รู้ทัน Quishing อาวุธใหม่ของอาชญากรไซเบอร์
เทคนิคหนึ่งที่ใช้ก่ออาชญากรรมไซเบอร์ที่ครองตำแหน่งแชมป์ปีแล้วปีเล่าก็คือ การฟิชชิ่ง (Phishing) ซึ่งเป็นการเสาะหาช่องทางเข้าสู่การขโมยข้อมูล แสวงหาผลประโยชน์จากหน่วยที่อ่อนแอที่สุดในห่วงโซ่ความปลอดภัยทางไซเบอร์ นั่นก็คือ “มนุษย์” ทำให้ในช่วงไม่กี่ปีที่ผ่านมา อุตสาหกรรมต่างๆให้ความสำคัญกับการฝึกอบรมและการสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์แก่พนักงานของตนมากขึ้น อย่างไรก็ตาม เหล่าอาชญากรเองก็ไม่หยุดนิ่งในการพัฒนาเทคนิคการหลอกลวงใหม่ หนึ่งในนั้นก็คือ “Quishing” ซึ่งกำลังสร้างความวิตกกังวลให้แก่อุตสาหกรรมต่างๆทั่วโลก
Quishing คืออะไร?
การทำ Quishing เกิดขึ้นจากความนิยมในการใช้ QR Code นำการทำกิจกรรมดิจิทัลต่างๆ ทั้งการเข้าสู่เว็บไซต์ เข้าร่วมกลุ่มสมาชิก ตลอดจนการทำธุรกรรม ทำให้อาชญากรไซเบอร์เห็นเป็นช่องว่างนำมาใช้เป็นเครื่องมือในการก่ออาชญากรรมทางไซเบอร์แบบวนรอบ เริ่มต้นด้วยการใช้ QR Code ที่ฝังอยู่ในอีเมลหรือข้อความหลอกลวง อาชญากรจะแอบอ้างเป็นบุคคลที่มีอำนาจที่มีความน่าเชื่อถือ พยายามเร่งกดดันหรือสร้างความกลัวเพื่อกระตุ้นให้เหยื่อปฏิบัติตาม ตัวอย่างเช่น อีเมลอาจเตือนถึงปัญหาด้านความปลอดภัยที่เราต้องรีบหันมาสนใจทันที กระตุ้นให้เหยื่อการสแกน QR Code ซึ่งจะนำไปยังเว็บไซต์ที่ขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน หรือการกระทำต่างๆเช่น การโอนเงินหรือการติดตั้งมัลแวร์ ข้อมูลที่รวบรวมจะถูกใช้เพื่อโจมตีเหยื่อรายอื่นๆ ด้วยกระบวนการทำงานของ QR Code ที่ทำให้การรับ-ส่งข้อมูลมีความรวดเร็ว Quishing จึงเป็นภัยคุกคามทางไซเบอร์ที่เติบโตขึ้นอย่างรวดเร็วในปัจจุบัน
นอกจากนี้ด้วยความก้าวหน้าของปัญญาประดิษฐ์ (AI) เราจะเริ่มเห็นการทำ Quishing มาประยุกต์ใช้กับ AI มากขึ้น โดยเฉพาะเทคโนโลยีกลุ่ม Generative AI และ Deepfakes ทำให้การหลอกลวงซับซ้อนมากกว่าเดิม สามารถปลอมแปลงวิดีโอหรือเสียงได้อย่างแนบเนียน ใช้ประโยชน์จากความไว้วางใจจากภาพและบุคคลที่มีอำนาจ ทำให้เหยื่อมีแนวโน้มที่จะสแกน QR Code และยอมให้ข้อมูลมากขึ้น มากกว่านั้นยังมีการเกิดขึ้นของการหลอกลวงแนวใหม่ที่เป็นการฟิชชิ่งด้วยเสียงที่สร้างโดย AI หรือ Vishing อีกด้วย
สถานการณ์ของภัยคุกคามจาก Quishing
จากรายงาน Phishing Threat Trends Report 2024 โดย Egress ได้ระบุว่า "Quishing เพิ่มขึ้นจาก 0.8% ในปี 2564 เป็น 10.8% ในปี 2567 ในขณะที่ Payloads (โค้ดอันตราย) แบบแนบไฟล์ลดลงครึ่งหนึ่งจาก 72.7% เป็น 35.7% ในช่วงเวลาเดียวกัน" ซึ่งหมายความว่าอาชญากรไซเบอร์กำลังใช้กลวิธีการ Quishing เพื่อหลอกลวงผู้คนจำนวนมหาศาล มาตรการและหลักการด้านความปลอดภัยจึงจำเป็นต้องพัฒนาให้ทันกับเทรนด์ ซึ่งมีข้อมูลยืนยันคือ ตั้งแต่เดือนมิถุนายนถึงเดือนสิงหาคม 2566 พบว่ามีอีเมล Quishing เพิ่มขึ้น 8,878 ฉบับ บ่งบอกถึงการเปลี่ยนแปลงในกลวิธีของอาชญากรทางไซเบอร์ และ "มีผู้รับสารเพียง 36% ที่สามารถระบุและรายงานเหตุการณ์ที่เกิดขึ้นได้อย่างถูกต้อง" สะท้อนให้เห็นถึงการขาดองค์ความรู้เกี่ยวกับ Quishing ทำให้ผู้รับสารมีความเสี่ยงมากขึ้น
หากพูดถึงประเด็นเรื่องภัยพิบัติทางการเงินจากการหลอกลวงประเทศไทยได้รับการจัดอยู่ในอันดับที่ 6 ของโลกที่มีการหลอกลวงทางการเงินมากที่สุด คนไทยกำลังเผชิญกับหลากกลวิธีในการหลอกลวง ทั้งการล่อให้ซื้อสินค้าและบริการ การหลอกให้ยืมเงิน และการหลอกให้ลงทุนผ่านระบบคอมพิวเตอร์ ซึ่งหลายครั้งก็มีจุดเริ่มต้นมาจาก Quishing ซึ่งประเทศไทยก็มีมาตรการทางกฎหมายเพื่อป้องกันและจัดการกับภัยพิบัติทางการเงิน เช่น การเพิ่มโทษในการเปิดบัญชีปลอมและการอายัดบัญชีโดยทันที มีการจัดตั้ง "ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์" ซึ่งเป็นศูนย์รับเรื่องร้องเรียนออนไลน์ตลอด 24 ชั่วโมงเพื่อช่วยเหลือเหยื่อ โดยภาคธนาคารกำลังยกเครื่องระบบเพื่อตรวจจับและติดตามธุรกรรมแบบเรียลไทม์
รับมือกับ Quishing ด้วยวิทยาศาสตร์พฤติกรรม
วิทยาศาสตร์พฤติกรรมเป็นเครื่องมือสำคัญในการต่อสู้กับการโจมตีด้วย Quishing เพราะให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมและความเสี่ยงของมนุษย์ หากเราเข้าใจถึงรายละเอียดดังกล่าว ผู้เชี่ยวชาญสามารถพัฒนาโปรแกรมการฝึกอบรมที่มุ่งเป้าไปที่การเสริมสร้างบุคคลให้สามารถรับรู้และต่อต้านกลวิธีหลอกลวงได้ นอกจากนี้ วิทยาศาสตร์พฤติกรรมยังช่วยให้สามารถนำมาตรการความปลอดภัยที่ปรับให้เหมาะสมกับบริบท ซึ่งรับมือกับอคติในการรับรู้และการตีความอย่างผิวเผินเพื่อบรรเทาความเสี่ยงเฉพาะที่เกิดจากการทำ Quishing แนวคิดดังกล่าวจึงช่วยส่งเสริมวัฒนธรรมของการคิดเชิงวิเคราะห์และการปรับตัวภายในองค์กร เพิ่มขีดความสามารถให้พนักงานทำหน้าที่เป็นแนวหน้าในการป้องกันภัยคุกคามทางไซเบอร์
การใช้ประโยชน์จากพฤติกรรมศาสตร์ยังช่วยส่งเสริมการพัฒนาโซลูชันทางเทคโนโลยีที่เสริมการรับรู้ของมนุษย์และรองรับมาตรการรักษาความปลอดภัยทางไซเบอร์แบบดั้งเดิม ท้ายที่สุดแล้ว การผสานรวมหลักการด้านพฤติกรรมศาสตร์เข้ากับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ถือเป็นสิ่งสำคัญในการเสริมการป้องกันภัยคุกคามทางดิจิทัลที่เปลี่ยนแปลงอยู่ตลอดเวลา
#Quishing #ข่าววันนี้ #อาชญากรไซเบอร์ #มิจฉาชีพ #QRCode
