Phishing / Pharming

Phishing / Pharming

โดยความหมายของทั้ง 2 ตัวนี้จะเเตกต่างกัน

Phishing ในปี 2554 ที่ผ่านมา สถิติภัยคุกคามที่แจ้งมายังไทยเซิร์ตมากที่สุดคือภัยคุกคามประเภทการฉ้อฉลฉ้อโกงหรือหลอก

รูปที่ 1 สถิติภัยคุกคามระหว่างเดือนกรกฏาคมถึงธันวาคมปี 2554 จำแนกตามประเภทภัยคุกคาม

Phishing คือคำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมเพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่น ๆ เช่น ด้านการเงิน เป็นต้น ในบทความนี้จะเน้นในเรื่องของ Phishing ที่มีจุดมุ่งหมายเพื่อหลอกลวงทางการเงิน เนื่องจากจะทำให้ผู้อ่านมองเห็นผลกระทบได้ง่าย

คำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่าย ๆ ผู้อ่านสามารถจินตนาการได้ว่า เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อที่เด่น ๆ ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ เช่น ปลอมอีเมลว่าอีเมลฉบับนั้นถูกส่งออกมาจากธนาคารที่ผู้เสียหายใช้บริการอยู่ โดยเนื้อความในอีเมลแจ้งว่า ขณะนี้ธนาคารมีการปรับเปลี่ยนระบบรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้า และธนาคารต้องการให้ลูกค้าเข้าไปยืนยันความถูกต้องของข้อมูลส่วนบุคคลผ่านทางลิงก์ที่แนบมาในอีเมล เป็นต้น เมื่อผู้เสียหายคลิกที่ลิงก์ดังกล่าว ก็จะพบกับหน้าเว็บไซต์ปลอมของธนาคารซึ่งผู้โจมตีได้เตรียมไว้ เมื่อผู้เสียหายเข้าไปล็อกอิน ผู้โจมตีก็จะได้ชื่อผู้ใช้และรหัสผ่านของผู้เสียหายไปในทันที ในหลาย ๆ ครั้งการหลอกลวงแบบ Phishing จะอาศัยเหตุการณ์สำคัญที่เกิดในช่วงเวลานั้น ๆ เพื่อเพิ่มโอกาสของการหลอกลวงสำเร็จ เช่น อาศัยช่วงเวลาที่มีภัยธรรมชาติหรือโรคระบาด โดยปลอมเป็นอีเมลจากธนาคารเพื่อขอรับบริจาค เป็นต้น

หน้าเว็บไซต์ปลอมบางหน้าจะใช้วิธีการที่แยบยล นั่นคือการฝังโทรจันที่สามารถขโมยข้อมูลที่ต้องการมากับหน้าเว็บไซต์ปลอมนั้นด้วย เช่น โทรจันที่ทำหน้าที่เป็น Key-logger ซึ่งจะคอยติดตามว่าผู้เสียหายพิมพ์คีย์บอร์ดอะไรบ้าง เป็นต้น เมื่อผู้เสียหายหลงกล กดลิงก์ตามเข้ามาที่หน้าเว็บไซต์ปลอมก็จะติดโทรจันชนิดนี้ไปโดยอัตโนมัติ และหากผู้เสียหายทำการล็อกอินเข้าใช้งานระบบใด ๆ ข้อมูลชื่อผู้ใช้ และรหัสผ่าน ของระบบนั้นก็จะถูกส่งไปยังผู้ไม่ประสงค์ดี

ตัวอย่างของอีเมลและหน้าเว็บไซต์หลอกลวง มีอยู่มากมายเต็มไปหมดในโลกอินเทอร์เน็ต เช่นรูปที่ 2 ด้านล่าง เป็นรูปของสถาบันทางการเงินแห่งหนึ่ง หากสังเกตดีๆ จะเห็นว่า URL ที่แสดงขึ้นมา ไม่ใช่ URL ที่ถูกต้องของสถาบันการเงินนั้น

