ปกป้องบัญชีผู้ใช้ของคุณจากการฟิชชิ่ง การฟิชชิ่งด้วยเสียง และการฟิชชิ่งด้วยข้อความ

คำว่าฟิชชิ่งหมายถึงการใช้กลอุบายเพื่อขโมยตัวตนของคุณผ่านทางเว็บไซต์ อีเมล หรือข้อความปลอมต่างๆ โดยมีเป้าหมายเพื่อเข้าถึงบัญชีผู้ใช้และข้อมูลที่ละเอียดอ่อนของคุณ มิจฉาชีพสามารถสร้างเว็บไซต์ของตนเองเพื่อลอกเลียนแบบเว็บไซต์ที่น่าเชื่อถือ หรือส่งข้อความที่ทำให้ดูเหมือนว่ามาจากแหล่งที่น่าไว้วางใจ ข้อความฟิชชิ่งอาจมาจากบัญชีผู้ใช้ปลอมหรือบัญชีผู้ใช้ที่ถูกแฮ็ก

นอกจากนี้ ผู้บุกรุกอาจลองใช้กลยุทธ์ที่คล้ายคลึงกันในการโจมตีบัญชีผู้ใช้ของคุณโดยใช้การฟิชชิ่งด้วยเสียง ซึ่งเป็นการโจมตีผ่านการโทรพูดคุย และ ฟิชชิ่งด้วยข้อความ ซึ่งเป็นการโจมตีโดยใช้ข้อความ เพื่อล้วงข้อมูลที่ละเอียดอ่อน คุณต้องระมัดระวังไม่ให้ข้อมูลที่ละเอียดอ่อนทางโทรศัพท์และห้ามคลิกลิงก์ที่อาจเปิดช่องโหว่สำหรับการโจมตีที่ส่งผ่านข้อความ SMS หากคุณสงสัยว่าคุณอาจได้สายหรือข้อความ SMS ที่มีจุดประสงค์เพื่อการฟิชชิ่ง คุณควรติดต่อฝ่ายช่วยเหลือของ Shopify โดยทันที

ข้อความฟิชชิ่งอาจระบุคำขอให้คุณดำเนินตามขั้นตอนต่างๆ ดังต่อไปนี้

• เยี่ยมชมลิงก์
• ดาวน์โหลดไฟล์
• เปิดไฟล์แนบ
• ตอบกลับด้วยข้อมูลส่วนบุคคลหรือรหัสยืนยันตัวตนแบบสองชั้น

หากคุณดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้ คุณอาจแพร่มัลแวร์ให้กับคอมพิวเตอร์หรืออุปกรณ์มือถือของคุณ ซึ่งเป็นซอฟต์แวร์ที่ประสงค์ร้าย เช่น เวิร์ม โทรจัน บอท และไวรัสหลังจากที่อุปกรณ์ของคุณติดมัลแวร์แล้ว ผู้จู่โจมจะสามารถเข้าถึงข้อมูลส่วนตัวของคุณ

การฟิชชิ่งอาจรวมถึงคำขอข้อมูลส่วนตัวโดยตรง เช่น ข้อมูลบัญชีธนาคารของคุณ เป็นต้น

การต้มตุ๋นด้วยวิธีฟิชชิ่งอาจขอให้คุณเปิดเผยข้อมูลส่วนบุคคลด้วยวิธีต่อไปนี้

• ผ่านอีเมลหรือระบบการรับส่งข้อความอื่นๆ
• ผ่านแบบฟอร์ม
• ใช้หมายเลขโทรศัพท์ปลอม
• ใช้ที่อยู่ปลอม

แม้แต่การขอให้คุณป้อนที่อยู่อีเมลและรีเซ็ตรหัสผ่านก็อาจเป็นอันตรายได้

รู้ทันสัญญาณเตือน

คุณสามารถป้องกันการฟิชชิ่งได้โดยการทำความเข้าใจกับสัญญาณเตือนต่างๆ โดยอ่านข้อความอย่างละเอียดไม่ว่าจะส่งมาจากใคร รวมถึงตรวจสอบเว็บไซต์ให้ดีแม้จะคุ้นเคยเป็นอย่างดีก็ตาม

