดสำหรับธุรกิจของคุณ กลโกงส่วนใหญ่ที่เราอธิบายไว้เริ่มต้นและจบลงที่การจัดการสแปม หากเราไม่เคยเห็นมัน มันก็จะไม่เป็นปัญหา

  • ติดตามสถานการณ์อยู่เสมอ

กลโกง phishing ไม่เคยหยุดพัฒนา มันมุ่งเป้ามาที่คุณ ไม่ใช่กล่องจดหมายของคุณ ดังนั้นคุณจึงเป็นแนวป้องกันที่ดีที่สุดของตัวเอง

คุณมีวิธีปฏิบัติอะไรบ้างเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของสแปมและกลโกง? เราอยากฟังจากคุณ! ฝากความคิดเห็นหรือคำถามไว้ในส่วนคอมเมนต์ด้านล่าง

คำถามที่พบบ่อย

Phishing คือการส่งอีเมลปลอมเป็นบุคคลอื่นโดยพื้นฐาน (มักเป็นบริษัท) เพื่อให้ผู้รับดำเนินการบางอย่าง การดำเนินการนั้นมักเกี่ยวข้องกับการส่งเงิน รายละเอียดบัตร หรือข้อมูลอ่อนไหวอื่นๆ

Whaling มุ่งเป้าไปที่บุคคลเฉพาะที่มีมูลค่าสุทธิสูงกว่า เช่น CEO ของธุรกิจหรือบุคคลในลักษณะเดียวกัน การสร้างอีเมลแบบเฉพาะเจาะจงเพื่อมุ่งเป้าไปที่บุคคลเพียงคนเดียวถือว่าคุ้มค่า เพราะมีโอกาสได้รับผลประโยชน์สุทธิที่สูงกว่า

โดยทั่วไป ให้มองหาที่อยู่อีเมลที่ไม่ตรงกับบริษัทที่พวกเขาอ้างว่ามาจาก การจัดรูปแบบที่สะเพร่า การพิมพ์ผิด และ URL ที่ออกแบบมาให้ดูคล้ายของจริงแต่ไม่ใช่ของจริง (joe@paypal-us.com)

ตัวกรองสแปมที่ดีจะปกป้องคุณจากภัยคุกคามส่วนใหญ่ อีเมลหลอกลวงทำงานโดยมุ่งเป้าไปที่ผู้คน โดยทำให้เราเชื่อว่าเป็นของจริง เมื่อเราไม่ได้พบเจอกับมันเลย มันก็จะไม่เป็นปัญหา

ขึ้นอยู่กับประเภทของการหลอกลวง และเมื่อใดที่คุณรู้ตัวว่าตกเป็นเหยื่อแล้ว หากคุณได้ชำระเงินไปแล้ว ให้ติดต่อธนาคารของคุณโดยเร็วที่สุดเพื่อดูว่าสามารถย้อนรายการชำระเงินได้หรือไม่ หากคุณได้ให้รายละเอียดบัตรไปแล้ว ให้ระงับและยกเลิกบัตรที่ได้รับผลกระทบ ไม่มีการรับประกันว่าคุณจะได้เงินคืน แต่คุณสามารถป้องกันความเสียหายเพิ่มเติมได้อย่างแน่นอน การเปลี่ยนรหัสผ่านสำหรับบัญชีที่อาจถูกเจาะก็เป็นแผนที่ดีเช่นกัน และหากคุณสงสัยว่ามีการโจมตีด้วยมัลแวร์ ให้สแกนอุปกรณ์ของคุณ

ธุรกิจมีความเสี่ยงมากกว่าในแง่หนึ่ง เพราะมีข้อมูลจำนวนมากอยู่ในระบบซึ่งอาจมีประโยชน์ต่อการโจมตีผู้อื่น การเจาะอีเมลธุรกิจอาจทำให้คุณได้รายชื่ออีเมลจำนวนมาก นอกจากนี้ ในแง่ของ phishing และ whaling ก็มีโอกาสที่แตกต่างกัน ตัวอย่างเช่น ผู้คนอาจไม่ได้รู้จักทุกคนเป็นการส่วนตัวที่ร้องขอเงินจากพวกเขา ดังนั้นความเสี่ยงจึงแตกต่างกันเล็กน้อย และน่าจะเด่นชัดกว่า

การฝึกอบรมพื้นฐานเพื่อให้พนักงานทุกคนตระหนักว่าภัยคุกคามทางอีเมลมีลักษณะอย่างไร น่าจะเป็นมาตรการป้องกันที่ดีที่สุด ถัดมาคือการมีผู้ให้บริการอีเมลธุรกิจที่ดีที่มีการป้องกัน เช่น ตัวกรองสแปม การยืนยันตัวตนแบบสองปัจจัย และการอัปเดตภัยคุกคาม


บทความที่แนะนำ

ความคิดเห็น (2)

  • รูปโปรไฟล์ของ Lily Simon

    Lily Simon

    9 ส.ค. 2568

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    ต้องการมากกว่า 10 ตัวอักษร
    ตัวตนของคุณสำหรับการแสดงผลสาธารณะ
    การให้ที่อยู่อีเมลของคุณเป็นทางเลือก มันจะไม่ถูกแชร์กับบุคคลที่สาม

    • รูปโปรไฟล์ของ Olha Nesen. Product and Marketing Coordinator

      Olha Nesen. Product and Marketing Coordinator

      13 ส.ค. 2568

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

แบ่งปันความคิดของคุณ

ต้องการมากกว่า 10 ตัวอักษร
ตัวตนของคุณสำหรับการแสดงผลสาธารณะ
การให้ที่อยู่อีเมลของคุณเป็นทางเลือก มันจะไม่ถูกแชร์กับบุคคลที่สาม

ช่วยเราปรับปรุงบล็อกของเรา

แบ่งปันความคิดของคุณในแบบสำรวจสั้นๆ สองนาที

จำเป็นต้องใช้อีเมลที่ถูกต้อง