กว่า 11 ปีหลังจากเกมส์ดัง Google Doodle Pac-Man ได้รับการเผยแพร่บนโลกนี้ เชื่อว่าหลายๆคนคงจำ Google Doodle ได้เป็นอย่างดี และ Pac-Man เกมส์นี้ เป็น interactive เกมส์แรกที่ Google Doodle ทำขึ้น (Google Doodle เป็นลูกเล่นที่ทาง Google ทำขึ้นมาเป็นการเฉพาะสำหรับเทศกาลสำคัญต่างๆในวันนั้นหรือช่วงนั้น โดยแสดงผลที่ตรง Logo Google บนช่อง Search : ผู้เรียบเรียง) แต่เป็นเรื่องน่าเสียดายเป็นอย่างยิ่งที่มิจฉาชีพ ฉกฉวยความสนุกจากผู้คนไป เราสังเกตุเห็นจาก DNSWatch ว่า (DNSWatch เป็นหนึ่งในฟีเจอร์สำคัญของ WatchGuard : ผู้เรียบเรียง) ได้ทำการบล็อกการรับส่งข้อมูล googlepacman[.]net และหลังจากเราได้เข้าไปตรวจสอบ พบว่าสิ่งที่ปรากฎเป็น Domain Parking ซึ่งใช้ชื่อว่า “Google” แต่กลับไม่ได้มีความเชื่อมโยงกับ Google Inc หรือ Google Doodle Pac-Man แต่ประการใด มีเพียง GIF และ รายละเอียดคำอธิบายเกมส์เท่านั้นที่เป็นของจริงจาก Google Doodle Pac-Man นอกนั้นส่วนที่เหลือทั้งหมด ไม่ใช่เลย
กลไกของมิจฉาชีพในครั้งนี้
คือการทำให้ User เข้าไปคลิ๊กบน Pac-Man GIF เพราะคิดว่าจะเข้าไปเล่นเกมส์ แต่พบว่าหลังจากที่กด GIF ไปแล้วนั้น คลิ๊กดังกล่าวจะไปเปิดโดเมนหนึ่ง ซึ่งจะขึ้นหน้า pop up ให้ User กดอนุญาตในการเข้าถึงสิ่งใดสิ่งหนึ่ง ซึ่งจากการทดสอบพบว่าจะให้เราเข้าไปเปิดใช้งาน push notification เพื่ออนุญาตให้เล่น Youtube Video ดังผลแสดงด้านล่าง
พฤติกรรมของคนทั่วไป ก็จะ click “Block”
การคลิ๊ก “Block” จะทำให้ระบบขึ้น CAPTCHA เป็น step ถัดไป ซึ่งหลังจากขึ้นหน้านี้ ระบบจะ redirect ไปยังอีกหน้าหนึ่ง และจะพยายามให้ User เปิดใช้งานระบบ Push Notification อีกครั้ง หากไม่สำเร็จ ระบบก็จะพากลับหน้าปกติ โดยไปยัง google[.]com
เราย้อนกลับไปทดสอบอีกครั้ง แล้วลองกดเพื่ออนุญาตรับ Push Notification ซึ่งเราพบว่า จะมี Ad ขยะ ขึ้นมารบกวนเป็นอันมากตามที่คาดไว้ ดังแสดงผลด้านล่าง
โดย Push Notification จะแจ้งเตือนทุกสองหรือสามนาที ซึ่งผลลัพท์ที่ได้ ก็จะวนไปยังหน้าใหม่ เปิด Push Notification อื่นๆอีกครั้ง หรือ อาจถึงขั้น redirect หน้าที่เราเจอ เพื่อให้เราติดตั้งโปรแกรมที่เราไม่ต้องการหรือไม่อยากได้ Potentially Unwanted Program (PUP) ซึ่งจากการทดสอบในหลายๆครั้งพบว่า User อาจถูกบังคับให้ติดตั้งซอร์ฟแวร์ที่ชื่อ TotalAV Windows Antivirus
มีข้อมูลที่เราทดสอบเป็นจำนวนมากที่แสดงให้เห็นว่า คนจำนวนมากถูกสั่งให้ติดตั้ง TotalAV ซึ่งเมื่อเราติดตั้งแล้ว ก็จะถูกหลอกต่อๆไป เช่นหลอกให้เข้าไปซื้อสินค้าอื่นๆทีมาจาก adware อาทิ Software ต่างๆ เราพบว่า บางอันบางคลิ๊กจะถูก redirect เพื่อหลอกให้ติดตั้ง Noton Antivirus ปลอมเช่นกัน
ทั้งนี้การแจ้งเตือน อาจมาในรูปแบบอื่น
จากตัวอย่างด้านล่าง เพื่อหลอกให้เราเข้า web 18+ หรือ เว๊ปโป๊ เป็นต้น
ปัญหาหลักหรือรูรั่วดังกล่าวเกิดจาก ตัว Chrome Notification ที่เราจะไม่เห็น URL ซึ่ง User หากไม่สังเกตุ ก็จะนำไปสู่ PUP และ โฆษณาที่ลุกล้ำ แม้ว่าการ notification เหล่านี้จะไม่อันตราย แต่ก็มีความเป็นไปได้ที่ notification เหล่านั้นจะพาไปที่ Link ที่ให้เราทำการติดตั้งซอร์ฟแวร์โทรจันและมัลแวร์อื่นๆ ได้
ขั้นตอนในการลบข้อความ Push Notification เหล่านี้ทำได้ง่ายและรวดเร็ว ในเข้าไปตั้งค่าใน chrome โดยไปที่ Chrome Setting แล้วเลือกหัวข้อ “Privacy and Security” จากนั้นเลือก “Site Setting” คุณจะเห็นโดเมนที่กำหนดค่าล่าสุดที่ด้านบนของหน้า พร้อมรายละเอียดเพิ่มเติมด้านล่าง จากนั้นเลือก “View permissions and data stored across sites” เพื่อเห็น domain ทั้งหมด เลือก domain ที่จะทำการปิดกั้น โดยเปลี่ยน notification เป็น “block”
ตัวอย่าง Domain ที่เป็นอันตราย ที่จะ redirect ไปยังจุดหมายที่น่าสงสัย
premiumbros[.]com
quicklisti[.]com
kokotrokot[.]com
allowsuccess[.]org
time4news[.]net
aloha-news[.]net
besty-deals[.]com
ตัวอย่าง domain น่าสงสัย ที่พบในขั้นตอน PCAP
www1.news-back[.]org
inpagepush[.]com
youradexchange[.]com
feed.r-tb[.]com
news-easy[.]org
t.ocmhood[.]com
t.r-tb[.]com
bigrourg[.]net
my.rtmark[.]net
data-px[.]services
ny-t.r-tb[.]com
brandlle[.]com
qubscribe[.]com
ออพติมุส ขอนำเสนอ Solution และเสนออีกหนึ่งทางเลือก เพื่อเป็นที่ปรึกษาในการทำระบบขององค์กรคุณให้ปลอดภัยจากภัยคุกคามต่างๆ ที่นับวันจะยิ่งทวีความรุนแรง และร้ายกาจมากยิ่งขึ้น เรายินดีที่จะเคียงข้างคุณ ให้คำปรึกษาอย่างเต็มใจและปลอดภัยที่สุด ติดต่อได้ที่
Tel : 02-2479898 ต่อ 87
Email : [email protected]
สินค้าที่เกี่ยวข้อง
เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิชัย ปริญญานุสรณ์