Friday, March 13, 2015

บทวิเคราะห์ฟิชชิ่ง kasikorn.ru

*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****

ผู้วิเคราะห์ กิติศักดิ์ จิรวรรณกูล

วันนี้ผมเห็นน้องในกลุ่ม 2600 โพสท์รูปว่าไปค้นหาคำว่า K-Cyber ในกูเกิล พบว่ามีโฆษณาให้เข้าเว็บเพื่อทำธุรกรรมออนไลน์ของธนาคาร แต่เอ๊ะ!! ทำไม URL จึงเป็น kasikorn.ru (ดังรูปที่ 1) ผมได้ขออนุญาตน้อง Non Baphomet ในการนำรูปนี้มาแชร์นะครับ


รูปที่ 1 แสดงหน้าเว็บกูเกิลที่ฟิชชิ่งนั้นมาโฆษณา

ความคันบังเกิดครับ ผมเลยไม่ยอมหลับยอมนอนกันเลยทีเดียว บรรยายพรุ่งนี้เช้าเอาไว้ก่อน ขอแงะเว็บนี้หน่อย เริ่มต้นจากดูว่าเว็บนี้มีโดเมนว่า http://login.kasikorn.ru/K-Online/login.jsp (ห้ามเข้าโดยเด็ดขาดนะครับ) หน้าตาเว็บเป็นดังรูปที่ 2

รูปที่ 2 แสดงหน้าเว็บฟิชชิ่ง

จุดสังเกตว่าเว็บนี้เป็นเว็บฟิชชิ่งหรือไม่
  1. เว็บนี้มีโดเมน .ru (รัสเซีย) แน่นอนครับว่าธนาคารกสิกรไทยคงไม่ไปเปิดเว็บไว้ที่รัสเซียแน่นอน (มโนเอง)
  2. เว็บธุรกรรมธนาคารส่วนใหญ่ต้องใช้ https แต่เว็บนี้ไม่มี
  3. ลิ้งค์ต่างๆ ของเว็บนี้ชี้ไปที่เว็บฟิชชิ่งนี้เว็บเดียว แต่พอหลังจากล็อกอินแล้วจะ redirect ไปหน้าธนาคารจริงๆ

เมื่อมั่นใจแล้วว่าเว็บนี้เป็นเว็บฟิชชิ่งแน่นอนแล้ว ต่อไปเราจะมาหาดูว่าเว็บนี้อยู่ที่ใด ซึ่งจากการทดสอบพบว่าเว็บฟิชชิ่งนี้มีหมายเลขไอพี 91.224.160.79 แต่ไม่สามารทำ rDNS ได้ จากรูปที่ 3 ดังนั้นสรุปได้ว่าน่าจะเป็นเว็บโฮสติ้ง 

รูปที่ 3 แสดงการแปลงชื่อเว็บเป็นหมายเลขไอพี

จากนั้นลองเอาไปถามในเว็บ netcraft พบว่าถึงแม้ว่าโดเมนจะถูกจดในประเทศรัสเซีย แต่โฮสติ้งอยู่ที่บริษัท Bergdorf Group Ltd. ในประเทศเนเธอร์แลนด์ แถมเว็บนี้ติดตั้งในระบบปฏิบัติการลินุกซ์ พร้อมกับใช้ nginx เป็นเว็บเซิร์ฟเวอร์ ดังรูปที่ 4
รูปที่ 4 แสดงผลการค้นหาข้อมูลเว็บฟิชชิ่งจาก netcraft


ลองตรวจสอบเพิ่มอีกว่าหมายเลขไอพีนี้เป็นของบริษัท Bergdorf Group Ltd. จริงๆ โดยใช้คำสั่ง whois ดังรูปที่ 5

รูปที่ 5 แสดงผลที่ได้จากการข้อดูข้อมูลเจ้าของหมายเลขไอพี

วิธีการแก้ไขและป้องกัน
  1. ถ้าหากว่าได้กรอกข้อมูลส่วนตัวของเราลงในเว็บฟิชชิ่ง ให้ดำเนินการติดต่อธนาคารเพื่อขอเปลี่ยนรหัสผ่าน 
  2. ติดตั้งโปรแกรมป้องกันไวรัส พร้อมอัพเดต แล้วสแกนองค์กรตลอดเวลา
  3. สังเกตชื่อเว็บไซต์และบริบทแวดล้อม ว่าพิมพ์ถูกต้องไหม หรือมี HTTPS หรือไม่
  4. ถ้าหากต้องการเข้าเว็บไซต์ของธนาคาร ควรพิมพ์ชื่อเว็บของธนาคารที่แสดงอยู่หลังบัตรด้วยตนเองทุกครั้ง
  5. ติตตั้งแอพพลิเคชั่น ส่วนขยาย หรือแม้กระทั่งโปรแกรมต่างๆ ที่จะช่วยเตือนภัยให้เขาได้ (อ่านเพิ่มที่ http://foh9.blogspot.com/2013/05/web-browser-security-2-chrome.html








Tuesday, September 30, 2014

เดินทาง (อีกแล้ว)

วันนี้จะต้องเดินทางไปทำธุระที่กรุงมนิลา ประเทศฟิลิปปินส์ 4 วัน เพื่อไปร่วมงาน ASEAN-Japan Cyber Security Workshop งานนี้ต้องขึ้นพูดด้วยเช่นเคย

ทริปนี้เป็นทริปที่ 3 ของปีงบประมาณนี้แล้ว เหนื่อยแต่ก็หยุดออกเดินทางไม่ได้ สไลด์ที่ยังเตรียมไม่เสร็จ ประกอบกับการที่ไม่ค่อยได้นอน ทำให้ร่างกายแอบทรมานเล็กๆ หวังว่าทุกอย่างน่าจะผ่านได้ด้วยดีนะครับ

ทริปนี้มีความพิเศษเล็กๆคือได้ไปนั่งรอในเล้าจ์ของการบินไทย หลังจากที่เข้ามาได้แล้ว ผมประทับใจกับเครื่อง kios แจกรหัสไวไฟ โดยการสแกนบาร์โค้ดของ boarding pass แล้วเครื่องก็จะพิมพ์รหัสให้เลย

พอเข้ามาด้านใน พบว่าคนเยอะไปหน่อย หาที่นั่งยาก แต่อย่างไรก็ตามของกินเพียบเลย ฟินเบยยยยยยยย

Monday, February 10, 2014

ความทรงจำที่หายไป (My Lost memory)

ขอพักการเขียนเรื่อง Security ไว้สักตอนนะครับ

"โน้ตตตตตต"​ เสียงของผู้หญิงคนหนึ่งดังลอยมาขณะที่ผมได้เดินผ่านกลุ่มรุ่นพี่ศิษย์เก่า เมื่องานเลี้ยงศิษย์เก่าวิศวกรรมศาสตร์มหาวิทยาลัยขอนแก่น 50 ปี ผมเงยหน้าขึ้นมองตามเสียงไปเห็นผู้หญิงคนนั้นยิ้มและโบกมือให้ ในแว้บแรกนั้น ผมคิดในใจว่าภาพนี้ผมเคยเห็นที่ไหน รอยยิ้มที่เปี่ยมไปด้วยความใจดี ทำให้ผมรู้สึกมีความสุขยังไงบอกไม่ถูก และท่าทางโบกมือธรรมดาๆ แต่ผมนึกเท่าไรก็นึกไม่ออกว่าเคยเห็นภาพนี้ที่ไหน ผมก็ได้แต่เก็บความสงสัยนี้ไว้ในใจคนเดียว

ต่อมาไม่นาน (ไม่ถึงครึ่งชั่วโมง) เมื่อสัญญาณของผู้จัดงานให้ผู้เข้าร่วมงานเดินเข้าไปในงานได้ ผมก็เดินเข้าไปพร้อมกับเพื่อนๆในรุ่นของผม ก็คุยกันเรื่อยเปื่อยตามประสาคนไม่ได้เจอกันมานาน พอผมเข้ามาข้างในอาคาร ผู้หญิงคนนี้ก็เดินมาข้างๆ แล้วพูดว่า "โน้ตๆๆ นี่พี่โอเอง จำได้มั้ย" ​ณ เวลานั้นความรู้สึกของผมเหมือนปมเชือกแห่งความสงสัยว่าผมเห็นภาพผู้หญิงยิ้มอย่างใจดีแล้วโบกมือให้นั้นผมเคยเห็นที่ไหนได้คลายออกทันที แถมยังรู้คำตอบว่าทำไมความรู้สึกที่มีความสุขของผมมาจากไหน แท้จริงแล้วมันคือความรู้สึกลึกๆที่ผมเคยรู้สึกเมื่อสิบกว่าปีก่อน แต่หลังจากที่พี่โอเรียนจบเราก็ไม่เคยเจอหรือได้ยินข่าวกันอีกเลย ทำให้ความทรงจำส่วนนั้นของผมได้หายไป

พี่โอเป็นรุ่นพี่ของผมตั้งแต่สมัยมัธยมยาวถึงมหาวิทยาลัยด้วย ภาพที่ผมจำได้คือพี่โอเป็นคนที่เรียนเก่ง น่ารัก เสน่ห์ของพี่เขาอยู่ที่ความเป็นกันเอง ยิ้มให้ผมทุกครั้งที่เจอกัน ผมจำไม่ได้ว่าเราสนิทกันตอนไหน แต่รู้ว่าเราคุยกันบ่อยๆ ฮ่าๆๆ แต่ก็ไม่น่าเชื่อว่าเพียงรอยยิ้มและท่าโบกมือธรรมดาของรุ่นพี่คนนี้จะทำให้ความทรงจำที่หายไปของผมกลับคืนมา

