ไซแมนเทครายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนสิงหาคม 2553 จับตา 5 แนวโน้ม “สแปมและฟิชชิ่ง” เผยภาพรวม “อีเมลขยะ” เดือนสิงหาคม 2553 โตกว่า “91.89%”
ไซแมนเทคส่งสัญญานเตือนภัย “อีเมลขยะเกี่ยวกับสุขภาพ” เพิ่มขึ้นจากเดิมถึง 13% (จาก 8% เป็น 21%) ซึ่งมีทั้งโฆษณาขายยาออนไลน์ ทั้งยาจริง และยาปลอม ส่วนขนาดของข้อความที่เคยส่งกันมากกว่า 10k กลับลดลง 9% ซึ่งเป็นเพราะจำนวนอีเมลขยะซึ่งสอดแทรกมัลแวร์มาด้วยนั้นลดลง หลังจากไซเมนเทคส่งรายงานเตือนถึงการเพิ่มของอีเมลขยะซึ่งมีมัลแวร์อยู่ด้วยเมื่อเดือนที่แล้ว
นายนพชัย ตั้งไตรธรรม ที่ปรึกษาทางเทคนิคอาวุโส บริษัท ไซแมนเทค คอร์ปอเรชัน จำกัด เปิดเผยว่า ตั้งแต่การแข่งขันฟุตบอลโลกจบลงเมื่อกลางเดือนกรกฎาคม สแปมเมอร์ได้หันไปให้ความสนใจไปยังเหตุการณ์หรือข่าวที่เกิดขึ้นในปัจจุบัน เช่น เหตุการณ์น้ำมันรั่วลงสู่ทะเล อย่างไรก็ตาม โดยภาพรวม ข้อความที่ส่งถึงกันจะเป็นอีเมลขยะ (Spam) ถึง 91.89% เมื่อเปรียบเทียบกับเดือนมิถุนายน ซึ่งมีอยู่ 88.32%
หากการหลอกลวงทางอินเทอร์เน็ตหรือเว็บไซต์ฟิชชิ่งโดยภาพรวมกลับลดลงจากเดิมราว 5% ซี่งเป็นผลจากการโจมตีที่ลดลงในสองส่วนด้วยกันคือเว็บไซต์ฟิชชิ่งที่ใช้ไอพีโดเมนในการโจมตี และการโจมตีโดยใช้เว็บไซต์ฟิชชิ่งที่สร้างขึ้นโดยใช้ชุดเครื่องมืออัตโนมัติ ซึ่งลดลง 60 % ขณะที่ฟิชชิ่งประเภท URL เพิ่มขึ้น 10 % จากเดือนมิถุนายน โดยเว็บไซต์ฟิชชิ่งประเภทไอพีโดเมน (เช่น
http://255.255.255.255) ลดลง 48 %, ขณะที่เว็บไซต์ฟิชชิ่งที่โฮสต์บนบริการเว็บโฮสติ้ง ซึ่งคิดเป็น 15% ของเว็บไซต์ฟิชชิ่งทั้งหมด เพิ่มขึ้น 25% เมื่อเทียบกับเดือนที่แล้ว ในการเปรียบเทียบเว็บไซต์ฟิชชิ่งที่ไม่ใช่ภาษาอังกฤษ เพิ่มขึ้น 15% โดยเฉพาะภาษาฝรั่งเศส และอิตาเลียนยังคงมีให้เห็นเพิ่มขึ้นในเดือนที่ผ่านมา
ช่องทางที่ฟิชชิ่งใช้ในการโจมตีเป้าหมายที่ฟิชชิ่งมุ่งโจมตี
“ตัวเลขอันตราย” ของอีเมลขยะและฟิชชิ่ง – สิงหาคม 2553
• ประเภทของอีเมลขยะที่โจมตีในเรื่องสุขภาพมีการเพิ่มขึ้นจาก เดือนมิ.ย. 8% เป็น 21% ในเดือน ก.ค.
