Skip to content

ทำไมจะมี E-กุศล ไม่ได้

เร็ว ๆ นี้ ก็มี e-mail จากผู้ร้าย ส่งเข้ามาที่ออพติมุส ตามในภาพ 

แน่นอนว่า ตัวตนของผู้ร้ายถูกซ่อนเอาไว้หมด มาดูกันว่า ผู้ร้ายรายนี้ ซ่อนตัวอย่างไร โดยดูจาก Mail header

จะเห็นว่า From: itebulkmoni@gmail.com ซึ่งก็น่าจะเป็น Mailbox ของ gmail หนึ่งใน account จาก Stolen database ของ Google ที่มีขายกัน website ใต้ดิน แหล่งทำมาหากินของ Black hat hacker
 
ถ้าใครไม่เคยรู้ว่า Google ถูกเจาะและขโมยฐานข้อมูล username/password ของ Mailbox ออกไปมากมายแค่ไหน ลองค้นคำว่า “Google breach” หรือลองอ่านจากที่นี่ก็ได้ https://www.infosecurity-magazine.com/news/one-million-stolen-gmail-yahoo/
 
และ Account ที่ถูกขโมยไป ผู้ร้ายก็จะเอาไปส่ง malware ตามตัวอย่างนี้ เพราะ Mail server ทั้งโลก ไม่ปฏิเสธ e-mail จาก Google อยู่แล้ว
 
ส่วน To account ก็เป็นของ gmail เหมือนกัน เพื่อผู้ร้ายจะได้ Q.C. งานของตัวเองว่า e-mail ที่ตัวเองส่งนั้น ไม่ได้ถูก block โดย Google 
 
ส่วนปลายทางที่แท้จริงนั้น ใส่ใน BCC address
 

สรุปว่า Account ที่ส่ง e-mail นี้ออกมา ก็คือเหยื่อรายหนึ่ง ส่วนไฟล์ Malware ผู้ร้ายก็เอาไปแปะไว้ที่ website แห่งหนึ่ง เป็น Host ของ Domain shaktiintl.in ซึ่งถ้าตามดูว่า ใครคือเจ้าของ Domain นี้ วิธีที่ง่ายโดยไม่ต้องใช้ความรู้ด้านเทคนิคหรือคำสั่งแปลก ๆ ก็ไปพิมพ์ URL ว่า www.shaktiintl.in  ผลที่ได้คือแบบนี้

เชื่อว่า Host ของ Shakti International ก็คงจะตกเป็นเหยื่อเหมือนกัน
 
สรุปว่า ผู้ร้ายใช้ gmail ส่ง e-mail ออกมา ใน e-mail หลอกว่า ให้ไปโหลดใบ BL (Bill of Lading – งาน shipping) ได้ตาม link ซึ่งก็ไปใช้ Host ของเหยื่อ ไม่มีตัวตนของผู้ร้ายใน e-mail นี้
 
สร้าง e-กุศล อย่างไร
 
ขั้นตอนต่อไปนี้ ไม่แตกต่างจากขุดเจอระเบิด แล้วพยายามจะถือลูกระเบิดไปโรงพัก มันก็เป็นความดีที่ได้ช่วยผู้อื่นไม่ให้โดนระเบิด แต่ควรทำความดีนี้โดยความรู้ รู้ว่าไฟล์ที่จะโหลดนั้นเป็นไฟล์ประเภทไหน ทำงานอย่างไร และจะจัดการอย่างปลอดภัยได้อย่างไร ไม่งั้นเราจะตกเป็นเหยื่อเสียเอง
 

ขั้นตอนแรก โหลดไฟล์นี้มา และส่งไปให้กับ virustotal.com

จุดประสงค์ไม่ใช่เพื่อต้องการจะรู้ว่า zipfile นี้มี Malware หรือไม่ แต่เพราะ virustotal.com จะแชร์ไฟล์นี้ใหักับ Antivirus vendor ทั้งหมดเกือบ 60 ค่ายได้เอาไปศึกษา และอัพเดต signature ของตัวเอง แจกจ่ายให้กับลูกค้าทั่วโลก

เป็นการสร้าง e-กุศล ทำให้คนอื่น ๆ ที่มี Antivirus ก็จะไม่ถูก Malware นี้เล่นงาน
 
ตัดไฟที่ต้นลม
 

ก็เพียงแค่ค้นอีกนิดหน่อย ก็จะรู้ได้ว่า เจ้าของ IP address ที่ website Shakti International ใช้บริการอยู่นี้คือใคร เราก็ติดต่อ ISP เจ้าของ IP นี้ซะเลย

ก็บอกเขาไปว่า ทรัพยากรของท่าน กำลังถูกนำไปใช้เพื่อทำร้ายคนอื่น แจ้งไปทาง ISP เมื่อวันที่ 22 เวลาตีสี่นิด ๆ ซึ่งปกติ ผู้ให้บริการที่มีมาตรฐาน จะมีแผนกที่คอยจัดการกับ Abusive activity พวกนี้อยู่แล้ว และเป็นแผนกที่ทำงานเหมือนหน่วย S.W.A.T คือรวดเร็ว เด็ดขาด ชัดเจน และไม่ต่อรองอ่อนข้อ ยิงก่อนแล้วคุยทีหลัง ปิด IP ก่อนแล้วค่อยแจ้ง อะไรประมาณนี้ 

ผลที่ได้กลับมาภายใน 6 ชั่วโมงจาก ISP ดังนี้

 

ซึ่งภายในเวลาอันรวดเร็ว ถ้ามีเหยื่อเผลอคลิก link ใน e-mail แทนที่จะเป็นการโหลดไฟล์ zip จะกลายเป็นหน้านี้แทน

ซึ่งแน่นอนว่า เป็นผลจากการที่คนดีทำงานร่วมกัน เราแจ้ง เขาบังคับต่อไปที่ลูกค้าเจ้าของ website และอย่างรวดเร็ว ไฟล์ของผู้ร้ายก็ถูกเอาออกไปจากระบบ
ปฏิบัติการ 6 ชั่วโมง ระงับความเสียหายของคนอื่น ๆ ได้อีกเป็นจำนวนมาก ก็น่าจะเรียกว่าเป็น e-กุศลได้ นะครับ
 

บทความนี้จาก act.optimus.co.th/community

อ่านบทความเพิ่มเติมหรือแลกเปลี่ยนความคิดเห็น สามารถสมัครได้ที่ > https://act.optimus.co.th/Main/frmRegister.aspx


สอบถามเพิ่มเติมติดต่อแผนก Marketing

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand