เจาะลึก วิธีการดูอีเมลปลอมของมิจฉาชีพ by Demeter ICT

ในยุคปัจจุบันปฎิเสธไม่ได้เลยว่าผู้คนส่วนใหญ่ใช้อีเมลเพื่อการทำงานหรือรับส่งเอกสารที่สำคัญ ไม่ว่าจะเป็นด้านธุรกรรมหรือเอกสารลับต่าง ๆ แล้วเราจะแน่ใจได้อย่างไรว่าเรานั้นไม่ได้กำลังถูกหลอกหรือได้รับอีเมลปลอมที่แฝงมาจากมิจฉาชีพ

วันนี้เรามีวิธีระวังอีเมลปลอมจากมิจฉาชีพ ซึ่งมีวิธีสังเกตอยู่ 5 ขั้นตอนด้วยกัน และจะช่วยให้ผู้ใช้งานอีเมลสามารถตรวจสอบตัวตนจากผู้ส่งต้นทางว่ามีความน่าเชื่อถือ มีความปลอดภัยหรือไม่ 

1. ตรวจสอบข้อมูลที่แสดงตัวตนในอีเมล

  • ตรวจสอบชื่ออีเมลของผู้ส่งรวมถึงดูในส่วนของ Email Address ด้วยว่าตรงกับก่อนหน้านี้ที่เราเคยติดต่อหรือไม่
  • ตรวจสอบลายเซ็นต์ (Signature) ว่ามีใส่ข้อมูลที่ถูกต้องหรือตรงตามเดิมหรือไม่ และมีข้อมูลแสดงความเป็นเจ้าของอีเมลมากน้อยเพียงใด เช่น ชื่อ ตำแหน่ง เบอร์ติดต่อ ชื่อบริษัท ฯลฯ โดยส่วนใหญ่แล้วอีเมลที่ปลอมแปลงมามักจะใส่ข้อมูลไม่ครบถ้วน หรืออาจจะไม่ใส่อะไรเลย
  • ตรวจสอบเนื้อหาของอีเมล ในส่วนนี้อาจจะพิจารณาตามเนื้อหาที่เจอ เนื้อหาจะต้องไม่เป็นการพยายามล้วงเอาข้อมูลผู้ใช้งานหรือมีลิงก์ให้กดเพื่อเข้าไปกรอกข้อมูลหรือยอมรับให้เชื่อมต่อกับบัญชีของเรา ทั้งนี้อาจจะพิจารณาไปถึงไฟล์ที่แนบมาในอีเมลด้วย หากพบไฟล์นามสกุลแปลก ๆ ที่เราไม่เคยเจอให้งดการกดดาวน์โหลดหรือพรีวิวไปก่อน แล้วทำการตรวจสอบกับผู้ส่งให้แน่ใจว่าได้ส่งไฟล์ชนิดนั้นมาให้เราเสมอ

หากพบความผิดปกติจากข้อมูลที่ทำการตรวจสอบทั้ง 3 ข้อที่กล่าวมาก็อย่าพึ่งใจร้อนกด Report spam กันทันที ให้ลองรีเช็คเพิ่มเติมในข้อถัดไปกันก่อน

2. ตรวจสอบข้อมูลเชิงลึกของอีเมล

เพื่อความชัวร์เราลองมาทำการเช็คอีเมลในระดับที่ Advance ขึ้นกว่าเดิมนิดนึง เพื่อการตรวจสอบที่ถูกต้อง สิ่งที่เราต้องตรวจสอบกันเพิ่มมีดังนี้

  • ก่อนอื่นให้ลองเช็คอีเมลก่อนว่าคุณสามารถกดแสดงข้อมูลรายละเอียดของอีเมลตามภาพ Email Information  ที่อยู่ด้านบนได้หรือไม่
  • สำหรับ Gmail นั้น สามารถกดดูได้จากปุ่ม Show Details ในอีเมลฉบับนั้น ๆ ได้เลย ส่วนระบบอื่น ๆ อาจจะลองสอบถาม Provider ที่ให้บริการอีกครั้ง
  • Mailed-by: ข้อนี้จะเป็นที่บอกเราว่าอีเมลนี้ส่งออกมาจากที่ใด โดยให้สังเกตจากชื่อที่ปรากฏจะสอดคล้องกับชื่อ @Domain ของผู้ส่ง เช่น ในภาพด้านบนจะเห็นชื่อผู้ส่งเป็น @gmail.com ในส่วนของ Mailed-by ก็จะเป็น gmail.com เป็นต้น ในกรณีที่ไม่ตรงกันอาจจะต้องสอบถามไปที่ต้นทางเพื่อยืนยันแหล่งที่มาอีเมลอ้างอิงที่ปรากฏนั้นอีกที
  • Signed-by: ข้อนี้จะบ่งบอกถึงว่าอีเมลฉบับนี้มีการรับรองจากองค์กรนั้นหรือไม่ เช่น ถ้าหากเป็นอีเมลขององค์กร ในส่วนนี้ก็จะปรากฏเป็นชื่อ @Domain แบบเดียวกันกับชื่อผู้ส่ง แต่หากองค์กรใหนไม่ขึ้นในส่วนนี้ผู้รับสามารถแจ้งให้ต้นทางเพิ่มการรับรองนี้ได้ โดยต้นทางจะไปทำการเพิ่ม DKIM Record ในระบบอีเมลเพิ่มเติม
  • Encryption data: ข้อนี้จะแจ้งให้ทราบว่าอีเมลฉบับนี้มีการเข้ารหัสข้อมูลมาหรือไม่ ซึ่งหากอีเมลไหนไม่ได้เข้ารหัสมาก็มีโอกาสสูงที่จะถูก Hack และถูกสวมรอยแทนได้ และนี้ก็เป็นหนึ่งในเครื่องมือที่ยืนยันว่าอีเมลฉบับนี้ปลอดภัยในระดับหนึ่งแล้ว
  • Message header: ข้อมูลที่อยู่ในส่วนนี้จะเป็นส่วนที่เราจะบอกว่าอีเมลฉบับนี้มีเส้นทางอย่างไรบ้างก่อนที่จะถึงผู้รับ นอกจากนี้ยังสามารถ Track ระยะเวลาตั้งแต่ผู้ส่งถึงผู้รับว่าใช้เวลาเท่าไหร่ ติดค้างหรือดีเลย์ที่ส่วนไหน ข้อมูลในส่วนนี้จึงนับได้ว่าเป็นรายละเอียดที่ลึกเข้าไปอีกขั้นของอีเมล ซึ่งเราสามารถนำข้อมูลนี้มาตรวจสอบและวิเคราะห์ดูว่าอีเมลที่ได้รับจากต้นทางถูกต้องหรือไม่ ข้อมูลในส่วนนี้จะไม่สามารถเปลี่ยนแปลงได้ และแต่ละฉบับจะไม่ซ้ำกัน 

3. ตรวจสอบเส้นทางของอีเมล

เมื่อเราได้ข้อมูลส่วนที่เป็น Message Header หรือ Original Message แล้ว เราสามารถ Copy ข้อมูลนี้เอาไปวิเคราะห์ผ่านเครื่องมือ Header Analyzer ได้ โดยคลิกที่นี่ Google Workspace Toolbox เป็นเครื่องมือที่ให้ Admin หรือคนทั่วไปได้ใช้วิเคราะห์อีเมลปลอม

เมื่อเรากด Analyze แล้ว ข้อมูลที่เราได้รับนั้นจะแตกต่างกันไปขึ้นอยู่กับรายละเอียดของอีเมลฉบับนั้น ๆ ที่เรานำมาทำการวิเคราะห์ ยกตัวอย่างตามรูปภาพด้านบน ได้นำเอาอีเมลฉบับนึงไปทำการวิเคราะห์และได้ข้อมูลตามที่ปรากฏในภาพ จะเห็นได้ว่าอีเมลฉบับนี้ถูกส่งออกจาก Google (Gmail) และผู้รับก็คือ Google (Google Workspace) แต่อีเมลนี้ล่าช้าไปประมาณ 2 วินาทีก่อนนำส่งผู้รับปลายทาง 

นอกจากนี้เรายังสามารถดูได้ว่าผู้ส่งได้มีการรับรองจากต้นทางมาหรือไม่ และผ่านหรือไม่ผ่านการกรองอีเมลที่ไม่ปลอดภัยของระบบ รวมถึงมีข้อมูลอื่น ๆ เพิ่มเติมให้เราได้นำไปเป็นข้อมูลเพื่อสรุปถึงความน่าเชื่อถือของอีเมลฉบับนี้

4. ตรวจสอบ IP Location เพื่ออ้างอิงแหล่งที่มาของอีเมล

เมื่อเรานำข้อมูลจาก Original Message มาทำการวิเคราะห์แล้วอาจจะส่งสัยว่า Server ที่ปรากฏนั้นอยู่ที่ไหน ให้ทุกคนเปิด  Original Message ของอีเมลขึ้นมา แล้วกดค้นหาหรือ Ctrl + F พิมพ์คำว่า  “client-ip” แล้วกด Enter จากนั้นเราสามารถ Copy ตัวเลขไอพีมาค้นหาได้เลย โดยเว็บที่ใช้เช็คคือ IP Location Lookup 

เมื่อเราลองค้นหาแหล่งที่มาไอพีเรียบร้อยแล้ว สิ่งที่เราควรทำต่อไปคือ การสอบถามเพื่อยืนยันแหล่งที่มาของ IP ว่าเป็นของบริษัทที่เรากำลังติดต่อกันผ่านอีเมลกันจริง ๆ ไม่ใช่ Server หลอกลวงเพื่อเอาข้อมูลที่สำคัญของผู้ใช้งาน

5. ตรวจสอบความปลอดภัยของเซิร์ฟเวอร์ต้นทาง

มาถึงขั้นตอนสุดท้ายที่เราควรจะตรวจสอบทุกครั้งที่ได้รับอีเมลใหม่หรือต้องติดต่อกลับชื่ออีเมลนี้เป็นครั้งแรก หากเราไม่มั่นใจว่าที่อยู่อีเมลนี้มีความถูกต้องหรือไม่ และปลอดภัยต่อการส่งหรือรับเข้ามาในระบบของเราไหม สามารถทำการตรวจสอบเช็คความปลอดภัยของผู้ส่งได้ดังนี้

  • ตรวจสอบว่าผู้ส่งมีการกำหนดค่า SPF Record หรือไม่
  • หากต้องการตรวจสอบความปลอดภัยมากขึ้นอีกขั้น ให้ทำการตรวจสอบว่า Server ผู้ส่งมีการกำหนดค่า DKIM Record หรือไม่

ทั้งค่า SPF และค่า DKIM ทั้งสองค่านี้จะช่วยให้ผู้รับมั่นใจได้ว่าระบบอีเมลของผู้ส่งมีการกำหนด Records เพื่อยืนยันตัวตนบน Server เรียบร้อยแล้ว และจะปลอดภัยต่อผู้ที่จะมาแอบอ้างใช้ชื่ออีเมลของโดเมนนี้ส่งออกอีเมล ซึ่งโดยทั่วไปแล้วระบบอีเมลทุกระบบจะมีค่า SPF ให้เพื่อเป็นการอ้างอิงและยืนยันตัวตนของ Server ที่ใช้งาน แต่ในส่วนของค่า DKIM นั้นจะมีเฉพาะแค่ระบบอีเมลบางระบบเท่านั้น เช่น Google Workspace ของ Google เป็นต้น 

ทำไมค่า DKIM ถึงไม่มีในทุกระบบอีเมล เป็นเพราะว่าในการ Setting ค่านี้ในระบบจะมีความซับซ้อนและทำให้มีความปลอดภัยจนได้รับการรับรอง ดังนั้นผู้ให้บริการบางรายอาจจะไม่มีให้ในส่วนนี้

วิธีการเช็คค่า SPF ของโดเมนนั้นมีขั้นตอนที่ง่ายและสะดวกมากดังนี้

  1. เข้า Google แล้ว Search คำว่า SPF Record Checker หรือ DKIM Checker
  2. จากนั้นเลือกมา 1 เว็บ
  3. พิมพ์ชื่อโดเมนที่ต้องการ เช่น dmit.co.th เป็นต้น
  4. กดตรวจสอบได้เลย

หากตรวจสอบแล้วพบว่าค่ายังไม่มี สามารถแจ้งให้ต้นทางทำการกำหนดค่าดังกล่าวให้ได้เลย

และทั้งหมด 5 ขั้นตอนนี้เองจะช่วยให้คุณดูอีเมลปลอมของมิจฉาชีพที่มาแอบอ้างเพื่อหลอกเอาข้อมูลของคุณไปได้อย่างละเอียดและเจาะลึก และจะดีกว่าไหม? หากองค์กรคุณมีโดเมนอีเมลเป็นชื่อขององค์กรเอง เพื่อเพิ่มความน่าเชื่อถือและปลอดภัยยิ่งขึ้น จดโดเมนกับเราและ Google Workspace ได้ที่นี่

 

Google Workspace เพื่อการทำงานร่วมกันอย่างมีประสิทธิภาพ

บริษัท ดีมีเตอร์ ไอซีที จำกัด
ตัวแทนจำหน่าย Google Workspace ในประเทศไทย อย่างเป็นทางการ