• โดเมน URL ที่สแปมเมอร์ใช้มากที่สุด คือ URL ที่ลงท้ายด้วย .com เพิ่มจาก 53.3% เป็น 59.1%
• ขนาดของข้อความอีเมลขยะ (Spam Message) ที่อยู่ระหว่าง 2kb-5kb เพิ่มจาก 48.26% เป็น 59.97%
• ต้นทางของอีเมลขยะยังคงมาจากสหรัฐอเมริกา เพิ่มจาก 20% เป็น 22%
• ฟิชชิ่งโฮสต์ ยังคงเป็นสหรัฐอเมริกา เพียงแต่เปอร์เซ็นต์การเพิ่มขึ้นไม่เปลี่ยนแปลง
• เทคนิคที่ฟิชชิ่งใช้เผยแพร่ คือ ผ่านโดเมนที่ตั้งชื่อเป็นของตนเอง 71%, เว็บที่ให้บริการโฮสติ้งฟรี 15%, ที่ใช้ชุดเครื่องมือ อัตโนมัติต่าง ๆ 9% , โดเมนที่เป็นไอพีแอดเดส 3%, เว็บไซต์ที่มีการสะกดคล้ายคลึงกับชื่อเครื่องหมายการค้า (หรือบริการ) ของผู้อื่น โดยมีเจตนาแอบแฝงเพื่อให้ผู้ใช้เข้าเว็บไซต์ผิดไปจากเว็บไซต์ที่แท้จริง (Typosquatting) 2%
• กลุ่มเป้าหมายที่ฟิชชิ่งมุ่งโจมตีมากที่สุดคือ ภาคการเงิน (85%) ธุรกิจบริการข้อมูลข่าวสาร (15%) ภาคราชการ (น้อยกว่า 1%) และอื่น ๆ (น้อยกว่า 1%)
จับตา 5 แนวโน้ม “อีเมลขยะและเว็บไซต์ฟิชชิ่ง” เดือนสิงหาคม 2553
• เมื่อการแข่งขันเวิลด์คัพจบลง สแปมเมอร์หันไปให้ความสนใจในเรื่องเหตุการณ์น้ำมันรั่วในทะเล - การแข่งขันฟุตบอลโลก 2553 ที่ขับเคี่ยวกันเต็มที่ในเดือนมิถุนายน ทำให้หัวข้อเรื่องเกี่ยวกับข่าวฟุตบอลโลกที่เป็นอีเมลขยะ ติดอยู่ในหนึ่งในสิบของ “Spam Street Journal” ถึง 8 เรื่อง อย่างไรก็ตาม ในเดือนกรกฎาคม หัวข้อเรื่องได้หันกลับไปสู่เหตุการณปัจจุบัน เช่น เหตุการณ์น้ำมันรั่วในทะเล หรือสภาพเศรษฐกิจ
• เมื่อสิ้นกระแสฟุตบอลโลก นักล่อลวงทางเน็ตหันไปไล่ตามในเรื่องของการแข่งคริกเก็ตเวิลด์คัพ - การสร้างเว็บลงเพื่อโฆษณาการแข่งขันคริกเก็ตเวิลด์คัพที่จะมีขึ้นในวันที่ 17 กุมภาพันธ์ 2554 ที่น่าสนใจ คือ มีการสร้างเว็บไซต์ลวงที่มีโลโก้ และการออกแบบเป็นภาพประตูชัยในปารีส โดยผู้สร้างเว็บไซต์ลวงต้องการให้ดูเหมือนประตูชัยของอินเดียที่มุมไบ ซึ่งเป็นสถานที่การจัดแข่งคริกเก็ตเวิล์ดคัพรอบสุดท้าย ซึ่งจะมีทั้งข้อมูลเกี่ยวกับสถานการณ์การแข่งขัน, ไอคอนของสปอนเซอร์หรือช่องกีฬาต่าง ๆ, ตารางการแข่งขัน และการเปิดขายตั๋วซึ่งเริ่มมาตั้งแต่วันที่ 1 มิถุนายน 2553
เว็บไซต์ลวงจะหลอกให้ยูสเซอร์ที่อยากได้ตั๋วชมการแข่งขันเข้าไปในหน้าล็อกอินเพื่อกรอกข้อมูลส่วนตัว หากหลอกได้สำเร็จ ยูสเซอร์ก็จะยอมกรอกข้อมูลเพื่อล็อกอินเข้าสู่หน้าเว็บไซต์ลวงโดยหวังว่าจะได้ตั๋วชมการแข่งขัน ซึ่งเว็บไซต์ลวงพวกนี้จะฝากไว้กับเว็บที่โฮสติ้งที่ให้ใช้ฟรี เพียงแต่ตั้งชื่อให้สัมพันธ์กับการแข่ง คริกเก็ต เช่น hxxp://icccricket2011.******.com
• ห้องสนทนาลวงโลก - ไซแมนเทคพบเว็บไซต์ฟิชชิ่งที่ออกแบบปลอมตัวเป็นส่วนบริการลูกค้าของเว็บไซต์อีคอมเมอร์สชื่อดัง ผ่านการพูดคุยออนไลน์ในห้องสนทนา (Chat) ดังเช่น การสร้างหน้าเว็บไซต์ลวงให้ลูกค้ากรอกหมายเลขประจำตัวและรหัสผ่าน และคำถามที่ต้องการสอบถาม ก่อนจะผ่านเข้าสู่หน้าห้องสนทนาปลอม ซึ่งปรากฎตัวแทนฝ่ายซัพพอร์ทที่พร้อมตอบคำถาม
แต่คำถามของลูกค้าจะไม่ได้รับคำตอบ เพราะหลังจากผ่านไปสองสามนาที (เวลาในหน้าสนทนาก็เป็นเวลาที่ทำหลอกขึ้นมา) หน้าเว็บจะแจ้งว่า ฝ่ายซัพพอร์ทได้ออกจากห้องสนทนาไปแล้ว และขอให้ลูกค้าลองดูใหม่ หรือ ทิ้งข้อความไว้ และถึงแม้ว่าหน้าเว็บจะดูเหมือนมีการเคลื่อนไหวตลอดเวลา แต่จริงแล้วไม่ได้มีคนเข้าไปปฏิบัติงานจริง แต่เป็นการดำเนินการผ่านเซิร์ฟเวอร์ของผู้สร้าง โดยมักจะฝากไว้กับเว็บโฮสติ้งที่ให้บริการฟรี
วิธีหลีกเลี่ยงการโจมตีจากเว็บไซต์ฟิชชิ่งดังกล่าว ทำได้โดย... อย่าคลิ๊กอีเมลที่น่าสงสัย, ตรวจสอบยูอาร์แอลของเว็บไซต์เพื่อให้แน่ใจว่าเป็นของเจ้าของแบรนด์สินค้านั้นจริง ๆ, พิมพ์โดเมนเนมของเว็บไซต์ใหม่เมื่อเปิดใช้ทุกครั้งแทนการเปิดจากลิงค์, อัพเดทซอฟต์แวร์ด้านความปลอดภัยอยู่เสมอ เช่น นอร์ตัน อินเทอร์เน็ต ซีเคียวริตี้ 2010 ซึ่งปกป้องคุณจากเว็บไซต์ออนไลน์ที่หลอกลวงพวกนี้ได้
• เมื่ออีเมลขยะและเว็บไซต์ลวงนานาชาติร่วมผสมโรง - ประเทศรัสเซียซึ่งประสบปัญหาจากคลื่นความร้อนที่เป็นสาเหตุให้เกิดไฟไหม้ป่าที่รุนแรง ทำให้บรรดาสแปมเมอร์ชาวรัสเซียใช้โอกาสนี้ส่งข้อความขยะในการเสนอขายเครื่องปรับอากาศ
เช่นเดียวกับ ปลาหมึกยักษ์พอล ซึ่งได้รับชื่อเสียงจากการทำนายผลฟุตบอลโลก ปี 2553 ทำให้มีนักส่งอีเมลขยะหัวใสใช้แบรนด์นี้ในการสร้างบริการทำนายโชคชะตา
• การวิเคราะห์หัวข้อเรื่องของอีเมลขยะในเดือนกรกฎาคม 2553 ได้แก่ 1.Blank Subject Line, 2.Deliver Status Notification (Failure), 3.You have received and Greeting e-Card, 4.Anazon.com: Please verified your new e-mail address, 5.Returned mail: see transcript for details, 6.Undelivered Mail Returned to Sender, 7.Nikki Sent You A Message, 8.My Pics, 9.Failure Notice และ 10.Give your partner a one way ticket to ecstasy-land
ถึงแม้ ชื่อเรื่อง “อีเมลขยะเกี่ยวกับสุขภาพ” จะเพิ่มถึง 13% ในเดือนกรกฎาคมจะไม่ติดหนึ่งในสิบ แต่ไปปรากฎอยู่ในระหว่างอันดับที่ 11-30 ตัวอย่างเช่น “Very Discrete packaging and billing” และ “Doctor Approved and Recommended!”
Checklists เตือนใจ...ก่อนภัยถึงตัว
ควรทำ ไม่ควรทำ
• ยกเลิกการสมัคร Mailing Lists ที่เราไม่ต้องการรับอีก เวลาสมัครสมาชิกที่เสนอข้อมูลเพิ่มเติมให้เรา เลือกประเภทเนื้อหาที่เราไม่ต้องการ
• ระวังในการเลือกเว็บไซต์ที่เราจะลงทะเบียนโดยให้อีเมลส่วนตัวของเรา
• อย่าเผยแพร่อีเมลแอดเดรสบนอินเทอร์เน็ต และลองพิจารณาทางเลือกอื่น เช่น ใช้อีเมลแอดเดรสเพียงชื่อเดียวในเมื่อต้องการเข้าสู่ Mailing Lists, มีอีเมลแอดเดรสหลายชื่อ เพื่อแยกใช้ตามวัตถุประสงค์ต่าง ๆ และมองหาบริการอีเมลแอดเดรสแบบใช้แล้วทิ้ง
• ทำตามข้อแนะนำที่ผู้ดูแลเมลกรณีได้รับรายงานสแปมที่หลุดเข้ามา
• ลบอีเมลขยะทั้งหมด
• หลีกเลี่ยงการเปิดลิงก์อีเมลหรือ IM messages ที่น่าสงสัยว่าจะเชื่อมไปยังเว็บไซต์ลวง แนะนำให้พิมพ์ชื่อเว็บแอดเดรสโดยตรงที่บราวเซอร์ แทนการคลิ๊กจากลิงค์
• หมั่นอัพเดทโอเอส และซอฟต์แวร์ความปลอดภัยอยู่เสมอ รายละเอียดดูได้ที่
http://www.symantec.com.
• พิจารณาเลือกใช้โซลูชันป้องกันข้อความขยะที่มีชื่อเสียง ซึ่งสามารถกลั่นกรองข้อมูลที่เกิดขึ้นได้ทั่วทั้งองค์กร เช่น ผลิตภัณฑ์ในตระกูล Symantec Brightmail messaging security
• ติดตามความคืบหน้าใหม่ ๆ เกี่ยวกับแนวโน้มของอีเมลขยะ ได้ที่ Symantec State of Spam site • เปิดไฟล์แนบอีเมลที่ไม่รู้จัก ซึ่งไฟล์แนบพวกนี้อาจส่งผลกระทบต่อคอมพิวเตอร์
• ตอบรับข้อความขยะ อีเมลของแอดเดรสของผู้ส่งปลอม และการตอบรับจะทำให้เกิดอีเมลขยะมากขึ้น
• อย่ากรอกแบบฟอร์มที่ถามถึงข้อมูลส่วนบุคคลหรือข้อมูลการเงิน หรือพาสเวิร์ด บริษัทที่มีชื่อเสียงจะไม่ค่อยถามรายละเอียดส่วนตัวผ่านทางอีเมล เมื่อสงสัย ให้ติดต่อบริษัทเพื่อสอบถามผ่านเครื่องมือที่ไว้ใจได้ เช่น เบอร์โทรศัพท์ที่ตรวจสอบได้ หรือ อินเทอร์เน็ตแอดเดรสที่รู้จัก ซึ่งพิมพ์เข้าไปใหม่ในบราวเซอร์วินโดว์ (อย่าใช้วิธีก็อปปี้จากลิงค์ที่แนบมากับเมล)
• ซื้อสินค้าหรือบริการจากข้อมูลในอีเมลขยะ
• เปิดข้อความขยะ
• การส่งต่อคำเตือนเรื่องไวรัสที่ได้รับผ่านอีเมล ซึ่งเต็มไปด้วยไวรัสลวง
