QR Code แฝงลิงก์ปลอม ขโมยรหัสผ่าน ช่องทางโจมตีทางไซเบอร์รูปแบบใหม่

บทความจาก springnews

สแกนบ่อยระวัง! QR Code จากเครื่องมืออำนวยความสะดวก สู่ช่องทางโจมตีทางไซเบอร์รูปแบบใหม่ ‘Quishing’ แฝงลิงก์ปลอม ขโมยรหัสผ่าน

การสแกน QR Code คือความสะดวกใหม่ที่มาพร้อมความเสี่ยงที่ไม่ควรมองข้าม เพราะมันกำลังถูกอาชญากรไซเบอร์ใช้เป็นอาวุธโจมตีรูปแบบใหม่ที่เรียกว่า ‘Quishing’ (QR Code Phishing) แล้วคนรุ่นใหม่อย่างเราที่ใช้ชีวิตติดสแกนแทบทุกวัน จะรับมืออย่างไร?

ทำไมต้องรู้? QR Code ไม่ได้ปลอดภัยเสมอไป
การใช้คิวอาร์โค้ด (QR Code) กลายเป็นส่วนสำคัญในชีวิตประจำวันของคนไทย จากข้อมูลของ Data Reportal ในปี 2567 ประเทศไทยติดอันดับ 3 ของโลกจาก 55 ประเทศด้านการใช้งาน QR Code โดยมีผู้ใช้งานถึง 61.5% ที่สแกนเป็นประจำทุกเดือน ความนิยมที่แพร่หลายนี้ได้เปิดช่องทางใหม่ให้เกิดภัยคุกคามทางไซเบอร์ที่เรียกว่า ‘Quishing’ หรือการหลอกลวงผ่าน QR Code

‘Quishing’ คืออะไร?
Quishing เป็นการซ่อนลิงก์อันตรายไว้ใน QR Code ซึ่งผู้ใช้ไม่สามารถตรวจสอบลิงก์อันตรายที่ซ่อนอยู่ด้วยตาเปล่าเหมือนการคลิกลิงก์ทั่วไป และมักนำไปสู่เว็บไซต์ฟิชชิ่ง (Phishing) เพื่อขโมยข้อมูลส่วนตัว

การโจมตีของ Quishing ซับซ้อนขึ้นอย่างไร?
นักวิจัยจาก Unit 42 (Palo Alto Networks) ชี้ว่ายุทธวิธีการโจมตีผ่าน QR Code มีความซับซ้อนมากขึ้น

1. การซ่อนลิงก์แนบเนียน : อาชญากรใช้บริการเปลี่ยนเส้นทางลิงก์ (Redirect Services) ที่น่าเชื่อถือ ทำให้ URL ปลายทางดูปลอดภัยในช่วงแรก และยากต่อการถูกตรวจจับ
2. การหลีกเลี่ยงการตรวจจับ : มีการใช้เทคนิค เช่น บริการ Cloudflare Turnstile เพื่อบล็อกระบบสแกนอัตโนมัติของซอฟต์แวร์ความปลอดภัย แต่พุ่งเป้าไปที่ผู้ใช้จริง
3. การปรับแต่งเว็บไซต์ปลอมที่แนบเนียน : เว็บไซต์ฟิชชิ่งที่สร้างขึ้นมา มักจะถูกปรับแต่งให้ตรงกับข้อมูลของเหยื่อ (Personalized) เช่น ปลอมเป็นหน้า Login ขององค์กรที่เหยื่อสังกัดอยู่ เพื่อขโมยรหัสผ่าน (Login Credential)

Insight Layer : การโจมตีรูปแบบนี้มีความเสี่ยงเพิ่มสูงขึ้นเนื่องจากการใช้สมาร์ทโฟนที่แพร่หลาย เน้นความสะดวกและรวดเร็วในการหลอกเหยื่อ เพราะผู้ใช้มักจะรีบสแกนในที่สาธารณะ เช่น โปสเตอร์ หรือป้ายโฆษณา โดยไม่ทันได้ตรวจสอบปลายทางอย่างละเอียด ต่างจากการคลิกลิงก์บนอีเมลที่คนเริ่มระมัดระวังมากขึ้น

แนวทางป้องกันภัยคุกคาม ‘Quishing’ และคำแนะนำ
ดร. ธัชพล โปษยานนท์ ผู้อำนวยการประจำประเทศไทยและอินโดจีน พาโล อัลโต เน็ตเวิร์กส์ เน้นย้ำว่า การรับมือกับภัยคุกคามที่พัฒนาอย่างต่อเนื่องต้องเริ่มจากการสร้างความตระหนักรู้

สำหรับองค์กรหรือเจ้าของธุรกิจ

1. ให้ความรู้พนักงาน (Training) : เน้นย้ำให้พนักงานระมัดระวังการสแกน QR Code เหมือนกับการคลิกลิงก์ที่ไม่รู้จัก โดยให้ใช้ฟังก์ชันแสดงตัวอย่างหรือระบบตรวจสอบ URL เพื่อเช็กปลายทางก่อนทุกครั้ง
2. ใช้การยืนยันตัวตนหลายขั้นตอน MFA (Multi-factor authentication) : มาตรการนี้ยังคงเป็นสิ่งสำคัญที่สุดในการลดความเสี่ยงจากการถูกขโมยข้อมูลล็อกอิน
3. มีระบบป้องกันระดับองค์กร (Enterprise Security) : ใช้โซลูชัน เช่น URL Filtering หรือ DNS Security เพื่อเฝ้าระวังการปลอมแปลงแบรนด์และการเปลี่ยนเส้นทางที่น่าสงสัยที่เกี่ยวข้องกับโดเมนของบริษัท

สำหรับคนรุ่นใหม่สายสแกน (ผู้บริโภค)

1. ตรวจสอบก่อนสแกน : ควรตรวจสอบ QR Code ก่อนสแกนทุกครั้ง เช่นเดียวกับการระมัดระวังในการคลิกลิงก์ที่ไม่น่าไว้ใจ, บนโปสเตอร์ที่ดูผิดปกติ, หรือถูกส่งมาในแชทที่น่าสงสัย ให้ตั้งคำถามก่อนเสมอ
2. เช็ก URL ปลายทางให้รอบคอบ : หลังสแกนและก่อนกด ‘ตกลง’ หรือ ‘ดำเนินการต่อ’ ให้สังเกต URL ที่ปรากฏว่ามีชื่อโดเมนที่ถูกต้องหรือไม่ หากมีตัวสะกดแปลก ๆ หรือมีการเปลี่ยนเส้นทางหลายครั้ง ให้ระงับการดำเนินการทันที
3. เสริมความปลอดภัยของอุปกรณ์ : ควรอัปเดตระบบรักษาความปลอดภัยของสมาร์ทโฟนและซอฟต์แวร์อยู่เสมอ และเปิดใช้งานการยืนยันตัวตนสองชั้น (2FA) สำหรับบัญชีสำคัญ

อาชญากรไซเบอร์จะคิดค้นการโจมตีรูปแบบใหม่ ๆ อย่างต่อเนื่องตามพฤติกรรมของผู้ใช้ ดังนั้น การสร้างความรู้ความเข้าใจควบคู่กับการมีมาตรการป้องกันทางเทคนิคที่เข้มแข็ง จึงเป็นกุญแจสำคัญในการรับมือความเสี่ยงจาก ‘Quishing’