Monday, July 08, 2013

วิธีการเปิดโหมดห้ามติดตามในเว็บเบราเซอร์ (Do not track)

บทความเรื่อง วิธีการเปิดโหมดห้ามติดตามในเว็บเบราเซอร์ (Do not track)
ผู้เขียน กิติศักดิ์ จิรวรรณกู
เรียบเรียงวันที่ 8 กรกฎาคม 2556

ทราบกันหรือไม่ว่า ในปัจจุบันพฤติกรรมการท่องอินเทอร์เน็ตของเรานั้นถูกจับตาดูอยู่ ไม่ว่าจะเป็นทุกเว็บที่เราเข้า ทุกหน้าที่เราอ่าน หรือทุกลิ้งค์ที่เราคลิ้ก ฯลฯ ล้วนแล้วแต่ถูกเก็บข้อมูลไปแล้วทั้งสิ้น เพื่อผลประโยชน์ทางธุรกิจโฆษณา ด้วยการประชาสัมพันธ์ผลิตภัณฑ์ให้ตรงกับความต้องการของเราได้มายิ่งขึ้น หากมองในแง่ดีเป็นการได้ประโยชน์ทั้งสองฝ่าย ทำให้บริษัทนั้นโฆษณาได้ตรงกับความต้องการของเรา และเราก็จะได้เลือกซื้อของเฉพาะที่เราสนใจก็ได้ แต่หากมองในมุมกลับกันในแง่ร้ายนั่นก็คือ "เราถูกละเมิดความเป็นส่วนตัว" อยู่นั่นเอง

ห้ามติดตาม (Do not track) เป็นการปิดบังข้อมูลส่วนตัวเพื่อไม่ให้มีการส่งข้อมูลจากเว็บเบราเซอร์ ซึ่งในบทความนี้ผู้เขียนจะแนะนำวิธีการเปิดโหมด"ห้ามติดตาม"บนเว็บเบราเซอร์ต่างๆ ทั้ง Internet Explorer (IE), Firefox, และ Chrome

Internet Explorer 10 (IE)

  1. กดปุ่มรูปฟันเฟือง ที่มุมบนขาวมือของเว็บเบราเซอร์ จากนั้นเลือก Safety แล้วเลือก Tracking Protection ดังภาพที่ 1
  2. จากข้อที่ 1 จะได้ไดอะล็อก Manage Add-ons ให้เลือก Tracking Protection ที่เมนูด้านซ้ายมือ จากนั้นกดปุ่ม Enable ดังรูปที่ 2
  3. จากเปิดโหมดห้ามติดตามสำเร็จ สถานะในไดอะล็อกจะแสดงเป็น Enable ดังรูปที่ 3
รูปที่ 1 แสดงการเข้าหน้าปรับแต่งค่าของ IE 10

รูปที่ 2 แสดงการกดปุ่มเพื่อเปิดใช้งานโหมดห้ามติดตาม

รูปที่ 3 แสดงผลการเปิดโหมดห้ามติดตาม

Firefox

  1. กดปุ่ม Firefox ด้านบนซ้ายมือของโปรแกรมเว็บเบราเซอร์ Firefox จากนั้นเลือก Options แล้วเลือก Options ดังรูปที่ 4
  2. จากข้อที่ 1 จะปรากฏไดอะล็อก Options ให้เลือกแถบ Privacy และในส่วน Tracking ให้คลิ้กเลือก Tell sites that I do not want to be tracked. ดังรูปที่ 5 แล้วกด OK เพื่อเสร็จสิ้นกระบวนการเปิดโหมดห้ามติดตาม

รูปที่ 4 แสดงการเลือกเปิดเมนู Options เพื่อปรับแต่งค่าของเว็บเบราเซอร์

รูปที่ 5 แสดงหน้าไดอะล็อก Options และเลือกค่าเพื่อเปิดโหมดห้ามติดตาม

Chrome
  1. เลือกปุ่มเมนู เลือก Tools และ Extensions เพื่อจะเข้าไปดาวน์โหลดโปรแกรมเสริมของ Chrome ดังรูปที่ 6
  2. จากนั้นจะเข้าหน้าแสดงรายการโปรแกรมเสริมที่ถูกติดตั้งในเว็บเบราเซอร์ ให้เลือก Got more extensions ดังรูปที่ 7 ที่อยู่ด้านล่างสุด เพื่อเข้าไปค้นหาโปรแกรมเสริม
  3. จากข้อ 2 จะปรากฎหน้าเว็บสำหรับค้นหาและติดตั้งโปรแกรมเสริมของ Chrome ดังรูปที่ 8 ให้ใส่คำว่า Do Not Track ที่ช่องสำหรับค้นหาด้านซ้ายมือแล้วกดปุ่ม Enter จากนั้นจะปรากฏผลการค้นหาด้านขวามือ ให้มองหาโปรแกรมเสริมที่ชื่อ Do Not Track โดยมีไอค่อนเป็นรูปแมลงเต่าทอง ดังรูปที่ 8
  4. กดปุ่ม Add to my chrome เพื่อติดตั้งโปรแกรมเสริม Do Not Track หากติดตั้งสำเร็จแล้วจะปรากฏดังรูปที่ 9

รูปที่ 6 แสดงการเลือกเมนูเพื่อเข้าไปยังหน้าแสดงรายการโปรแกรมเสริมของ Chrome
รูปที่ 7 แสดงปุ่มให้กดเพื่อเข้าไปค้นหาโปรแกรมเสริม


รูปที่ 8 แสดงผลการค้นหาโปรแกรมเสริมที่ชื่อ Do Not Track บน Chrome

รูปที่ 9 แสดงผลการติดตั้งโปรแกรมเสริม Do Not Track สำเร็จแล้ว

สรุป
ไม่ว่าจะติดตั้งและใช้โปรแกรมเว็บเบราเซอร์อะไรก็ตาม ถูกเปิดโหมดติดตามโดยที่ผู้ใช้ไม่เคยรู้ตัวมาก่อนเลย ดังนั้นเพื่อการรักษาข้อมูลส่วนตัวของเรา ผู้เขียนแนะนำให้เปิดโหมดห้ามติดตามตามวิธีการดังที่ได้กล่าวมาในข้างต้นแล้ว

อ้างอิง
https://www.eff.org/deeplinks/2012/06/how-turn-do-not-track-your-browser

Monday, May 20, 2013

Web Browser Security ตอนที่ 2 : โปรแกรมเสริมบน Chrome

บทความโดย กิติศักดิ์ จิรวรรณกูล (โน้ต)
ต้นฉบับอยู่ที่ https://foh9.blogspot.com

ปัญหาการเข้าถึงเว็บไซต์ไม่น่าเชื่อถือทำให้ผู้ใช้ถูกหลอกลวงให้กรอกข้อมูล ถูกมัลแวร์คุกคาม ดังนั้นผู้ใช้งานจำเป็นจะต้องช่วยเหลือตัวเองให้รอดพ้นจากภัยคุกคามต่างๆที่อาจแฝงมากับเว็บไซต์ต่างๆ 

จากบทความตอนที่แล้ว (
Web Browser Security ตอนที่ 1 : เว็บเบราเซอร์ทางเลือกสำหรับผู้ใช้งานทั่วไป) ผู้เขียนได้แนะนำเว็บเบราเซอร์ทางเลือกต่างๆที่น่าสนใจ และน่าติดตั้งในเครื่อง โปรแกรมเว็บเบราเซอร์ Chrome ของกูเกิลเป็นหนึ่งในเว็บเบราเซอร์ที่ผู้เขียนใช้และแนะนำ ไม่ได้เพียงเพราะใช้งานง่ายเท่านั้นแต่ด้วยโปรแกรมเสริมที่ทำให้ผู้เขียนใช้งานเว็บเบราเซอร์ชนิดนี้ได้อย่างเต็มประสิทธิภาพ ซึ่งโปรแกรมเสริมที่ผู้เขียนใช้ช่วยในการตรวจสอบความน่าเชื่อถือของเว็บไซต์มีดังต่อไปนี้
  1. HTTPS Everywhere เป็นโปรแกรมเสริมที่บังคับให้เว็บเบราเซอร์เรียกเว็บไซต์ด้วย HTTPS ซึ่งเป็นการเข้ารหัสข้อมูลก่อนถูกส่งออกจากเครื่อง ดังนั้นการติดตั้งโปรแกรมเสริมนี้ทำให้มั่นใจระดับหนึ่งว่าเราจะไม่ถูกขโมยรหัสผ่านเว็บเบราเซอร์ได้ อ่านรายละเอียดเพิ่มเติมได้ที่ https://www.eff.org/https-everywhere ซึ่งผู้ใช้สามารถเลือกบังคับบางเว็บไซต์ให้เข้าด้วย HTTPS ได้ดังรูปที่ 1
    รูปที่ 1 แสดงค่าปรับแต่งของโปรแกรม HTTPS Everywhere

  2. Flag for Chrome เป็นเครื่องมือที่ใช้บอกว่าเว็บที่เราเข้าอยู่นั้นมีความน่าเชื่อถือมากน้อยเพียงไร อยู่ในประเทศอะไร รวมถึงบอกข้อมูลเบื้องต้นของเซิร์ฟเวอร์ ซึ่งข้อมูลเหล่านี้สามารถนำมาใช้ตรวจสอบเบื้องต้นว่าเป็นเว็บไซต์ที่ถูกปลอมแปลงหรือไม่ ยกตัวอย่างเช่น ในกรณีเว็บฟิชชิ่งของธนาคารแห่งหนึ่งของประเทศไทยที่ถูกตั้งอยู่ในต่างประเทศ ซึ่งเว็บจริงนี้ก็ควรจะตั้งอยู่ในประเทศไทย นอกจากนี้โปรแกรมเสริมนี้ยังประกอบด้วยเครื่องมือตรวจสอบความน่าเชื่อถือของเว็บ เช่น WOT (Web of Trust - เครื่องมือประเมินความน่าเชื่อถือของเว็บ) Google PageRank และ Alexa Rank เป็นต้น ดังนั้นเครื่องมือนี้จะช่วยให้ผู้ใช้ได้ตระหนักได้ว่าเว็บมีความน่าเชื่อถือหรือไม่ สามารถดาวน์โหลดได้จาก https://chrome.google.com/webstore/detail/flag-for-chrome/dbpojpfdiliekbbiplijcphappgcgjfn?hl=en 
  3. รูปที่ 2 แสดงค่าความน่าเชื่อของเว็บไซต์ที่่ตรวจสอบโดย Flag for Chrome

  4. Netcraft Anti-Phishing Extension เป็นโปรแกรมเสริมจาก Netcraft เพื่อบ่งบอกว่าเว็บไซต์ที่กำลังเข้าถึงอยู่นั้นเป็นเว็บฟิชชิ่งหรือไม่ ซึ่งถ้าหากพบว่าเป็นเว็บฟิชชิ่งโปรแกรมเสริมนี้จะเรียกหน้าแจ้งเตือนขึ้นมาเพื่อป้องกันไม่ให้ผู้ใช้งานถูกหลอกให้กรอกข้อมูลได้ ดังรูปที่ 3 และเครื่องมือนี้สามารถบ่งบอกรายละเอียดของเว็บไซต์ได้อีกด้วย ดังรูปที่ 4 ซึ่งดาวน์โหลดได้จาก http://toolbar.netcraft.com/ 
    รูปที่ 3 โปรแกรมเสริมแจ้งเตือนว่าเว็บไซต์เป็นเว็บฟิชชิ่ง

    รูปที่ 4 โปรแกรมเสริม Netcraft สามารถบอกรายละเอียดของเว็บไซต์ได้

  5. Adblock plus เป็นโปรแกรมเสริมที่ช่วยในการบล็อกโฆษณาของหน้าเว็บซึ่งสามารถใช้ค่าที่โปรแกรมให้มา อีกทั้งยังสามารถเพิ่มเองได้อีกด้วย ดังรูปที่ 5 แสดงความสามารถของโปรแกรมเสริมในการบล็อกโฆษณาในหน้าเว็บเฟซบุ๊ค ซึ่งโปรแกรมเสริมนี้สามารถเพิ่มโฆษณาให้บล็อกเพิ่มเองได้โดยการคลิ้กที่ไอค่อนแล้วเลือก Easy create filter ดังรูปที่ 6 อ่านรายละเอียดเพิ่มเติมและดาวน์โหลดได้ที่ https://adblockplus.org/en/chrome 
    รูปที่ 5 แสดงลักษณะการทำงานของโปรแกรม Adblock plus

    รูปที่ 6 แสดงฟีเจอร์การเพิ่มโฆษณาสำหรับบล็อกได้

    สรุป
    โปรแกรมเสริมการทำงานของ Chrome นั้นมีมากมาย นี่เป็นส่วนหนึ่งที่จะช่วยทำให้ผู้ใช้สามารถบอกว่าเว็บไซต์ที่กำลังเข้าถึงอยู่นี่น่าเชื่อถือหรือไม่เท่านั้น อย่างไรก็ตามผู้ใช้ยังต้องใช้ความระมัดระวังในการเข้าเว็บไซต์ด้วย 

Sunday, March 03, 2013

วิเคราะห์เว็บฟิชชิ่งของกรณี SMS ปลอม

อัพเดตสถานการณ์ล่าสุด ขณะนี้เว็บฟิชชิ่งไม่สามารถเข้าถึงได้แล้ว

*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****

จากที่ทราบว่ามีเว็บฟิชชิ่ง 2 เว็บไซต์ที่จะ redirect ไปยังเว็บไซต์หลักของธนาคาร ได้แก่ http://scb.k-cyberbank.info ของธ.ไทยพาณิชย์ และ http://kasikorn.k-cyberbank.info ของธ.กสิกรไทย แต่ที่น่าสนใจอย่างยิ่งคือมีลิงค์ให้ดาวน์โหลดแอพพลิเคชั่นบนแอนดรอยด์ อยู่ที่ลิงค์ด้านล่าง
  • http://scb.k-cyberbank.info/scbeasy.apk
  • http://kasikorn.k-cyberbank.info/ibanking.apk
จากสื่อต่างๆ เล็งแค่ป้องกันการดาวน์โหลดแอพ แต่เว็บก็ยังอยู่ ดังนั้นผมจึงวิเคราะห์เซิร์ฟเวอร์ว่าอยู่ที่ไหน (อาชีพเก่า) และจะหาช่องทางติดต่อเพื่อปิดเว็บดังกล่าว ผมจะพยายามอธิบายให้ง่ายที่สุดดังนี้

รูปที่ 1 แสดงข้อมูลของเว็บไซต์ k-cyberbank.info

จากรูปที่ 1 เป็นข้อมูลจาก Netcraft พบว่าเซิร์ฟเวอร์นี้มีโดเมน k-cyberbank.info และหมายเลขไอพี 5.199.171.244 ซึ่งเป็นไอพีของประเทศอินเดีย แต่ถ้าหากทำ reverse DNS (เปลี่ยนจากไอพีเป็นชื่อโดเมน) จะได้ hst-171.244-balticservers.com เป็นโฮสติ้งของประเทศลิธัวเนีย (ซึ่งถ้า nslookup ก็ได้ข้อมูลเดียวกัน) ดังรูปที่ 2

รูปที่ 2 แสดงข้อมูลการทำ nslookup

รูปที่ 3 แสดงข้อมูล Whois เพื่อแสดงถึงเจ้าของเว็บฟิชชิ่ง

วิเคราะห์เว็บไซต์นี้ต่อ พบว่าเป็นระบบปฏิบัติการลีนุกซ์เดเบี่ยน และใช้เว็บเซิร์ฟเวอร์ Apache และมีการอัพเดตล่าสุดวันที่ 2 มีนาคม 2556 ดังรูปที่ 4

รูปที่ 4 แสดงข้อมูลระบบปฏิบัติการของเว็บฟิชชิ่ง

เมื่อทราบแล้วว่าเซิร์ฟเวอร์เครื่องนี้ตั้งอยู่ในประเทศอินเดียแล้ว ผมจึงวิเคราะห์ต่อว่าใครเป็นเจ้าของโดเมน k-cyberbank.info พบว่าเจ้าของนั้นอยู่ที่ประเทศจีน ดังรูปที่ 5 และ 6

รูปที่ 5 แสดงข้อมูลของผู้จดทะเบียนโดเมน k-cyberbank.info

รูปที่ 6 แสดงข้อมูลของผู้ชำระเงินค่าจดทะเบียนโดเมน k-cyberbank.info

จากนั้นลองเข้าเว็บไซต์ http://www.balticservers.com (จากข้อมูลการทำ reverse DNS) พบว่าเป็นเว็บให้บริการเว็บโฮสติ้งและ VPS (Virtual Private Server) ดังรูปที่ 7 และพอเช็คต่ออีกจึงพบว่าเว็บดังกล่าวเป็นเว็บที่ถูกเปิดให้บริการจากประเทศลิธัวเนีย ดังรูปที่ 8

รูปที่ 7 แสดงหน้าเว็บของผู้ให้บริการโฮสติ้ง balticservers.com

รูปที่ 8 แสดงข้อมูลเซิร์ฟเวอร์ของบริษัท balticservers.com

การจัดการ
เนื่องจากเว็บฟิชชิ่งนี้มีโฮสติ้งอยู่ที่ประเทศอินเดีย ผมได้ติดต่อ CERT-IN (Computer Emergency Response Team – India) ซึ่งมีหน้าที่ตอบสนองต่อเหตุการณ์การบุกรุกที่เกิดในประเทศอินเดียแล้ว รอการตอบกลับต่อไป

Monday, February 18, 2013

Web Browser Security ตอนที่ 1 : เว็บเบราเซอร์ทางเลือกสำหรับผู้ใช้งานทั่วไป


จากตอนที่แล้ว (Web Browser Security ตอนที่ 0 : เกริ่นนำ : http://foh9.blogspot.com/2013/02/web-browser-security-0.html)​ ผู้เขียนได้แนะนำถึงวิธีการกว้างๆในการรักษาความปลอดภัยในระดับของเว็บเบราเซอร์ ซึ่งข้อแรกได้แนะนำถึงให้ติดตั้งเว็บเบราเซอร์มากกว่า 1 ชนิด เนื่องจากเว็บไซต์บางเว็บอาจจะรันได้ในบางเว็บเบราเซอร์เท่านั้น หากไม่เปิดตามที่เว็บไซต์แนะนำ อาจจะทำให้คอมพิวเตอร์ของเราทำงานผิดพลาด หรือเกิดปัญหาขึ้นได้ อีกทั้งบางเว็บเบราเซอร์ก็มีโปรแกรมเสริมและฟีเจอร์ที่ช่วยให้ผู้ใช้งานนั้นสามารถท่องอินเทอร์เน็ตได้อย่างปลอดภัยอีกด้วย ดังนั้นในบทความนี้ผู้เขียนจึงรวบรวมเว็บเบราเซอร์ที่น่าสนใจมาแนะนำเท่านั้น ยังมีเว็บเบราเซอร์มากกว่านี้ที่ไม่ได้ถูกกล่าวถึงในบทความนี้

จากสถิติผู้ใช้งานเว็บเบราเซอร์จากเว็บของวิกิพีเดีย พบว่ามีการใช้งานเว็บเบราเซอร์ที่หลากหลาย โดยมีสัดส่วนผู้ใช้งานเว็บเบราเซอร์ Chrome ถึง 30.60% ส่วน IE มาเป็นอันดับสอง 22.01% อันดับสามคือ Firefox มีปริมาณ 19.11% ดังรูปที่  1

รูปที่ 1 แสดงเบราเซอร์ที่เข้าเว็บวิกิพีเดีย

ตัวอย่างเว็บเบราเซอร์ที่น่าสนใจ

  • Internet Explorer (IE) เป็นเว็บเบราเซอร์ที่ติดตั้งมาพร้อมกับระบบปฏิบัติการวินโดวส์เท่านั้น ซึ่งปัจจุบันมีเวอร์ชั่นล่าสุดที่เวอร์ชั่น 10 (ซึ่งถูกติดตั้งมาพร้อมกับวินโดวส์เวอร์ชั่น 8) ถ้าเป็นระบบปฏิบัติการวินโดวส์เวอร์ชั่นอื่นจำเป็นต้องอัพเดตเว็บเบราเซอร์ Internet Explorer ด้วย สำหรับผู้ที่ใช้ระบบปฏิบัติการลีนุกซ์ (Linux) หรือแมคโอเอส (Mac OS) ไม่สามารถติดตั้งได้ และ IE เองยังติดตั้งโปรแกรมเสริมได้ (Add-on) ได้ โดยดาวน์โหลดจากผู้พัฒนาโปรแกรมเสริมนั้นๆ แต่ไม่มีแหล่งดาวน์โหลดจากไมโครซอฟท์เอง สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://windows.microsoft.com/en-US/windows-8/internet-explorer
รูปที่ 2 แสดงหน้าจอโปรแกรม IE10 บนระบบปฏิบัติการวินโดวส์ 8

  • Google Chrome เป็นเว็บเบราเซอร์จากกูเกิ้ล สามารถติดตั้งได้ทั้งบนระบบปฏิบัติการวินโดวส์ ลินุกซ์ และแมคโอเอส อีกทั้งยังสามารถติดตั้งในโทรศัพท์มือถือแอนดรอยส์และไอโอเอส (iOS) ได้  อีกทั้งเว็บเบราเซอร์นี้สามารถติดตั้งโปรแกรมเสริม (Extensions) ที่สามารถค้นหาและดาวน์โหลดได้จากเว็บเบราเซอร์ได้เอง ทำให้ติดตั้งได้ง่ายและมีโปรแกรมเสริมมากมายอีกด้วย อ่านรายละเอียดเพิ่มเติมที่ http://www.google.com/chrome 
รูปที่ 3 แสดงหน้าจอของเว็บเบราเซอร์ Chrome

  • Mozilla Firefox เป็นเว็บเบราเซอร์จากค่าย Mozilla ที่ สามารถติดตั้งได้ทั้งบนระบบปฏิบัติการวินโดวส์ ลินุกซ์ และแมคโอเอส อีกทั้งยังสามารถติดตั้งในโทรศัพท์มือถือแอนดรอยส์ เช่นเดียวกับ Chrome แต่จุดเด่นอีกอย่างของ Firefox คือสามารถเลือกดาวน์โหลดและติดตั้งภาษาของเว็บเบราเซอร์ได้ ส่วนโปรแกรมเสริมจะเรียก (Add-on) ก็สามารถค้นหาและดาวน์โหลดได้จากเว็บเบราเซอร์ได้เลย อ่านรายละเอียดเพิ่มเติมได้ที่ https://www.mozilla.org/
รูปที่ 4 แสดงหน้าจอของเว็บเบราเซอร์ Firefox
  • Safari เป็นเว็บเบราเซอร์จากค่าย Apple มาพร้อมกับระบบปฏิบัติการแมคโอเอส แต่สามารถดาวน์โหลดติดตั้งได้บนระบบปฏิบัติการวินโดวส์ด้วยเช่นกัน เว็บเบราเซอร์นี้สามารถลงโปรแกรมส่วนเสริมได้จากเว็บของ Apple อีกด้วย สามารถดาวน์โหลดเว็บเบราเซอร์ Safari ได้ที่ https://www.apple.com/safari/
รูปที่ 5 แสดงหน้าจอของเว็บเบราเซอร์ Safari
  • Mantra เว็บเบราเซอร์นี้อาจจะไม่เป็นที่คุ้นหูนัก เพราะเป็นเว็บเบราเซอร์จาก OWASP (อ่านรายละเอียดของ OWASP เพิ่มเติมได้ที่ 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นของ OWASP ปี 2010 : http://foh9.blogspot.com/2012/01/10-owasp-2010.html) เว็บเบราเซอร์นี้น่าจะเป็นการรวมกันของ Firefox และ Chrome ทำให้สามารถติดตั้งโปรแกรมเสริมได้ด้วยเช่นเดียวกัน จุดเด่นของเว็บเบราเซอร์นี้ที่ผู้เขียนชอบคือเครื่องมือในการวิเคราะห์เว็บไซต์ ไม่ว่าจะเป็นตรวจสอบว่าเว็บเซิร์ฟเวอร์อยู่ที่ใด ตรวจสอบโค้ดของเว็บได้ เป็นต้น นอกจากนี้หน้าแรกของโปรแกรมนั้นก็ทำคล้ายๆกับระบบปฎิบัติการวินโดวส์ 8 เป็นลิงค์ที่คนส่วนใหญ่มักจะเข้าบ่อยๆ เป็นการออกแบบได้น่าสนใจมาก ใครอยากลองติดตั้งก็สามารถดาวน์โหลดได้ฟรีที่ http://www.getmantra.com/
รูปที่ 6 แสดงหน้าจอของเว็บเบราเซอร์ Mantra
  • Codomo Dragon และ IceDragon Browser อีกเว็บเบราเซอร์หนึ่งที่ไม่คุ้นหูมากนัก แต่เว็บเบราเซอร์ทั้งสองของค่าย Codomo นั้นน่าสนใจที่ผู้ใช้สามารถท่องเว็บได้อย่างปลอดภัย ด้วยเทคโนโลยีที่เว็บเบราเซอร์นั้นจะถามผู้ใช้ว่าขอเชื่อมต่อไปยัง SecureDNS (สามารถเลือกเชื่อมต่อเฉพาะเว็บเบราเซอร์เองหรือทุกแอพพลิเคชั่นก็ได้) เมื่อเรียกเว็บที่มีมัลแวร์ฝังอยู่หรือฟิชชิ่ง (phishing) เว็บเบราเซอร์นี้จะบล็อกให้โดยอัตโนมัติ ซึ่งจัดได้ว่าเป็นเว็บเบราเซอร์ที่ช่วยเหลือให้ผู้ใช้งานเข้าเว็บได้อย่างปลอดภัย ข้อแตกต่างระหว่าง Dragon และ IceDragon คือเว็บเบราเซอร์ Chromium และ Firefox ที่ถูกนำมาพัฒนาต่อยอดนั่นเอง แต่ข้อจำกัดของเว็บเบราเซอร์นี้คือมีให้เลือกติดตั้งได้เฉพาะระบบปฏิบัติการวินโดวส์เท่านั้น หากสนใจสามารถดาวน์โหลดและติดตั้งได้ฟรีจาก http://www.comodo.com
รูปที่ 7 แสดงหน้าจอเว็บเบราเซอร์ Comodo Dragon Browser
  • Opera เว็บเบราเซอร์ที่สามารถติดตั้งได้ทั้งบนระบบปฏิบัติการวินโดวส์ ลินุกซ์ แมคโอเอส รวมไปถึงอุปกรณ์มือถือต่างๆอีกด้วย เว็บเบราเซอร์ Opera นี้สามารถติดตั้งโปรแกรมเสริม ตกแต่งหน้าตา รวมไปถึงฟีเจอร์ต่างๆที่จะช่วยให้เว็บเบราเซอร์นี้ทำงานได้อย่างเต็มประสิทธิภาพอีกด้วย สนใจเลือกดาวน์โหลดได้ที่ http://www.opera.com
รูปที่ 8 แสดงหน้าจอเว็บเบราเซอร์ Opera

จากที่ได้กล่าวมานั้นเป็นเพียงตัวอย่างเว็บเบราเซอร์ทางเลือกที่น่าสนใจเท่านั้น ยังมีเว็บเบราเซอร์อีกมากมายให้เลือกดาวน์โหลดและใช้งาน ซึ่งสามารถเลือกได้ตามความเหมาะสม ในบทความตอนต่อไปผู้เขียนจะแนะนำโปรแกรมส่วนเสริมที่ควรจะติดตั้งสำหรับผู้ใช้งาน Chrome เพื่อให้ท่องอินเทอร์เน็ตได้อย่างปลอดภัย