ปกป้องบัญชีผู้ใช้ของคุณจากการฟิชชิ่ง การฟิชชิ่งด้วยเสียง และการฟิชชิ่งด้วยข้อความ
คำว่าฟิชชิ่งหมายถึงการใช้กลอุบายเพื่อขโมยตัวตนของคุณผ่านทางเว็บไซต์ อีเมล หรือข้อความปลอมต่างๆ โดยมีเป้าหมายเพื่อเข้าถึงบัญชีผู้ใช้และข้อมูลที่ละเอียดอ่อนของคุณ มิจฉาชีพสามารถสร้างเว็บไซต์ของตนเองเพื่อลอกเลียนแบบเว็บไซต์ที่น่าเชื่อถือ หรือส่งข้อความที่ทำให้ดูเหมือนว่ามาจากแหล่งที่น่าไว้วางใจ ข้อความฟิชชิ่งอาจมาจากบัญชีผู้ใช้ปลอมหรือบัญชีผู้ใช้ที่ถูกแฮ็ก
นอกจากนี้ ผู้บุกรุกอาจลองใช้กลยุทธ์ที่คล้ายคลึงกันในการโจมตีบัญชีผู้ใช้ของคุณโดยใช้การฟิชชิ่งด้วยเสียง ซึ่งเป็นการโจมตีด้วยเสียง และ ฟิชชิ่งด้วยข้อความ ซึ่งเป็นการโจมตีโดยใช้ข้อความ เพื่อล้วงข้อมูลที่ละเอียดอ่อนคุณต้องระมัดระวังไม่ให้ข้อมูลที่ละเอียดอ่อนทางโทรศัพท์และห้ามคลิกลิงก์ที่อาจเปิดช่องโหว่สำหรับการโจมตีที่ส่งผ่านข้อความ SMSหากคุณสงสัยว่าคุณอาจได้สายหรือข้อความ SMS ที่มีจุดประสงค์เพื่อการฟิชชิ่ง คุณควรติดต่อฝ่ายช่วยเหลือของ Shopify โดยทันที
ข้อความฟิชชิ่งอาจระบุคำขอให้คุณดำเนินตามขั้นตอนต่างๆ ดังต่อไปนี้
- เยี่ยมชมลิงก์
- ดาวน์โหลดไฟล์
- เปิดไฟล์แนบ
- ตอบกลับด้วยข้อมูลส่วนบุคคลหรือรหัสยืนยันตัวตนแบบสองชั้น
หากคุณดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้ คุณอาจแพร่มัลแวร์ให้กับคอมพิวเตอร์หรืออุปกรณ์มือถือของคุณ ซึ่งเป็นซอฟต์แวร์ที่ประสงค์ร้าย เช่น เวิร์ม โทรจัน บอท และไวรัสหลังจากที่อุปกรณ์ของคุณติดมัลแวร์แล้ว ผู้จู่โจมจะสามารถเข้าถึงข้อมูลส่วนตัวของคุณ
การฟิชชิ่งอาจรวมถึงคำขอข้อมูลส่วนตัวโดยตรง เช่น ข้อมูลบัญชีธนาคารของคุณ เป็นต้น
การต้มตุ๋นด้วยวิธีฟิชชิ่งอาจขอให้คุณเปิดเผยข้อมูลส่วนบุคคลด้วยวิธีต่อไปนี้
- ผ่านอีเมลหรือระบบการรับส่งข้อความอื่นๆ
- ผ่านแบบฟอร์ม
- ใช้หมายเลขโทรศัพท์ปลอม
- ใช้ที่อยู่ปลอม
แม้แต่การขอให้คุณป้อนที่อยู่อีเมลและรีเซ็ตรหัสผ่านก็อาจเป็นอันตรายได้
รู้ทันสัญญาณเตือน
คุณสามารถป้องกันการฟิชชิ่งได้โดยการทำความเข้าใจกับสัญญาณเตือนต่างๆ โดยอ่านข้อความอย่างละเอียดไม่ว่าจะส่งมาจากใคร รวมถึงตรวจสอบเว็บไซต์ให้ดีแม้จะคุ้นเคยเป็นอย่างดีก็ตาม
ใช้คำพูดที่ไม่เจาะจงคลุมเครือ
แม้ว่าการฟิชชิ่งที่คุณพบอาจได้รับการปรับแต่งมาโดยเฉพาะสำหรับคุณและธุรกิจของคุณ และผู้ทำการฟิชชิ่งอาจทราบข้อมูลของคุณอย่างดี แต่การใช้ภาษาที่คลุมเครือก็เป็นสัญญาณที่เด่นชัดซึ่งบ่งชี้ถึงการหลอกลวงผ่านการฟิชชิ่งได้ โปรดระมัดระวังข้อความที่ดูเหมือนมาจากองค์กรที่คุณไว้วางใจ แต่มีเนื้อหาขึ้นต้นด้วยข้อความที่กำกวม เช่น เรียนเจ้าของบัญชีผู้ใช้
นอกจากนี้ หากข้อความนำเสนอโอกาสทางธุรกิจหรือโอกาสทางการเงินที่สำคัญ แต่ไม่มีรายละเอียดมากพอที่คุณจะสามารถยืนยันได้ว่าผู้ส่งรู้จักคุณ ข้อความดังกล่าวอาจเป็นการหลอกลวง เช่น
ผมชื่อ Frederick เป็นนายธนาคาร
โปรดติดต่อผมด่วนที่สุดเกี่ยวกับเรื่องมรดกของญาติที่เสียชีวิต
ให้ข้อมูลผ่าน sms ไม่ได้ อีเมลมาตามที่อยู่ด้านล่างนี้
ข้อความธุรกิจจากบัญชีส่วนตัว
มิจฉาชีพที่มีความเชี่ยวชาญสามารถรวบรวมข้อมูลจากตัวตนบนโลกออนไลน์ของคุณเพื่อสร้างข้อความที่ดูเหมือนว่ามาจากผู้ติดต่อจริงได้ ตัวอย่างเช่น
อัปเดตการกำหนดราคาค้าส่ง
สวัสดี Georgia:
ฉันแค่อยากจะแจ้งข่าวให้คุณทราบนี่คือสเปรดชีตของราคาค้าส่งของเราในปัจจุบัน: fabric-prices-october.xls
หวังว่าคุณจะพึงพอใจกับเสื้อเชิร์ตล็อตล่าสุดจากเรา! โปรดแจ้งให้เราทราบหากมีข้อสงสัยหรือข้อกังวลใดๆ
Julia Chan
ผู้จัดการบัญชี
Example Fabrics
ผู้จู่โจมสามารถแฮคเข้าไปอยู่ในบัญชีธุรกิจของผู้ติดต่อของคุณ หรือสร้างบัญชีผู้ใช้ส่วนตัวปลอมขึ้นมาเพื่อส่งข้อความฟิชชิ่งผ่านอีเมลได้ ตัวอย่างเช่น หากชื่อผู้ใช้ของอีเมลส่วนบุคคลของผู้ติดต่อของ Julia คือ juliachan3857 ผู้จู่โจมอาจส่งอีเมลจากบัญชีผู้ใช้ที่มีชื่อว่า juliachan9665 รูปแบบการโจมตีนี้อาศัยจากพฤติกรรมดังต่อไปนี้:
- ผู้คนมักจะส่งข้อความผ่านข้อความอีเมลจากบัญชีผู้ใช้ที่ไม่ถูกต้องโดยไม่ได้ตั้งใจ
- แม้ว่าคุณจะรู้จักอีเมลส่วนบุคคลของ Julia แต่คุณก็อาจไม่ได้ดูอย่างละเอียดพอที่จะรับรู้ถึงความแตกต่าง
น้ำเสียงที่ตื่นตูม
ระมัดระวังคำขอที่เร่งรัดซึ่งพยายามขู่ให้คุณดำเนินการบางอย่างโดยไม่มีเวลาไตร่ตรองให้รอบคอบ ตัวอย่างเช่น
เซิร์ฟเวอร์ของเราล้มเหลวอย่างรุนแรง โปรดส่งชื่อผู้ใช้และรหัสผ่านของคุณมาหาเราภายใน 24 ชั่วโมงนี้มิเช่นนั้นคุณจะไม่สามารถเข้าถึงร้านค้าของคุณได้อย่างถาวร
ข้อความอีเมลอาจให้ข้อเสนอที่ดูดีเกินกว่าจะเป็นจริง ได้ เช่น ส่วนลด 90% จากบริษัทท่องเที่ยวที่มีให้ใช้งานเฉพาะเมื่อคุณตอบรับในทันที
การสะกดผิด ผิดไวยากรณ์ และรูปแบบที่ต่างไปจากเดิม
แม้ว่าเว็บไซต์หรือข้อความอีเมลต้มตุ๋นอาจดูเป็นมืออาชีพ แต่ก็อาจมีข้อผิดพลาดในการพิมพ์และหลักไวยกรณ์ หากต้องการพิจารณาว่าเว็บไซต์หรือข้อความอีเมลอาจเป็นการหลอกลวงหรือไม่ ให้ลองมองหาเนื้อหาที่ไม่ถูกต้องหรือไม่มีความไม่สอดคล้องกันดังต่อไปนี้:
- การสะกดคำ
- การใช้ตัวพิมพ์เล็กและตัวพิมพ์ใหญ่
- หมายเลข
- เครื่องหมายวรรคตอน
- การจัดรูปแบบ
URL ที่น่าสงสัย
การฟิชชิ่งอาจรวมถึง URL ที่ดูเหมือนจะถูกต้องถ้าคุณไม่ตรวจดูอย่างละเอียด ผู้ทำการฟิชชิ่งหลายรายจงใจเลือกใช้ URL ที่มีลักษณะคล้ายคลึงกับ URL ที่คุณคุ้นเคยอยู่แล้ว ตัวอย่างเช่น หากโดยปกติแล้วคุณมักซื้อชุดว่ายน้ำจาก Example Apparel โดยไปที่ URL ของร้านค้าที่ถูกต้อง และคุณได้รับข้อความอีเมลที่มีลิงก์ไปยัง URL ปลอม คุณจะสามารถทราบได้ทันทีว่ามีการฟิชชิ่งเกิดขึ้น
URL จริงจะพาคุณไปยังเว็บไซต์จากโดเมน example-apparel.com ซึ่งมี Example Apparel เป็นเจ้าของ ส่วน URL ปลอมจะพาคุณไปยังเว็บไซต์อันตรายที่โดเมน com-aquatic.net ซึ่งอาจมีมิจฉาชีพเป็นเจ้าของ
| URL จริง | URL ปลอม |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify และคำเอกสารที่ละเอียดอ่อน
Shopify จะไม่ขอข้อมูลที่ละเอียดอ่อนจากคุณโดยตรงผ่านข้อความอีเมลที่เป็นข้อความหรือรูปภาพ หรือเป็นไฟล์แนบ
ต่อไปนี้คือตัวอย่างของเอกสารที่ละเอียดอ่อน:
- เอกสารระบุตัวตนทุกรูปแบบ
- รหัสผ่าน
- ข้อมูลบัตรเครดิต
- ข้อมูลการธนาคาร
- หมายเลขบัตรประจำตัวประชาชน เช่น SIN (หมายเลขประกันสังคม) หรือ SSN (หมายเลขประกันสังคม)
Shopify จะร้องขอให้คุณส่งเอกสารที่ละเอียดอ่อนผ่านหน้าการอัปโหลดที่ปลอดภัยซึ่งขึ้นต้นด้วย app.shopify.com หรือ .shopify.com เท่านั้น
แจ้งข้อกังวลผ่านช่องทางสื่อสารอื่น
พูดคุยกับผู้ส่งที่ข้อความอันน่าสงสัยกล่าวอ้างถึงด้วยตนเองหรือผ่านโทรศัพท์ และแก้ไขข้อกังวลเกี่ยวกับเว็บเพจด้วยการพูดกับคนในองค์กร
หากคุณติดต่อผู้ส่งผ่านโทรศัพท์ โปรดใช้หมายเลขในระเบียนของคุณหรือที่ปรากฏบนแหล่งข้อมูลออนไลน์ต่างๆ ที่น่าเชื่อถือ ตัวอย่างเช่น หากได้รับคำขอข้อมูลที่น่าสงสัยจากตัวแทนภาษีของคุณผ่านอีเมล โปรดโทรหาตัวแทนดังกล่าวด้วยหมายเลขโทรศัพท์จากเอกสารเงินคืนภาษีในปีที่ผ่านมา ห้ามโทรด้วยหมายเลขที่ปรากฏบนเว็บไซต์หรืออีเมลที่น่าสงสัย
ตรวจสอบยืนยันว่าการเชื่อมต่อกับเว็บไซต์ใช้ HTTPS
เมื่อคุณเชื่อมต่อกับเว็บไซต์ใดๆ ที่อาจขอให้คุณป้อนชื่อผู้ใช้และรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่นๆ โปรดตรวจสอบให้แน่ใจว่ามีไอคอนแม่กุญแจปรากฏที่ด้านข้าง URL ในเบราว์เซอร์ของคุณ
ไอคอนแม่กุญแจเป็นสิ่งที่บ่งชี้ว่าการเชื่อมต่อกับเว็บไซต์ดังกล่าวมีการเข้ารหัสโดยใช้โปรโตคอล HTTPS ทั้งนี้ URL สำหรับการเชื่อมต่อที่มีการเข้ารหัสจะเริ่มต้นด้วย https:// แทนที่จะเป็น http:// การเชื่อมต่อที่ใช้ http:// นั้นจะส่งข้อมูลเป็นข้อความธรรมดา ซึ่งหมายความว่าอาจถูกดักจับและอ่านได้ระหว่างทาง
ก่อนที่คุณจะคลิกที่ลิงก์ไปยังที่ใดก็ตามที่คุณคาดว่าจะต้องป้อนข้อมูล ให้ตรวจสอบยืนยันว่า URL เริ่มต้นด้วย https://
เปิดไฟล์แนบหรือลิงก์ที่คุณคาดการณ์ว่าจะได้รับเท่านั้น
ห้ามคลิกไฟล์แนบ ลิงก์ หรือแบบฟอร์มใดๆ หากคุณไม่ได้ต้องการเข้าถึงตั้งแต่แรกและหากคุณไม่รู้ว่ามีอะไรอยู่ภายใน เนื่องจากสิ่งเหล่านี้ไม่เพียงแต่พาไปยังเว็บไซต์อันตรายที่ออกแบบมาเพื่อล้วงข้อมูลของคุณเท่านั้น แต่ยังส่งมัลแวร์แทรกซึมเข้าสู่อุปกรณ์ของคุณอีกด้วย
เมื่อข้อความลิงก์เป็น URL โปรดตรวจสอบให้แน่ใจว่าข้อความลิงก์ดังกล่าวตรงกับ URL ของเว็บไซต์ที่ลิงก์พาไป ตัวอย่างเช่น ลิงก์ที่ถูกเขียนเป็นข้อความว่า https://help.shopify.com ในส่วนเนื้อหาของอีเมลอาจพาคุณไปยังเพจฟิชชิ่งที่มาจาก URL อื่น
การฟิชชิ่งหลายกรณีใช้ประโยชน์จากการทำธุรกรรมออนไลน์ หากได้รับข้อความอีเมลที่น่าสงสัยซึ่งส่งมาจากธนาคารของคุณพร้อมด้วยข้อเสนอพิเศษสำหรับบัตรเครดิตต่างๆ ห้ามคลิกที่ลิงก์ ให้ป้อน URL ของธนาคารด้วยตัวเองในหน้าต่างใหม่แล้วดูว่าข้อเสนอดังกล่าวแสดงอยู่ในแดชบอร์ดของบัญชีผู้ใช้คุณหรือไม่
โปรดใช้ WiFi สาธารณะอย่างระมัดระวัง
WiFi สาธารณะมอบความสะดวกให้เมื่อคุณไม่ได้อยู่ที่บ้านหรือที่ทำงาน แต่ก็เปิดโอกาสให้กลุ่มมิจฉาชีพสามารถเข้าถึงข้อมูลของคุณได้หลายวิธีเช่นกัน คุณสามารถลดความเสี่ยงดังกล่าวได้โดยดำเนินการตามขั้นตอนต่างๆ เพื่อปกป้องตนเองและข้อมูลของคุณ
ตรวจสอบยืนยันชื่อฮอตสปอต
มิจฉาชีพอาจสร้างฮอตสปอต WiFi ที่ไม่มีการเข้ารหัสของตนเอง โดยฮอตสปอตดังกล่าวอาจมีชื่อคล้ายฮอตสปอตที่เป็นที่รู้จักในพื้นที่ เช่นเครือข่ายของร้านกาแฟ หากคุณเชื่อมต่อกับฮอตสปอตปลอมนี้ มิจฉาชีพสามารถพาคุณไปยังเว็บไซต์ของตนเอง ซึ่งอาจทำให้อุปกรณ์ของคุณถูกมัลแวร์แทรกซึมหรือขอให้คุณป้อนข้อมูลส่วนตัวได้
