Friday, March 13, 2015

บทวิเคราะห์ฟิชชิ่ง kasikorn.ru

*****หมายเหตุ เว็บไซต์ดังกล่าวยังเปิดให้บริการอยู่ ห้ามผู้อ่านทุกท่านเข้าเว็บที่ผมแสดงไว้ในบทความนี้ ถ้าหากใครเข้าเว็บไซต์เหล่านี้ ผู้เขียนจะไม่รับผิดชอบในความเสียหายที่อาจเกิดขึ้น ไม่ว่าจะกรณีใดๆทั้งสิ้น*****

ผู้วิเคราะห์ กิติศักดิ์ จิรวรรณกูล

วันนี้ผมเห็นน้องในกลุ่ม 2600 โพสท์รูปว่าไปค้นหาคำว่า K-Cyber ในกูเกิล พบว่ามีโฆษณาให้เข้าเว็บเพื่อทำธุรกรรมออนไลน์ของธนาคาร แต่เอ๊ะ!! ทำไม URL จึงเป็น kasikorn.ru (ดังรูปที่ 1) ผมได้ขออนุญาตน้อง Non Baphomet ในการนำรูปนี้มาแชร์นะครับ


รูปที่ 1 แสดงหน้าเว็บกูเกิลที่ฟิชชิ่งนั้นมาโฆษณา

ความคันบังเกิดครับ ผมเลยไม่ยอมหลับยอมนอนกันเลยทีเดียว บรรยายพรุ่งนี้เช้าเอาไว้ก่อน ขอแงะเว็บนี้หน่อย เริ่มต้นจากดูว่าเว็บนี้มีโดเมนว่า http://login.kasikorn.ru/K-Online/login.jsp (ห้ามเข้าโดยเด็ดขาดนะครับ) หน้าตาเว็บเป็นดังรูปที่ 2

รูปที่ 2 แสดงหน้าเว็บฟิชชิ่ง

จุดสังเกตว่าเว็บนี้เป็นเว็บฟิชชิ่งหรือไม่
  1. เว็บนี้มีโดเมน .ru (รัสเซีย) แน่นอนครับว่าธนาคารกสิกรไทยคงไม่ไปเปิดเว็บไว้ที่รัสเซียแน่นอน (มโนเอง)
  2. เว็บธุรกรรมธนาคารส่วนใหญ่ต้องใช้ https แต่เว็บนี้ไม่มี
  3. ลิ้งค์ต่างๆ ของเว็บนี้ชี้ไปที่เว็บฟิชชิ่งนี้เว็บเดียว แต่พอหลังจากล็อกอินแล้วจะ redirect ไปหน้าธนาคารจริงๆ

เมื่อมั่นใจแล้วว่าเว็บนี้เป็นเว็บฟิชชิ่งแน่นอนแล้ว ต่อไปเราจะมาหาดูว่าเว็บนี้อยู่ที่ใด ซึ่งจากการทดสอบพบว่าเว็บฟิชชิ่งนี้มีหมายเลขไอพี 91.224.160.79 แต่ไม่สามารทำ rDNS ได้ จากรูปที่ 3 ดังนั้นสรุปได้ว่าน่าจะเป็นเว็บโฮสติ้ง 

รูปที่ 3 แสดงการแปลงชื่อเว็บเป็นหมายเลขไอพี

จากนั้นลองเอาไปถามในเว็บ netcraft พบว่าถึงแม้ว่าโดเมนจะถูกจดในประเทศรัสเซีย แต่โฮสติ้งอยู่ที่บริษัท Bergdorf Group Ltd. ในประเทศเนเธอร์แลนด์ แถมเว็บนี้ติดตั้งในระบบปฏิบัติการลินุกซ์ พร้อมกับใช้ nginx เป็นเว็บเซิร์ฟเวอร์ ดังรูปที่ 4
รูปที่ 4 แสดงผลการค้นหาข้อมูลเว็บฟิชชิ่งจาก netcraft


ลองตรวจสอบเพิ่มอีกว่าหมายเลขไอพีนี้เป็นของบริษัท Bergdorf Group Ltd. จริงๆ โดยใช้คำสั่ง whois ดังรูปที่ 5

รูปที่ 5 แสดงผลที่ได้จากการข้อดูข้อมูลเจ้าของหมายเลขไอพี

วิธีการแก้ไขและป้องกัน
  1. ถ้าหากว่าได้กรอกข้อมูลส่วนตัวของเราลงในเว็บฟิชชิ่ง ให้ดำเนินการติดต่อธนาคารเพื่อขอเปลี่ยนรหัสผ่าน 
  2. ติดตั้งโปรแกรมป้องกันไวรัส พร้อมอัพเดต แล้วสแกนองค์กรตลอดเวลา
  3. สังเกตชื่อเว็บไซต์และบริบทแวดล้อม ว่าพิมพ์ถูกต้องไหม หรือมี HTTPS หรือไม่
  4. ถ้าหากต้องการเข้าเว็บไซต์ของธนาคาร ควรพิมพ์ชื่อเว็บของธนาคารที่แสดงอยู่หลังบัตรด้วยตนเองทุกครั้ง
  5. ติตตั้งแอพพลิเคชั่น ส่วนขยาย หรือแม้กระทั่งโปรแกรมต่างๆ ที่จะช่วยเตือนภัยให้เขาได้ (อ่านเพิ่มที่ http://foh9.blogspot.com/2013/05/web-browser-security-2-chrome.html








No comments: