อัพเดตสถานการณ์ล่าสุด ขณะนี้เว็บฟิชชิ่งไม่สามารถเข้าถึงได้แล้ว
*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****
*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****
จากที่ทราบว่ามีเว็บฟิชชิ่ง
2 เว็บไซต์ที่จะ
redirect ไปยังเว็บไซต์หลักของธนาคาร
ได้แก่ http://scb.k-cyberbank.info ของธ.ไทยพาณิชย์
และ http://kasikorn.k-cyberbank.info ของธ.กสิกรไทย
แต่ที่น่าสนใจอย่างยิ่งคือมีลิงค์ให้ดาวน์โหลดแอพพลิเคชั่นบนแอนดรอยด์
อยู่ที่ลิงค์ด้านล่าง
- http://scb.k-cyberbank.info/scbeasy.apk
- http://kasikorn.k-cyberbank.info/ibanking.apk
จากสื่อต่างๆ
เล็งแค่ป้องกันการดาวน์โหลดแอพ
แต่เว็บก็ยังอยู่
ดังนั้นผมจึงวิเคราะห์เซิร์ฟเวอร์ว่าอยู่ที่ไหน
(อาชีพเก่า) และจะหาช่องทางติดต่อเพื่อปิดเว็บดังกล่าว ผมจะพยายามอธิบายให้ง่ายที่สุดดังนี้
รูปที่
1 แสดงข้อมูลของเว็บไซต์
k-cyberbank.info
จากรูปที่
1 เป็นข้อมูลจาก
Netcraft พบว่าเซิร์ฟเวอร์นี้มีโดเมน
k-cyberbank.info และหมายเลขไอพี
5.199.171.244 ซึ่งเป็นไอพีของประเทศอินเดีย
แต่ถ้าหากทำ reverse DNS
(เปลี่ยนจากไอพีเป็นชื่อโดเมน)
จะได้ hst-171.244-balticservers.com
เป็นโฮสติ้งของประเทศลิธัวเนีย
(ซึ่งถ้า nslookup
ก็ได้ข้อมูลเดียวกัน)
ดังรูปที่ 2
รูปที่
2 แสดงข้อมูลการทำ
nslookup
รูปที่ 3 แสดงข้อมูล Whois เพื่อแสดงถึงเจ้าของเว็บฟิชชิ่ง
วิเคราะห์เว็บไซต์นี้ต่อ
พบว่าเป็นระบบปฏิบัติการลีนุกซ์เดเบี่ยน
และใช้เว็บเซิร์ฟเวอร์
Apache และมีการอัพเดตล่าสุดวันที่
2 มีนาคม 2556 ดังรูปที่ 4
รูปที่ 4 แสดงข้อมูลระบบปฏิบัติการของเว็บฟิชชิ่ง
เมื่อทราบแล้วว่าเซิร์ฟเวอร์เครื่องนี้ตั้งอยู่ในประเทศอินเดียแล้ว ผมจึงวิเคราะห์ต่อว่าใครเป็นเจ้าของโดเมน k-cyberbank.info พบว่าเจ้าของนั้นอยู่ที่ประเทศจีน ดังรูปที่ 5 และ 6
รูปที่ 5 แสดงข้อมูลของผู้จดทะเบียนโดเมน k-cyberbank.info
รูปที่ 6 แสดงข้อมูลของผู้ชำระเงินค่าจดทะเบียนโดเมน k-cyberbank.info
จากนั้นลองเข้าเว็บไซต์
http://www.balticservers.com (จากข้อมูลการทำ
reverse DNS) พบว่าเป็นเว็บให้บริการเว็บโฮสติ้งและ
VPS (Virtual Private Server) ดังรูปที่ 7 และพอเช็คต่ออีกจึงพบว่าเว็บดังกล่าวเป็นเว็บที่ถูกเปิดให้บริการจากประเทศลิธัวเนีย
ดังรูปที่ 8
รูปที่ 7 แสดงหน้าเว็บของผู้ให้บริการโฮสติ้ง
balticservers.com
รูปที่ 8 แสดงข้อมูลเซิร์ฟเวอร์ของบริษัท
balticservers.com
การจัดการ
เนื่องจากเว็บฟิชชิ่งนี้มีโฮสติ้งอยู่ที่ประเทศอินเดีย
ผมได้ติดต่อ CERT-IN (Computer Emergency
Response Team – India)
ซึ่งมีหน้าที่ตอบสนองต่อเหตุการณ์การบุกรุกที่เกิดในประเทศอินเดียแล้ว
รอการตอบกลับต่อไป