วันพุธที่ 27 พฤศจิกายน พ.ศ. 2562

Email Phishing เป้าหมายจู่โจมผู้ใช้ Zimbra มาอีกแล้ว

        ผมเคยเขียนบทความเกียวกับ Email Phishing ที่มีเป้าหมายจู่โจมผู้ใช้งาน  Zimbra  กันไปบ้างแล้ว  แต่ก็พบว่าก็ยังเจออยู่เรื่อยๆ ด้วยเทคนิคลูกเล่นเยอะกว่าแต่ก่อน คราวนี้ผมได้รับแจ้งจาก Line Group ที่ผมสร้างไว้เพื่อพูดคุยกับผู้เคยอบรม Zimbra  กับผม  คุณ KorLid (@Korlid)  ได้ส่งตัวอย่าง Phishing Email เป็นไฟล์ในรูปแบบ eml มาให้ผม ซึ่งผมได้ลองเปิดดูโดยใช้โปรแกรม Email Client ที่ใช้งานอยู่ เจอ Email หน้าตาแบบนี้ครับ

ตัวอย่างข้อความใน phishing Email

  Email ที่ว่า มีรายละเอียดที่น่าสนใจ ดังนี้ครับ 

  • จ่าหน้าว่าถูกส่ง Email Address ที่ชื่อ domain เป็นของ  ISP  เจ้าดังรายหนึ่ง (ผมขอไม่เปิดเผยนามละกัน) ซึ่งทำให้ phishing email นี้มีความน่าเชื่อถือเพิ่มขึ้น 
  • เนื้อ Email จะมีข้อความเป็นภาษาไทย บอกประมาณว่า ขนาด Mailbox (กล่องจดหมาย)  ใกล้เต็ม ให้ลบ Email ทิ้งไปบ้าง  อันนี้ดูแล้วมีเหตุผล
  • ลงท้าย Email บอกให้ตรวจสอบบัญชีภายใน 24 ชั่วโมง แต่ถ้าไม่ทำ ต้องยืนยันบัญชี โดยการ click ที่ link  ข้อนี้นี้ไม่น่าจะใช่ละ 

ถ้าลอง click ไป จะเจอ website ให้เรากรอก User , Email , Password ตามรูป 



ถึงจุดนี้ หลายคนที่มีประสบการณ์ หรือเคยเป็นผู้ดูแลระบบ Zimbra ก็คงเริ่มเห็นข้อพิรุธหลายอย่าง ตามนี้ 

  1.  Email ทำให้ Mailbox เต็ม ทำไมต้องยืนยันตัวตนด้วย อย่างมาก user คนนั้นๆ ก็แค่รับ Email ใหม่ๆ ไม่ได้  อยากให้รับ Email ใหม่ๆ ได้ ก็ ไปที่ Zimbra Web Client ที่เคยใช้งานกัน  ทำการ Login เสร้จแล้วก็ลบ Email เก่าๆ ทิ้งก็เรียบร้อย 
  2. เมื่อกดที่ link   website ที่แสดงขึ้นมาตามรูป จะเห็น url แปลกๆ  ไม่ใช่ domain ขององค์กรเรา ไม่ใช้ domain ของ Zimbra
  3. ผมได้ลองกรอกข้อมูล พบว่ามีจุดที่ผิดปกติอีกอย่างคือ เวลากรอกในช่อง  PASSWORD และ CONFIRM PASSWORD   ตัวอักษรที่พิมพ์เข้าไปไม่มีการปิดบังอะไรเลย แทนที่เวลากรอก เราไม่ควรมองไม่เห็นตัวอักษรที่เราพิมพ์ แต่เห็นเป็น *  แทน ซึ่งกรณีนี้ พิมพ์อะไรก็ขึ้นมาตามตัวอักษรที่ิพิมพ์  

สังเกตุถึงตรงนี้ แน่นอกครับเป็น phishing email แน่นอน


จะส่ง Phishing Email หลอกเราไม่ทำไม 

    จากรูปด้านบน เค้าจะหลอกเอาข้อมูล ชื่อ นามสกุล Email address พร้อมทั้ง password จากเราไป คำถามก็คือ เอาไปแล้วได้อะไร เท่าที่เคยเจอมา เค้าจะทำเพื่อ 

  • เอาข้อมูลนี้ มา hack account ของเราบน Zimbra  และใช้ประโยชน์จาก account ของเราในการส่ง Spam ขายของ 
  • ใช้ Account ของเราที่ถูก hack ได้แล้วนี้เป็นต้นทางในการส่ง Phishing Email ไปยัง User อื่นๆ ที่อยู่ใน email domain เดียวกันกับของเรา หรือ Email address อื่นๆ ที่เราเคยพูดคุย ต่อไปอีก  
  • ส่ง email ไปยังคู่ค้าเราโดยดูจาก Email ที่เคยรับและส่ง หลอกว่าถ้ามีการค้าขายกัน ให้โอนเงินเข้าบัญชีของ hacker แทนบัญชีเดิม อันนี้น่ากลัว โดยกันที่เสียหายเป็นหลักล้านบาทก็เคยได้ยิน และไม่ค่อยเป็นข่าว เพราะเสียหน้า เสียชื่อด้วย 


แจ้งเตือนไว้ให้ทราบนะครับ สำหรับผู้ดูและระบบ แจ้งเตือนผู้ใช้หรือ user ในองค์กรกันไว้ด้วยนะครับ 

ศิวัฒน์ ศิวะบวร