ผมเคยเขียนบทความเกียวกับ Email Phishing ที่มีเป้าหมายจู่โจมผู้ใช้งาน Zimbra กันไปบ้างแล้ว แต่ก็พบว่าก็ยังเจออยู่เรื่อยๆ ด้วยเทคนิคลูกเล่นเยอะกว่าแต่ก่อน คราวนี้ผมได้รับแจ้งจาก Line Group ที่ผมสร้างไว้เพื่อพูดคุยกับผู้เคยอบรม Zimbra กับผม คุณ KorLid (@Korlid) ได้ส่งตัวอย่าง Phishing Email เป็นไฟล์ในรูปแบบ eml มาให้ผม ซึ่งผมได้ลองเปิดดูโดยใช้โปรแกรม Email Client ที่ใช้งานอยู่ เจอ Email หน้าตาแบบนี้ครับ
ตัวอย่างข้อความใน phishing Email |
Email ที่ว่า มีรายละเอียดที่น่าสนใจ ดังนี้ครับ
- จ่าหน้าว่าถูกส่ง Email Address ที่ชื่อ domain เป็นของ ISP เจ้าดังรายหนึ่ง (ผมขอไม่เปิดเผยนามละกัน) ซึ่งทำให้ phishing email นี้มีความน่าเชื่อถือเพิ่มขึ้น
- เนื้อ Email จะมีข้อความเป็นภาษาไทย บอกประมาณว่า ขนาด Mailbox (กล่องจดหมาย) ใกล้เต็ม ให้ลบ Email ทิ้งไปบ้าง อันนี้ดูแล้วมีเหตุผล
- ลงท้าย Email บอกให้ตรวจสอบบัญชีภายใน 24 ชั่วโมง แต่ถ้าไม่ทำ ต้องยืนยันบัญชี โดยการ click ที่ link ข้อนี้นี้ไม่น่าจะใช่ละ
ถ้าลอง click ไป จะเจอ website ให้เรากรอก User , Email , Password ตามรูป
ถึงจุดนี้ หลายคนที่มีประสบการณ์ หรือเคยเป็นผู้ดูแลระบบ Zimbra ก็คงเริ่มเห็นข้อพิรุธหลายอย่าง ตามนี้
- Email ทำให้ Mailbox เต็ม ทำไมต้องยืนยันตัวตนด้วย อย่างมาก user คนนั้นๆ ก็แค่รับ Email ใหม่ๆ ไม่ได้ อยากให้รับ Email ใหม่ๆ ได้ ก็ ไปที่ Zimbra Web Client ที่เคยใช้งานกัน ทำการ Login เสร้จแล้วก็ลบ Email เก่าๆ ทิ้งก็เรียบร้อย
- เมื่อกดที่ link website ที่แสดงขึ้นมาตามรูป จะเห็น url แปลกๆ ไม่ใช่ domain ขององค์กรเรา ไม่ใช้ domain ของ Zimbra
- ผมได้ลองกรอกข้อมูล พบว่ามีจุดที่ผิดปกติอีกอย่างคือ เวลากรอกในช่อง PASSWORD และ CONFIRM PASSWORD ตัวอักษรที่พิมพ์เข้าไปไม่มีการปิดบังอะไรเลย แทนที่เวลากรอก เราไม่ควรมองไม่เห็นตัวอักษรที่เราพิมพ์ แต่เห็นเป็น * แทน ซึ่งกรณีนี้ พิมพ์อะไรก็ขึ้นมาตามตัวอักษรที่ิพิมพ์
สังเกตุถึงตรงนี้ แน่นอกครับเป็น phishing email แน่นอน
จะส่ง Phishing Email หลอกเราไม่ทำไม
จากรูปด้านบน เค้าจะหลอกเอาข้อมูล ชื่อ นามสกุล Email address พร้อมทั้ง password จากเราไป คำถามก็คือ เอาไปแล้วได้อะไร เท่าที่เคยเจอมา เค้าจะทำเพื่อ
- เอาข้อมูลนี้ มา hack account ของเราบน Zimbra และใช้ประโยชน์จาก account ของเราในการส่ง Spam ขายของ
- ใช้ Account ของเราที่ถูก hack ได้แล้วนี้เป็นต้นทางในการส่ง Phishing Email ไปยัง User อื่นๆ ที่อยู่ใน email domain เดียวกันกับของเรา หรือ Email address อื่นๆ ที่เราเคยพูดคุย ต่อไปอีก
- ส่ง email ไปยังคู่ค้าเราโดยดูจาก Email ที่เคยรับและส่ง หลอกว่าถ้ามีการค้าขายกัน ให้โอนเงินเข้าบัญชีของ hacker แทนบัญชีเดิม อันนี้น่ากลัว โดยกันที่เสียหายเป็นหลักล้านบาทก็เคยได้ยิน และไม่ค่อยเป็นข่าว เพราะเสียหน้า เสียชื่อด้วย
แจ้งเตือนไว้ให้ทราบนะครับ สำหรับผู้ดูและระบบ แจ้งเตือนผู้ใช้หรือ user ในองค์กรกันไว้ด้วยนะครับ
ศิวัฒน์ ศิวะบวร