ป้องกันบัญชีผู้ใช้ของคุณจากการฟิชชิ่ง

คำว่าฟิชชิ่งหมายถึงการใช้กลอุบายเพื่อขโมยตัวตนของคุณผ่านทางเว็บไซต์ อีเมล หรือข้อความปลอมต่างๆ โดยมีเป้าหมายเพื่อเข้าถึงบัญชีผู้ใช้และข้อมูลที่ละเอียดอ่อนของคุณ มิจฉาชีพสามารถสร้างเว็บไซต์ของตนเองเพื่อลอกเลียนแบบเว็บไซต์ที่น่าเชื่อถือ หรือส่งข้อความที่ทำให้ดูเหมือนว่ามาจากแหล่งที่น่าไว้วางใจ ข้อความฟิชชิ่งอาจมาจากบัญชีผู้ใช้ปลอมหรือบัญชีผู้ใช้ที่ถูกแฮ็ก

หมายเหตุ: หากคุณเชื่อว่าคุณได้แชร์ข้อมูลส่วนตัวผ่านช่องทางที่น่าสงสัย และคิดว่าข้อมูลและตัวตนของคุณอยู่ในความเสี่ยง โปรดปฏิบัติตามคู่มือรัฐบาล

ข้อความฟิชชิ่งอาจระบุคำขอให้คุณดำเนินตามขั้นตอนต่างๆ ดังต่อไปนี้

  • เยี่ยมชมลิงก์
  • ดาวน์โหลดไฟล์
  • เปิดไฟล์แนบ

มัลแวร์ — หมายถึงซอฟต์แวร์ที่มีอันตราย ได้แก่ หนอนไวรัส โทรจัน บอท และไวรัสต่างๆ — ซึ่งสามารถแทรกซึมเข้าสู่คอมพิวเตอร์หรืออุปกรณ์ได้หากคุณดำเนินการตามที่ร้องขอ โดยเมื่อไวรัสเข้าสู่อุปกรณ์ของคุณแล้ว ผู้บุกรุกจะสามารถเข้าถึงข้อมูลส่วนตัวของคุณได้

การฟิชชิ่งอาจรวมถึงคำขอข้อมูลส่วนตัวโดยตรง เช่น ข้อมูลบัญชีธนาคารของคุณ เป็นต้น

การฟิชชิ่งอาจระบุคำขอให้คุณมอบข้อมูลส่วนตัวต่างๆ ผ่านช่องทางเหล่านี้:

  • อีเมลหรือระบบการรับส่งข้อความอื่นๆ
  • แบบฟอร์ม
  • หมายเลขโทรศัพท์ที่หลอกลวง
  • ที่อยู่ปลอม

แม้แต่การขอให้คุณป้อนที่อยู่อีเมลและรีเซ็ตรหัสผ่านก็อาจเป็นอันตรายได้

หมายเหตุ: คุณสามารถส่งต่อข้อความฟิชชิ่งใดๆ ที่คุณได้รับมายังกล่องข้อความเพื่อความปลอดภัยของ Shopify ได้ที่ safety@shopify.com การสร้างบันทึกของการโจมตีต่างๆ ที่มีผู้ขายเป็นเป้าหมายจะทำให้ Shopify สามารถปกป้องคุณและข้อมูลของคุณได้อย่างมีประสิทธิภาพยิ่งขึ้น

รู้ทันสัญญาณเตือน

คุณสามารถป้องกันการฟิชชิ่งได้โดยการทำความเข้าใจกับสัญญาณเตือนต่างๆ โดยอ่านข้อความอย่างละเอียดไม่ว่าจะส่งมาจากใคร รวมถึงตรวจสอบเว็บไซต์ให้ดีแม้จะคุ้นเคยเป็นอย่างดีก็ตาม

ภาษาที่คลุมเครือ

แม้ว่าการฟิชชิ่งที่คุณพบอาจรู้จักข้อมูลของคุณ รวมถึงเข้ากันกับตัวคุณและธุรกิจเป็นอย่างดี แต่การใช้ภาษาที่คลุมเครือก็อาจเป็นสัญญาณที่เด่นชัดของการหลอกลวงผ่านการฟิชชิ่งได้ โปรดระมัดระวังข้อความที่ดูเหมือนมาจากองค์กรที่คุณไว้วางใจ แต่เปิดด้วยข้อความที่ข้อความที่กำกวม เช่น

ถึง เจ้าของบัญชีผู้ใช้

ในทำนองเดียวกัน หากข้อความนำเสนอธุรกิจที่สำคัญหรือโอกาสทางการเงิน แต่ไม่มีรายละเอียดมากพอที่คุณจะสามารถยืนยันได้ว่าผู้ส่งรู้จักคุณ ข้อความดังกล่าวอาจเป็นการหลอกลวง เช่น

ผมชื่อ Frederick เป็นนายธนาคาร โปรดติดต่อผมด่วนที่สุดเกี่ยวกับเรื่องมรดกของญาติที่เสียชีวิต ให้ข้อมูลผ่าน sms ไม่ได้ อีเมลมาตามที่อยู่ด้านล่างนี้

ข้อความธุรกิจจากบัญชีส่วนตัว

มิจฉาชีพที่มีความเชี่ยวชาญสามารถรวบรวมข้อมูลจากตัวตนบนโลกออนไลน์ของคุณเพื่อสร้างข้อความที่ดูเหมือนว่ามาจากรายชื่อจริงได้ ตัวอย่างเช่น

อัปเดตการกำหนดราคาค้าส่ง

สวัสดี Georgia เราต้องการแจ้งอัปเดตให้คุณทราบ นี่คือเอกสารราคาการค้าส่งปัจจุบันของเรา: fabric-prices-2016-oct.xls

หวังว่าคุณจะพึงพอใจกับเสื้อเชิร์ตล็อตล่าสุดจากเรา! โปรดแจ้งให้เราทราบหากมีข้อสงสัยหรือข้อกังวลใดๆ

--

Julia Chan

ผู้จัดการบัญชี

Example Fabrics

เพื่อเริ่มโจมตี มิจฉาชีพสามารถแฮ็กบัญชีธุรกิจของรายชื่อติดต่อของคุณ หรือสร้างบัญชีส่วนตัวปลอมได้ ตัวอย่างเช่น หาก Julia ซึ่งอยู่ในรายชื่อผู้ติดต่อของคุณใช้ชื่ออีเมลว่า juliachan3857 มิจฉาชีพก็อาจส่งอีเมลมาจากชื่อผู้ใช้ juliachan9665 เป็นต้น โดยรูปแบบการโจมตีเช่นนี้ขึ้นอยู่กับปัจจัยสองอย่าง ได้แก่

  • ผู้คนเผลอใช้อีเมลที่ผิดส่งข้อความ
  • แม้คุณจะคิดว่าคุณรู้จักอีเมลส่วนตัวของ Julia คุณก็อาจยังดูไม่ถี่ถ้วนพอ

การสะกดผิด ผิดไวยากรณ์ และรูปแบบที่ต่างไปจากเดิม

เหล่ามิจฉาชีพมักจะไม่เข้มงวดกับหลักการเขียนเนื้อหาเท่ากับนักเขียนเนื้อหาบนเว็บไซต์มืออาชีพ การพิมพ์ผิด ผิดไวยากรณ์ หรือรูปแบบที่ต่างไปจากเดิมในหมวดหมู่ต่อไปนี้ในหน้าเดียวอาจบ่งชี้ว่าเว็บไซต์ดังกล่าวเป็นเว็บไซต์ปลอม

  • ตัวสะกด
  • การใช้ตัวพิมพ์เล็กพิมพ์ใหญ่
  • หมายเลข
  • เครื่องหมายวรรคตอน
  • การจัดรูปแบบ

น้ำเสียงที่ตื่นตูม

ระมัดระวังกับคำขอที่เร่งรัดที่ขู่ให้คุณดำเนินการโดยไม่มีเวลาไตร่ตรองให้ดี Shopify ไม่มีทางส่งข้อความที่มีเนื้อหา เช่น:

เซิร์ฟเวอร์ของเราล้มเหลวอย่างรุนแรง โปรดส่งชื่อผู้ใช้และรหัสผ่านของคุณมาหาเราภายใน 24 ชั่วโมงนี้มิเช่นนั้นคุณจะไม่สามารถเข้าถึงร้านค้าของคุณได้อย่างถาวร

ในทำนองเดียวกัน โปรดระวังข้อเสนอที่ดูดีเกินจริง เช่น ส่วนลด 90% จากบริษัทท่องเที่ยวพร้อมใช้งานทันทีหากคุณดำเนินการเดี๋ยวนี้

URL ที่ดูไม่ปกติ

ลักษณะการฟิชชิ่งอาจรวมถึง URL ที่ดูเหมือนจะถูกต้องถ้าคุณไม่ตรวจดูอย่างละเอียด การฟิชชิ่งส่วนใหญ่จงใจเลือกใช้ URL ที่มีลักษณะคล้ายคลึงกับ URL ที่คุณคุ้นเคยอยู่แล้ว ดังตารางด้านล่าง หากคุณซื้อชุดว่ายน้ำจากร้าน Example Apparel ที่มี URL ปกติ จากนั้นคุณก็ได้รับลิงก์ไปยัง URL ปลอม คุณจะสามารถรู้ได้ทันทีว่ามีการฟิชชิ่งเกิดขึ้น

URL จริงจะพาคุณไปยังเว็บไซต์จากโดเมน example-apparel.com ซึ่งมี Example Apparel เป็นเจ้าของ ส่วน URL ปลอมจะพาคุณไปยังเว็บไซต์อันตรายที่โดเมน com-aquatic.net ซึ่งอาจมีมิจฉาชีพเป็นเจ้าของ

URL จริง URL ปลอม
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

แจ้งข้อกังวลผ่านช่องทางสื่อสารอื่น

พูดคุยกับผู้ส่งที่ข้อความอันน่าสงสัยกล่าวอ้างถึงด้วยตนเองหรือผ่านโทรศัพท์ และแก้ไขข้อกังวลเกี่ยวกับเว็บเพจด้วยการพูดกับคนในองค์กร

หากคุณติดต่อผู้ส่งผ่านโทรศัพท์ โปรดใช้หมายเลขในเอกสารของคุณหรือที่ปรากฏบนแหล่งข้อมูลออนไลน์ต่างๆ ที่น่าเชื่อถือ ตัวอย่างเช่น หากได้รับคำขอสำหรับข้อมูลตัวแทนภาษีของคุณผ่านอีเมล โปรดโทรหาตัวแทนดังกล่าวด้วยหมายเลขโทรศัพท์จากเอกสารเงินคืนภาษีในปีที่ผ่านมา ห้ามโทรด้วยหมายเลขที่ปรากฏบนเว็บไซต์หรืออีเมลที่น่าสงสัย

ตรวจสอบให้แน่ใจว่าการเชื่อมต่อของคุณใช้งาน HTTPS

เมื่อต้องเชี่อมต่อกับเว็บไซต์ใดๆ ที่อาจขอให้คุณใส่ชื่อผู้ใช้และรหัสผ่าน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ โปรดตรวจสอบเครื่องหมายแม่กุญแจซึ่งปรากฏก่อนหน้า URL ในเบราว์เซอร์:

ไอคอนแม่กุญแจเป็นการบอกว่าการเชื่อมต่อกับเว็บไซต์ดังกล่าวมีการเข้ารหัสโดยใช้โปรโตคอล HTTPS URL สำหรับการเชื่อมต่อที่มีการเข้ารหัสผ่านจะเริ่มต้นด้วย https:// แทนที่จะเป็น http:// โดยการเชื่อมต่อที่ใช้ http:// นั้นจะส่งข้อมูลเป็นข้อความธรรมดาซึ่งอาจถูกดักจับและอ่านได้ระหว่างทาง

ก่อนจะคลิกลิงก์ใดๆ ก็ตามที่อาจต้องใส่ข้อมูล โปรดตรวจสอบให้แน่ใจว่า URL เริ่มต้นด้วย https://

เปิดเฉพาะไฟล์แนบหรือลิงก์ที่ต้องการเข้าถึงเท่านั้น

ห้ามคลิกไฟล์แนบ ลิงก์ หรือแบบฟอร์มใดๆ หากคุณไม่ได้ต้องการเข้าถึงตั้งแต่แรกและหากคุณไม่รู้ว่ามีอะไรอยู่ภายใน เนื่องจากสิ่งเหล่านี้ไม่เพียงแต่พาไปยังเว็บไซต์อันตรายที่ออกแบบมาเพื่อล้วงข้อมูลของคุณเท่านั้น แต่ยังส่งมัลแวร์แทรกซึมเข้าสู่อุปกรณ์ของคุณอีกด้วย

เมื่อข้อความลิงก์เป็น URL โปรดตรวจสอบให้แน่ใจว่าลิงก์ดังกล่าวตรงกับ URL ในเว็บไซต์ ตัวอย่างเช่น ลิงก์ที่เขียนเป็นข้อความว่า https://help.shopify.com ในส่วนเนื้อหาของอีเมลอาจพาคุณไปยังเพจฟิชชิ่งซึ่งมาจาก URL อื่น:

การฟิชชิ่งหลายกรณีใช้ประโยชน์จากการทำธุรกรรมออนไลน์ หากได้รับอีเมลที่น่าสงสัยซึ่งส่งมาจากธนาคารของคุณพร้อมด้วยข้อเสนอพิเศษสำหรับบัตรเครดิตต่างๆ ห้ามคลิกที่ลิงก์ ให้ใส่ URL ด้วยตัวเองในหน้าต่างใหม่แทนแล้วดูว่าข้อเสนอดังกล่าวแสดงอยู่ในแดชบอร์ดของบัญชีผู้ใช้คุณหรือไม่

ใช้ Wi-Fi สาธารณะอย่างระมัดระวัง

Wi-Fi สาธารณะมอบความสะดวกให้คุณระหว่างเดินทาง แต่ก็มอบวิธีต่างๆ ให้กลุ่มมิจฉาชีพสามารถเข้าถึงข้อมูลของคุณได้เช่นกัน คุณสามารถลดความเสี่ยงดังกล่าวได้โดยดำเนินการเพื่อปกป้องตนเองและข้อมูลของคุณ

