Sunday, March 03, 2013

วิเคราะห์เว็บฟิชชิ่งของกรณี SMS ปลอม

อัพเดตสถานการณ์ล่าสุด ขณะนี้เว็บฟิชชิ่งไม่สามารถเข้าถึงได้แล้ว

*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****

จากที่ทราบว่ามีเว็บฟิชชิ่ง 2 เว็บไซต์ที่จะ redirect ไปยังเว็บไซต์หลักของธนาคาร ได้แก่ http://scb.k-cyberbank.info ของธ.ไทยพาณิชย์ และ http://kasikorn.k-cyberbank.info ของธ.กสิกรไทย แต่ที่น่าสนใจอย่างยิ่งคือมีลิงค์ให้ดาวน์โหลดแอพพลิเคชั่นบนแอนดรอยด์ อยู่ที่ลิงค์ด้านล่าง
  • http://scb.k-cyberbank.info/scbeasy.apk
  • http://kasikorn.k-cyberbank.info/ibanking.apk
จากสื่อต่างๆ เล็งแค่ป้องกันการดาวน์โหลดแอพ แต่เว็บก็ยังอยู่ ดังนั้นผมจึงวิเคราะห์เซิร์ฟเวอร์ว่าอยู่ที่ไหน (อาชีพเก่า) และจะหาช่องทางติดต่อเพื่อปิดเว็บดังกล่าว ผมจะพยายามอธิบายให้ง่ายที่สุดดังนี้

รูปที่ 1 แสดงข้อมูลของเว็บไซต์ k-cyberbank.info

จากรูปที่ 1 เป็นข้อมูลจาก Netcraft พบว่าเซิร์ฟเวอร์นี้มีโดเมน k-cyberbank.info และหมายเลขไอพี 5.199.171.244 ซึ่งเป็นไอพีของประเทศอินเดีย แต่ถ้าหากทำ reverse DNS (เปลี่ยนจากไอพีเป็นชื่อโดเมน) จะได้ hst-171.244-balticservers.com เป็นโฮสติ้งของประเทศลิธัวเนีย (ซึ่งถ้า nslookup ก็ได้ข้อมูลเดียวกัน) ดังรูปที่ 2

รูปที่ 2 แสดงข้อมูลการทำ nslookup

รูปที่ 3 แสดงข้อมูล Whois เพื่อแสดงถึงเจ้าของเว็บฟิชชิ่ง

วิเคราะห์เว็บไซต์นี้ต่อ พบว่าเป็นระบบปฏิบัติการลีนุกซ์เดเบี่ยน และใช้เว็บเซิร์ฟเวอร์ Apache และมีการอัพเดตล่าสุดวันที่ 2 มีนาคม 2556 ดังรูปที่ 4

รูปที่ 4 แสดงข้อมูลระบบปฏิบัติการของเว็บฟิชชิ่ง

เมื่อทราบแล้วว่าเซิร์ฟเวอร์เครื่องนี้ตั้งอยู่ในประเทศอินเดียแล้ว ผมจึงวิเคราะห์ต่อว่าใครเป็นเจ้าของโดเมน k-cyberbank.info พบว่าเจ้าของนั้นอยู่ที่ประเทศจีน ดังรูปที่ 5 และ 6

รูปที่ 5 แสดงข้อมูลของผู้จดทะเบียนโดเมน k-cyberbank.info

รูปที่ 6 แสดงข้อมูลของผู้ชำระเงินค่าจดทะเบียนโดเมน k-cyberbank.info

จากนั้นลองเข้าเว็บไซต์ http://www.balticservers.com (จากข้อมูลการทำ reverse DNS) พบว่าเป็นเว็บให้บริการเว็บโฮสติ้งและ VPS (Virtual Private Server) ดังรูปที่ 7 และพอเช็คต่ออีกจึงพบว่าเว็บดังกล่าวเป็นเว็บที่ถูกเปิดให้บริการจากประเทศลิธัวเนีย ดังรูปที่ 8

รูปที่ 7 แสดงหน้าเว็บของผู้ให้บริการโฮสติ้ง balticservers.com

รูปที่ 8 แสดงข้อมูลเซิร์ฟเวอร์ของบริษัท balticservers.com

การจัดการ
เนื่องจากเว็บฟิชชิ่งนี้มีโฮสติ้งอยู่ที่ประเทศอินเดีย ผมได้ติดต่อ CERT-IN (Computer Emergency Response Team – India) ซึ่งมีหน้าที่ตอบสนองต่อเหตุการณ์การบุกรุกที่เกิดในประเทศอินเดียแล้ว รอการตอบกลับต่อไป