รูปที่ 2 ตัวอย่างหน้าเว็บไซต์หลอกลวงของสถาบันการเงินแห่งหนึ่ง

นอกจาก Phishing แล้วยังมีเทคนิคการหลอกลวงอื่น ๆ ที่คล้ายคลึงกัน ซึ่งแต่ละวิธีก็มีชื่อเรียกแตกต่างกันออกไป เช่นVishing และ Smishing: หลายคนคงเคยได้ยินหรือเคยประสบกับแก๊งคอลเซ็นเตอร์อยู่บ้าง พฤติกรรมของแก๊งเหล่านี้เข้าข่ายของ Vishing โดยตัวอักษร ‘V’ นี้มาจากคำว่า Voice ซึ่งแปลว่าเสียง ดังนั้น Vishing จึงเป็นการใช้ Voice ร่วมกับ Phishing ซึ่งมักเป็นการหลอกลวงให้ได้มาซึ่งข้อมูลส่วนบุคคลผ่านทางโทรศัพท์นั่นเอง แต่หากเป็น Smishing ก็จะเป็นการหลอกลวงโดยใช้ SMS เช่น การได้รับ SMS อ้างว่ามาจากธนาคารเพื่อแจ้งลูกค้าว่าบัญชีของท่านถูกระงับ กรุณาติดต่อกลับที่หมายเลข ดังต่อไปนี้ ซึ่งเมื่อโทรตามหมายเลขที่ระบุไว้ ก็จะเข้าสู่กระบวนการ Vishing ต่อไป เป็นต้น

Spear-phishing และ Whaling: อย่างที่กล่าวมาแล้วในข้างต้นเกี่ยวกับกลวิธีของ Phishing ในการนำไปใช้งาน ผู้ไม่ประสงค์ดีบางคนก็ได้เล็งองค์กร หรือบุคคลที่เป็นเป้าหมายไว้ชัดเจนอยู่แล้ว บุคคลที่มักตกเป็นเป้าหมายส่วนใหญ่จะเป็นผู้ที่มีบทบาทสำคัญในองค์กร มีความสามารถหรือรู้วิธีการเข้าถึงข้อมูลสำคัญขององค์กร การหลอกลวงแบบ Phishing ที่มีเป้าหมายชัดเจนนี้มีคำเรียกเฉพาะคือ Spear-phishing และหากเป้าหมายของ Spear-phishing นี้เป็นบุคคลที่มีตำแหน่งสูงหรือเป็นบุคคลสำคัญในองค์กร จะเรียกการหลอกลวงนี้ว่า Whaling (ตลกร้ายที่เปรียบเทียบบุคคลสำคัญเป็นปลาตัวโต ในที่นี้คือปลาวาฬนั่นเอง)

แล้วผู้อ่านควรระวังตัวอย่างไร? ข้อแนะนำต่อไปนี้ สามารถลดโอกาสไม่ให้ผู้อ่านถูกหลอกลวงได้

ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากมีโอกาสสูงที่จะถูกหลอกลวง เพราะบางครั้งลิงก์ที่มองเห็นในอีเมลว่าเป็นเว็บไซต์ของธนาคาร แต่เมื่อคลิกไปแล้วอาจจะไปที่เว็บไซต์ปลอมที่เตรียมไว้ก็เป็นได้ เนื่องจากในการสร้างลิงก์นั้นสามารถกำหนดให้แสดงข้อความหรือรูปภาพได้ตามต้องการ ดังนั้นบางเว็บไซต์ปลอมจึงทำ URL ให้สังเกตความแตกต่างจาก URL จริงได้ยาก

พึงระวังอีเมลที่ขอให้กรอกข้อมูลส่วนบุคคล โดยเฉพาะหากเป็นอีเมลที่มาจากสถาบันการเงิน ทั้งนี้ธนาคารหลายแห่งได้แจ้งอย่างชัดเจนว่า ธนาคารไม่มีนโยบายในการขอให้ลูกค้าเปิดเผยเลขประจำตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ ผ่านทางอีเมลโดยเด็ดขาด

ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากในปัจจุบัน ผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้นจริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเอง

สังเกตให้แน่ใจว่าเว็บไซต์ที่ใช้งานเป็น HTTPS ก่อนให้ข้อมูลส่วนบุคคลที่สำคัญ เช่น เลขบัตรเครดิต หรืออื่น ๆลบอีเมลน่าสงสัยออกไป เพื่อไม่ให้พลั้งเผลอกดเปิดครั้งถัดไป

ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนื่องจากผลพลอยได้อย่างหนึ่งของการติดตั้ง Firewall คือสามารถทำการยับยั้งไม่ให้โทรจันแอบส่งข้อมูลออกไปจากระบบได้ นอกจากนี้ ผู้ใช้ควรหมั่นศึกษาและอัพเดทโปรแกรมดังกล่าวให้เป็นรุ่นปัจจุบันเสมอ

หากท่านผู้อ่านพบเห็นเว็บไซต์หลอกลวงซึ่งมีจุดประสงค์ในการขโมยข้อมูลส่วนบุคคล สามารถแจ้งเหตุภัยคุกคามได้ที่เจ้าของบริการเหล่านั้น หรือส่งอีเมลมาที่ report[@]thaicert.or.th ตลอด 24 ชั่วโมงหรือโทร 02-123-1212 ในเวลา 8.30-17.30 ทุกวันทำการ

หากรู้ตัวว่าพลาดท่าไปแล้ว จะทำอย่างไรดี? ข้อแนะนำต่อไปนี้เป็นสิ่งที่ผู้เสียหายควรปฏิบัติตามโดยทันที

ในกรณีที่เป็นข้อมูลสำคัญขององค์กร ผู้เสียหายควรแจ้งเรื่องไปยังบุคคลที่เหมาะสมรวมทั้งผู้ดูแลระบบ เพื่อเป็นการเตรียมมาตราการปกป้ององค์กรต่อไป

ในกรณีที่เป็นข้อมูลบัญชีธนาคาร ผู้เสียหายควรแจ้งเรื่องไปยังธนาคารที่ใช้บริการ และทำการปิดบัญชีที่คาดว่าสามารถถูกขโมยได้ หรือเฝ้าระวังการใช้งานบัญชีอย่างต่อเนื่อง

ทำการเปลี่ยนรหัสผ่าน ในทุกระบบที่ใช้รหัสผ่านเดียวกัน และไม่กลับมาใช้รหัสผ่านนั้นอีก

ถึงแม้ Phishing เป็นภัยคุกคามที่สร้างความเสียหายมากมาย แต่ก็สามารถระมัดระวังตัวได้ หากผู้ใช้มีความตระหนักในการใช้งานอินเทอร์เน็ต รวมถึงปฏิบัติตามคำแนะนำข้างต้น

CREDIT: https://www.thaicert.or.th/papers/general/2012/pa2012ge007.html

            Pharming คือการล่อลวงทางอินเทอร์เน็ตอีกรูปแบบหนึ่ง เป็นอีกขั้นหนึ่งของการทำ Phishing แต่วิธีนี้จะเป็นการเข้าไปเปลี่ยนแปลงระบบการจับคู่โดเมนให้ตรงกับแอดเดรสที่จะเข้าไป ดังนั้นเหยื่อจะคิดว่าเข้าใช้งานเว็บไซต์ของธนาคารที่ต้องการ แต่ที่จริงแล้วกำลังเข้าสู่เว็บไซต์ของ IP ที่มีการล่อลวงเพื่อลักลอบเอาข้อมูลแทน

เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด “Pharming”

เหล่าอาชญากรยุคไฮเทคในปัจจุบันกำลังใช้เทคนิคใหม่ที่เข้ามาแอบขโมยข้อมูลส่วนตัวของเราตลอดจนทำให้เงินออกจากกระเป๋าเราได้อย่างง่ายดาย โดยเฉพาะผู้ที่ใช้บริการอินเตอร์เน็ตแบงค์กิ้งอยู่ในเวลานี้ วิธีการที่เหล่าอาชญกรไฮเทคนิยมใช้ได้แก่วิธี “Phishing” และ ล่าสุดคือวิธี “Pharming”

ซึ่งอันตรายและน่ากลัวกว่าเดิมหลายเท่า วิธี “Phishing” นั้น ใช้วิธีทางจิตวิทยา (Social Engineering) โดยการส่ง eMail มาหลอกผู้ใช้บริการ Online หรือ ผู้ใช้บริการอินเตอร์เน็ตแบงค์กิ้ง ว่าให้รีบติดต่อกลับไปที่ Web Site ของบริการ Online เช่น eBay หรือ Paypal ตลอดจน บริการอินเตอร์เน็ตแบงค์กิ้งของธนาคาร เช่น ธนาคาร CITIBANK หรือ Bank of America เป็นต้น โดย eMail เหล่านั้นจะทำ Link หลอกผู้ใช้บริการไว้ให้คิดว่าเป็น URL ที่ Link ไปยัง Web Site ของผู้ให้บริการ แต่จริงๆแล้วเมื่อหลงคลิ๊กเข้าไปก็พบว่าถูกหลอกให้ไปยัง Web Site ปลอมที่พวกอาชญากรไซเบอร์เตรียมไว้สำหรับรอดัก Username และ Password ของเรา หลังจากนั้นเหล่าผู้ไม่หวังดีก็จะนำ Username และ Password ของเราไปใช้ในการชำระเงินต่างๆ ทำให้เราต้องเสียเงิน และ เสียเวลาในการติดต่อกับธนาคารซึ่งส่วนใหญ่แล้ว ธนาคารก็จะไม่สามารถรับผิดชอบให้เราได้ เพราะเราไม่ระมัดระวัง eMail ลักษณะหลอกลวงแบบนี้ ดังนั้น เราจึงต้องพยายามสังเกตุ eMail และคอยติดตามข่าวสารเรื่องนี้ได้ที่ Anti Phishing Working Group ซึ่งมี Web Site www.antiphishing.org

สำหรับเทคนิคใหม่ที่ซับซ้อนกว่า “Phishing” นั้นได้แก่เทคนิค “Pharming” ซึ่งไม่จำเป็นต้องใช้วิธีเดิมคือส่ง eMail มาหลอกผู้ใช้บริการ Online และ ผู้ใช้บริการก็ไม่ต้องคลิ๊ก Link ที่หลอกมาแต่อย่างใด เหล่าอาชญากรไซเบอร์ใช้วิธีใหม่ที่แนบเนียนกว่า คือ การโจมตีไปที่ระบบ DNS Server ของบริษัท หรือ ผู้ให้บริการอินเตอร์เน็ต (ISP) โดยตรง โดยวิธีแฮกเข้าไปในระบบ DNS เลย หรือ ไม่ก็ใช้วิธีการที่เรียกว่า DNS Hijacking หรือ Poisoning ทำให้ผู้ใช้บริการที่ตกเป็นเหยื่อคิดว่าได้เข้าไปใน URL ที่ถูกต้องจริงๆ แต่ปรากฏว่า URL นั้นได้ถูก “Redirect” ไปยัง Web Site ปลอมที่อาชญากรไซเบอร์ทำรอไว้ให้หลงเข้าไปติดกับดัก

อีกวิธีหนึ่งก็คือ การแฮกเข้าที่เครื่อง Client ตามบ้าน ซึ่งใช้อินเตอร์เน็ตความเร็วสูง หรือ Broadband Internet แล้วส่งโทรจันเช่น Trojan/BankAsh-A หรือ PWSteal.Banking.A เข้ามาดักรออยู่ ในเครื่องของเหยื่อโดยตรง โทรจันตัวนี้ถือว่าเป็นไวรัสคอมพิวเตอร์แบบหนึ่ง ซึ่งมันจะเข้าไปแก้ไขไฟล์ HOSTS ที่อยู่ใน Sub Directory c:\windows\system32\drivers\etc หรือ c:\winnt\systems\drivers\etc และ เพิ่มบรรทัดที่หลอกให้เหยื่อไปยัง URL ปรกติแต่ถูก “Redirect” ไปยัง Web Site ที่อาชญากรไซเบอร์เตรียมไว้ ที่โดนกันไปก็คือ ธนาคารต่างๆในต่างประเทศ Barclays Bank และ HSBC Bank เป็นต้น

\ การโจมตีด้วยวิธีการ “Pharming” นี้ เหยื่อจะสังเกตุได้ยากมาก หรือ เรียกได้ว่าแทบไม่รู้ตัวเลยก็ว่าได้ เพราะ URL ที่เข้าไปก็เหมือนกับของ Web Site จริงทุกประการ แต่เป็นกลลวงที่ระบบ DNS ทำให้เหยื่อเกิดความเข้าใจผิด

สำหรับวิธีการแก้ไขในระยะสั้น นอกจากการที่เราต้องหมั่นตรวจสอบไฟล์ HOSTS ที่อยู่ในเครื่องเราบ่อยๆ แล้ว เราก็ต้องคอยอ่านข่าวสารใหม่ๆ เกี่ยวข้องกับเรื่อง Phishing เป็นระยะๆ จาก web site ที่ได้กล่าวมาแล้วในตอนต้น วิธีการแก้ไขในระยะยาวแบบบูรณาการ ก็คือ การใช้ระบบวิธีบริหารจัดการตรวจสอบการแสดงตัวตน IAM (Identity and Access Control Management System) ซึ่งต้องใช้ Digital Certificate มาช่วยในการตรวจสอบการเข้าถึงระบบ (Authentication Process) นั่นหมายถึง CA (Certificate Authority) และ PKI (Public Key Infrastructure) จะต้องเข้ามาเกี่ยวข้องโดยตรง นอกจากนั้น ผู้ที่ดูแล DNS Server อยู่ เช่น ผู้ให้บริการในอินเทอร์เน็ตหรือ ISP ก็ต้องคอย “Patch” เครื่อง DNS Server ของตน และหมั่นตรวจสอบประเมินความเสี่ยง (Vulnerability Assessment) ระบบของตนเองอยู่เป็นระยะๆ

ภัยอินเทอร์เน็ตในวันนี้น่ากลัวกว่าที่เราคิดไว้มาก ดังนั้นเราควรต้องหมั่น “Update” ข่าวสารความเคลื่อนไหวด้าน Information Security บ่อยๆเพื่อไม่ให้ตกเป็นเหยื่อการหลอดลวงใหม่ๆทางอินเทอร์เน็ต ที่นับวันจะเพิ่มมากขึ้นอย่างน่าตกใจ

CREDIT: https://www.acisonline.net/?p=1672