ป้องกันบัญชีผู้ใช้ของคุณจากการฟิชชิ่ง
คำว่าฟิชชิ่งหมายถึงการใช้กลอุบายเพื่อขโมยตัวตนของคุณผ่านทางเว็บไซต์ อีเมล หรือข้อความปลอมต่างๆ โดยมีเป้าหมายเพื่อเข้าถึงบัญชีผู้ใช้และข้อมูลที่ละเอียดอ่อนของคุณ มิจฉาชีพสามารถสร้างเว็บไซต์ของตนเองเพื่อลอกเลียนแบบเว็บไซต์ที่น่าเชื่อถือ หรือส่งข้อความที่ทำให้ดูเหมือนว่ามาจากแหล่งที่น่าไว้วางใจ ข้อความฟิชชิ่งอาจมาจากบัญชีผู้ใช้ปลอมหรือบัญชีผู้ใช้ที่ถูกแฮ็ก
หมายเหตุ: หากคุณเชื่อว่าคุณได้แชร์ข้อมูลส่วนตัวผ่านช่องทางที่น่าสงสัย และคิดว่าข้อมูลและตัวตนของคุณอยู่ในความเสี่ยง โปรดปฏิบัติตามคู่มือรัฐบาล
ข้อความฟิชชิ่งอาจระบุคำขอให้คุณดำเนินตามขั้นตอนต่างๆ ดังต่อไปนี้
- เยี่ยมชมลิงก์
- ดาวน์โหลดไฟล์
- เปิดไฟล์แนบ
มัลแวร์ — หมายถึงซอฟต์แวร์ที่มีอันตราย ได้แก่ หนอนไวรัส โทรจัน บอท และไวรัสต่างๆ — ซึ่งสามารถแทรกซึมเข้าสู่คอมพิวเตอร์หรืออุปกรณ์ได้หากคุณดำเนินการตามที่ร้องขอ โดยเมื่อไวรัสเข้าสู่อุปกรณ์ของคุณแล้ว ผู้บุกรุกจะสามารถเข้าถึงข้อมูลส่วนตัวของคุณได้
การฟิชชิ่งอาจรวมถึงคำขอข้อมูลส่วนตัวโดยตรง เช่น ข้อมูลบัญชีธนาคารของคุณ เป็นต้น
การฟิชชิ่งอาจระบุคำขอให้คุณมอบข้อมูลส่วนตัวต่างๆ ผ่านช่องทางเหล่านี้:
- อีเมลหรือระบบการรับส่งข้อความอื่นๆ
- แบบฟอร์ม
- หมายเลขโทรศัพท์ที่หลอกลวง
- ที่อยู่ปลอม
แม้แต่การขอให้คุณป้อนที่อยู่อีเมลและรีเซ็ตรหัสผ่านก็อาจเป็นอันตรายได้
หมายเหตุ: คุณสามารถส่งต่อข้อความฟิชชิ่งใดๆ ที่คุณได้รับมายังกล่องข้อความเพื่อความปลอดภัยของ Shopify ได้ที่ safety@shopify.com การสร้างบันทึกของการโจมตีต่างๆ ที่มีผู้ขายเป็นเป้าหมายจะทำให้ Shopify สามารถปกป้องคุณและข้อมูลของคุณได้อย่างมีประสิทธิภาพยิ่งขึ้น
รู้ทันสัญญาณเตือน
คุณสามารถป้องกันการฟิชชิ่งได้โดยการทำความเข้าใจกับสัญญาณเตือนต่างๆ โดยอ่านข้อความอย่างละเอียดไม่ว่าจะส่งมาจากใคร รวมถึงตรวจสอบเว็บไซต์ให้ดีแม้จะคุ้นเคยเป็นอย่างดีก็ตาม
ภาษาที่คลุมเครือ
แม้ว่าการฟิชชิ่งที่คุณพบอาจรู้จักข้อมูลของคุณ รวมถึงเข้ากันกับตัวคุณและธุรกิจเป็นอย่างดี แต่การใช้ภาษาที่คลุมเครือก็อาจเป็นสัญญาณที่เด่นชัดของการหลอกลวงผ่านการฟิชชิ่งได้ โปรดระมัดระวังข้อความที่ดูเหมือนมาจากองค์กรที่คุณไว้วางใจ แต่เปิดด้วยข้อความที่ข้อความที่กำกวม เช่น
ในทำนองเดียวกัน หากข้อความนำเสนอธุรกิจที่สำคัญหรือโอกาสทางการเงิน แต่ไม่มีรายละเอียดมากพอที่คุณจะสามารถยืนยันได้ว่าผู้ส่งรู้จักคุณ ข้อความดังกล่าวอาจเป็นการหลอกลวง เช่น
ผมชื่อ Frederick เป็นนายธนาคาร โปรดติดต่อผมด่วนที่สุดเกี่ยวกับเรื่องมรดกของญาติที่เสียชีวิต ให้ข้อมูลผ่าน sms ไม่ได้ อีเมลมาตามที่อยู่ด้านล่างนี้
ข้อความธุรกิจจากบัญชีส่วนตัว
มิจฉาชีพที่มีความเชี่ยวชาญสามารถรวบรวมข้อมูลจากตัวตนบนโลกออนไลน์ของคุณเพื่อสร้างข้อความที่ดูเหมือนว่ามาจากรายชื่อจริงได้ ตัวอย่างเช่น
สวัสดี Georgia เราต้องการแจ้งอัปเดตให้คุณทราบ นี่คือเอกสารราคาการค้าส่งปัจจุบันของเรา: fabric-prices-2016-oct.xls
หวังว่าคุณจะพึงพอใจกับเสื้อเชิร์ตล็อตล่าสุดจากเรา! โปรดแจ้งให้เราทราบหากมีข้อสงสัยหรือข้อกังวลใดๆ
--
Julia Chan
ผู้จัดการบัญชี
Example Fabrics
เพื่อเริ่มโจมตี มิจฉาชีพสามารถแฮ็กบัญชีธุรกิจของรายชื่อติดต่อของคุณ หรือสร้างบัญชีส่วนตัวปลอมได้ ตัวอย่างเช่น หาก Julia ซึ่งอยู่ในรายชื่อผู้ติดต่อของคุณใช้ชื่ออีเมลว่า juliachan3857 มิจฉาชีพก็อาจส่งอีเมลมาจากชื่อผู้ใช้ juliachan9665 เป็นต้น โดยรูปแบบการโจมตีเช่นนี้ขึ้นอยู่กับปัจจัยสองอย่าง ได้แก่
- ผู้คนเผลอใช้อีเมลที่ผิดส่งข้อความ
- แม้คุณจะคิดว่าคุณรู้จักอีเมลส่วนตัวของ Julia คุณก็อาจยังดูไม่ถี่ถ้วนพอ
การสะกดผิด ผิดไวยากรณ์ และรูปแบบที่ต่างไปจากเดิม
เหล่ามิจฉาชีพมักจะไม่เข้มงวดกับหลักการเขียนเนื้อหาเท่ากับนักเขียนเนื้อหาบนเว็บไซต์มืออาชีพ การพิมพ์ผิด ผิดไวยากรณ์ หรือรูปแบบที่ต่างไปจากเดิมในหมวดหมู่ต่อไปนี้ในหน้าเดียวอาจบ่งชี้ว่าเว็บไซต์ดังกล่าวเป็นเว็บไซต์ปลอม
- ตัวสะกด
- การใช้ตัวพิมพ์เล็กพิมพ์ใหญ่
- หมายเลข
- เครื่องหมายวรรคตอน
- การจัดรูปแบบ
น้ำเสียงที่ตื่นตูม
ระมัดระวังกับคำขอที่เร่งรัดที่ขู่ให้คุณดำเนินการโดยไม่มีเวลาไตร่ตรองให้ดี Shopify ไม่มีทางส่งข้อความที่มีเนื้อหา เช่น:
ในทำนองเดียวกัน โปรดระวังข้อเสนอที่ดูดีเกินจริง เช่น ส่วนลด 90% จากบริษัทท่องเที่ยวพร้อมใช้งานทันทีหากคุณดำเนินการเดี๋ยวนี้
URL ที่ดูไม่ปกติ
ลักษณะการฟิชชิ่งอาจรวมถึง URL ที่ดูเหมือนจะถูกต้องถ้าคุณไม่ตรวจดูอย่างละเอียด การฟิชชิ่งส่วนใหญ่จงใจเลือกใช้ URL ที่มีลักษณะคล้ายคลึงกับ URL ที่คุณคุ้นเคยอยู่แล้ว ดังตารางด้านล่าง หากคุณซื้อชุดว่ายน้ำจากร้าน Example Apparel ที่มี URL ปกติ จากนั้นคุณก็ได้รับลิงก์ไปยัง URL ปลอม คุณจะสามารถรู้ได้ทันทีว่ามีการฟิชชิ่งเกิดขึ้น
URL จริงจะพาคุณไปยังเว็บไซต์จากโดเมน example-apparel.com ซึ่งมี Example Apparel เป็นเจ้าของ ส่วน URL ปลอมจะพาคุณไปยังเว็บไซต์อันตรายที่โดเมน com-aquatic.net ซึ่งอาจมีมิจฉาชีพเป็นเจ้าของ
| URL จริง | URL ปลอม |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
แจ้งข้อกังวลผ่านช่องทางสื่อสารอื่น
พูดคุยกับผู้ส่งที่ข้อความอันน่าสงสัยกล่าวอ้างถึงด้วยตนเองหรือผ่านโทรศัพท์ และแก้ไขข้อกังวลเกี่ยวกับเว็บเพจด้วยการพูดกับคนในองค์กร
หากคุณติดต่อผู้ส่งผ่านโทรศัพท์ โปรดใช้หมายเลขในเอกสารของคุณหรือที่ปรากฏบนแหล่งข้อมูลออนไลน์ต่างๆ ที่น่าเชื่อถือ ตัวอย่างเช่น หากได้รับคำขอสำหรับข้อมูลตัวแทนภาษีของคุณผ่านอีเมล โปรดโทรหาตัวแทนดังกล่าวด้วยหมายเลขโทรศัพท์จากเอกสารเงินคืนภาษีในปีที่ผ่านมา ห้ามโทรด้วยหมายเลขที่ปรากฏบนเว็บไซต์หรืออีเมลที่น่าสงสัย
ตรวจสอบให้แน่ใจว่าการเชื่อมต่อของคุณใช้งาน HTTPS
เมื่อต้องเชี่อมต่อกับเว็บไซต์ใดๆ ที่อาจขอให้คุณใส่ชื่อผู้ใช้และรหัสผ่าน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ โปรดตรวจสอบเครื่องหมายแม่กุญแจซึ่งปรากฏก่อนหน้า URL ในเบราว์เซอร์:
ไอคอนแม่กุญแจเป็นการบอกว่าการเชื่อมต่อกับเว็บไซต์ดังกล่าวมีการเข้ารหัสโดยใช้โปรโตคอล HTTPS URL สำหรับการเชื่อมต่อที่มีการเข้ารหัสผ่านจะเริ่มต้นด้วย https:// แทนที่จะเป็น http:// โดยการเชื่อมต่อที่ใช้ http:// นั้นจะส่งข้อมูลเป็นข้อความธรรมดาซึ่งอาจถูกดักจับและอ่านได้ระหว่างทาง
ก่อนจะคลิกลิงก์ใดๆ ก็ตามที่อาจต้องใส่ข้อมูล โปรดตรวจสอบให้แน่ใจว่า URL เริ่มต้นด้วย https://
เปิดเฉพาะไฟล์แนบหรือลิงก์ที่ต้องการเข้าถึงเท่านั้น
ห้ามคลิกไฟล์แนบ ลิงก์ หรือแบบฟอร์มใดๆ หากคุณไม่ได้ต้องการเข้าถึงตั้งแต่แรกและหากคุณไม่รู้ว่ามีอะไรอยู่ภายใน เนื่องจากสิ่งเหล่านี้ไม่เพียงแต่พาไปยังเว็บไซต์อันตรายที่ออกแบบมาเพื่อล้วงข้อมูลของคุณเท่านั้น แต่ยังส่งมัลแวร์แทรกซึมเข้าสู่อุปกรณ์ของคุณอีกด้วย
เมื่อข้อความลิงก์เป็น URL โปรดตรวจสอบให้แน่ใจว่าลิงก์ดังกล่าวตรงกับ URL ในเว็บไซต์ ตัวอย่างเช่น ลิงก์ที่เขียนเป็นข้อความว่า https://help.shopify.com ในส่วนเนื้อหาของอีเมลอาจพาคุณไปยังเพจฟิชชิ่งซึ่งมาจาก URL อื่น:
การฟิชชิ่งหลายกรณีใช้ประโยชน์จากการทำธุรกรรมออนไลน์ หากได้รับอีเมลที่น่าสงสัยซึ่งส่งมาจากธนาคารของคุณพร้อมด้วยข้อเสนอพิเศษสำหรับบัตรเครดิตต่างๆ ห้ามคลิกที่ลิงก์ ให้ใส่ URL ด้วยตัวเองในหน้าต่างใหม่แทนแล้วดูว่าข้อเสนอดังกล่าวแสดงอยู่ในแดชบอร์ดของบัญชีผู้ใช้คุณหรือไม่
ใช้ Wi-Fi สาธารณะอย่างระมัดระวัง
Wi-Fi สาธารณะมอบความสะดวกให้คุณระหว่างเดินทาง แต่ก็มอบวิธีต่างๆ ให้กลุ่มมิจฉาชีพสามารถเข้าถึงข้อมูลของคุณได้เช่นกัน คุณสามารถลดความเสี่ยงดังกล่าวได้โดยดำเนินการเพื่อปกป้องตนเองและข้อมูลของคุณ
ตรวจสอบยืนยันชื่อฮอตสปอต
มิจฉาชีพอาจสร้างฮอตสปอต Wi-Fi ของตนเองซึ่งไม่มีการเข้ารหัส จากนั้นเลียนแบบชื่อ Wi-Fi ที่น่าเชื่อถือภายในพื้นที่ เช่น เครือข่ายในร้านกาแฟ หากเชื่อมต่อกับฮอตสปอตปลอมนี้ มิจฉาชีพสามารถพาคุณไปยังเว็บไซต์ของตนเอง ซึ่งอาจถูกมัลแวร์แทรกซึมหรือขอให้ใส่ข้อมูลส่วนตัว
ก่อนทำการเชื่อมต่อ ตรวจสอบให้แน่ใจว่าฮอตสปอตที่คุณต้องการใช้งานนั้นเป็นของจริง เช่น หากคุณไม่เห็นชื่อ Wi-Fi ดังกล่าวในที่ที่มองเห็นได้ง่าย โปรดสอบถามพนักงาน
ปิดใช้งานจุดเข้าถึงในอุปกรณ์ของคุณ
แม้จะเชื่อมต่อกับ Wi-Fi สาธารณะที่ถูกต้อง คุณก็ยังคงมีความเสี่ยงจากการใช้เครือข่ายเดียวกับมิจฉาชีพ เครือข่าย Wi-Fi สาธารณะมีความปลอดภัยน้อยกว่าเครือข่ายส่วนตัวอย่างเช่นที่ทำงาน หรือที่บ้านของคุณ
ปกป้องตนเองด้วยการปิดการแชร์ไฟล์ภายในเครือข่ายของคุณและเปิดใช้งานไฟร์วอลล์ก่อนทำการเชื่อมต่อ และถึงแม้ว่าจะปฏิบัติตามคำเตือนเหล่านี้แล้ว เราก็ไม่แนะนำให้คุณรับหรือส่งเนื้อหาที่ละเอียดอ่อนผ่านเครือข่าย Wi-Fi สาธารณะ
รับและส่งข้อมูลที่ละเอียดอ่อนผ่าน VPN
เครือข่ายส่วนตัวเสมือนจะสร้างการเชื่อมต่อที่ปลอดภัยระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์ของบริษัท VPN นั้นๆ ด้วยวิธีนี้ เซิร์ฟเวอร์ VPN จะถ่ายทอดข้อมูลของคุณลงบนอินเทอร์เน็ต หากมิจฉาชีพสามารถเข้าถึงข้อมูลที่คุณรับและส่งอยู่ผ่านฮอตสปอต Wi-Fi สาธารณะ ข้อมูลดังกล่าวจะถูกเข้ารหัสและมิจฉาชีพจะไม่สามารถนำไปใช้ประโยชน์ได้:
สำหรับผู้ที่กำลังมองหาบริการ VPN เราแนะนำให้ใช้บริการ Techradar และ PC Mag
หากไม่ใช้งาน VPN ตัวเลือกที่ปลอดภัยที่สุดคือการหลีกเลี่ยงไม่ส่งข้อมูลที่ละเอียดอ่อนผ่าน Wi-Fi สาธารณะ
ปฏิบัติตามคู่มือรัฐบาลหากข้อมูลส่วนตัวของคุณถูกบุกรุก
ข้อมูลที่ระบุตัวบุคคลได้ (PII) ได้แก่ข้อมูลที่สามารถใช้ระบุตัวบุคคลใดบุคคลหนึ่ง หรือแม้แต่สวมรอยบุคคลดังกล่าวได้ ข้อมูล PII มีหลายประเภทได้แก่:
- ชื่อ-สกุล
- อีเมล
- ที่อยู่
- หมายเลขโทรศัพท์
- หมายเลขบัตรเครดิต
- หมายเลขประจำตัวประชาชน (เช่น SIN, SSN หรือหนังสือเดินทาง)
- ใบขับขี่
- วันเดือนปีเกิด
หากคุณเคยมอบข้อมูลที่ระบุตัวบุคคลได้ผ่านช่องทางที่น่าสงสัย หรือหากบัญชีผู้ใช้ Shopify ของคุณถูกบุกรุก โปรดปฏิบัติตามคู่มือจากรัฐบาลของคุณ เช่น ข้อมูลจากรัฐบาลแคนาดาและสหรัฐฯ นี้:
แคนาดา
สิ่งที่ต้องทำ:
รายงาน:
สหรัฐอเมริกา
สิ่งที่ต้องทำ:
รายงาน: