บทนำ: ทำไม Phishing และ Social Engineering ถึงเป็นภัยคุกคามอันดับ 1?
ในบรรดาภัยคุกคามทางไซเบอร์ทั้งหมด Phishing และ Social Engineering ยังคงเป็นวิธีการโจมตีที่ประสบความสำเร็จมากที่สุด โดยรายงานจาก Verizon Data Breach Investigations Report (DBIR) 2025 พบว่ากว่า 74% ของ data breaches เกี่ยวข้องกับ human element ไม่ว่าจะเป็นการหลอกให้คลิกลิงก์ปลอม, เปิดไฟล์แนบอันตราย หรือให้ข้อมูลสำคัญกับบุคคลที่แอบอ้าง
สำหรับประเทศไทย สถานการณ์ยิ่งน่าเป็นห่วง ในปี 2025-2026 มีรายงานการหลอกลวงผ่าน LINE ที่เพิ่มขึ้นอย่างมหาศาล ไม่ว่าจะเป็นการหลอกให้โอนเงินผ่าน PromptPay, หลอกให้ติดตั้งแอปปลอม, SMS หลอกลวง (smishing) จากมิจฉาชีพที่แอบอ้างเป็นธนาคารหรือหน่วยงานราชการ หรือแม้แต่การหลอกลวงด้วย QR Code ปลอม (quishing) ที่วางทับ QR Code จริงตามร้านค้า
บทความนี้จะครอบคลุมทุกแง่มุมของ Phishing และ Social Engineering ตั้งแต่ประเภทต่างๆ ของการโจมตี, เทคนิคที่แฮกเกอร์ใช้, วิธีวิเคราะห์อีเมล phishing, ระบบป้องกัน (SPF, DKIM, DMARC), เครื่องมือ anti-phishing, การจัด security awareness training, การรับมือเมื่อถูก phishing, การใช้ MFA เป็นเกราะป้องกัน, การตรวจจับ phishing ด้วย AI และการสร้างวัฒนธรรมความปลอดภัยในองค์กร พร้อมเนื้อหาเฉพาะเกี่ยวกับ phishing trends ในประเทศไทย
ส่วนที่ 1: Phishing คืออะไร? ทำความเข้าใจการหลอกลวงทางไซเบอร์
1.1 นิยามของ Phishing
Phishing คือการโจมตีทางไซเบอร์ที่ผู้โจมตีแอบอ้างเป็นบุคคลหรือองค์กรที่น่าเชื่อถือ เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น username/password, หมายเลขบัตรเครดิต, ข้อมูลธนาคาร หรือข้อมูลส่วนบุคคล โดยผ่านช่องทางต่างๆ เช่น อีเมล, ข้อความ, โทรศัพท์ หรือเว็บไซต์ปลอม
คำว่า “Phishing” มาจากคำว่า “fishing” (ตกปลา) ที่เปลี่ยน f เป็น ph ตามวัฒนธรรม hacker ในยุค 1990s เปรียบเหมือนการ “ตกปลา” ที่แฮกเกอร์โยนเหยื่อ (อีเมลปลอม) ลงไปในบ่อ (internet) แล้วรอให้ปลา (เหยื่อ) กินเหยื่อ
1.2 ประเภทของ Phishing
ประเภทของ Phishing Attacks:
┌──────────────────┬────────────────────────────────────────┐
│ ประเภท │ คำอธิบาย │
├──────────────────┼────────────────────────────────────────┤
│ Email Phishing │ ส่งอีเมลหลอกจำนวนมาก (mass) │
│ │ แอบอ้างเป็นธนาคาร, บริษัทใหญ่ │
│ │ → เป้าหมาย: ขโมย credentials │
│ │ │
│ Spear Phishing │ โจมตีเป้าหมายเฉพาะ (targeted) │
│ │ ศึกษาเหยื่อก่อน, ปรับแต่งเนื้อหา │
│ │ → อ้างชื่อเพื่อนร่วมงาน, หัวหน้า │
│ │ │
│ Whaling │ Spear phishing ที่เจาะจง C-level │
│ │ CEO, CFO, CTO │
│ │ → เช่น หลอกให้ CFO อนุมัติโอนเงิน │
│ │ │
│ Vishing │ Voice Phishing — โทรศัพท์หลอก │
│ │ แอบอ้างเป็นธนาคาร, ตำรวจ, DSI │
│ │ → ในไทย: call center มิจฉาชีพ │
│ │ │
│ Smishing │ SMS Phishing — ส่ง SMS หลอก │
│ │ "บัญชีของท่านถูกระงับ คลิก..." │
│ │ → ลิงก์ไปเว็บปลอม │
│ │ │
│ Quishing │ QR Code Phishing — QR Code ปลอม │
│ │ วาง QR ปลอมทับของจริง │
│ │ → นำไปเว็บหลอก/ติดตั้ง malware │
│ │ │
│ Clone Phishing │ Copy อีเมลจริงที่เคยส่ง │
│ │ เปลี่ยนลิงก์/ไฟล์แนบเป็นอันตราย │
│ │ → ยากต่อการตรวจจับ │
│ │ │
│ BEC (Business │ แอบอ้างเป็น CEO/CFO สั่งโอนเงิน │
│ Email │ Compromise domain ที่คล้าย │
│ Compromise) │ → ความเสียหายเฉลี่ย: $125,000/ครั้ง │
│ │ │
│ Angler Phishing │ หลอกลวงผ่าน social media │
│ │ แอบอ้างเป็น customer support ปลอม │
│ │ → ตอบ comment/DM ของผู้ใช้จริง │
└──────────────────┴────────────────────────────────────────┘ส่วนที่ 2: Social Engineering คืออะไร? เทคนิคการหลอกลวงทางจิตวิทยา
2.1 นิยามของ Social Engineering
Social Engineering คือศาสตร์แห่งการ “แฮก” คน ไม่ใช่ระบบ เป็นการใช้เทคนิคทางจิตวิทยาเพื่อหลอกให้เป้าหมายเปิดเผยข้อมูล, ให้สิทธิ์เข้าถึงระบบ หรือทำสิ่งที่ผู้โจมตีต้องการ Social engineering อาศัยจุดอ่อนพื้นฐานของมนุษย์ เช่น ความไว้วางใจ, ความกลัว, ความโลภ, ความอยากรู้อยากเห็น และความเกรงใจ
2.2 เทคนิค Social Engineering ที่พบบ่อย
Social Engineering Techniques:
1. Pretexting (สร้างเรื่องราวเท็จ):
├── ผู้โจมตีสร้างสถานการณ์/ตัวตนปลอมที่น่าเชื่อถือ
├── ตัวอย่าง: แอบอ้างเป็น IT support โทรมาบอกว่า
│ "ระบบของคุณมีปัญหา ช่วยบอก password ให้หน่อย"
├── ตัวอย่างในไทย: แอบอ้างเป็นเจ้าหน้าที่ธนาคาร
│ โทรมาแจ้งว่ามีธุรกรรมผิดปกติ ขอข้อมูล OTP
└── ป้องกัน: ยืนยันตัวตนผู้ติดต่อก่อนให้ข้อมูล
2. Baiting (ล่อเหยื่อ):
├── วาง USB drive ที่มี malware ในที่จอดรถบริษัท
├── เสนอ download ฟรี (software, เพลง, หนัง)
│ ที่แฝง malware
├── ตัวอย่างในไทย: USB "รายงานโบนัสปี 2026" วางบนโต๊ะ
└── ป้องกัน: ห้ามเสียบ USB ไม่ทราบที่มา, disable autorun
3. Tailgating / Piggybacking (ตามหลังเข้าอาคาร):
├── ผู้โจมตีเดินตามพนักงานเข้าอาคารโดยไม่ badge
├── "ขอเข้าด้วยได้มั้ยครับ ลืมบัตรมา"
├── ตัวอย่าง: แกล้งถือกล่องหนักเพื่อขอให้เปิดประตูให้
└── ป้องกัน: ต้อง badge ทุกคน, ไม่เปิดประตูให้คนแปลกหน้า
4. Quid Pro Quo (แลกเปลี่ยนผลประโยชน์):
├── เสนอสิ่งตอบแทนเพื่อแลกกับข้อมูล/การกระทำ
├── "ผมจะช่วยแก้ปัญหาคอมพิวเตอร์ให้ฟรี ขอแค่..."
├── ตัวอย่าง: โทรแอบอ้างเป็น tech support
│ "install remote access ให้ผมช่วยแก้ให้ครับ"
└── ป้องกัน: อย่าให้ remote access กับคนไม่รู้จัก
5. Watering Hole Attack (บ่อน้ำ):
├── แฮกเว็บไซต์ที่เป้าหมายเข้าบ่อย
├── ฝัง malware ไว้ใน trusted website
├── ตัวอย่าง: แฮกเว็บสมาคมวิชาชีพที่สมาชิกเข้าเป็นประจำ
└── ป้องกัน: Web filtering, browser security, patching
6. Shoulder Surfing (แอบดู):
├── แอบดู password, PIN ขณะพิมพ์
├── แอบดูจอคอมพิวเตอร์/โทรศัพท์
├── ตัวอย่าง: แอบดู PIN ตอนกด ATM
└── ป้องกัน: Privacy screen, ระวังเวลาพิมพ์ password
7. Dumpster Diving (ค้นขยะ):
├── ค้นหาเอกสารสำคัญที่ถูกทิ้ง
├── รายงานทางการเงิน, org chart, contact list
├── ตัวอย่าง: ค้นถังขยะหน้าสำนักงาน
└── ป้องกัน: Shred เอกสารก่อนทิ้ง2.3 หลักจิตวิทยาที่ Social Engineer ใช้
Cialdini's 6 Principles of Influence (ที่ถูกนำมาใช้โจมตี):
1. Authority (อำนาจ):
└── "ผมเป็น CEO สั่งให้โอนเงินด่วน"
→ คนมักเชื่อฟังผู้มีอำนาจ
2. Urgency/Scarcity (ความเร่งด่วน):
└── "บัญชีจะถูกปิดใน 24 ชั่วโมง คลิกเพื่อยืนยัน!"
→ ความกลัวทำให้ตัดสินใจไม่รอบคอบ
3. Social Proof (หลักฐานทางสังคม):
└── "เพื่อนร่วมงาน 10 คนยืนยันแล้ว คุณเป็นคนสุดท้าย"
→ คนมักทำตามที่คนอื่นทำ
4. Likability (ความชอบพอ):
└── ผู้โจมตีทำตัวเป็นมิตร, สุภาพ, มี charm
→ คนมักช่วยเหลือคนที่ตัวเองชอบ
5. Reciprocity (การตอบแทน):
└── "ผมช่วยคุณแก้ปัญหานี้แล้ว ช่วยบอก password หน่อยได้มั้ย"
→ คนรู้สึกต้องตอบแทนเมื่อได้รับความช่วยเหลือ
6. Commitment (ข้อผูกมัด):
└── เริ่มจากขอสิ่งเล็กๆ แล้วค่อยๆ ขอเพิ่ม
→ คนมักทำตามที่เคยตกลงไว้ส่วนที่ 3: Anatomy of a Phishing Email — วิเคราะห์อีเมลหลอกลวง
3.1 องค์ประกอบของอีเมล Phishing
วิเคราะห์ Phishing Email:
┌─────────────────────────────────────────────────────┐
│ From: [email protected] ← โดเมนปลอม │
│ (ใช้เลข 1 แทน l) │
│ To: [email protected] │
│ Subject: ⚠️ แจ้งเตือน: บัญชีของท่านถูกระงับ │
│ Date: 2026-04-08 08:30 │
│ │
│ เรียน ลูกค้าผู้มีอุปการคุณ, ← ไม่เรียกชื่อเฉพาะ │
│ │
│ เราตรวจพบการเข้าถึงบัญชีที่ผิดปกติจาก IP ต่างประเทศ│
│ บัญชีของท่านจะถูก ปิดถาวร ภายใน 24 ชั่วโมง │
│ หากไม่ดำเนินการยืนยันตัวตน ← สร้างความเร่งด่วน │
│ │
│ [ยืนยันตัวตนทันที] ← ปุ่มลิงก์ไปเว็บปลอม │
│ actual URL: http://bank-verify.malicious-site.com │
│ │
│ ขอแสดงความนับถือ, │
│ ฝ่ายรักษาความปลอดภัย │
│ ธนาคาร xxx │
│ │
│ attachment: Invoice_2026.pdf.exe ← ไฟล์ปลอม │
└─────────────────────────────────────────────────────┘
Red Flags ที่ต้องสังเกต:
1. ✗ โดเมนผู้ส่งผิดปกติ (bank-of-thai1and แทน bank-of-thailand)
2. ✗ ไม่เรียกชื่อเฉพาะ (ใช้ "ลูกค้าผู้มีอุปการคุณ")
3. ✗ สร้างความกลัว/เร่งด่วน ("ปิดถาวร ภายใน 24 ชั่วโมง")
4. ✗ ลิงก์ URL ไม่ตรงกับองค์กรจริง
5. ✗ ไฟล์แนบมีนามสกุลซ้อน (.pdf.exe)
6. ✗ มี typo หรือไวยากรณ์ผิด
7. ✗ ขอข้อมูลสำคัญ (password, OTP, เลขบัตร)3.2 เทคนิคการปลอมแปลง URL
URL Spoofing Techniques:
1. Typosquatting (สะกดผิดเล็กน้อย):
├── google.com → gogle.com, googIe.com (I ตัวใหญ่)
├── facebook.com → faceb00k.com (0 แทน o)
└── kasikornbank.com → kasikornb4nk.com
2. Subdomain Abuse:
├── login.kasikornbank.com.evil-site.com
│ → โดเมนจริง = evil-site.com
└── secure-banking.kbank.evil.com
3. Homograph Attack (ตัวอักษรจากภาษาอื่น):
├── аpple.com (а = Cyrillic a, ไม่ใช่ Latin a)
└── paypaI.com (I ตัวใหญ่ แทน l ตัวเล็ก)
4. URL Shortener:
├── bit.ly/xxxxx → ซ่อน URL จริง
└── tinyurl.com/xxxxx
5. Open Redirect:
└── trusted-site.com/redirect?url=evil-site.com
→ ใช้ redirect ของเว็บน่าเชื่อถือ
6. Data URI:
└── data:text/html,
#ffffff
Log In
