LinkedIn ขอซื้อจากคุณ หลอกลวง

ในโลกที่ดิจิทัลเข้ามามีบทบาทมากขึ้น การเฝ้าระวังถือเป็นแนวทางป้องกันที่ดีที่สุดต่อกลวิธีออนไลน์ อาชญากรทางไซเบอร์พัฒนากลวิธีของตนอย่างต่อเนื่อง โดยใช้กลลวงหลอกเพื่อหลอกล่อผู้ใช้ที่ไม่สงสัยให้มอบข้อมูลส่วนบุคคล ข้อมูลประจำตัว หรือแม้แต่เงินให้กับพวกเขา กลลวงหลอกลวงดังกล่าวก็คือการหลอกลวง LinkedIn Request To Buy From You ซึ่งเป็นการฟิชชิ่งที่ออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนโดยแอบอ้างว่าเป็นหน่วยงานตรวจสอบธุรกิจที่ถูกต้องตามกฎหมาย การทำความเข้าใจว่ากลลวงนี้ทำงานอย่างไรและรับรู้สัญญาณเตือนเป็นสิ่งสำคัญในการปกป้องตนเองจากอันตรายที่อาจเกิดขึ้น

LinkedIn Request To Buy From You เป็นการหลอกลวงประเภทใด?

กลวิธีนี้เกี่ยวข้องกับอีเมลหลอกลวงที่แอบอ้างว่าเป็นการสอบถามข้อมูลธุรกิจของ LinkedIn อีเมลดังกล่าวอ้างว่ามาจากบุคคลที่ชื่อ Elizabeth J Moore ซึ่งแอบอ้างตัวเป็นผู้อำนวยการฝ่ายขายระดับบริหารที่รับผิดชอบด้านการจัดหา การตลาด และการขาย ข้อความระบุว่าเธอสนใจซื้อสินค้าและขอให้ส่งแคตตาล็อกไปยังที่อยู่อีเมลที่ระบุ

เพื่อให้อีเมลดูน่าเชื่อถือมากขึ้น ผู้หลอกลวงจึงเพิ่มปุ่ม "ตอบกลับ" สีน้ำเงิน ทำให้ดูเหมือนว่าผู้ใช้ตอบกลับโดยตรงผ่าน LinkedIn อย่างไรก็ตาม การคลิกปุ่มนี้จะไม่นำผู้รับไปที่ LinkedIn แต่จะนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล

กลยุทธ์นี้รวบรวมข้อมูลอย่างไร

เมื่อผู้ใช้คลิกลิงก์หลอกลวง พวกเขาจะถูกนำไปยังหน้าฟิชชิ่งที่เลียนแบบพอร์ทัลเข้าสู่ระบบของผู้ให้บริการอีเมลยอดนิยม เช่น Gmail, Yahoo Mail หรือ Outlook หน้าหลอกลวงนี้ได้รับการออกแบบมาให้ดูเหมือนของจริง หลอกให้บุคคลที่ไม่สงสัยป้อนข้อมูลรับรองอีเมลของตน

หากผู้ใช้หลงกลวิธีการนี้และป้อนรายละเอียดการเข้าสู่ระบบ ผู้โจมตีจะสามารถเข้าถึงบัญชีอีเมลของผู้ใช้ได้ทั้งหมด เมื่อควบคุมบัญชีอีเมลได้แล้ว ผู้ฉ้อโกงจะสามารถ:

• อ่านอีเมล์ส่วนตัวและแยกข้อมูลที่ละเอียดอ่อน
• ปลอมตัวเป็นเหยื่อเพื่อหลอกลวงเพื่อน ครอบครัว หรือผู้ติดต่อทางธุรกิจ
• พยายามรีเซ็ตรหัสผ่านสำหรับบัญชีออนไลน์อื่นๆ เพื่อให้สามารถเข้าถึงบริการธนาคาร โซเชียลมีเดีย หรือแพลตฟอร์มที่เกี่ยวข้องกับงานได้เพิ่มมากขึ้น
• ใช้อีเมลที่ถูกบุกรุกเพื่อส่งอีเมลฟิชชิ่งเพิ่มเติมหรือเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย
• ขายข้อมูลประจำตัวที่เก็บรวบรวมไว้ให้กับอาชญากรทางไซเบอร์คนอื่นๆ บนฟอรัมใต้ดินหรือ Dark Web

ในบางกรณี ผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกแฮ็กเพื่อเริ่มใช้กลวิธีโจมตีทางอีเมลทางธุรกิจ (BEC) โดยในกลวิธีเหล่านี้ ผู้โจมตีจะแอบอ้างตัวเป็นเพื่อนร่วมงานหรือซัพพลายเออร์ที่ไว้ใจได้เพื่อขอชำระเงินหรือข้อมูลสำคัญของบริษัทอย่างฉ้อโกง

ความเสี่ยงจากการคลิกลิงก์ที่น่าสงสัย

นอกเหนือจากการขโมยข้อมูลประจำตัวแล้ว การหลอกลวงทางฟิชชิ่งแบบนี้ยังก่อให้เกิดความเสี่ยงเพิ่มเติมอีกด้วย เว็บไซต์หลอกลวงบางแห่งไม่ได้แค่รวบรวมรหัสผ่านเท่านั้น แต่ยังอาจดาวน์โหลดซอฟต์แวร์ที่ไม่ปลอดภัยลงในอุปกรณ์ของผู้ใช้โดยอัตโนมัติ ซึ่งอาจรวมถึง:

• Keyloggers ที่แอบบันทึกการกดแป้นพิมพ์เพื่อรวบรวมข้อมูลรหัสผ่าน รายละเอียดทางการเงิน และข้อความส่วนตัว
• โทรจันซึ่งทำให้แฮกเกอร์สามารถเข้าถึงระบบที่ติดไวรัสจากระยะไกลได้
• แรนซัมแวร์ซึ่งเข้ารหัสไฟล์และเรียกร้องการชำระเงินเพื่อการปล่อยไฟล์เหล่านี้

แม้ว่าเว็บไซต์ฟิชชิ่งจะไม่ติดตั้งมัลแวร์ทันที แต่ผู้โจมตีอาจส่งข้อความติดตามที่มีไฟล์แนบที่เป็นอันตรายในภายหลัง ไฟล์แนบเหล่านี้มักปรากฏเป็นเอกสารที่ถูกต้องตามกฎหมายแต่มีสคริปต์ที่ซ่อนอยู่ซึ่งจะดำเนินการคำสั่งที่เป็นอันตรายเมื่อเปิดขึ้นมา

วิธีการตรวจจับและหลีกเลี่ยงอีเมลฟิชชิ่ง

การรับรู้ถึงกลลวงฟิชชิ่งถือเป็นขั้นตอนแรกในการหลีกเลี่ยงกลลวงดังกล่าว สัญญาณเตือนในกลลวง เช่น อีเมลคำขอซื้อจาก LinkedIn ได้แก่:

• คำทักทายทั่วไป – ข้อความ LinkedIn ที่ถูกต้องตามกฎหมายมักจะระบุชื่อผู้ใช้ การเริ่มข้อความอย่างคลุมเครือ เช่น 'เรียนท่านชาย/หญิง' ควรทำให้เกิดความสงสัย
• คำขอที่ผิดปกติ – อีเมลที่ขอข้อมูลที่ละเอียดอ่อน ข้อมูลรับรองการเข้าสู่ระบบ หรือคำตอบเร่งด่วน ควรได้รับการจัดการด้วยความระมัดระวัง
• ที่อยู่อีเมลไม่ตรงกัน – ผู้หลอกลวงมักใช้ที่อยู่อีเมลที่ดูคล้ายกับที่อยู่อีเมลทางการแต่มีการพิมพ์ผิดเล็กน้อยหรือมีอักขระแบบสุ่ม
• ไวยากรณ์และการจัดรูปแบบที่ไม่ดี อีเมลฟิชชิ่งจำนวนมากมีสำนวนที่ไม่ถูกต้อง การสะกดผิด หรือการจัดรูปแบบที่ไม่สอดคล้องกัน
• ลิงก์หรือไฟล์แนบที่ไม่คาดคิด — เลื่อนเมาส์ไปเหนือลิงก์ (โดยไม่คลิก) เพื่อดูตัวอย่างปลายทาง หากลิงก์ไม่นำไปยังเว็บไซต์อย่างเป็นทางการของ LinkedIn แสดงว่าลิงก์ดังกล่าวอาจเป็นของปลอม

เพื่อความปลอดภัย ควรตรวจสอบคำขอผ่านช่องทางอย่างเป็นทางการเสมอ หากคุณได้รับคำถามที่น่าสงสัยจาก LinkedIn ให้ไปที่ LinkedIn โดยตรงผ่านเบราว์เซอร์ของคุณและตรวจสอบข้อความของคุณ หลีกเลี่ยงการคลิกลิงก์อีเมลที่ฝังไว้ และอย่าป้อนข้อมูลรับรองการเข้าสู่ระบบในเว็บไซต์ที่ไม่เกี่ยวข้องกับผู้ให้บริการของคุณ

ความคิดสุดท้าย

การหลอกลวงแบบคำขอซื้อจาก LinkedIn เป็นความพยายามฟิชชิ่งที่หลอกลวงซึ่งออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน อาชญากรทางไซเบอร์หลอกล่อผู้ใช้ให้เปิดเผยข้อมูลประจำตัว ซึ่งอาจนำไปสู่การขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน หรือการเข้าถึงบัญชีออนไลน์โดยไม่ได้รับอนุญาต โดยการแอบอ้างว่าเป็นการสอบถามข้อมูลทางธุรกิจ

เพื่อปกป้องตัวเอง ให้ตรวจสอบอีเมลที่ไม่คาดคิดอยู่เสมอ ตรวจสอบลิงก์ก่อนคลิก และเปิดใช้งานการตรวจสอบหลายปัจจัย (MFA) ในบัญชีของคุณ ผู้ก่ออาชญากรรมทางไซเบอร์ปรับเปลี่ยนวิธีการอยู่ตลอดเวลา แต่ด้วยการคอยติดตามข้อมูลและระมัดระวัง ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของกลวิธีออนไลน์ได้อย่างมาก