Skip to content

ผลงานล่าสุดจากทีมวิจัย สามารถแกะ Log การบันทึกของมูลของเครือข่าย Scammers

ในช่วงต้นเดือนพฤศจิกายนที่ผ่านมา ทาง WatchGuard พบว่ามีรายงานการ Phishing ในตระกูลมัลแวร์เพิ่มมากขึ้นโดย ADA มีการรีพอร์ตใน Firefox Feed ซึ่งเป็นข่าวกรองภัยคุกคามของทาง WatchGuard ที่ได้รับข้อมูลจากอุปกรณ์ Firebox ที่ใช้งานทั่วโลก เราพบว่า Email Phishing นี้มีเป้าหมายเป็นผู้ใช้ในเอเชียตะวันออกเฉียงใต้เพื่อขโมยข้อมูลในการยืนยันตัวตนของอีเมลล์หรือที่รู้จักกันในทางเทคนิกว่า Credentials ทาง WatchGuard จึงดึงตัวอย่างมัลแวร์และอีเมลล์นี้เพื่อทำการตรวจสอบ

ใน Email ระบุว่ามาจาก Payment@hsbc.com.hk แต่การตรวจสอบโดเมนและ IP Address พบว่าในส่วนหัวของ Email มีการส่งมาจากสาธารณรัฐเช็ค ไม่ใช่ IP ของฮ่องกงตามที่ระบุใน mail ส่วนเนื้อหาอีเมลล์มีการส่งคำร้องเพื่อให้ตรวจสอบ “คำแนะนำการชำระเงินอิเล็กทรอนิกส์” ซึ่งเป็นชื่อไฟล์ที่แนบมาด้วย แต่ไฟล์ที่แนบมานั้นกลับเป็นนามสกุล HTML ซึ่งเป็นนามสกุลสำหรับใช้ผ่าน Web Browser นอกจากนี้ยังพบอักขระแบบสุ่มที่ไม่สามารถแปลได้ติดมาอีกด้วย ซึ่งทาง WatchGuard สงสัยว่าผู้ส่งใส่ไว้เพื่อใช้ในการหลอกตัวกรองสแปม เมื่อตรวจสอบทุกอย่างในเมลล์เรียบร้อย เราจึงทำการเปิดไฟล์ที่แนบมา เพื่อตรวจจับพฤติกรรมของไฟล์นั้นๆ


ซึ่งพอเปิดไฟล์ขึ้นมาก็จะพบดังในรูปซึ่งมีลักษณะคล้ายคลึงกับโปรแกรม Excel และมีข้อมูลบางส่วนที่ถูกเบลอไว้ ระบบจะบังคับให้คุณ Sign In หรือล็อกอินเข้าระบบพื่อเปิดไฟล์ แต่เมื่อคุณ Sign In ระบบจะส่งข้อมูลที่คุณกรอกไปที่ tj [.] teamkdhomes [.] com / me / document [.] php ซึ่งปัจจุบันโดเมนนี้ถูกโจมตีไปก่อนหน้านี้เรียบร้อยแล้ว ซึ่งเมื่อเราตามเข้าไปก็จะพบ error 404 คือระบบไม่สามารถใช้งานได้ ทีมทดสอบจึงดูในแคชของ Browser Google Chrome พบว่ามีการบันทึกข้อมูลในการทดสอบนี้ไว้ด้วย ซึ่งเป็นการเก็บข้อมูล IP Address,Email,Password,และภูมิประเทศต้นทาง ดังรูปด้านล่าง

การส่ง Phishing รูปแบบนี้เป็นหนึ่งในวิธีที่ผู้ร้ายใช้ในการขโมยข้อมูลส่วนตัว โดยบังคับให้กรอกข้อมูลเพื่อเข้าถึงเอกสารที่ปลอมไว้ ซึ่งเป็นวิธีที่ง่ายที่สุดและสามารถส่งไปได้หลายพันฉบับในเวลาไม่กี่บาที และสามารถสร้างข้อมูลปลอมได้หลายเวอร์ชั่นมาก ซึ่งหากมีคนตกเป็นเหยื่อไม่ว่าจะกี่คน คนร้ายก็ถือว่าประสบความสำเร็จในการโจมตีแล้ว โดยคนที่ตกเป็นเหยื่อจะเริ่มรู้สึกว่าไม่สามารถใช้งานบัญชีตนเองได้ เช่น ไม่สามารถใช้งาน Email ได้หรือหาก Email มีการผูกไว้กับระบบอื่นๆที่ใช้ Email ในการเข้าถึงก็จะไม่สามารถใช้งานได้ ซึ่งผู้ร้ายจะพยายามติดตั้ง Ramsomware หรือโทรจันให้สามารถเข้าถึงได้จากระยะไกลบนคอมพิวเตอร์ของคุณ หากพวกเค้าสามารถเข้าถึงบัญชีที่ใช้ในบริษัทและบริษัทนั้นอาจไม่มีการป้องกันที่ดีพอ นั่นคือความเสี่ยงสูงสุด Ransomware อาจจะเข้าไปอยู่บน computer ภายในองค์กรได้แบบง่ายดาย

 

เราคาดหวังว่าผู้ที่อ่านข่าวของเรานี้ จะมองเห็นถึงความสำคัญของระบบคุณเองและบางทีอาจจะได้รับ Email หลากหลายรูปแบบเช่น  Email จากธนาคารต่างๆซึ่งหลายๆคนก็ตกหลุมพรางอย่างง่ายดาย หากคุณมีอุปกรณ์หรือซอร์ฟแวร์ที่จัดการ Malware จะช่วยลด Email Phishing ได้ระดับนึงซึ่งแน่นอนเราแนะนำให้ใช้ DNSWatch จะช่วยคุณกรอง Domains ที่ถูกโจมตีออกจากระบบให้อีกชั้นนึง จะช่วยให้ผู้ใช้พบเจอ Email Phishing ลดน้อยลงได้อย่างมาก 

สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing

โทร : 02-2479898 ต่อ 87 

เรียบเรียงเป็นภาษาไทยโดย  : คุณ กิตติศักดิ์ อนุวงศ์สกุล