รูปแบบการส่งอีเมลปลอมเพื่อหลอกขอข้อมูลส่วนตัวของผู้ใช้ และรหัสผ่าน กลายเป็นกลโกงแบบพื้นฐานที่ผู้ใช้งานอินเทอร์เน็ต มีภูมิคุ้มกัน และเฝ้าระวังกันอยู่แล้ว แต่ถ้ามีการผสมผสานทั้งการโทร. ด้วย AI ปลอมเสียง และอีเมลปลอมเข้ามาพร้อมกัน จะทำให้เหยื่อตกใจมากขึ้นแค่ไหน?
นี่คือรูปแบบการโจมตีผู้ใช้งาน Gmail ทั่วโลกกว่า 1.8 พันล้านคนทั่วโลก ที่ทุกคนมีโอกาสโดนได้ ด้วยการนำ AI มาช่วยในการขโมยบัญชี ที่ปัจจุบันมีความสำคัญมากขึ้นเรื่อยๆ เพราะสามารถใช้เพื่อยืนยันตัวตนทางดิจิทัลได้กับหลากหลายบริการ
กลโกงรูปแบบใหม่นี้ ถูกแจ้งเตือนจาก FBI ที่มาแจ้งเตือนระดับสูงให้ผู้ใช้งาน Gmail ทุกคน ระวังการหลอกลวงที่ใช้ AI ทั้ง Deepfake ในการปลอมใบหน้า ผสมผสานกัน Robocall ที่เป็นการใช้ระบบโทรแจ้งเตือนอัตโนมัติ รวมกับการส่งอีเมลหลอกลวงที่หลบหลักการคัดกรองความปลอดภัยเข้ามาได้
จากข้อมูลปัจจุบัน จะพบวิธีการของมิจฉาชีพที่มุ่งเป้าในการขโมยบัญชีอีเมล ด้วยการหลอกให้คลิกอีเมลเพื่อขอกู้คืนรหัสผ่าน หรือหลอกข้อรหัสกู้คืนบัญชีของ Gmail ที่จะทำให้มิจฉาชีพสามารถเข้าไปเปลี่ยนรหัสผ่าน และยืด Gmail ไปทำธุรกรรมอื่นๆ ได้
เริ่มต้นจากการที่ใช้ Deepfake และ Robocall สุ่มโทรหาเหยื่อ เพื่อแจ้งการเข้าใช้งาน Gmail ที่มีความน่าสงสัย เพื่อให้ข้อมูลว่าจะมีการส่งอีเมล (ปลอม) มาเพื่อช่วยแก้ไขปัญหา เพื่อให้ผู้ใช้เกิดความตื่นตระหนก และเฝ้ารออีเมลที่จะส่งมา
หลังจากนั้น มิจฉาชีพ จะส่งอีเมลปลอมเพื่อให้เปลี่ยนรหัสผ่าน ด้วยการหลอกให้เหมือนมาจากบัญชีของ Google และมีลิงก์ที่ให้กดเพื่อเข้าไปยังเว็บไซต์ Google (ปลอม) เพื่อให้กรอกล็อกอิน Gmail และรหัสผ่าน หลังจากนั้นก็เข้าสู่ขั้นตอนของการขอรหัสยืนยันตัวตนเพื่อขโมยบัญชี
อันตรายต่อเนื่องจาก Gmail
เมื่อมิจฉาชีพได้ Gmail ไปแล้ว สิ่งที่อันตรายไม่ได้อยู่แค่ข้อมูล หรือการเข้าถึงบริการต่างๆ ของ Google เท่านั้น แต่กลายเป็นว่าทุกบริการในอินเทอร์เน็ตที่ใช้การล็อกอินผ่านบัญชี Google (Sign in with Google) จะกลายเป็นช่องทางให้มิจฉาชีพ เข้าถึงได้ผ่านบัญชีอีเมล
โดยเฉพาะบัญชีที่เกี่ยวกับสินทรัพย์ดิจิทัลที่มีการล็อกอินด้วย Gmail ไม่ว่าจะเป็นแอปพลิเคชันธนาคาร กระเป๋าเงินอิเล็กทรอนิกส์ ไปจนถึงบัญชีศูนย์ซื้อขายสินทรัพย์ดิจิทัลต่างๆ ไปจนถึงความเสียหายจากข้อมูลของธุรกิจ และความน่าเชื่อถือด้วย
สำหรับการป้องกันตัวที่ดีที่สุดคือ ตรวจสอบที่มาของอีเมลทุกครั้ง ก่อนที่จะคลิกลิงก์ไปยังหน้าเว็บไซต์หรือ URL ต่างๆ ถ้าต้องกรอกข้อมูลส่วนตัวให้ตรวจสอบ URL ให้มั่นใจว่าเป็นเว็บไซต์จริง
นอกจากนี้ ยังสามารถใช้โปรแกรมจัดการรหัสผ่าน (Password Manger) มาช่วยในการตรวจสอบเว็บไซต์ที่น่าเชื่อถือ ซึ่งจะช่วยกรองว่าถ้าไม่ใช่ URL ที่ถูกต้อง จะไม่ขึ้นรหัสผ่านอัตโนมัติมาให้ เพื่อให้ระมัดระวังในการล็อกอินใช้งานมากขึ้น
ปลอมเบอร์ ธนาคาร – หน่วยงานดูแล
ข้อมูลจาก FBI ยังแจ้งเตือนถึงการหลอกลวงแบบใหม่ที่เรียกว่า “Spoof” ด้วยการปลอมเลขหมายโทรศัพท์เป็นธนาคาร หน่วยงานรัฐ แทนเบอร์โทรทั่วไป ก่อนเข้าสู่กระบวนการหลอกลวงของแก๊งคอลเซ็นเตอร์ ที่แจ้งข้อมูลเรื่องบัญชีม้า หรือหมายจับต่างๆ ซึ่งปัญหานี้ไม่ได้เกิดขึ้นเฉพาะในไทย แต่เกิดขึ้นทั่วโลก
พร้อมกับคำแนะนำว่า หากได้รับสายจากหน่วยงานที่ไม่ได้ทำธุรกรรมด้วย และมีเรื่องผิดกฎหมายให้วางสายทันที หลังจากนั้นหากสงสัยว่าถูกหลอกค่อยโทร. กลับไปตรวจสอบจากเบอร์ที่ได้รับการยืนยันจากเว็บไซต์ หรือเอกสารอย่างเป็นทางการแทน