ตรวจสอบยืนยันชื่อฮอตสปอต

มิจฉาชีพอาจสร้างฮอตสปอต Wi-Fi ของตนเองซึ่งไม่มีการเข้ารหัส จากนั้นเลียนแบบชื่อ Wi-Fi ที่น่าเชื่อถือภายในพื้นที่ เช่น เครือข่ายในร้านกาแฟ หากเชื่อมต่อกับฮอตสปอตปลอมนี้ มิจฉาชีพสามารถพาคุณไปยังเว็บไซต์ของตนเอง ซึ่งอาจถูกมัลแวร์แทรกซึมหรือขอให้ใส่ข้อมูลส่วนตัว

ก่อนทำการเชื่อมต่อ ตรวจสอบให้แน่ใจว่าฮอตสปอตที่คุณต้องการใช้งานนั้นเป็นของจริง เช่น หากคุณไม่เห็นชื่อ Wi-Fi ดังกล่าวในที่ที่มองเห็นได้ง่าย โปรดสอบถามพนักงาน

ปิดใช้งานจุดเข้าถึงในอุปกรณ์ของคุณ

แม้จะเชื่อมต่อกับ Wi-Fi สาธารณะที่ถูกต้อง คุณก็ยังคงมีความเสี่ยงจากการใช้เครือข่ายเดียวกับมิจฉาชีพ เครือข่าย Wi-Fi สาธารณะมีความปลอดภัยน้อยกว่าเครือข่ายส่วนตัวอย่างเช่นที่ทำงาน หรือที่บ้านของคุณ

ปกป้องตนเองด้วยการปิดการแชร์ไฟล์ภายในเครือข่ายของคุณและเปิดใช้งานไฟร์วอลล์ก่อนทำการเชื่อมต่อ และถึงแม้ว่าจะปฏิบัติตามคำเตือนเหล่านี้แล้ว เราก็ไม่แนะนำให้คุณรับหรือส่งเนื้อหาที่ละเอียดอ่อนผ่านเครือข่าย Wi-Fi สาธารณะ

รับและส่งข้อมูลที่ละเอียดอ่อนผ่าน VPN

เครือข่ายส่วนตัวเสมือนจะสร้างการเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์ของบริษัท VPN นั้นๆ ด้วยวิธีนี้ เซิร์ฟเวอร์ VPN จะถ่ายทอดข้อมูลของคุณลงบนอินเทอร์เน็ต หากมิจฉาชีพสามารถเข้าถึงข้อมูลที่คุณรับและส่งอยู่ผ่านฮอตสปอต Wi-Fi สาธารณะ ข้อมูลดังกล่าวจะถูกเข้ารหัสและมิจฉาชีพจะไม่สามารถนำไปใช้ประโยชน์ได้:

สำหรับผู้ที่กำลังมองหาบริการ VPN เราแนะนำให้ใช้บริการ Techradar และ PC Mag

หากไม่ใช้งาน VPN ตัวเลือกที่ปลอดภัยที่สุดคือการหลีกเลี่ยงไม่ส่งข้อมูลที่ละเอียดอ่อนผ่าน Wi-Fi สาธารณะ

ปฏิบัติตามคู่มือรัฐบาลหากข้อมูลส่วนตัวของคุณถูกบุกรุก

ข้อมูลที่ระบุตัวบุคคลได้ (PII) ได้แก่ข้อมูลที่สามารถใช้ระบุตัวบุคคลใดบุคคลหนึ่ง หรือแม้แต่สวมรอยบุคคลดังกล่าวได้ ข้อมูล PII มีหลายประเภทได้แก่:

  • ชื่อ-สกุล
  • อีเมล
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • หมายเลขบัตรเครดิต
  • หมายเลขประจำตัวประชาชน (เช่น SIN, SSN หรือหนังสือเดินทาง)
  • ใบขับขี่
  • วันเดือนปีเกิด

หากคุณเคยมอบข้อมูลที่ระบุตัวบุคคลได้ผ่านช่องทางที่น่าสงสัย หรือหากบัญชีผู้ใช้ Shopify ของคุณถูกบุกรุก โปรดปฏิบัติตามคู่มือจากรัฐบาลของคุณ เช่น ข้อมูลจากรัฐบาลแคนาดาและสหรัฐฯ นี้:

แคนาดา

สิ่งที่ต้องทำ:

รายงาน:

สหรัฐอเมริกา

สิ่งที่ต้องทำ:

รายงาน:

พร้อมเริ่มต้นการขายด้วย Shopify แล้วหรือยัง

ทดลองใช้งานฟรี