ຂ້າມໄປເນື້ອໃນຫຼັກ

ວິທີປົກປ້ອງຕົວເອງຈາກການໂຈມຕີແບບ phishing

Phishing ຍັງຄົງເປັນວິທີທີ່ແນ່ນອນທີ່ສຸດໃນການຂະໂມຍບັນຊີ. ຮຽນຮູ້ວິທີທີ່ phishing ທີ່ທັນສະໄໝເຮັດວຽກ, ສັນຍານອັນຕະລາຍທີ່ຄວນສັງເກດ, ແລະວິທີປ້ອງກັນທີ່ມີປະສິດທິພາບແທ້ຈິງ.

2026-04-14

TL;DR

  • Phishing ແມ່ນສາເຫດອັນດັບ 1 ຂອງການຂະໂມຍບັນຊີ — ຜູ້ໂຈມຕີຫຼອກໃຫ້ທ່ານໃສ່ຂໍ້ມູນລົງຊື່ເຂົ້າໃຊ້ໃນເວັບໄຊທ໌ປອມ.
  • Phishing ທີ່ທັນສະໄໝສາມາດສ້າງເວັບໄຊທ໌ປອມທີ່ເຫມືອນຂອງແທ້ທຸກອຍ່າງ ແລະສາມາດສົ່ງຜ່ານລະຫັດ 2FA ຂອງທ່ານໄດ້ທັນທີ.
  • Hardware security keys (YubiKey, FIDO2) ແມ່ນການປ້ອງກັນດຽວທີ່ສາມາດປ້ອງກັນ phishing ໄດ້ຢ່າງສົມບູນ.
  • ເຄື່ອງມືຄຸ້ມຄອງລະຫັດຈະປົກປ້ອງທ່ານໂດຍການປະຕິເສດທີ່ຈະຕື່ມຂໍ້ມູນອັດຕະໂນມັດໃນໂດເມນທີ່ຜິດ.
  • ກວດເບິ່ງໂດເມນທີ່ແນ່ນອນກ່ອນທີ່ຈະພິມລະຫັດ, ແລະບໍ່ຄວນເຂົ້າລະບົບຜ່ານລິ້ງໃນອີເມລ.

Phishing ແມ່ນຫຍັງ?

Phishing ແມ່ນການໂຈມຕີ social engineering ທີ່ຜູ້ໂຈມຕີສ້າງສຳເນົາທີ່ໜ້າເຊື່ອຂອງເວັບໄຊທ໌ທີ່ຖືກຕ້ອງຕາມກົດໝາຍ — ມັກຈະສົມບູນແບບທຸກພິກເຊວ — ແລະຫຼອກເຫຍື່ອໃຫ້ໃສ່ຂໍ້ມູນເຂົ້າສູ່ລະບົບທີ່ນັ້ນ. ທັນທີທີ່ເຫຍື່ອສົ່ງແບບຟອມ, ຜູ້ໂຈມຕີຈະຈັບຊື່ຜູ້ໃຊ້, ລະຫັດຜ່ານ, ແລະປັດໃຈທີສອງໃດໆ, ຈາກນັ້ນໃຊ້ພວກມັນເພື່ອຂະໂມຍບັນຊີຈິງພາຍໃນວິນາທີ.

ຄຳນີ້ມາຈາກຄຳແທນທີ່ຂອງ "ຕົກປາ" ຊອກຫາເຫຍື່ອດ້ວຍເຫຍື່ອປາ (ປົກກະຕິແລ້ວແມ່ນອີເມລ). ການສະກົດປ່ຽນເພື່ອເນັ້ນຍ້ຳວ່າຜູ້ໂຈມຕີມັກໃຊ້ເລກphone (SMS phishing, ຫຼື "smishing") ແລະໂຄງສ້າງພື້ນຖານທີ່ເບິ່ງເປັນມືອາຊີບ.

ເປັນຫຍັງ phishing ຈິ່ງຍັງເປັນໄພຂົ່ມຂູ່ອັນດັບ 1

ການລະເມີດບັນຊີຂະໜາດໃຫຍ່ທີ່ຫຼາຍທີ່ສຸດໃນປັດຈຸບັນບໍ່ໄດ້ກ່ຽວຂ້ອງກັບການແຮັກ, ການແຕກລະຫັດຜ່ານ, ຫຼືການຂ້າມການເຂົ້າລະຫັດ. ພວກມັນກ່ຽວຂ້ອງກັບມະນຸດທີ່ພິມລະຫັດຜ່ານໃສ່ເວັບໄຊທ໌ປອມ. Phishing ແມ່ນ:

  • ລາຄາຖືກ — ຜູ້ໂຈມຕີສາມາດສົ່ງອີເມລຫຼາຍລ້ານສະບັບດ້ວຍຄ່າໃຊ້ຈ່າຍຂອງ VPS ແລະໂດເມນປອມ
  • ຍາກຕໍ່ການກັ່ນຕອງ — kits ທີ່ທັນສະໄໝໝູນເວັຽນໂດເມນ, ໃຊ້ການໂຮສຕິ້ງທີ່ຖືກກົດໝາຍ, ແລະປັບຕົວກັບຕົວກັ່ນຕອງແບບ real-time
  • ມີປະສິດທິພາບ — ແມ້ກະທັ້ງຜູ້ໃຊ້ທີ່ມີຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພຍັງຕົກກັບດັກການພະຍາຍາມທີ່ແນ່ນອນທີ່ສ້າງຂຶ້ນດີ (spear phishing)
  • ຂະຫຍາຍໄດ້ — phishing ທີ່ສຳເລັດຄັ້ງດຽວມັກໃຫ້ການເຂົ້າເຖິງບໍລິການທີ່ເຊື່ອມຕໍ່ຫຼາຍສິບຜ່ານການໃຊ້ລະຫັດຜ່ານຊ້ຳກັນ

ບົດລາຍງານການສືບສວນການລະເມີດຂໍ້ມູນ Verizon 2024 ພົບວ່າ phishing ແມ່ນເສັ້ນທາງການເຂົ້າເຖິງເບື້ອງຕົ້ນໃນກວ່າ 36% ຂອງການລະເມີດທັງໝົດ — ຫຼາຍກວ່າສາເຫດອື່ນໃດໜຶ່ງ.

ວິທີທີ່ phishing ທີ່ທັນສະໄໝເຮັດວຽກ

Phishing ໄດ້ພັດທະນາໄປຫຼາຍກວ່າອີເມລ "ເຈົ້າຊາຍ Nigerian" ຂອງຊຸມປີ 2000s. ການໂຈມຕີ phishing ທີ່ທັນສະໄໝປົກກະຕິລວມມີ:

1. ເຫຍື່ອທີ່ໜ້າເຊື່ອ

ປົກກະຕິແລ້ວເປັນອີເມລ, ຂໍ້ຄວາມ, ຫຼືຂໍ້ຄວາມ chat ທີ່ສ້າງຄວາມຮີບຮ້ອນ ("ບັນຊີຂອງທ່ານຈະຖືກລະງັບ"), ອຳນາດ ("ທີມຄວາມປອດໄພ Microsoft"), ຫຼືຄວາມຢາກຮູ້ ("ມີຄົນແທກທ່ານໃນຮູບ"). Spear-phishing ເອົານີ້ໄປໄກກວ່ານັ້ນດ້ວຍລາຍລະອຽດສ່ວນຕົວທີ່ແກ້ຈາກ LinkedIn, breach dumps, ຫຼືການຕິດຕໍ່ກ່ອນໜ້າ.

2. ເວັບໄຊທ໌ປອມທີ່ຄືກັນທຸກພິກເຊວ

ຜູ້ໂຈມຕີໃຊ້ phishing kits ທີ່ເປັນແບບພ້ອມໃຊ້ທີ່ ແບບ clone HTML, CSS, ແລະ JavaScript ຂອງເວັບໄຊທ໌ເປົ້າໝາຍ. Kits ຫຼາຍອັນຖືກຂາຍເປັນບໍລິການ (phishing-as-a-service), ດ້ວຍ dashboards ທີ່ເຮັດວຽກແລະການສະໜັບສະໜູນລູກຄ້າ.

3. Proxy real-time ສຳລັບ 2FA

ສ່ວນທີ່ອັນຕະລາຍ: kits ທີ່ທັນສະໄໝບໍ່ພຽງແຕ່ຈັບລະຫັດຜ່ານຂອງທ່ານ. ພວກມັນເຮັດຫນ້າທີ່ເປັນ man-in-the-middle proxy ທີ່ສົ່ງຜ່ານທຸກສິ່ງທີ່ທ່ານພິມ — ລວມທັງລະຫັດ TOTP ຂອງທ່ານ — ໄປເວັບໄຊທ໌ຈິງພາຍໃນວິນາທີ, ເຮັດໃຫ້ 2FA ສ່ວນໃຫຍ່ບໍ່ມີປະໂຫຍດ. ເທັກນິກນີ້ເອີ້ນວ່າ adversary-in-the-middle (AiTM) ແລະຖືກໃຊ້ໃນເຄື່ອງມືເຊັ່ນ Evilginx2 ແລະ Modlishka.

4. ການລັກລ້າ session token

ເມື່ອທ່ານກວດສອບຜ່ານ proxy, ຜູ້ໂຈມຕີຈະຈັບ session cookie ຂອງທ່ານແລະສາມາດໃຊ້ມັນເພື່ອສືບຕໍ່ເຂົ້າລະບົບແມ້ກະທັ້ງຫຼັງຈາກທ່ານປ່ຽນລະຫັດຜ່ານແລ້ວ. ນີ້ແມ່ນເຫດຜົນທີ່ການຕອບສະໜອງຕໍ່ phishing ລວມມີການຍົກເລີກ active sessions ສະເໝີ, ບໍ່ແມ່ນພຽງແຕ່ການປ່ຽນລະຫັດຜ່ານ.

ສິ່ງທີ່ແທ້ຈິງຢຸດ phishing

Hardware security keys (FIDO2 / WebAuthn)

ນີ້ແມ່ນປະເພດການປ້ອງກັນດຽວທີ່ ສາມາດປ້ອງກັນ phishing ໄດ້ໂດຍການອອກແບບ. ເມື່ອທ່ານເຂົ້າລະບົບດ້ວຍ FIDO2 key, key ຂອງທ່ານຈະກວດສອບໂດເມນທີ່ແນ່ນອນຂອງເວັບໄຊທ໌ທີ່ຂໍການກວດສອບແບບ cryptographically. ເວັບໄຊທ໌ປອມ — ບໍ່ວ່າຈະສົມບູນແບບແນວໃດທາງສາຍຕາ — ມີໂດເມນທີ່ແຕກຕ່າງ, ດັ່ງນັ້ນ key ຈະປະຕິເສດທີ່ຈະຕອບ. ການຈັບມືແບບ cryptographic ບໍ່ສຳເລັດ.

Google ໄດ້ບັງຄັບ YubiKeys ສຳລັບພະນັກງານທັງໝົດ 85,000+ ຄົນໃນປີ 2017 ແລະລາຍງານວ່າ ບໍ່ມີການໂຈມຕີ phishing ທີ່ສຳເລັດ ໃນບັນຊີບໍລິສັດໃນປີຕໍ່ມາ.

Passkeys

Passkeys ແມ່ນວິວັດທະນາການທີ່ເປັນມິດກັບຜູ້ບໍລິໂພກຂອງ FIDO2. ພວກມັນໃຊ້ການເຂົ້າລະຫັດທີ່ຜູກກັບໂດເມນດຽວກັນແລະຖືກສ້າງເຂົ້າໄປໃນ iOS, Android, macOS, ແລະ Windows. ຖ້າເວັບໄຊທ໌ທີ່ທ່ານໃຊ້ສະໜັບສະໜູນ passkeys, ການເປີດໃຊ້ໜຶ່ງຈະເຮັດໃຫ້ບັນຊີນັ້ນສາມາດປ້ອງກັນ phishing ໄດ້.

ເຄື່ອງມືຄຸ້ມຄອງລະຫັດ

ເຄື່ອງມືຄຸ້ມຄອງລະຫັດແມ່ນແຖວປ້ອງກັນທີສອງຂອງທ່ານເພາະວ່າມັນຕື່ມຂໍ້ມູນເຂົ້າສູ່ລະບົບພຽງແຕ່ໃນໂດເມນທີ່ແນ່ນອນທີ່ພວກມັນຖືກບັນທຶກໄວ້. ຖ້າທ່ານໄປເຖິງ paypaI.com (ຕົວ I ໃຫຍ່) ແທນ paypal.com, ເຄື່ອງມືຂອງທ່ານຈະປະຕິເສດທີ່ຈະຕື່ມແບບຟອມຢ່າງງຽບໆ. ການປະຕິເສດນັ້ນແມ່ນການເຕືອນດັງວ່າມີບາງຢ່າງຜິດປົກກະຕິ.

ການກັ່ນຕອງອີເມລແລະ DNS

ຜູ້ໃຫ້ບໍລິການອີເມລໃຊ້ DMARC, SPF, ແລະ DKIM ເພື່ອກວດຫາທີ່ຢູ່ຜູ້ສົ່ງປອມ. ຜູ້ໃຫ້ບໍລິການທີ່ທັນສະໄໝສ່ວນໃຫຍ່ຈັບການພະຍາຍາມທີ່ຊັດເຈນ, ແຕ່ການໂຈມຕີທີ່ແນ່ນອນຍັງຫຼຸດຜ່ານ. ເປີດໃຊ້ປຸ່ມ "ລາຍງານ phishing" ໃນ mail client ຂອງທ່ານເພື່ອຊ່ວຍໃຫ້ຕົວກັ່ນຕອງດີຂຶ້ນ.

ສັນຍານເຕືອນທີ່ຄວນສັງເກດ

ເມື່ອທ່ານໄດ້ຮັບຂໍ້ຄວາມທີ່ຂໍໃຫ້ເຂົ້າລະບົບ, ກວດສອບ, ຫຼືດຳເນີນການຢ່າງຮີບຮ້ອນ:

  • ຄວາມຮີບຮ້ອນແລະການຂົ່ມຂູ່ — "ບັນຊີຂອງທ່ານຈະຖືກປິດໃນ 24 ຊົ່ວໂມງ"
  • ການທັກທາຍທົ່ວໄປ — "ເອີ້ນລູກຄ້າ" ແທນທີ່ຈະເປັນຊື່ຂອງທ່ານ
  • ໂດເມນທີ່ຄ້າຍຄືpaypaI.com, app1e.com, secure-microsoft-login.net
  • ໄຟລ໌ແນບທີ່ບໍ່ຄາດຄິດ — ໂດຍສະເພາະໄຟລ໌ .zip, .html, ຫຼື .pdf ທີ່ຂໍໃຫ້ທ່ານເຂົ້າລະບົບເພື່ອເບິ່ງ
  • ຂໍ້ຜິດພາດທາງໄວຍາກອນຫຼືການຈັດຮູບແບບ — ບໍລິສັດໃຫຍ່ກວດກາຂໍ້ຄວາມໃນອີເມລຂອງເຂົາເຈົ້າ
  • ລິ້ງບໍ່ກົງກັນ — hover ເໜືອລິ້ງແລະກວດເບິ່ງວ່າປາຍທາງກົງກັບຂໍ້ຄວາມຫຼືບໍ່

ຖ້າມີຫຍັງຮູ້ສຶກຜິດປົກກະຕິ, ໃຫ້ປິດອີເມລ. ໄປເວັບໄຊທ໌ດ້ວຍຕົນເອງ. ຖ້າມີບັນຫາແທ້ຈິງ, ທ່ານຈະເຫັນມັນເມື່ອເຂົ້າລະບົບຜ່ານຂັ້ນຕອນປົກກະຕິຂອງທ່ານ.

ສິ່ງທີ່ຄວນເຮັດຖ້າຕົກກັບດັກ

ດຳເນີນການຢ່າງໄວ — ຄວາມໄວສຳຄັນເພາະວ່າຜູ້ໂຈມຕີເລີ່ມໃຊ້ຂໍ້ມູນເຂົ້າສູ່ລະບົບພາຍໃນນາທີ.

  1. ປ່ຽນລະຫັດຜ່ານທັນທີໃນອຸປະກອນອື່ນ (ໂທລະສັບຂອງທ່ານ, ຕົວຢ່າງ, ຖ້າທ່ານຕົກກັບດັກໃນແລັບທັອບ)
  2. ຍົກເລີກ active sessions ທັງໝົດໃນການຕັ້ງຄ່າບັນຊີ — ນີ້ຈະເຕະໃສ່ຜູ້ທີ່ກຳລັງໃຊ້ session tokens ທີ່ຖືກລັກ
  3. ເປີດໃຊ້ 2FA ຖ້າຍັງບໍ່ໄດ້ເປີດ, ແລະໃຊ້ hardware key ຫຼື passkey ຖ້າເປັນໄປໄດ້
  4. ກວດເບິ່ງກິດຈະກຳທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ — ອີເມລທີ່ສົ່ງ, ການເຂົ້າລະບົບຫຼ້າສຸດ, ການປ່ຽນແປງໃບເກັບເງິນ, ກົດໃໝ່ຂອງການສົ່ງຕໍ່
  5. ແຈ້ງໃຫ້ສະຖາບັນທີ່ກ່ຽວຂ້ອງຖ້າເປັນບັນຊີການເງິນຫຼືບ່ອນເຮັດວຽກ
  6. ກວດເບິ່ງບັນຊີອື່ນໆທີ່ໃຊ້ລະຫັດຜ່ານດຽວກັນ — ແມ້ວ່າທ່ານຈະແນ່ໃຈວ່າບໍ່ໄດ້ໃຊ້ລະຫັດຜ່ານຊ້ຳກັນ, ໃຫ້ກວດເບິ່ງ

ສະຫຼຸບ

Phishing ຈະເລີນຮຸ່ງເຮືອງເພາະວ່າມັນຂ້າມເທັກໂນໂລຍີແລະແນໃສ່ມະນຸດ. ການປ້ອງກັນທີ່ດີທີ່ສຸດຜະສົມສາມຊັ້ນ: ເຄື່ອງມືຄຸ້ມຄອງລະຫັດ (ປະຕິເສດທີ່ຈະຕື່ມຂໍ້ມູນໃນໂດເມນທີ່ຜິດ), 2FA ທີ່ຕ້ານ phishing ໄດ້ (hardware keys ຫຼື passkeys ທີ່ຜູກກັບໂດເມນຈິງ), ແລະ ຄວາມສົງໄສທີ່ດີສຸຂະພາບ (ບໍ່ເຄີຍເຂົ້າລະບົບຈາກລິ້ງໃນອີເມລ).

ເປີດໃຊ້ທັງສາມຢ່າງໃນບັນຊີທີ່ສຳຄັນທີ່ສຸດຂອງທ່ານ — ອີເມລຂອງທ່ານ — ກ່ອນ. ຈາກນັ້ນ, ສ່ວນທີ່ເຫຼືອຂອງຊີວິດດິຈິຕອນຂອງທ່ານຈະປອດໄພກວ່າເກົ່າຫຼາຍ.

ວິທີປົກປ້ອງຕົວເອງຈາກ Phishing

ລາຍການກວດສອບແບບລະບຽບເພື່ອເສີມຄວາມແຂງແຮງຂອງບັນຊີຂອງທ່ານຕ້ານການໂຈມຕີ phishing.

  1. ໃຊ້ເຄື່ອງມືຄຸ້ມຄອງລະຫັດ:ຕິດຕັ້ງເຄື່ອງມືຄຸ້ມຄອງລະຫັດທີ່ມີຊື່ສຽງ (1Password, Bitwarden, Proton Pass) ແລະໃຫ້ມັນຕື່ມຂໍ້ມູນເຂົ້າສູ່ລະບົບອັດຕະໂນມັດ. ມັນຈະປະຕິເສດທີ່ຈະຕື່ມຂໍ້ມູນໃນໂດເມນທີ່ດູຄ້າຍຄື, ເຮັດໃຫ້ທ່ານມີເຄື່ອງມືກວດຫາ phishing ໃນຕົວ.
  2. ເປີດໃຊ້ 2FA ທີ່ຕ້ານ phishing ໄດ້:ເພີ່ມ FIDO2 hardware key (YubiKey, Google Titan) ຫຼື passkey ໃສ່ບັນຊີທີ່ສຳຄັນທີ່ສຸດຂອງທ່ານ — ອີເມລກ່ອນ, ຈາກນັ້ນທະນາຄານ, ບ່ອນເກັບຂໍ້ມູນ cloud, ແລະເຄື່ອງມືຄຸ້ມຄອງລະຫັດ. ເຫຼົ່ານີ້ແມ່ນວິທີ 2FA ເທົ່ານັ້ນທີ່ສາມາດຢຸດ phishing ທີ່ທັນສະໄໝໄດ້.
  3. ບໍ່ເຄີຍເຂົ້າລະບົບຈາກລິ້ງໃນອີເມລ:ເມື່ອທ່ານໄດ້ຮັບອີເມລທີ່ຂໍໃຫ້ເຂົ້າລະບົບ, ໃຫ້ປິດອີເມລແລະໄປເວັບໄຊທ໌ດ້ວຍຕົນເອງຜ່ານບຸກມາກຫຼືພິມ URL. ລິ້ງໃນອີເມລອາດເປັນສຳເນົາທີ່ສົມບູນແບບ; ແຕ່ບຸກມາກໃນ browser ຂອງທ່ານບໍ່ແມ່ນ.
  4. ກວດເບິ່ງໂດເມນທີ່ແນ່ນອນກ່ອນພິມ:ກ່ອນທີ່ຈະພິມລະຫັດໃດໆ, ໃຫ້ເບິ່ງ URL ເຕັມໃນແຖບທີ່ຢູ່. ຊອກຫາ https, ການສະກົດທີ່ຖືກຕ້ອງ, ແລະບໍ່ມີ subdomains ເພີ່ມເຕີມເຊັ່ນ paypal.com.secure-login.net.
  5. ລາຍງານແລະຂ້າມຜ່ານ:ລາຍງານຄວາມພະຍາຍາມ phishing ໃຫ້ຜູ້ໃຫ້ບໍລິການອີເມລຂອງທ່ານ (ສ່ວນໃຫຍ່ມີປຸ່ມ "ລາຍງານ phishing"). ຈາກນັ້ນໃຫ້ໄປຕໍ່ວັນຂອງທ່ານ — phishing ອັນຕະລາຍພຽງແຕ່ຖ້າທ່ານຕົກກັບດັກ, ແລະການຮູ້ຕົວແມ່ນສ່ວນໃຫຍ່ຂອງການສູ້ຮົບ.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email