Phishing: ไปรษณีย์ไทย

วันนี้ได้รับอีเมลฉบับนึง บอกว่ามีพัสดุมาส่งถึงเราเมื่อวาน แล้วไม่สามารถจัดส่งได้เพราะว่าไม่มีผู้รับ แล้วจะจัดส่งให้ใหม่ในวันที่พรุ่งนี้ โดยมีค่าใช้จ่าย 48 บาท แล้วมีปุ่มให้เลือกว่าเราต้องการให้จัดส่งเวลาไหน

แต่ด้วยความเอะใจว่าช่วงนี้ไม่มีของที่สั่งเลย ไม่น่าจะมีอะไรส่งมา เลยลองอ่านอีเมลละเอียดๆก็พบว่า มันคือ Email phishing ที่ตั้งใจจะขโมยข้อมูลบัตรเครดิตของเรานั่นเอง

จุดตั้งข้อสังเกตบนอีเมล

มาลองดูกันว่ามีรายละเอียดอะไรบ้าง

  • หน้าตาอีเมลเมื่อเปิดบนมือถือ ค่อนข้างสมจริง เพราะ email address ผู้ส่งถูกซ่อนเอาไว้ แสดงแค่ POST TH แต่เมื่อลองกดเข้าไปดูดีๆจะพบว่า email ถูกส่งมาจาก [email protected] ซึ่งไม่ได้เป็น email official ของไปรษณีย์ไทย
  • ในหัวข้ออีเมล มีรหัส tracking no. ที่ไม่มีอยู่จริง (จริงๆดูจำนวนหลักก็พอจะเดาออก)
  • ด้านล่างของอีเมลที่ปกติจะมี link ให้ unsubscribe, ในกรณีนี้คือไม่มี link เลย น่าจะทำให้แค่เพิ่มความสมจริง
  • นอกจากนั้น เมื่อลองกด link ไปต่อ ก็จะพบว่ามันจะส่งเราไปที่เว็บไซต์ https://thailandpost-online-service.com/ เพื่อทำการจ่ายเงิน 48 บาท ที่อ้างว่าเป็นค่าธรรมเนียมในการจัดส่งอีกครั้ง ซึ่งปกติไปรษณีย์ไทยจะจัดส่งใหม่ให้เราฟรี เมื่อสังเกตดีๆจะพบว่า เว็บไซต์เองก็ไม่ใช่เว็บของไปรษณีย์ไทย
  • ตัวอีเมลเอง ยังมีการเร่งเร้าให้เราจ่ายเงินภายในเที่ยงคืนของวันนี้ เพื่อให้เหยื่อรีบทำแล้วไม่ได้ดูให้ถี่ถ้วน
  • ถ้าเรายังหลงกลไปต่ออีก ก็จะจุดจบ นั่นก็คือ ให้เรากรอกข้อมูลบัตรเครดิตเพื่อหักค่าธรรมเนียม เหมือนจะใช้ Payment gateway ของ Redsys เป็นบริษัทใน spain
เมื่อเปิด email บนมือถือที่ไม่แสดง from email address
หน้าให้เลือกวิธีจ่ายเงินบนมือถือ
หน้ากรอก credit card บนมือถือ

กรณีนี้ email จะดูว่าปลอดภัย เพราะส่งออกมาจากเจ้าของ domain ที่แท้จริง เพราะอีเมลส่งมาจาก kajabimail.net ถ้าลองไปแงะๆดูก็เหมือนจะมีการใส่ reply-to email address ไว้เป็น [email protected]

ตัวเว็บไซต์ปลอมเองก็มี TSL ที่ดูเหมือนว่าจะเพิ่งสร้างขึ้นมาวันนี้เอง (3 Oct 2021) ส่วน domain name ก็เพิ่งจดทะเบียนเมื่อวาน (2 Oct 2021) ตัว website host ที่ websitewelcome.com

ต้องบอกว่ารายละเอียดบางอย่างสมจริงระดับนึงเลย เราก็คงป้องกันด้วยการระวังตัวเองให้ดีต่อไป

ถ้าดูในเว็บไปรษณีย์ไทย จะพบว่ามีการเตือน phishing อย่างจริงจัง และมีข้อมูลการพยายามหลอกลวงอย่างมากมาย https://www.thailandpost.co.th/un/article_detail/article/11/20752

End.

หรือว่าเว็บในเครือ NetDesign จะถูกแฮค ?

เช้านี้ผมตื่นมาเช็คเมลตามปกติ ..  เจอแสปมเมลตามปกติ … แต่พักหลังชอลเล่นกับพวกแสปมเมล เพื่อดูว่าวิวัฒนาการของด้านมืดว่าไปถึงไหนกันแล้ว

 

ซึ่งวันนี้ก็ได้รับแสปมเมลที่เลียนแบบหน้าตาเมลของ Facebook (ซึ่งก็ได้เป็นปกติอีกนั่นแหล่ะ)

แต่ที่น่าแปลกใจคือลิงค์ของเมลอันนี้หยายามพาไปเว็บไซต์ http://nd.co.th/beecham.html ซึ่งแน่นอนว่ามันเป็นเว็บในบ้านเรา

ตอนแรกผมก็ประณามเต็มที่ เพราะคิดว่าเว็บบ้านเราต้องทำฟิชชิง (phishing) แบบนี้แล้วหรือ .. มันแย่มาก

แต่พอได้ลองเข้าเว็บ http://nd.co.th ไปดูจริงๆ ก็พบกว่าเว็บนี้เป็นเว็บในเครืองของ NetDesign บ.ที่สร้างชื่อจากการเปิดโรงเรียนสอนคอมพิวเตอร์ (คนอื่นอาจจะรู้จักมาก่อน แต่ผมรู้จักมันเพราะสอนคอมฯนี่แหล่ะ) ซึ่งในเว็บก็ดูโอเคทุกอย่าง

เลยทำให้เปลี่ยนความคิดว่า หรือว่าเว็บนี้อาจจะโดน Hack เพื่อทำ phishing หลอกไปที่อื่น ?  .. เลยลองกดตามลิงค์ในเมล ก็พบว่า

มันถูกส่งต่อไปยังเว็บ http://pillpillspharmacy.net/ ซึ่งเป็นเว็บขายยาอีกที

สุดท้ายก็สรุปไม่ได้ว่า เว็บนี้ตั้งใจทำแบบนี้หรือไม่ (แต่ส่วนตัวคิดว่าน่าจะโดนแฮคล่ะ) … ถ้าโดนแฮคจริงก็คงต้องรอเค้าแก้กันต่อไป

อันนี้ก็คงเป็นสิ่งเตือนใจว่า ในฐานะคนเล่นเน็ต จะคลิกอะไรก็ดูให้ดีๆก่อน เพราะเกิดหน้าที่ส่งต่อไปทำเนียนเป็นหน้า Facebook หรือว่าปล่อยไวรัสก็สยองอยู่ ส่วนในฐานะคนทำเว็บ ก็ต้องดูให้ดีว่าเว็บเราไม่ได้เป็นเครื่องมือให้ใครเอาไปทำอะไรไม่ดีได้

 

ปล. ก่อนคลิกลิงค์นี้ Hotmail ก็มีเตือนว่าลิงค์ที่เรากดนั้นอาจจะมีอันตรายได้ .. แต่ด้วยความอยากรู้อยากเห็นเราก็คลิกอยู่ดี 😛

Phishing : สร้างเว็บหลอกแล้วปอกลอก

พอดีว่าไปอ่านบล็อกของ Pakkardkaw (ขยันปั่นชิบ) เรื่องเว็บ Hotmail ปลอมหลอกถาม Password เลยขอเอามาขยายความหน่อย 🙂

เหตุการณ์อย่างที่กล่าวข้างต้นคือการทำ Phishing ซึ่งเป็นคำที่แสลงมาจาก Fishing อีกที ความหมายก็เป็นเหมือนๆการตกปลา คือปล่อยเหยื่อล่อแล้วให้ปลามากินเหยื่อ ในที่นี้ก็คือสร้างเว็บหลอกให้เราเข้าไปกรอกข้อมูล

ส่วนเหตุการณ์จริงก็จะเป็นประมาณสร้างเว็บหน้าตาเหมือนเว็บชื่อดังทั่วไป (ดูด้วยตาจะเหมือน 100% เลย) ส่วนใหญ่จะเน้นไปทางเว็บการเงิน เว็บเมล เว็บ Social Network หรือว่าง่ายๆก็คือเว็บที่น่าขโมย Username/Password ไปจนถึงรหัสบัตรเครดิต, บัญชีธนาคารกันเลยทีเีดียว

เมื่อมีเว็บที่หน้าตาเหมือนต้นฉบับแล้ว อันต่อมาก็คือ วิธีทำให้เหยื่อเข้าไปยังเว็บหน้านั้นๆ ส่วนใหญ่จะมากับ Link แบบต่างๆเช่น

  • ลิงค์ที่มาจากรูปภาพ อันนี้ก็จะดูยากหน่อยว่าจริงๆแล้ว Link นั้นจะพาเราไปไหน
  • ลิงค์ที่ตัวอักษรดูดี แต่ซ่อนปลายาทางไปอีกที่นึง เช่น ตัวอักษรเป็น Facebook.com แต่ตัว Link จริงๆพาไปที่ facebook.xfrg.tar.lb เป็นต้น
  • อีกวิธีนึงที่เพิ่งจะได้ีรับความนิยมคือ ลิงค์ผ่านบริการย่อ URL (เช่น http://bit.ly/mA0LCq )อันนี้คนเข้าแทบจะไม่สามารถรู้ล่วงหน้าได้เลยว่า Link ที่ผ่านการย่อ URL มาแล้วนั้นจะพาเรา้ไปที่ไหน อันนี้นอกจากจะเจอ Phishing ได้ง่ายแล้ว บริการย่อลิงค์นี่อาจจะพาไปสู่ไวรัสและอันตรายอื่นๆอีกเยอะเลย
  • เว็บไซต์สะกดผิด อันนี้จะเป็น URL ที่เผลอสะกดผิดง่ายๆ เช่น amazom.com ก็จะไปสร้างเว็บหลอกไว้ (แต่สำหรับ amazom นั้น ทาง amazon ตัวจริงไปจดเอาไว้แล้วพาไปเว็บจริงให้ถูกต้อง ถือเป็นการป้องกัน phishing อีกวิธีนึง)

http://retwite.appspot.com/

http://twitter.com/

ซึ่งสองสามแบบแรกนั้นหลายๆครั้งก็จะมาในรูปแบบอีเมล มาบอกว่า User คุณไม่ได้ใช้งานนานแล้ว ให้ login เพื่อยืนยันตัวตน (แล้วก็ทำลิงค์หลอกให้เข้าไป) หรือบางทีก็บอกว่า บังคับเปลี่ยน Password ให้เข้าลิงค์นี้แล้วใส่ username/password อันเก่า เป็นต้น

Scroll to top