Apr 2, 2012

ระวัง Phishing Site ของธนาคารไทยพาณิชย์

เมื่อเช้าผมได้รับเมล์แปลกๆจากผู้ส่งที่ไม่คุ้นเคย อีกทั้งหัวข้อของเมล์นั้นก็ยังสะดุดตาอีก ก็เลยเกิดความสนใจขึ้นมา ซึ่งเนื้อหาของอีเมล์เป็นดังนี้ครับ




จากภาพจะเห็นว่าเป็นเมล์ที่อ้างตัวว่าเป็นตัวแทนจากธนาคารไทยพาณิชย์(Siam Commercial Bank:SCB) บอกว่า 
"ถึงคุณลูกค้า เนื่องด้วยปัญหาทางด้านความปลอยภัยในปัจจุบันที่เพิ่มขึ้น, ทางเราจึงได้ทำการเพิ่มระดับการเข้าใช้งานแบบออนไลน์.  Account ของคุณจะถูกระงับเพื่อใช้สำหรับทำการตรวจสอบ คุณจำเป็นต้องไป re-activate account ของคุณเพื่อหลีบเลี่ยงการถูกระงับการใช้งาน" 
ซึ่งโดยส่วนตัวผมไม่เคยมีบัญชีหรือธุรกรรมใดๆเกี่ยวกับธนาคารไทยพาณิชย์ดังกล่าวมาก่อน ก็เลยค่อนข้างมั่นใจว่ามันน่าจะเป็น Spam Mail เพื่อนำไปยัง Phishing website (เว็บไซด์เลียนแบบเว็บไซด์ของจริงที่หลอกให้คนที่เข้าไปคิดว่าเป็นของจริง)ของธนาคารไทยพาณิชย์แน่นอน แม้ผู้ไม่ประสงค์ดีจะพยายามสร้าง URL(http://scbeasy-cweb.net)ให้ดูเนียนขนาดไหนก็ตาม ดังนั้นเมื่อแน่ใจแล้วว่าเป็น Phishing site แน่ มีหรือที่จะปล่อยผ่านไป ผมจึงอยากรู้ว่าเว็บไซด์ที่มันทำหน้าตาจะเป็นยังไง ขั้นตอนกระบวนการหลอกต่อไปจะเป็นยังไง และใครเป็นผู้ไม่ประสงค์ดีคนนี้กัน โดยผมเริ่มจากการนำ Host name อันนี้ไปค้นหาก่อนว่าใครเป็นเจ้าของก่อนจากเว็บไซด์ domaintools.com ได้ผมออกมาเป็น

จากภาพจะเห็นว่าเป็นการจดโดเมนเนมด้วยบริการของ Domain Discreet Privacy Service อีกทีหนึ่ง และจากภาพจะเห็นว่าทางผู้ไม่ประสงค์ดีเพิ่งทำการจดโดเมนนี้เมื่อวันที่ 1 เมษายน 2012 นี้เอง ทีนี้มาดูรายละเอียดต่อว่าเว็บไซด์นี้ตั้งอยู่ที่ใด
 
หลังจากทดลอง resolve name แล้วได้เป็น IP: 96.9.50.90 ซึ่งเป็น IP ของอเมริกา เป็นการบ่งบอกว่าเว็บไซด์นี้เป็น Phishing website แน่ๆ เพราะโดยปกติ ISP จะจัดสรร IP ให้กับธนาคารต่างๆในภายประเทศอยู่แล้ว แล้วยิ่งเป็นระบบที่เกี่ยวกับความปลอดภัยของการใช้งาน ยังไงเว็บไซด์ดังกล่าวก็ควรที่จะอยู่ในประเทศไทยเท่านั้นครับ
ทีนี้มาดูเว็บไซด์ Phishing site ดีกว่าว่ามันทำออกมาหน้าตาเป็นยังไง


จากภาพจะเห็นว่าหน้าตาเค้าก็พยายามจะทำให้เหมือน SCB โดยการเอารูปโลโก้ของ SCB มาใส่(ซึ่งหลังจาก view source ดูปรากฎว่าเป็นลิงค์ไปที่เว็บไซด์ของ SCB เลยด้วย เข้าใจว่าเพื่อป้องการแก้ไขหรือเปลี่ยนแปลงรูปภาพโลโก้ของ SCB เอง) แล้วก็ใส่ข้อมูลคล้ายๆกับที่เมล์มาหาผมในตอนแรกก็คือการให้ทำการ re-activate account
ทีนี้ผมก็ลองใส่ข้อมูลเข้าไปดู แล้วกด next ดู
*** คำที่ผมส่งไปค่อนข้างหยาบคายจึงขอ censor ไว้ครับ :)
ซึ่งข้อมูลจะถูกส่งไปยัง update2.php และนำเรามายัง Valid.htm หน้าตาดังภาพ


หลังจากที่ผมลอง view source ดูอีกครั้ง ปรากฎว่าไม่ว่าเหยื่อจะใส่อะไรไปก็แล้วแต่เข้าไปในช่องที่กรอก OTP เหยื่อก็จะถูกนำพาไปหน้าก่อนสุดท้ายคือ update3.php ซึ่งเป็นส่วนที่รับค่า OTP จากเหยื่อแล้วก็นำเหยื่อไปยังหน้าสุดท้ายของโปรเซสแห่งการหลอกลวงคือหน้า Thanks.html ดังภาพครับ
อย่างที่เห็นว่ามีการบอกด้วยว่าจะส่ง One Time Password(OTP) อย่างที่ธนาคารใช้ด้วย แต่จนแล้วจนรอดผมทดลองเข้าใหม่ทั้งหมดและรอไปประมาณ 10 นาทีมันก็ไม่มีอะไรเกิดขึ้น ก็เลยเข้าใจว่าการส่งข้อมูลในส่วน update2.php น่าจะเป็นการ save password ไปยัง database ของผู้ไม่ประสงค์ดี แล้วผู้ไม่ประสงค์ดีอาจมีระบบแจ้งเตือนจากการ submit password นั้น เพื่อนำ password นั้นไปใช้งานต่อไป
เมื่อนำไปใช้งานก็ตามหลักของ Process แน่นอนว่าทางธนาคารก็ต้องทำการส่ง OTP มาให้กับผู้ใช้งานจริง เมื่อผู้ใช้งานเห็นว่ามีการได้รับ OTP มาจริงๆ ก็กรอกส่งข้อมูลไปให้กับผู้ไม่ประสงค์ดีอีกรอบหนึ่ง ทางผู้ไม่ประสงค์ดีเมื่อได้รับ OTP จากผู้ใช้งาน ก็จะสามารถทำสิ่งที่ต้องการได้ตามที่คิดไว้

วิธีการป้องกันตัวหรือตรวจสอบที่ง่ายที่สุดของเว็บไซด์ที่เป็น Phishing website
1. จงอย่าเชื่อเมล์ใดๆก็แล้วแต่จากธนาคาร ให้ดู url ให้ดีว่าเป็นเว็บไซด์ของธนาคารนั้นๆแน่มั้ย หรือให้ดูตรงส่วนท้ายของ domain name ว่าต้องเป็น co.th เท่านั้น เช่นของธนาคารไทยพาณิชย์คือ www.scb.co.th เป็นต้น
2. การเข้าใช้งานส่วนที่เป็นทางด้านความปลอดภัยของธนาคารต้องเป็นการเข้าใช้งานแบบ SSL(https) เท่านั้น


Update: เจอ email แบบเดียวกันมาเมื่อกี๊ครับ แต่ URL เป็น http://s2web-scbeasy.com/s2web/www.scbeasy.com/scb.htm โปรดระวังครับ

If you like my blog, Please Donate Me
 

Sponsors

lusovps.com

Blogroll

About

 Please subscribe my blog.

 Old Subscribe

Share |