ใช้คำพูดที่ไม่เจาะจงคลุมเครือ

แม้ว่าการฟิชชิ่งที่คุณพบอาจได้รับการปรับแต่งมาโดยเฉพาะสำหรับคุณและธุรกิจของคุณ และผู้ทำการฟิชชิ่งอาจทราบข้อมูลของคุณอย่างดี แต่การใช้ภาษาที่คลุมเครือก็เป็นสัญญาณที่เด่นชัดซึ่งบ่งชี้ถึงการหลอกลวงผ่านการฟิชชิ่งได้ โปรดระมัดระวังข้อความที่ดูเหมือนมาจากองค์กรที่คุณไว้วางใจ แต่มีเนื้อหาขึ้นต้นด้วยข้อความที่กำกวม เช่น เรียนเจ้าของบัญชีผู้ใช้

นอกจากนี้ หากข้อความนำเสนอโอกาสทางธุรกิจหรือโอกาสทางการเงินที่สำคัญ แต่ไม่มีรายละเอียดมากพอที่คุณจะสามารถยืนยันได้ว่าผู้ส่งรู้จักคุณ ข้อความดังกล่าวอาจเป็นการหลอกลวง เช่น

ผมชื่อ Frederick เป็นนายธนาคาร

โปรดติดต่อผมด่วนที่สุดเกี่ยวกับเรื่องมรดกของญาติที่เสียชีวิต

ให้ข้อมูลผ่าน sms ไม่ได้ อีเมลมาตามที่อยู่ด้านล่างนี้

ข้อความธุรกิจจากบัญชีส่วนตัว

มิจฉาชีพที่มีความเชี่ยวชาญสามารถรวบรวมข้อมูลจากตัวตนบนโลกออนไลน์ของคุณเพื่อสร้างข้อความที่ดูเหมือนว่ามาจากผู้ติดต่อจริงได้ ตัวอย่างเช่น

อัปเดตการกำหนดราคาค้าส่ง

สวัสดี Georgia:

ฉันแค่อยากจะแจ้งข่าวให้คุณทราบนี่คือสเปรดชีตของราคาค้าส่งของเราในปัจจุบัน: fabric-prices-october.xls

หวังว่าคุณจะพึงพอใจกับเสื้อเชิร์ตล็อตล่าสุดจากเรา! โปรดแจ้งให้เราทราบหากมีข้อสงสัยหรือข้อกังวลใดๆ

Julia Chan
ผู้จัดการบัญชี
Example Fabrics

ผู้จู่โจมสามารถแฮคเข้าไปอยู่ในบัญชีธุรกิจของผู้ติดต่อของคุณ หรือสร้างบัญชีผู้ใช้ส่วนตัวปลอมขึ้นมาเพื่อส่งข้อความฟิชชิ่งผ่านอีเมลได้ ตัวอย่างเช่น หากชื่อผู้ใช้ของอีเมลส่วนบุคคลของผู้ติดต่อของ Julia คือ juliachan3857 ผู้จู่โจมอาจส่งอีเมลจากบัญชีผู้ใช้ที่มีชื่อว่า juliachan9665 รูปแบบการโจมตีนี้อาศัยจากพฤติกรรมดังต่อไปนี้:

• ผู้คนมักจะส่งข้อความผ่านข้อความอีเมลจากบัญชีผู้ใช้ที่ไม่ถูกต้องโดยไม่ได้ตั้งใจ
• แม้ว่าคุณจะรู้จักอีเมลส่วนบุคคลของ Julia แต่คุณก็อาจไม่ได้ดูอย่างละเอียดพอที่จะรับรู้ถึงความแตกต่าง

น้ำเสียงที่ตื่นตูม

ระมัดระวังคำขอที่เร่งรัดซึ่งพยายามขู่ให้คุณดำเนินการบางอย่างโดยไม่มีเวลาไตร่ตรองให้รอบคอบ ตัวอย่างเช่น

เซิร์ฟเวอร์ของเราล้มเหลวอย่างรุนแรง โปรดส่งชื่อผู้ใช้และรหัสผ่านของคุณมาหาเราภายใน 24 ชั่วโมงนี้มิเช่นนั้นคุณจะไม่สามารถเข้าถึงร้านค้าของคุณได้อย่างถาวร

ข้อความอีเมลอาจให้ข้อเสนอที่ดูดีเกินกว่าจะเป็นจริง ได้ เช่น ส่วนลด 90% จากบริษัทท่องเที่ยวที่มีให้ใช้งานเฉพาะเมื่อคุณตอบรับในทันที

การสะกดผิด ผิดไวยากรณ์ และรูปแบบที่ต่างไปจากเดิม

แม้ว่าเว็บไซต์หรือข้อความอีเมลต้มตุ๋นอาจดูเป็นมืออาชีพ แต่ก็อาจมีข้อผิดพลาดในการพิมพ์และหลักไวยกรณ์ หากต้องการพิจารณาว่าเว็บไซต์หรือข้อความอีเมลอาจเป็นการหลอกลวงหรือไม่ ให้ลองมองหาเนื้อหาที่ไม่ถูกต้องหรือไม่มีความไม่สอดคล้องกันดังต่อไปนี้:

• การสะกดคำ
• การใช้ตัวพิมพ์เล็กและตัวพิมพ์ใหญ่
• หมายเลข
• เครื่องหมายวรรคตอน
• การจัดรูปแบบ

URL ที่น่าสงสัย

การฟิชชิ่งอาจรวมถึง URL ที่ดูเหมือนจะถูกต้องถ้าคุณไม่ตรวจดูอย่างละเอียด ผู้ทำการฟิชชิ่งหลายรายจงใจเลือกใช้ URL ที่มีลักษณะคล้ายคลึงกับ URL ที่คุณคุ้นเคยอยู่แล้ว ตัวอย่างเช่น หากโดยปกติแล้วคุณมักซื้อชุดว่ายน้ำจาก Example Apparel โดยไปที่ URL ของร้านค้าที่ถูกต้อง และคุณได้รับข้อความอีเมลที่มีลิงก์ไปยัง URL ปลอม คุณจะสามารถทราบได้ทันทีว่ามีการฟิชชิ่งเกิดขึ้น

URL จริงจะพาคุณไปยังเว็บไซต์จากโดเมน example-apparel.com ซึ่งมี Example Apparel เป็นเจ้าของ ส่วน URL ปลอมจะพาคุณไปยังเว็บไซต์อันตรายที่โดเมน com-aquatic.net ซึ่งอาจมีมิจฉาชีพเป็นเจ้าของ

Shopify และคำเอกสารที่ละเอียดอ่อน

Shopify จะไม่ขอข้อมูลที่ละเอียดอ่อนจากคุณโดยตรงผ่านข้อความอีเมลที่เป็นข้อความหรือรูปภาพ หรือเป็นไฟล์แนบ

ต่อไปนี้คือตัวอย่างของเอกสารที่ละเอียดอ่อน:

• เอกสารระบุตัวตนทุกรูปแบบ
• รหัสผ่าน
• ข้อมูลบัตรเครดิต
• ข้อมูลการธนาคาร
• หมายเลขบัตรประจำตัวประชาชน เช่น SIN (หมายเลขประกันสังคม) หรือ SSN (หมายเลขประกันสังคม)

Shopify จะร้องขอให้คุณส่งเอกสารที่ละเอียดอ่อนผ่านหน้าการอัปโหลดที่ปลอดภัยซึ่งขึ้นต้นด้วย app.shopify.com หรือ .shopify.com เท่านั้น

แจ้งข้อกังวลผ่านช่องทางสื่อสารอื่น

พูดคุยกับผู้ส่งที่ข้อความอันน่าสงสัยกล่าวอ้างถึงด้วยตนเองหรือผ่านโทรศัพท์ และแก้ไขข้อกังวลเกี่ยวกับเว็บเพจด้วยการพูดกับคนในองค์กร

หากคุณติดต่อผู้ส่งผ่านโทรศัพท์ โปรดใช้หมายเลขในระเบียนของคุณหรือที่ปรากฏบนแหล่งข้อมูลออนไลน์ต่างๆ ที่น่าเชื่อถือ ตัวอย่างเช่น หากได้รับคำขอข้อมูลที่น่าสงสัยจากตัวแทนภาษีของคุณผ่านอีเมล โปรดโทรหาตัวแทนดังกล่าวด้วยหมายเลขโทรศัพท์จากเอกสารเงินคืนภาษีในปีที่ผ่านมา ห้ามโทรด้วยหมายเลขที่ปรากฏบนเว็บไซต์หรืออีเมลที่น่าสงสัย

ตรวจสอบยืนยันว่าการเชื่อมต่อกับเว็บไซต์ใช้ HTTPS

เมื่อคุณเชื่อมต่อกับเว็บไซต์ใดๆ ที่อาจขอให้คุณป้อนชื่อผู้ใช้และรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่นๆ โปรดตรวจสอบให้แน่ใจว่ามีไอคอนแม่กุญแจปรากฏที่ด้านข้าง URL ในเบราว์เซอร์ของคุณ

ไอคอนแม่กุญแจเป็นสิ่งที่บ่งชี้ว่าการเชื่อมต่อกับเว็บไซต์ดังกล่าวมีการเข้ารหัสโดยใช้โปรโตคอล HTTPS ทั้งนี้ URL สำหรับการเชื่อมต่อที่มีการเข้ารหัสจะเริ่มต้นด้วย https:// แทนที่จะเป็น http:// การเชื่อมต่อที่ใช้ http:// นั้นจะส่งข้อมูลเป็นข้อความธรรมดา ซึ่งหมายความว่าอาจถูกดักจับและอ่านได้ระหว่างทาง

ก่อนที่คุณจะคลิกที่ลิงก์ไปยังที่ใดก็ตามที่คุณคาดว่าจะต้องป้อนข้อมูล ให้ตรวจสอบยืนยันว่า URL เริ่มต้นด้วย https://

เปิดไฟล์แนบหรือลิงก์ที่คุณคาดการณ์ว่าจะได้รับเท่านั้น

ห้ามคลิกไฟล์แนบ ลิงก์ หรือแบบฟอร์มใดๆ หากคุณไม่ได้ต้องการเข้าถึงตั้งแต่แรกและหากคุณไม่รู้ว่ามีอะไรอยู่ภายใน เนื่องจากสิ่งเหล่านี้ไม่เพียงแต่พาไปยังเว็บไซต์อันตรายที่ออกแบบมาเพื่อล้วงข้อมูลของคุณเท่านั้น แต่ยังส่งมัลแวร์แทรกซึมเข้าสู่อุปกรณ์ของคุณอีกด้วย

เมื่อข้อความลิงก์เป็น URL โปรดตรวจสอบให้แน่ใจว่าข้อความลิงก์ดังกล่าวตรงกับ URL ของเว็บไซต์ที่ลิงก์พาไป ตัวอย่างเช่น ลิงก์ที่ถูกเขียนเป็นข้อความว่า https://help.shopify.com ในส่วนเนื้อหาของอีเมลอาจพาคุณไปยังเพจฟิชชิ่งที่มาจาก URL อื่น

การฟิชชิ่งหลายกรณีใช้ประโยชน์จากการทำธุรกรรมออนไลน์ หากได้รับข้อความอีเมลที่น่าสงสัยซึ่งส่งมาจากธนาคารของคุณพร้อมด้วยข้อเสนอพิเศษสำหรับบัตรเครดิตต่างๆ ห้ามคลิกที่ลิงก์ ให้ป้อน URL ของธนาคารด้วยตัวเองในหน้าต่างใหม่แล้วดูว่าข้อเสนอดังกล่าวแสดงอยู่ในแดชบอร์ดของบัญชีผู้ใช้คุณหรือไม่

โปรดใช้ WiFi สาธารณะอย่างระมัดระวัง

WiFi สาธารณะมอบความสะดวกให้เมื่อคุณไม่ได้อยู่ที่บ้านหรือที่ทำงาน แต่ก็เปิดโอกาสให้กลุ่มมิจฉาชีพสามารถเข้าถึงข้อมูลของคุณได้หลายวิธีเช่นกัน คุณสามารถลดความเสี่ยงดังกล่าวได้โดยดำเนินการตามขั้นตอนต่างๆ เพื่อปกป้องตนเองและข้อมูลของคุณ

ตรวจสอบยืนยันชื่อฮอตสปอต

มิจฉาชีพอาจสร้างฮอตสปอต WiFi ที่ไม่มีการเข้ารหัสของตนเอง โดยฮอตสปอตดังกล่าวอาจมีชื่อคล้ายฮอตสปอตที่เป็นที่รู้จักในพื้นที่ เช่นเครือข่ายของร้านกาแฟ หากคุณเชื่อมต่อกับฮอตสปอตปลอมนี้ มิจฉาชีพสามารถพาคุณไปยังเว็บไซต์ของตนเอง ซึ่งอาจทำให้อุปกรณ์ของคุณถูกมัลแวร์แทรกซึมหรือขอให้คุณป้อนข้อมูลส่วนตัวได้

ก่อนที่คุณจะเชื่อมต่อกับฮอตสปอต โปรดตรวจสอบให้แน่ใจว่าฮอตสปอตที่คุณจะใช้นั้นเป็นฮอตสปอตที่ถูกต้อง หากคุณไม่เห็นชื่อฮอตสปอตปรากฏอยู่บนที่ที่เห็นได้ชัดให้สอบถามพนักงานในสถานที่แห่งนั้น

ปิดใช้งานจุดเข้าถึงอุปกรณ์ของคุณ

แม้จะเชื่อมต่อกับฮอตสปอต WiFi สาธารณะที่ถูกต้อง คุณก็ยังคงมีความเสี่ยงจากการใช้เครือข่ายเดียวกับมิจฉาชีพ เครือข่าย WiFi สาธารณะนั้นมีความปลอดภัยน้อยกว่าเครือข่ายส่วนตัวอย่างเช่นที่ทำงานหรือที่บ้านของคุณเป็นอย่างมาก

ปกป้องตนเองด้วยการปิดการแชร์ไฟล์ภายในเครือข่ายของคุณและเปิดใช้งานไฟร์วอลล์ก่อนทำการเชื่อมต่อ และถึงแม้ว่าจะปฏิบัติตามมาตรการป้องกันเหล่านี้แล้ว เราก็ไม่แนะนำให้คุณรับหรือส่งเนื้อหาที่ละเอียดอ่อนผ่านเครือข่าย WiFi สาธารณะ

ส่งและรับข้อมูลที่ละเอียดอ่อนผ่าน VPN เท่านั้น

เครือข่ายส่วนตัวเสมือนจะสร้างการเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์ของบริษัท VPN นั้นๆ ด้วยวิธีนี้ เซิร์ฟเวอร์ VPN จะถ่ายทอดข้อมูลของคุณลงบนอินเทอร์เน็ต หากมิจฉาชีพสามารถเข้าถึงข้อมูลที่คุณกำลังรับและส่งอยู่ผ่านฮอตสปอต WiFi สาธารณะ ข้อมูลดังกล่าวจะได้รับการเข้ารหัสและมิจฉาชีพจะไม่สามารถนำไปใช้ประโยชน์ได้

สำหรับผู้ที่กำลังมองหาบริการ VPN เราแนะนำให้ใช้บริการ Techradar และ PC Mag

หากไม่ใช้งาน VPN ทางเลือกที่ปลอดภัยที่สุดคือการหลีกเลี่ยงไม่ส่งข้อมูลที่ละเอียดอ่อนผ่าน WiFi สาธารณะ

ปฏิบัติตามคู่มือของรัฐบาลหากข้อมูลส่วนตัวของคุณรั่วไหล

ข้อมูลที่ระบุตัวบุคคลได้ (PII) ได้แก่ข้อมูลที่สามารถใช้ระบุตัวบุคคลใดบุคคลหนึ่ง หรือแม้แต่ใช้เพื่อสวมรอยเป็นบุคคลดังกล่าวได้ PII รวมถึงข้อมูลประเภทดังต่อไปนี้

• ชื่อ-สกุล
• ที่อยู่อีเมล
• ที่อยู่
• หมายเลขโทรศัพท์
• หมายเลขบัตรเครดิต
• หมายเลขประจำตัวประชาชน เช่น SIN, SSN หรือหนังสือเดินทาง
• ใบขับขี่
• วันเกิด

หากคุณเคยมอบข้อมูลที่ระบุตัวบุคคลได้ผ่านช่องทางที่น่าสงสัย หรือหากบัญชีผู้ใช้ Shopify ของคุณถูกบุกรุก โปรดปฏิบัติตามคู่มือจากรัฐบาลของคุณ เช่น ข้อมูลดังกล่าวจากรัฐบาลแคนาดาและสหรัฐฯ

แคนาดา

สิ่งที่ต้องทำ:

• RCMP - คู่มือช่วยเหลือสำหรับเหยือที่ถูกขโมยตัวตนและการสวมรอย

รายงาน:

• ศูนย์ต่อต้านการฉ้อโกงแห่งแคนาดา - รายงานเหตุการณ์

สหรัฐอเมริกา

สิ่งที่ต้องทำ:

• FTC - การรายงานการทุจริต
• FTC - การขโมยตัวตน: ขั้นตอน

รายงาน:

• FBI อาชญากรรมทางไซเบอร์