เร็ว ๆ นี้ ก็มี e-mail จากผู้ร้าย ส่งเข้ามาที่ออพติมุส ตามในภาพ
แน่นอนว่า ตัวตนของผู้ร้ายถูกซ่อนเอาไว้หมด มาดูกันว่า ผู้ร้ายรายนี้ ซ่อนตัวอย่างไร โดยดูจาก Mail header
สรุปว่า Account ที่ส่ง e-mail นี้ออกมา ก็คือเหยื่อรายหนึ่ง ส่วนไฟล์ Malware ผู้ร้ายก็เอาไปแปะไว้ที่ website แห่งหนึ่ง เป็น Host ของ Domain shaktiintl.in ซึ่งถ้าตามดูว่า ใครคือเจ้าของ Domain นี้ วิธีที่ง่ายโดยไม่ต้องใช้ความรู้ด้านเทคนิคหรือคำสั่งแปลก ๆ ก็ไปพิมพ์ URL ว่า www.shaktiintl.in ผลที่ได้คือแบบนี้
ขั้นตอนแรก โหลดไฟล์นี้มา และส่งไปให้กับ virustotal.com
จุดประสงค์ไม่ใช่เพื่อต้องการจะรู้ว่า zipfile นี้มี Malware หรือไม่ แต่เพราะ virustotal.com จะแชร์ไฟล์นี้ใหักับ Antivirus vendor ทั้งหมดเกือบ 60 ค่ายได้เอาไปศึกษา และอัพเดต signature ของตัวเอง แจกจ่ายให้กับลูกค้าทั่วโลก
ก็เพียงแค่ค้นอีกนิดหน่อย ก็จะรู้ได้ว่า เจ้าของ IP address ที่ website Shakti International ใช้บริการอยู่นี้คือใคร เราก็ติดต่อ ISP เจ้าของ IP นี้ซะเลย
ก็บอกเขาไปว่า ทรัพยากรของท่าน กำลังถูกนำไปใช้เพื่อทำร้ายคนอื่น แจ้งไปทาง ISP เมื่อวันที่ 22 เวลาตีสี่นิด ๆ ซึ่งปกติ ผู้ให้บริการที่มีมาตรฐาน จะมีแผนกที่คอยจัดการกับ Abusive activity พวกนี้อยู่แล้ว และเป็นแผนกที่ทำงานเหมือนหน่วย S.W.A.T คือรวดเร็ว เด็ดขาด ชัดเจน และไม่ต่อรองอ่อนข้อ ยิงก่อนแล้วคุยทีหลัง ปิด IP ก่อนแล้วค่อยแจ้ง อะไรประมาณนี้
ผลที่ได้กลับมาภายใน 6 ชั่วโมงจาก ISP ดังนี้
ซึ่งภายในเวลาอันรวดเร็ว ถ้ามีเหยื่อเผลอคลิก link ใน e-mail แทนที่จะเป็นการโหลดไฟล์ zip จะกลายเป็นหน้านี้แทน
บทความนี้จาก act.optimus.co.th/community
อ่านบทความเพิ่มเติมหรือแลกเปลี่ยนความคิดเห็น สามารถสมัครได้ที่ > https://act.optimus.co.th/Main/frmRegister.aspx
สอบถามเพิ่มเติมติดต่อแผนก Marketing
02-2479898 ต่อ 87