ก่อนที่คุณจะเชื่อมต่อกับฮอตสปอต โปรดตรวจสอบให้แน่ใจว่าฮอตสปอตที่คุณจะใช้นั้นเป็นฮอตสปอตที่ถูกต้อง หากคุณไม่เห็นชื่อฮอตสปอตปรากฏอยู่บนที่ที่เห็นได้ชัดให้สอบถามพนักงานในสถานที่แห่งนั้น
ปิดใช้งานจุดเข้าถึงอุปกรณ์ของคุณ
แม้จะเชื่อมต่อกับฮอตสปอต WiFi สาธารณะที่ถูกต้อง คุณก็ยังคงมีความเสี่ยงจากการใช้เครือข่ายเดียวกับมิจฉาชีพ เครือข่าย WiFi สาธารณะนั้นมีความปลอดภัยน้อยกว่าเครือข่ายส่วนตัวอย่างเช่นที่ทำงานหรือที่บ้านของคุณเป็นอย่างมาก
ปกป้องตนเองด้วยการปิดการแชร์ไฟล์ภายในเครือข่ายของคุณและเปิดใช้งานไฟร์วอลล์ก่อนทำการเชื่อมต่อ และถึงแม้ว่าจะปฏิบัติตามมาตรการป้องกันเหล่านี้แล้ว เราก็ไม่แนะนำให้คุณรับหรือส่งเนื้อหาที่ละเอียดอ่อนผ่านเครือข่าย WiFi สาธารณะ
ส่งและรับข้อมูลที่ละเอียดอ่อนผ่าน VPN เท่านั้น
เครือข่ายส่วนตัวเสมือนจะสร้างการเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์ของบริษัท VPN นั้นๆ ด้วยวิธีนี้ เซิร์ฟเวอร์ VPN จะถ่ายทอดข้อมูลของคุณลงบนอินเทอร์เน็ต หากมิจฉาชีพสามารถเข้าถึงข้อมูลที่คุณกำลังรับและส่งอยู่ผ่านฮอตสปอต WiFi สาธารณะ ข้อมูลดังกล่าวจะได้รับการเข้ารหัสและมิจฉาชีพจะไม่สามารถนำไปใช้ประโยชน์ได้
สำหรับผู้ที่กำลังมองหาบริการ VPN เราแนะนำให้ใช้บริการ Techradar และ PC Mag
หากไม่ใช้งาน VPN ทางเลือกที่ปลอดภัยที่สุดคือการหลีกเลี่ยงไม่ส่งข้อมูลที่ละเอียดอ่อนผ่าน WiFi สาธารณะ
ปฏิบัติตามคู่มือของรัฐบาลหากข้อมูลส่วนตัวของคุณรั่วไหล
ข้อมูลที่ระบุตัวบุคคลได้ (PII) ได้แก่ข้อมูลที่สามารถใช้ระบุตัวบุคคลใดบุคคลหนึ่ง หรือแม้แต่ใช้เพื่อสวมรอยเป็นบุคคลดังกล่าวได้ PII รวมถึงข้อมูลประเภทดังต่อไปนี้
- ชื่อ-สกุล
- ที่อยู่อีเมล
- ที่อยู่
- หมายเลขโทรศัพท์
- หมายเลขบัตรเครดิต
- หมายเลขประจำตัวประชาชน เช่น SIN, SSN หรือหนังสือเดินทาง
- ใบขับขี่
- วันเกิด
หากคุณเคยมอบข้อมูลที่ระบุตัวบุคคลได้ผ่านช่องทางที่น่าสงสัย หรือหากบัญชีผู้ใช้ Shopify ของคุณถูกบุกรุก โปรดปฏิบัติตามคู่มือจากรัฐบาลของคุณ เช่น ข้อมูลดังกล่าวจากรัฐบาลแคนาดาและสหรัฐฯ
แคนาดา
สิ่งที่ต้องทำ:
รายงาน:
สหรัฐอเมริกา
สิ่งที่ต้องทำ:
รายงาน: