วันอาทิตย์ที่ 20 กุมภาพันธ์ พ.ศ. 2565

เทคนิคการส่ง spam/phishing โดยปลอม display name ของ Email

     ตั้งแต่ช่วง COVID-19 ระบาดมานี เหล่า hacker/spammer ขยันกันทำงาน และหาเทคนิคใหม่ ในการส่ง  Email มาหลอกพวกเรากันหนักเลยนะครับ เทคนิคนึงที่ผมเจอและอยากจะเตือนไว้ก็คือ การปลอม Display Name ครับ 


Display Name คืออะไร

    Display Name หรือบางคนก็เรียกว่า Sender Info จะเป็นข้อความที่ แสดงคู่กับ Email Address ซึ่งกำหนดให้เป็นอะไรก็ได้ โดยปกติ เราก็จะกำหนดเป็นชื่อ นามสกุล หรือ อาจจะมีตำแหน่ง หรือแผนกที่เราทำงานอยู่ไปได้วย ตัวอย่างเช่น  ถ้าดูใน Email ที่ได้รับมา  

       From:  Siwat Siwarborvorn IT Support <support@sampledomain.com>

ถ้าดูที่บรรทัด  From: ที่แสดงข้อมูลว่า Email ส่งมาจากใคร ปกติจะเห็นข้อมูลสองส่วน จะเห็นว่า Email นี้ถูกส่งมานี้จาก email address ชื่อ support@sampledomain.com โดยมี Display Name คือ Siwat Siwarborvorn IT Support 

Display Name นี้สามารถกำหนดเป็นอะไรก็ได้ โดยปกติกำหนดได้ที่โปรแกรม Email Client ของแต่ละคนซึ่งปกติรูปแบบของ display name ไม่มีข้อจำกัด จะเป็นภาษาไทยก็ได้  แต่อย่างไรก็ตาม แต่ละองค์กรอาจจะมีการกำหนดรูปแบบเป็นของตัวเองครับ  เช่น เป็น ชื่อ นามสกุล ตำแหน่ง แผนก เป็นต้น 

เพราะความที่ไม่มีข้อจำกัดนี่แหละครับ ทำให้เหล่าผู้ไม่ประสงค์ดี ใช้จุดนี้ในการส่ง Email หลอกลวงมาหาเรา 

แล้วพวกเราโดนหลอกได้อย่างไร 

จุดหลักที่พวกเราโดนหลอกก็คือ ในหน้าแสดงรายการของ Email ใน Zimbra Web Client และ Email Client อื่นๆ ส่วนใหญ่จะแสดง Display Name เพียงอย่างเดียว ไม่แสดง Email Address ครับ 

ตัวอย่างตามรุปนี้ 


จากรูปนี้เป็นหน้าจอ Web Client ปกติของ Zimbra ในคอลัมน์ From ที่เห็น จะแสดง Display Name ครับ 
จากรุปนี้ Email แรกที่เห็นเป็น  Email Address นั้นของปลอมครับที่จริงเป็น display name เดียวมาดูกันต่อ ผมจะเฉลยว่า hacker ทั้งหลาย หลอกเราได้อย่างไร 

รูปแบบของ Email ที่ส่งมาหลอกเรา โดยใช้ประโยชน์จาก Display Name ที่เจอกันบ่อยๆ มีัดังนี้ครับ 

รูปแบบที่  1: ปลอม Display Name เป็น Email Address  

        วิิธีการนี้ Email ที่ถูกส่งมา จะใส่ข้อความในส่วนของ Display Name เป็น  Email  Address ของคนในองค์กรเรา หรือคนที่เรารู้จักที่เคยติดต่อผ่านทาง Email ด้วย เช่น 

       From :  siwat@mydomain.com <hacker@truedomain.com>

    จากตัวอย่างนี้ ผู้ไม่ประสงค์ดี ส่ง Email มาจาก email address ที่ชื่อ hacker@truedomain.com โดยมีการปลอม display name  เป็น siwat@mydomain.com  ซึ่งถ้าคนที่ไม่สังเกตุดีๆ จะนึกว่า Email ่นี้ถูกส่งมาจาก siwat@mydomain.com 

ตัวอย่างต่อไปนี้ ผมจะใช้ Email address ของผม siwat@xsidekick.com  ส่ง  Email เข้าไปยังเครื่อง Zimbra โดยปลอม Display Name โดยใส่ somchai@abc.com เข้าไปในส่วนของ display name  มาดูผลลัพท์ในหน้าจอ Zimbra Web Client กัน 




ถ้า ผมส่ง Email ฉบับนี้ ไปที่บริษัท abc.com คนที่บริษัทนี้หลายคน อาจจะคิดว่าส่งมาจากเจ้าของ email address  somchai@abc.com จริงๆ 


รูปแบบที่ 2 : ปลอม Display Name เป็นชื่อคนอื่นและหรือตำแหน่ง 

ตัวอย่างเช่น 
    From :  ABC Co.,Ltd. IT Support <hacker@truedomain.com

ตัวอย่างนี้ จะคล้ายกับตัวอย่างแรก คือ Email ที่ใช้ส่ง เป็น Email ใครก็ไม่รู้ ที่เราไม่เคยติดต่อด้วย ( แต่ในส่วนของ Display Name  (ABC Co.,Ltd. IT Support) จะเป็นคนที่เรารู้จัก บางที่ใช้ชื่อ ตำแหน่ง และรูปแบบของคนในองค์กรเดียวกันกับเรา หรือของคนในองค์กรอื่นที่เราเคยติดต่อด้วย 

เรามาดูรูปตัวอย่างกันดีกว่า 




จากรูปผมทดลองส่ง Email โดยใส่ Display Name เป็น ABC Co., IT Support ถ้าสมมติว่าผมส่งไปยังบริษัท abc.com จริงๆ คนในบริษัทหลายๆคน อาจจะเชื่อว่าเป็น Email ที่ส่งมาจาก IT Support ของ  บริษัท abc.com จริงๆ ก็ได้ ถ้าไม่ได้สังเกตุ Email Address ในเนื้อ Email จริงๆ   


ทำไม่ต้องปลอม Display Name 

เท่าที่ผมวิเคราห์ได้ คงเป็นเพราะระบบป้องกัน Spam Email ปัจจุบัน ส่วนใหญ่ยังไม่มีการวิเคราะห์ส่วนของ Display Name ของ Email ครับ  ส่วนใหญ่ก็สนใจแต่ Email address , subject และ เนื้อหา และถึงแม้จะทำได้  ก็ท่าทางจะวิเคราห์หรือตรวจสอบจาก Display Name ได้ยาก ว่าเป็น spam หรือเปล่า 

Hacker เลยใช้ช่องโหว่นี้ ในการส่ง Email หลอกเรา โดยเบื้องต้น hacker จะพยายามเจาะ Email account ที่มีอยู่จริงๆ ( ที่ต้องทำเช่นนี้ เพราะระบบตรวจสอบ Email ส่วนใหญ่จะตรวจสอบว่า Email ที่ได้รับถูกส่งมาจาก Email ที่มีอยุ่จริงและถูกส่งออกมาจาก Email server ขององค์กรที่เป็นเจ้าของ domain จริงไหม ) เมื่อเจาะได้ ก็จะใช้ Email  Account นี้ทำการส่ง Spam หรือ Phishing Email  ออกไป ยัง Email เป้าหมาย โดย Email ที่ถุกส่งออกจะปลอม Display Name เพื่อให้เป้าหมายคิดว่าเป็น Email ของคนรุ้จักซีงเราเคยติดต่อด้วย หรือเป็นคนในองค์กรเดียวกัน  แต่ที่จริง มาจากคนอื่นที่อื่น 


ไม่ใช่แค่ปลอม Display Name 

 นอกจากนี้ Hacker ในยุคหลังๆมีความพยายามและใส่ใจในรายละเอียดของ Email ปลอมที่ส่งออกไปเพิ่มขึ้นครับ ที่ผมเจอมา Hacker รู้รูปแบบของ Display Name ขององค์กรที่เค้าต้องการปลอมตัว รวมไปถึงรูปแบบ Signature ใน Email ขององค์กรนั้นๆด้วย  ทำให้ทำ Email ปลอมที่ส่งออกมาเนียนมาก หลอกคนรับที่เป้าหมายได้เป็นผลสำเร็จ 


จะป้องกันได้อย่างไร 

คำถามนี้ผมตอบเลยว่า ณ. วันนี้คงยากครับ เพราะ ระบบ mail server หรืออุปกรณ์จำพวก Mail Gateway ที่ใช้กรอง Spam  mail  ในปัจจุบันจะกรอง Email โดยดูที่ Email Address เป็น และองค์ประกอบอื่นๆ ขอ Email แต่ไม่ได้สนใจ Display Name เป็นหลัก (ใครรู้ว่ามีระบบ  Email หรือ Mail Gateway ยี่ห้อไหนสามารถกรอง spam โดยดูจาก Display Name ได้ ช่วยบอกผมด้วยครับ) 

ดังนั้น ทุกวันนี้ ก็คงต้องพึี่งความรอบคอบและช่างสังเกตุของผู้ใช้งานระบบ  Email เอาเอง ว่า Email Address ใน Email ที่ได้รับจริงๆ คืออะไร มาจากคนหรือองค์กรที่เค้าอ้างถึงจริงๆ หรือเปล่า อย่าดูแต่ Display Name อย่างเดียวครับ

เทคนิคหนึ่ง ของ Zimbra Web Client ที่ช่วยได้ นอกจากจะเปิด Email ขึ้นมาดู Email Address คนส่งจริงๆแล้ว ยังมีอีกวิธีที่ใช้ดู Email Address คนส่งจากหน้า List Email   ได้ โดยการวาง เมาส์ไปที่ ชีือ Display Name (ไม่ต้องคลิ๊ก) รอสักครุ่ จะมี Pop up แสดง Display Name และ Email Address ที่ใช้ส่ง Email ฉบับนั้นๆ แสดงขึ้นมาครับ 



หวังว่าบทความนี้ คงช่วยให้หลายๆท่านสังเกตุ Email ที่ได้รับว่าเป็น Spam หรือไม่ ได้ดียิ่งขึ้นนะครับ