ภัยใหม่ Quishing เมื่อแฮ็กเกอร์ซ่อนกับดักใน QR Code
มหาวิทยาลัย Boise State ในสหรัฐอเมริกา หนึ่งในสถาบันชั้นนำด้าน ความมั่นคงไซเบอร์ ออกประกาศเตือนภัยรูปแบบใหม่ที่เรียกว่า “Quishing” หรือ QR Code Phishing พร้อมย้ำว่าจำนวนเหยื่อกำลังเพิ่มขึ้นอย่างน่าตกใจ โดยเฉพาะช่วงที่ผู้คนคุ้นชินกับการสแกน QR code เพื่อเข้าดูเมนูร้านกาแฟหรือเข้าร่วมกิจกรรมต่าง ๆ มากกว่าจะอ่านว่า URL ที่ซ่อนอยู่เบื้องหลัง
สถิติจาก Proofpoint บริษัทด้าน ภัยคุกคามไซเบอร์ ระบุว่า เพียงครึ่งปี 2025 มีภัยคุกคามจาก QR Code Phishing (Quishing) มากกว่า 4.2 ล้านกรณีทั่วโลก แสดงถึงการเพิ่มขึ้นอย่างมากของภัยคุกคามรูปแบบนี้ ซึ่งสะท้อนว่า QR code ไม่ใช่สัญลักษณ์แห่งความสะดวกเสมอไป หากยังอาจเป็น ดาบสองคมในโลกไซเบอร์
ลองจินตนาการว่า คุณกำลังสแกน QR code เพื่อเข้าดูเมนูของร้านอาหาร แต่ QR code นั้นกลับพาไปยัง เว็บไซต์ปลอม ที่รอขโมย รหัสผ่านธนาคาร หรือข้อมูลบัตรเครดิตของคุณ และคุณไม่ทันได้สังเกตว่าเบื้องหลังคือกลไกของการโจมตีไซเบอร์ที่ซับซ้อน
การระบาดของ Quishing ในประเทศไทย
สิ่งที่น่ากังวลคือ ตอนนี้ภัย Quishing เริ่มแพร่ระบาดเข้ามาถึงประเทศไทย หลายกรณีพบว่า QR code ปลอม ถูกส่งผ่าน:
- อีเมลธนาคารปลอม หลอกให้ยืนยันบัญชี
- LINE OA ปลอม ส่ง QR code ให้สแกนเพื่อรับของรางวัล/คูปอง แต่พอสแกนกลับพาเข้าสู่เว็บไซต์หลอกลวง
- โปสเตอร์ร้านค้า/โปรโมชันบางแห่ง ถูกติด QR code ปลอม แอบซ่อน URL อันตราย
นั่นเพราะพฤติกรรมผู้ใช้ส่วนใหญ่ ไวต่อความสะดวก แต่กลับช้าเรื่องความระวัง ทำให้ภัยนี้มีโอกาสแพร่กระจายสูง และยังเป็นช่องทางให้แฮ็กเกอร์เจาะข้อมูลส่วนตัวได้ง่าย
Quishing คืออะไร ทำไมอันตรายกว่าที่คิด
คนส่วนใหญ่คุ้นเคยกับ Phishing แบบเดิม คือ การส่งอีเมลหลอกให้คลิกลิงก์หรือดาวน์โหลดไฟล์อันตราย แต่ Quishing คือการซ่อนลิงก์หรือ Payload อันตรายไว้ใน QR code หากผู้ใช้สแกนโค้ด จะพาไปยังเว็บไซต์ปลอมหรือดาวน์โหลดมัลแวร์ทันที
ความอันตรายหลักอยู่ที่ QR code เป็นภาพที่อ่านได้ด้วยเครื่องจักร แต่คนมักไม่เห็น URL ลับเบื้องหลัง ทำให้ระบบกรองอีเมลหรือ Firewall แบบเดิมตรวจจับได้ยาก โดยเทคนิคใหม่ที่แฮ็กเกอร์ใช้ เช่น
- Split QR Codes: แบ่ง QR code เป็นหลายชิ้นก่อนรวมเพื่อสร้างลิงก์หลอก
- Nested QR Codes: ฝัง QR code ซ้อนกันหลายชั้นเพื่อหลีกเลี่ยงระบบตรวจจับ
- การใช้ LLM / AI สร้างหน้าเว็บปลอมที่เหมือนจริงจนผู้ใช้ไม่สงสัย
วิธีสังเกต QR Code ปลอม
เริ่มได้จากระวังและสังเกต ผ่าน กฎ 5 ข้อ ดังนี้
- อย่าสแกนทุก QR code ที่เจอ โดยเฉพาะจากแหล่งไม่รู้จักหรือไม่น่าเชื่อถือ
- ตรวจสอบบริบทและที่มา QR code บนสื่อที่ไม่น่าไว้ใจอาจเป็นสัญญาณเตือน
- ดูตัวอย่างลิงก์ก่อนเข้า มือถือบางรุ่นหรือแอปสแกน QR จะโชว์ URL ก่อนโหลดหน้าเว็บ
- อย่าใส่ข้อมูลสำคัญโดยไม่แน่ใจ หากเว็บไซต์ขอรหัสผ่านหรือข้อมูลบัตรเครดิต ให้หยุดทันที
- ยืนยันช่องทางอื่น หาก QR code มาจากหน่วยงานหรือแบรนด์ใหญ่ ตรวจสอบผ่านเว็บไซต์ทางการหรือสอบถามฝ่ายบริการลูกค้า
วิธีป้องกัน Quishing ที่ทุกคนทำได้
- ใช้ แอปสแกน QR code ที่มีระบบแจ้งเตือน หากลิงก์อันตรายจะถูกบล็อกก่อน
- ตั้งค่า Multi-Factor Authentication (MFA) เพื่อป้องกันแม้รหัสผ่านถูกขโมย
- อัปเดตอุปกรณ์และซอฟต์แวร์เสมอ เพราะช่องโหว่อุปกรณ์อาจเพิ่มความเสียหายจาก QR code อันตราย
- รายงาน QR code หรือข้อความน่าสงสัย ให้หน่วยงานที่เกี่ยวข้อง เช่น Help Desk ของบริษัท หรือธนาคาร
แม้ทุกวันนี้ QR code จะเป็นสัญลักษณ์แห่ง ความสะดวกและทันสมัย แต่ขณะเดียวกันก็กำลังกลายเป็น กับดักแนบเนียนที่สุดในโลกไซเบอร์ โดยเฉพาะในยุคที่ ข้อมูลมีค่าดั่งทองคำ การสแกนทุกอย่างที่เห็นอาจเปลี่ยนจาก “ความสะดวก” เป็น “ความเสี่ยง” ได้อย่างรวดเร็ว
ดังนั้นก่อนยื่นมือถือไปสแกน QR code ใด ๆ ถามตัวเองสักนิดว่า "มันจะพาคุณไปที่ไหน และคุณเชื่อใจมันมากพอหรือยัง?"
เพียงเท่านี้ คุณก็สามารถสร้าง เกราะป้องกันดิจิทัล ให้กับตัวเองได้ง่าย ๆ
อ้างอิง: Boise State News, proofpoint, ETDA