6 เทคนิค Phishing ที่นักเล่นเกมควรระวัง มีอะไรบ้าง มาดูกัน

6 เทคนิค Phishing ที่นักเล่นเกมควรระวัง

ในยุคดิจิทัลที่การเล่นเกมเป็นส่วนหนึ่งของชีวิตประจำวันของใครหลายคน ภัยคุกคามออนไลน์อย่างการโจมตีด้วยเทคนิค การหลอกลวงแบบฟิชชิง (Phishing) เป็นสิ่งที่เกมเมอร์ไม่ควรมองข้าม โดยเฉพาะสำหรับนักเล่นเกมที่ส่วนใหญ่ยังเป็นเยาวชน ไม่ประสีประสา ขาดประสบการณ์ ทำให้กลายเป็นเหยื่อที่ แฮกเกอร์ (Hacker) ให้ความสนใจเป็นพิเศษ

ยิ่งเกมในปัจจุบันนี้ มักจะต้องเชื่อมต่อกับแพลตฟอร์ม และชุมชนออนไลน์ต่าง ๆ เหล่าแฮกเกอร์ผู้ไม่ประสงค์ดีได้พัฒนากลวิธีการหลอกลวงที่ซับซ้อน และแนบเนียนมากขึ้น นำไปสู่การสูญเสียข้อมูลส่วนตัว หรือทรัพย์สินภายในเกม

บทความนี้จะมาให้ความรู้นักเล่นเกมเกี่ยวกับเทคนิค Phishing ที่พุ่งเป้าโจมตีเกมเมอร์โดยเฉพาะ จะได้รู้วิธีระวัง และวิธีการป้องกันตัวเอง

Phishing คืออะไร ? (What's Phishing ?)

ก่อนอื่นมารู้จักกับการโจมตีที่เรียกว่า Phishing กันก่อน ซึ่งหากเป็นสำนวนไทยก็คงจะเป็น "การขุดบ่อล่อปลา"

Phishing (ฟิชชิง) สแลงมาจากคำว่า "Fishing" อันแปลว่าการ "ตกปลา" ซึ่ง Phishing ก็จะหมายถึงการปล่อยให้ปลามากินเหยื่อที่ล่อไว้ เป็นหนึ่งในภัยร้ายบนโลกอินเทอร์เน็ตรูปแบบหนึ่ง ที่มีความอันตรายไม่แพ้การโจมตีจากมัลแวร์เลยแม้แต่น้อย

โดยลักษณะของการโจมตีแบบ Phishing จะอาศัยการหลอกลวง ทำให้เหยื่อหลงเชื่อผ่านทางอินเทอร์เน็ต เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูลบัญชี, รหัสผ่าน, หมายเลขบัตรเครดิต ฯลฯ

ข้อมูลเพิ่มเติม : Phishing คืออะไร ? รู้จัก การหลอกลวงแบบฟิชชิงทั้งหมด 8 รูปแบบ !

ภาพจาก : https://www.brother.ee/business-solutions/resource-hub/blog/security/2023/what-is-phishing-and-how-to-avoid-costly-mistakes

1. การแจกของรางวัลปลอม (Fake Giveaways)

การแจกของรางวัลปลอมเป็นหนึ่งในกลวิธีการหลอกลวงที่พบบ่อย และมีประสิทธิภาพมากที่สุดในโลกของเกม เนื่องจากกิจกรรมแจกของรางวัลเป็นเรื่องปกติที่เกิดขึ้นอยู่บ่อยครั้งในวงการเกม ทั้งจากผู้พัฒนาเกม และ บุคคลที่สาม (3^rd-Party) จึงทำให้มันดูมีความน่าเชื่อถือได้ง่าย

อย่างไรก็ตาม แฮกเกอร์ได้ใช้ประโยชน์จากจุดนี้ ในการสร้างหน้าเว็บไซต์แจกของรางวัลปลอม แต่แท้จริงแล้วเพื่อขโมยข้อมูลบัญชีเกมของผู้เล่น

กลวิธีการหลอกลวงนี้มักอาศัยสื่อสังคมออนไลน์ หรือแพลตฟอร์มสตรีมมิ่ง เช่น Facebook, Twitch, หรือ YouTube เป็นช่องทางในการโจมตี โดยแฮกเกอร์จะสร้างโฆษณาเกมฟรี หรือแจกไอเท็มพิเศษในเกม แต่ในการลุ้นรับรางวัลเหล่านี้ ผู้เล่นจะถูกขอให้ลงชื่อเข้าใช้เว็บไซต์เสียก่อนโดยใช้ข้อมูลบัญชีเกม หากหลงเชื่อก็เสร็จโจรทันที

ภาพจาก : https://x.com/Truecaller_ng/status/1763540656339796414/photo/1

วิธีสังเกตการแจกของรางวัลปลอม

การแจกของรางวัลปลอมนั้นอันที่จริงแล้ว สังเกตได้ค่อนข้างง่ายมาก แค่ใช้สมองไตร่ตรอง อย่าให้ความโลภครอบงำจิตใจ ก็จะมองออกได้อย่างง่าย เพราะกิจกรรมพวกนี้มันจะหลอกล่อด้วยข้อเสนอที่ดีเกินจริง ร่วมกับเงื่อนไขอย่างการจำกัดเวลา และจำนวนที่มีจำกัด เพื่อกดดันให้เหยื่อรีบคลิกรับข้อเสนอให้ไวที่สุด

กิจกรรมแจกของรางวัลจริง ๆ มักต้องการเพียงแค่ชื่อในเกมของผู้เข้าร่วมเท่านั้น หากกิจกรรมถูกจัดขึ้นโดยบริษัทเกมเองโดยตรง ก็มักจะแนะนำให้ผู้เข้าร่วมกิจกรรมเข้าสู่ระบบของเว็บไซต์อย่างเป็นทางการของเกม

ไม่ว่าจะการแจกของรางวัลนั้นจะดูดี หรือน่าเชื่อถือเพียงใด จงจำไว้ว่าอย่าป้อนข้อมูลบัญชี และรหัสผ่าน บนเว็บไซต์ใด ๆ ก็ตามที่ที่ไม่ใช่เว็บไซต์ทางการ และอย่าลืมสังเกต URL ให้ดีด้วย เพราะมันอาจเป็นเว็บไซต์ปลอมที่ทำเลียนแบบของจริงอย่างแนบเนียน

2. เว็บไซต์ซื้อขาย / ประมูลไอเทมเกมที่เป็นอันตราย (Malicious Game Trading / Auction Websites)

แม้เกมส่วนใหญ่จะมีกฏห้ามซื้อขาย หรือประมูลไอเทมกันนอกเกมด้วยเงินจริง แต่เอาจริง ๆ ก็ห้ามไม่ได้หรอก ยังมีการลักลอบซื้อขายนอกเกมกันอย่างโจ๋งครึ่ม มีหลายเว็บไซต์ที่ให้บริการซื้อขาย และประมูลไอเทมในเกมกันอย่างเปิดเผย ซึ่งเว็บไซต์เหล่านี้ไม่ได้มีการเกี่ยวข้องกับผู้ให้บริการเกมแต่อย่างใด เป็นการดำเนินการโดย บุคคลที่สาม (3rd-Party) ผู้ใช้งานต้องอาศัยความไว้วางใจในการดำเนินการเพียงอย่างเดียวไม่มีหลักประกันใด ๆ ทั้งสิ้น ว่าพวกเขาจะไม่เอาข้อมูลของผู้ใช้ไปแสวงหาผลประโยชน์อื่น ๆ

ซึ่งแฮกเกอร์ก็มักใช้ประโยชน์จากจุดนี้สร้างเว็บไซต์ซื้อขาย/ประมูลไอเทมปลอมขึ้นมา เพื่อหลอกขโมยข้อมูลบัญชีเกม และข้อมูลการชำระเงิน โดยบนเว็บไซต์มักจะทำหน้าตาเลียนแบบเว็บไซต์ซื้อขายที่มีชื่อเสียงอยู่แล้ว โดยแสดงรายการไอเทมหายากในราคาที่ถูกกว่าปกติ หากเหยื่อหลงเชื่อพยายามซื้อสินค้าดังกล่าว ก็จะถูกหลอกให้กรอกข้อมูลบัญชี หรือรายละเอียดการชำระเงิน เพื่อนำข้อมูลที่ได้ไปแฮกบัญชีของเหยื่อ

ภาพจาก : https://www.resetera.com/threads/warning-fake-steam-games-creating-fake-items-to-scam-people.58779/

วิธีสังเกตเว็บไซต์ซื้อขาย / ประมูลไอเทมเกมที่เป็นอันตราย

เว็บไซต์ประมูลปลอมมักซื้อขายไอเทม หรือบริการ ที่ละเมิดข้อกำหนด และเงื่อนไขของเกม เช่น การขายสกุลเงินในเกม

และในกรณีที่คุณเลือกที่จะเสื่ยง ก็ควรตรวจสอบเสมอว่าแพลตฟอร์มใช้เกตเวย์การชำระเงินที่มีความน่าเชื่อถือ แทนที่จะขอให้โอนเงินผ่านธนาคารโดยตรง หรือวิธีการชำระเงินที่ไม่มีกฏหมายควบคุม ซึ่งแพลตฟอร์มที่น่าเชื่อถือจะมีขั้นตอนการแก้ไขข้อพิพาท หรือการคืนเงินที่ชัดเจน ซึ่งแสดงถึงความรับผิดชอบ และการปกป้องลูกค้า

นอกจากนี้ การทำธุรกรรมบนเว็บไซต์ซื้อขายที่ถูกต้อง จะไม่มีการขอให้ผู้ใช้ทำการเชื่อมโยงบัญชีที่ไม่เกี่ยวข้องกับการชำระเงิน และหากเป็นไปได้ก็ให้ใช้ บัตรเครดิตเสมือน (Virtual Card) ที่ใช้แล้วทิ้งได้ ในการชำระแทน

3. อีเมลจากแพลตฟอร์มเกมยอดนิยม ขอให้เข้าสู่ระบบ (Emails by Popular Gaming Platforms Asking to Log In)

ชื่อของแพลตฟอร์มเกมยอดนิยม เช่น Steam, Epic Games หรือ Riot Games มักถูกใช้เพื่อสร้างความไว้วางใจ และหลอกลวงผู้ใช้ให้เปิดลิงก์ ฟิชชิ่ง (Phishing) ที่แฮกเกอร์จะใช้ที่อยู่อีเมลที่คล้ายคลึงกับแพลตฟอร์มเกมอย่างเป็นทางการ พร้อมกับใส่โลโก้ และรูปแบบการเขียนที่คล้ายของจริง

ส่วนใหญ่ เนื้อหาอีเมลจะสร้างความรู้สึกเร่งด่วน หรือความกลัว เช่น "บัญชีของคุณถูกบล็อกเนื่องจากกิจกรรมที่น่าสงสัย" จากนั้น ก็จะขอให้คลิกลิงก์ (ปลอม) เพื่อเข้าสู่ระบบ และยืนยัน หากเหยื่อหลงเข้าสู่ระบบ บัญชีก็จะถูกแฮ็กทันที

ภาพจาก : https://www.reddit.com/r/DotA2/comments/kc1j1m/be_careful_of_new_scam_type_it_opens_fake_steam/

วิธีสังเกตอีเมลฟิชชิ่ง

การระบุอีเมลประเภทนี้ไม่แตกต่างจากการระบุอีเมลฟิชชิ่งอื่น ๆ ก่อนอื่นให้ตรวจสอบที่อยู่อีเมลของผู้ส่ง และตรวจสอบให้แน่ใจว่าที่อยู่เหมือนกับอีเมลของแพลตฟอร์มอย่างสมบูรณ์ทุกตัวอักษร ลิงก์ที่ให้มาควรมี URL เดียวกับเว็บไซต์ทางการ ซึ่งเราสามารถเลื่อนเคอร์เซอร์ของเมาส์ไปที่ลิงก์เพื่อดูโดยไม่ต้องคลิกได้

4. ลงทะเบียนทัวร์นาเมนต์ปลอม (Fake Tournament Sign-Ups)

การลงทะเบียนเข้าร่วมการแข่งขันทัวร์นาเมนต์ปลอม เป็นอีกหนึ่งวิธีการโจมตีแบบฟิชชิ่งที่ใช้ประโยชน์จากความสนใจของผู้เล่น เนื่องจากทัวร์นาเมนต์เป็นโอกาสที่ดีที่ผู้เล่นจะมีพื้นที่ในการแสดงทักษะ และรับเงินรางวัลที่น่าดึงดูด

แฮกเกอร์มักจะเสนอรางวัลใหญ่ และอนุญาตให้ผู้เล่นจากทุกระดับความสามารถเข้าร่วมแข่งขันได้ เพื่อดึงดูดให้คนมาเข้าร่วมลงทะเบียนมากที่สุด อย่างไรก็ตาม ความจริงมันเป็นการหาข้ออ้าง เพื่อขโมยข้อมูลการเข้าสู่ระบบเกมของเหยื่อเพื่อนำไปขโมยข้อมูลภายในเกม และอาจมีการเก็บค่าธรรมเนียมการลงทะเบียนทัวร์นาเมนต์เป็นข้ออ้างในการขโมยรายละเอียดบัตรเครดิต แถมยังได้เงินค่าสมัครอีกด้วย

ภาพจาก : https://www.reddit.com/r/DotA2/comments/1bgdetj/scam_tournament_invite_via_steam/#lightbox

วิธีสังเกตการลงทะเบียนทัวร์นาเมนต์ปลอม

อันดับแรก หากต้องการเข้าร่วมการแข่งขัน ให้ไปสมัครเข้าร่วมกับเว็บไซต์จัดทัวร์นาเมนต์ยอดนิยมที่น่าเชื่อถือ เช่น Challengermode หรือ Battlefy ซึ่งครอบคลุมเกมยอดนิยมส่วนใหญ่ หลีกเลี่ยงการลงทะเบียนทัวร์นาเมนต์ในเว็บไซต์ที่ไม่รู้จักแม้ว่าจะเป็นลิงก์ที่เพื่อนให้มาก็ตาม เพราะบัญชีของเพื่อนอาจถูกแฮกมาก่อนแล้ว

หากมีเหตุให้คุณต้องลงทะเบียนบนเว็บไซต์ที่ไม่รู้จัก ให้มองหาสัญญาณบ่งชี้การลงทะเบียนทัวร์นาเมนต์ปลอมดังนี้

1. รางวัลที่ไม่สมจริง สูงเกินไป ทัวร์นาเมนต์ที่ถูกต้องตามกฎหมายส่วนใหญ่มักจะมีรางวัลไม่เกิน $1000 หากมีเงินรางวัลมากกว่านั้นมักจะมีกฏการเข้าร่วมทัวร์นาเมนต์ที่เข้มงวดมากกว่า

2. ไม่มีข้อมูลเกี่ยวกับผู้จัดทัวร์นาเมนต์ และทัวร์นาเมนต์ที่เคยจัดมาก่อน

3. เกณฑ์การเข้าร่วมทัวร์นาเมนต์ต่ำเกินไป เมื่อเทียบกับเงินรางวัลที่มอบให้

4. เว็บไซต์มีเพียงหน้าลงทะเบียนเท่านั้น ไม่มีรายละเอียดอื่นใด

5. ทัวร์นาเมนต์ไม่จำเป็นต้องใช้ข้อมูลการเข้าสู่ระบบบัญชีเกมของคุณในการสมัคร

5. ลิงก์ฟิชชิ่งในช่องทางแชท (Phishing Links in Game Chat)

มันมีเหตุผลที่เกมส่วนใหญ่ที่มีระบบแชทในตัว มักจะมีแจ้งเตือนให้ระวังการเปิดลิงก์ที่มีคนส่งมาให้ในช่องทางแชท เพราะมันเป็นหนึ่งในช่องทางฟิชชิ่งยอดนิยมของแฮกเกอร์เลย

โดยแฮกเกอร์มักจะส่งข้อความมาหาผู้เล่นทางแชท เพื่อประชาสัมพันธ์เครื่องมือเกี่ยวกับเกม อาจจะเป็นเครื่องมือช่วยเล่น, เครื่องมือโกงเกม หรือแม้แต่หลอกว่าคุณเป็นผู้โชคดีได้รับรางวัลภายในเกม หากหลงเชื่อคลิกลิงก์ก็มักจะนำผู้เล่นไปยังเว็บไซต์ปลอม ที่หลอกให้เราเข้าสู่ระบบเพื่อรับรางวัล หรือดาวน์โหลดมัลแวร์เข้าสู่ระบบ

ภาพจาก ​: https://www.bleepingcomputer.com/news/security/hackers-steal-steam-accounts-in-new-browser-in-the-browser-attacks/

วิธีสังเกตลิงก์ฟิชชิ่งในช่องทางแชท

ไม่ต้องสังเกตอะไรทั้งสิ้น เพราะเราไม่ควรคลิกกดลิงก์ที่ถูกส่งมาช่องทางแชทแต่แรกอยู่แล้ว นอกเสียจากว่าเป็นลิงก์ที่คุณรู้จักว่าเป็นของเว็บไซต์อะไร หากเป็นลิงก์ที่ไม่รู้จักก็ไม่ต้องคลิก

6. วิดีโอ YouTube ที่มีลิงก์ไปยังเว็บไซต์ฟิชชิ่ง (YouTube Videos With Links to Phishing Websites)

YouTube เป็นเว็บไซต์ยอดนิยมที่นักเล่นเกมหลาย ๆ คน ใช้ในการเรียนรู้เพิ่มเติมเกี่ยวกับเกม และวิธีการผ่านด่านต่าง ๆ อย่างไรก็ตาม นี่ทำให้ YouTube กลายเป็นเป้าหมายหลักของแฮกเกอร์ เพื่อหลอกลวงนักเล่นเกมให้คลิกลิงก์ฟิชชิ่งที่ใส่ไว้

โดยแฮกเกอร์มักสร้างวิดีโอเกี่ยวกับการแจกเงิน, ไอเทม, สกิน หรือเครื่องมือโกงเกม แล้วบอกว่าสามารถดาวน์โหลดไปใช้ หรือรับไอเทมได้ง่าย ๆ ด้วยการเข้าถึงลิงก์ที่ให้ไว้ในคำอธิบาย หรือความคิดเห็น แน่นอนว่าเราจะไม่สามารถรับไอเทมในเกมได้โดยไม่เข้าสู่ระบบ ดังนั้น นักเล่นเกมหลายคนจึงหลงกล และป้อนข้อมูลบัญชีเกมในหน้าเว็บปลอม

วิธีสังเกตลิงก์ฟิชชิ่งใน YouTube

ในกรณีส่วนใหญ่ ลิงก์เหล่านี้จะถูกเพิ่มลงในวิดีโอที่มีเนื้อหาเกี่ยวกับสิ่งที่เป็นไปไม่ได้ในเกม หรือสิ่งที่ผิดกฎการเล่น เช่น เทคนิคปั๊มเงินในเกมไม่จำกัด หรือบอทช่วยเล่น ดังนั้นเราควรทำตัวให้ห่างจากการโกงเกมเอาไว้ก่อน

ความนิยม และประวัติของช่อง ก็เป็นสิ่งที่ช่วยบ่งบอกความน่าเชื่อถือ ช่องที่เผยแพร่ลิงก์ฟิชชิ่งมักจะเป็นช่องใหม่ หรือมีจำนวนผู้ติดตามน้อยมาก แต่ก็ต้องระวัง เพราะแฮกเกอร์อาจแฮกช่องที่มีชื่อเสียงมาเผยแพร่ลิงก์ได้เช่นกัน

อีกจุดสังเกตหนึ่งคือ ความคิดเห็นมักจะถูกปิดสำหรับวิดีโอประเภทนี้ หรือเต็มไปด้วยความคิดเห็นปลอมจากหน้าม้า หากสังเกตพบ YouTube ลักษณะนี้ ควรหนีให้ห่างเลย