QR Code แฝงลิงก์ปลอม ขโมยรหัสผ่าน ช่องทางโจมตีทางไซเบอร์รูปแบบใหม่

การสแกน QR Code คือความสะดวกใหม่ที่มาพร้อมความเสี่ยงที่ไม่ควรมองข้าม เพราะมันกำลังถูกอาชญากรไซเบอร์ใช้เป็นอาวุธโจมตีรูปแบบใหม่ที่เรียกว่า 'Quishing' (QR Code Phishing) แล้วคนรุ่นใหม่อย่างเราที่ใช้ชีวิตติดสแกนแทบทุกวัน จะรับมืออย่างไร?

ทำไมต้องรู้? QR Code ไม่ได้ปลอดภัยเสมอไป

การใช้คิวอาร์โค้ด (QR Code) กลายเป็นส่วนสำคัญในชีวิตประจำวันของคนไทย จากข้อมูลของ Data Reportal ในปี 2567 ประเทศไทยติดอันดับ 3 ของโลกจาก 55 ประเทศด้านการใช้งาน QR Code โดยมีผู้ใช้งานถึง 61.5% ที่สแกนเป็นประจำทุกเดือน ความนิยมที่แพร่หลายนี้ได้เปิดช่องทางใหม่ให้เกิดภัยคุกคามทางไซเบอร์ที่เรียกว่า 'Quishing' หรือการหลอกลวงผ่าน QR Code

'Quishing' คืออะไร?

Quishing เป็นการซ่อนลิงก์อันตรายไว้ใน QR Code ซึ่งผู้ใช้ไม่สามารถตรวจสอบลิงก์อันตรายที่ซ่อนอยู่ด้วยตาเปล่าเหมือนการคลิกลิงก์ทั่วไป และมักนำไปสู่เว็บไซต์ฟิชชิ่ง (Phishing) เพื่อขโมยข้อมูลส่วนตัว

การโจมตีของ Quishing ซับซ้อนขึ้นอย่างไร?

นักวิจัยจาก Unit 42 (Palo Alto Networks) ชี้ว่ายุทธวิธีการโจมตีผ่าน QR Code มีความซับซ้อนมากขึ้น

1. การซ่อนลิงก์แนบเนียน

อาชญากรใช้บริการเปลี่ยนเส้นทางลิงก์ (Redirect Services) ที่น่าเชื่อถือ ทำให้ URL ปลายทางดูปลอดภัยในช่วงแรก และยากต่อการถูกตรวจจับ

2. การหลีกเลี่ยงการตรวจจับ

มีการใช้เทคนิค เช่น บริการ Cloudflare Turnstile เพื่อบล็อกระบบสแกนอัตโนมัติของซอฟต์แวร์ความปลอดภัย แต่พุ่งเป้าไปที่ผู้ใช้จริง

3. การปรับแต่งเว็บไซต์ปลอมที่แนบเนียน

เว็บไซต์ฟิชชิ่งที่สร้างขึ้นมา มักจะถูกปรับแต่งให้ตรงกับข้อมูลของเหยื่อ (Personalized) เช่น ปลอมเป็นหน้า Login ขององค์กรที่เหยื่อสังกัดอยู่ เพื่อขโมยรหัสผ่าน (Login Credential)

Insight Layer : การโจมตีรูปแบบนี้มีความเสี่ยงเพิ่มสูงขึ้นเนื่องจากการใช้สมาร์ทโฟนที่แพร่หลาย เน้นความสะดวกและรวดเร็วในการหลอกเหยื่อ เพราะผู้ใช้มักจะรีบสแกนในที่สาธารณะ เช่น โปสเตอร์ หรือป้ายโฆษณา โดยไม่ทันได้ตรวจสอบปลายทางอย่างละเอียด ต่างจากการคลิกลิงก์บนอีเมลที่คนเริ่มระมัดระวังมากขึ้น

แนวทางป้องกันภัยคุกคาม 'Quishing' และคำแนะนำ

ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและอินโดจีน พาโล อัลโต เน็ตเวิร์กส์ เน้นย้ำว่า การรับมือกับภัยคุกคามที่พัฒนาอย่างต่อเนื่องต้องเริ่มจากการสร้างความตระหนักรู้

สำหรับองค์กรหรือเจ้าของธุรกิจ

1. ให้ความรู้พนักงาน (Training) : เน้นย้ำให้พนักงานระมัดระวังการสแกน QR Code เหมือนกับการคลิกลิงก์ที่ไม่รู้จัก โดยให้ใช้ฟังก์ชันแสดงตัวอย่างหรือระบบตรวจสอบ URL เพื่อเช็กปลายทางก่อนทุกครั้ง
2. ใช้การยืนยันตัวตนหลายขั้นตอน MFA (Multi-factor authentication) : มาตรการนี้ยังคงเป็นสิ่งสำคัญที่สุดในการลดความเสี่ยงจากการถูกขโมยข้อมูลล็อกอิน
3. มีระบบป้องกันระดับองค์กร (Enterprise Security) : ใช้โซลูชัน เช่น URL Filtering หรือ DNS Security เพื่อเฝ้าระวังการปลอมแปลงแบรนด์และการเปลี่ยนเส้นทางที่น่าสงสัยที่เกี่ยวข้องกับโดเมนของบริษัท

สำหรับคนรุ่นใหม่สายสแกน (ผู้บริโภค)

1. ตรวจสอบก่อนสแกน : ควรตรวจสอบ QR Code ก่อนสแกนทุกครั้ง เช่นเดียวกับการระมัดระวังในการคลิกลิงก์ที่ไม่น่าไว้ใจ, บนโปสเตอร์ที่ดูผิดปกติ, หรือถูกส่งมาในแชทที่น่าสงสัย ให้ตั้งคำถามก่อนเสมอ
2. เช็ก URL ปลายทางให้รอบคอบ : หลังสแกนและก่อนกด 'ตกลง' หรือ 'ดำเนินการต่อ' ให้สังเกต URL ที่ปรากฏว่ามีชื่อโดเมนที่ถูกต้องหรือไม่ หากมีตัวสะกดแปลก ๆ หรือมีการเปลี่ยนเส้นทางหลายครั้ง ให้ระงับการดำเนินการทันที
3. เสริมความปลอดภัยของอุปกรณ์ : ควรอัปเดตระบบรักษาความปลอดภัยของสมาร์ทโฟนและซอฟต์แวร์อยู่เสมอ และเปิดใช้งานการยืนยันตัวตนสองชั้น (2FA) สำหรับบัญชีสำคัญ

อาชญากรไซเบอร์จะคิดค้นการโจมตีรูปแบบใหม่ ๆ อย่างต่อเนื่องตามพฤติกรรมของผู้ใช้ ดังนั้น การสร้างความรู้ความเข้าใจควบคู่กับการมีมาตรการป้องกันทางเทคนิคที่เข้มแข็ง จึงเป็นกุญแจสำคัญในการรับมือความเสี่ยงจาก 'Quishing'