ไซแมนเทครายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนธันวาคม 2553
สแปมเมอร์ ลาพักร้อนช่วงปีใหม่ อีเมลขยะลดฮวบ แต่เว็บโซเชียลมีเดีย กลับฮ็อตฮิต ใช้ประเด็นอื้อฉาวอนาจารล้วงข้อมูลผู้ใช้ได้ผล
ภาพรวมของอีเมลขยะในเดือนธันวาคม คิดเป็น 81.69% เมื่อเทียบกับข้อความอีเมลทั้งหมดที่เกิดขึ้น ซึ่งนับเป็นอัตราลดลงเมื่อเทียบกับเดือนพฤศจิกายน ซึ่งอยู่ที่ 84.31% และดูจะเป็นเรื่องน่าประหลาดใจ หรืออาจเป็นไปได้ว่าสแปมเมอร์ขอลาพักผ่อนในช่วงวันหยุด
นายนพชัย ตั้งไตรธรรม ที่ปรึกษาทางเทคนิคอาวุโส บริษัท ไซแมนเทค คอร์ปอเรชัน เปิดเผยว่า อีเมลขยะหดตัวลงในช่วงเดือนธันวาคม และลดลงมากโดยเฉพาะในช่วงคริสต์มาส พร้อมกับตีตื้นขึ้นมาอีกครั้งหลังจากลดลงถึงจุดต่ำสุดคือวันที่ 27 ธันวาคมที่ผ่านมา ซึ่งอยู่ที่ 71% และนับว่าเป็นจุดที่ต่ำสุดที่ไซแมนเทคเคยติดตามภายในช่วงระยะเวลา 2-3 ปีที่ผ่านมา
แม้ว่าจะยังไม่มีคำอธิบายที่ชัดเจนว่าอะไรคือสาเหตุที่ทำให้อีเมลขยะลดลง รายงานสถานการณ์อีเมลขยะและฟิชชิ่งในเดือนมกราคม 2554 ก็ได้มีการนำเสนอสถานการณ์ที่ดูมีเหตุและผลว่าอะไรเป็นสาเหตุของเรื่องนี้ พร้อมกับให้ข้อมูลอัพเดทล่าสุดถึงการกลับมาของ บ็อตเน็ต รุสต็อค (Rustock botnet) รวมถึงจำนวนบ็อตเน็ตที่เพิ่มขึ้น
ภาพรวมของฟิชชิ่งลดลงถึง 15% ในเดือนนี้ ซึ่งเป็นการลดลงของฟิชชิ่งในทุกส่วน โดยสาเหตุหลักน่าจะมาจากการที่ฟิชชิ่งลดลงในช่วงวันหยุด เว็บไซต์ ฟิชชิ่ง ที่สร้างมาจากชุดเครื่องมืออัตโนมัติลดลงประมาณ 10% และยูอาร์แอลที่มีลักษณะเฉพาะลดลง 18% เว็บไซต์ฟิชชิ่งที่มีไอพี โดเมน (อย่างเช่น
http://255.255.255.255) ลดลงมาประมาณ 2% บริการเว็บโฮสติ้ง คิดเป็น 9% ของฟิชชิ่งทั้งหมด ซึ่งลดลง 39% เมื่อเทียบกับเดือนก่อนหน้านี้ ตัวเลขของเว็บไซต์ที่ไม่ใช่ภาษาอังกฤษลดลง 19% และจากบรรดาเว็บที่ไม่ใช่ภาษาอังกฤษนั้น พบเว็บภาษาฝรั่งเศสและโปรตุเกส มากที่สุดในเดือนธันวาคม
ประเด็นที่น่าจับตามองในรายงานประจำเดือนมกราคม 2554 ได้แก่
หรือว่าสแปมเมอร์ จะลาพักในช่วงวันหยุด? ไซแมนเทคได้ติดตามการลดลงอย่างต่อเนื่องของอีเมลขยะในช่วงหลายเดือนที่ผ่านมาและยังคงลดลงจนถึงช่วงเดือนธันวาคมที่อีเมลขยะทั่วโลกมีอัตราลดลงเดือนต่อเดือนอยู่ที่ 19.98 % จากช่วงที่เคยสูงสุดในเดือนสิงหาคม คิดเป็นอัตราลดลงถึง 65.3%
ตัวเลขในช่วงเดือนต่อเดือนแสดงให้เห็นอัตราการลดลงอย่างมาก โดยเฉพาะอย่างยิ่งในวันคริสต์มาส เห็นได้จากชาร์ตแสดงจำนวนที่ลดลงในช่วงเดือนธันวาคม
อะไรคือสาเหตุของการลดลงมากขนาดนี้? เรามีคำตอบในเรื่องนี้ จากตัวเลขของแมสเซจ แล็บส์ บ็อตเน็ต รุสต็อค ซึ่งเป็นบ็อตเน็ตตัวการสำคัญที่แพร่อีเมลขยะในปี 2553 มีจำนวนลดลงอย่างมาก และนับตั้งแต่วันที่ 25 ธันวาคม เป็นต้นมา รุสต็อค บ็อตเน็ต ได้หายหน้าไปจากวงการ พร้อมกับอีเมลขยะที่มาจากบ็อตเน็ตดังกล่าวลดลงเหลือเพียง 0.5% ของจำนวนอีเมลขยะทั่วโลก นอกจากกิจกรรมของรุสต็อก บ็อตเน็ตที่ลดลง แเมสเส็จ แล็บส์ ยังชี้ให้เห็นว่ามีบ็อตเน็ตหลักอีกสองตัวที่หายไปจากแผนภูมิอีเมลขยะ ได้แก่ เลธิก บ็อตเน็ต (Lethic Botnet) ที่เงียบไปตั้งแต่วันที่ 28 ธันวาคม และ ซาเวสเตอร์ บ็อตเน็ต (Xavester Botnet) ที่หายเข้ากลีบเมฆไปตั้งแต่วันที่ 31 ธันวาคม
ขณะที่การลดลงของอีเมลขยะนับเป็นข่าวดีอยู่ไม่น้อย แต่ก็ไม่ได้หมายความว่า อีเมลขยะจะหายหน้าหายตาไปซะหมด ในช่วงที่ข้อความอีเมลขยะเหล่านี้ลดลง คำถามคือ แล้วอีเมลขยะเหล่านี้หายไปไหนกัน ไซแมนเทคได้สังเกตุการพบว่ามีการใช้งานโดเมนเว็บที่ให้บริการฟรี และ ยูอาร์แอลแบบย่อในข้อความอีเมลขยะเพิ่มขึ้น ยูอาร์แอล .ru ยังคงได้รับความนิยมอยู่ แม้ว่าจะลดลงไปประมาณ 15% ในช่วงเดือนต่อเดือน ในขณะที่ ยูอาร์แอล .com เพิ่มขึ้นมาทดแทนส่วนของยูอาร์แอล .ru ที่ลดลงไป แต่ก็ไม่ได้เพิ่มขึ้นในปริมาณมากที่จะทำให้ยูอาร์แอล .ru หายไปซะทั้งหมด ซึ่งแสดงให้เห็นว่าส่วนที่ยังมีเหลืออยู่ อาจเพิ่มขึ้นตามการใช้งานเว็บโดเมนที่ให้บริการฟรี รวมถึงการใช้ ยูอาร์แอล แบบย่อ
อย่างไรก็ตาม ช่วงวันหยุดของบรรดาสแปมเมอร์นั้นช่างสั้นนัก โดยในวันที่ 10 มกราคม ไซแมนเทคได้สังเกตุเห็นว่าอีเมลขยะมีจำนวนเพิ่มขึ้น เช่นเดียวกับอีเมลขยะที่เป็นผลงานของ รุสต็อค บ็อตเน็ต ก็เพิ่มขึ้นเช่นกัน จึงทำให้จำนวนอีเมลขยะในช่วงวันที่ 10 มกราคม เพิ่มขึ้น 49% เมื่อเทียบกับไม่กี่วันก่อนหน้านั้น
สแปมเมอร์ แนะวิธีแก้ปัญหาในช่วงปีใหม่
หนึ่งในวิธีการแก้ปัญหาจากช่วงปีใหม่ คือการคุมน้ำหนัก มีผู้คนมากมายที่สมัครใช้บริการฟิตเนสคลับ และสถานออกกำลังกายในช่วงต้นปี เพื่อหาทางควบคุมน้ำหนัก และในการนี้ สแปมเมอร์ ก็นำเรื่องนี้มาเป็นตัวล่อเป้า พร้อมกับหยิบยื่นข้อเสนอสำหรับช่วงเทศกาลดังกล่าว นอกจากนี้ หลังจากที่ผ่านปีใหม่ไป วันปีใหม่ของจีนก็จะมาถึงในเดือนกุมภาพันธ์นี้ สแปมเมอร์ชาวจีน ยังได้มีการนำเสนอกระเช้าของขวัญที่ใส่อาหารอีกด้วย
สิ่งล่อใจใหม่ ในเว็บฟิชชิ่งประเภทโซเชียล มีเดีย
ในช่วงหลายเดือนที่ผ่านมา ไซแมนเทคได้สังเกตุเห็นเว็บไซต์ฟิชชิ่งที่ปลอมเป็นแบรนด์โซเชียลเน็ตเวิร์ก โดยใช้วิธีการหลอกลวงแบบใหม่เพื่อล่อให้ผู้ใช้งานบอกข้อมูลส่วนตัว
ตัวอย่างในเรื่องนี้ก็คือ เว็บ ฟิชชิ่งที่ใช้ชื่อ “ เว็บแคม” ที่จะใส่ภาพเว็บแคมไว้ในหน้าปลอมนั้น โดยหลอกว่ามีเว็บแคมเพื่ออำนวยความสะดวกให้ผู้ใช้ติดต่อสื่อสารกันผ่านเว็บแคมนี้ ซึ่งโดยปกติแล้วถ้าเป็นเว็บไซต์ของจริงจะไม่มีการนำเสนอเรื่องนี้
การยื่นข้อเสนอปลอม เกี่ยวกับภาพลามกอนาจารในการหลอกลวงผ่านเครือข่ายสังคมมีให้พบเห็นกันบ่อยขึ้นในปัจจุบัน และดูเหมือนว่าบรรดาฟิชเชอร์มักจะใช้ภาพเหล่านี้ หลอกขโมยข้อมูลเหยื่อ อีกตัวอย่างหนึ่งที่ใช้ภาพลามกอนาจารเป็นตัวล่อ คือการที่บรรดาฟิชเชอร์ จะอาศัยวิธีการที่แตกต่างกันไปเพื่อล่อให้ผู้ใช้หลงเชื่อ ซึ่งเว็บไซต์ฟิชชิ่งที่ว่านี้ อ้างว่ามีเว็บโซเชียลเน็ตเวิร์กรายใหม่ ที่จะออกเวอร์ชันใหม่สำหรับผู้ใช้ที่เป็นผู้ใหญ่ ซึ่งจะมาพร้อมแอพพลิเคชันที่ผู้ใช้สามารถดูวิดีโอฉาวที่ได้จากการแอบถ่าย และยังอ้างว่าผู้ใช้สามารถมีส่วนร่วมโดยสามารถพูดคุยกับคนที่อยู่บริเวณใกล้กันได้ การหลอกลวงยังไม่จบเท่านี้ แต่ยังอ้างว่าผู้ใช้สามารถเช็คเพื่ออัพเดทเรื่องอื้อฉาวของนักแสดงที่ได้รับความนิยมนั้นๆ ทั้งนี้เว็บฟิชชิ่งดังกล่าวจะมีรูปอนาจารที่ให้ความรู้สึกเหมือนว่าสร้างมาเพื่อล่อตาล่อใจเกี่ยวกับเรื่องดังกล่าว
ตัวอย่างที่สามนี้ คือมีการนำเสนอซอฟต์แวร์ที่ใช้สำหรับแฮ็กข้อมูลเป็นตัวล่อ โดยจะมีการปรับเนื้อหาเพื่อช่วยให้ดูคล้ายกับเว็บไซต์โซเชียลเน็ตเวิร์กซึ่งเป็นทางเลือก สำหรับแฮ็กเกอร์มืออาชีพโดยเฉพาะ ซึ่งจะมีการอ้างถึงประโยชน์ปลอมจากการใช้เครื่องมือแฮ็กในหน้าเว็บเพจปลอมนั้น หนึ่งในนั้นก็คือการอ้างถึงประโยชน์ที่จะได้จากการเรียนรู้ยุทธวิธีใหม่ในโซเชียลเน็ตเวิร์ก จากการใช้ชุดเครื่องมือ ประโยชน์อีกข้อคือจะมีการนำเสนอ คุกกี้ แฮ็กเกอร์ โดยให้ดาวน์โหลด ซึ่งฟิชเชอร์ไม่ได้พูดถึงวัตถุประสงค์ของ คุกกี้ แฮ็กเกอร์ อย่างชัดเจนแต่เป็นไปได้ว่าจะใช้สำหรับแฮ็กเข้าไปยังแอคเค้าท์ของของผู้ใช้งาน ประโยชน์ข้อสุดท้ายคือผู้ใช้สามารถติดต่อสื่อสารกับแฮกเกอร์มืออาชีพ เพื่อทำความเข้าใจเกี่ยวกับการหาประโยชน์จากฟีเจอร์ใหม่บนเว็บโซเชียลเน็ตเวิร์กนั่นเอง
ฟิชเชอร์ ยังคงใช้รูปแบบและแนวทางที่แตกต่างมาเป็นสิ่งล่อใจเพื่อประโยชน์อย่างเดียวกัน คือข้อมูลของผู้ใช้ที่กรอกในเวลาล็อกอินเข้าใช้งานบนเว็บปลอมเหล่านี้ และแน่นอนที่สุด ก็เพื่อหวังขโมยข้อมูลส่วนตัวนั่นเอง
การหลอกลวงผู้ใหญ่ ในงานเต้นรำสวมหน้ากาก เกิดขึ้นบนเฟซบุ๊คของชาวอินโดนีเซีย
เฟซบุ๊ค กลายเป็นเรื่องที่ฮิตมากในประเทศอินโดนีเซีย ซึ่งได้รับการจัดอันดับว่ามีจำนวนผู้ใช้เฟซบุ๊คมากเป็นอันดับสาม เมื่อมีผู้ใช้เยอะขึ้น ฟิชเชอร์ในประเทศอินโดฯ ก็ดูเหมือนว่าจะให้ความสนใจในการสร้างเว็บฟิชชิ่งปลอมเพื่อหลอกชาวอินโดฯ ด้วยกันเอง เมื่อเร็วๆ นี้ ไซแมนเทคสังเกตุเห็นว่ามีการปลอมเฟชบุ๊คสำหรับผู้ใหญ่โดยมุ่งเป้าที่ผู้ใช้ชาวอินโดนีเซีย เว็บฟิชชิ่งดังกล่าวโฮสต์อยู่บนบริการเว็บโฮสต์ติ้งฟรี
เว็บฟิชชิ่งนี้บอกว่ามีแอพพลิเคชันที่ช่วยให้ผู้ใช้สามารถดูวิดีโออนาจารของเซเล็บชาวอินโดฯที่ดังมากได้ โดยอ้างว่าวิดีโอนี้ ได้มาจากการแอบถ่ายผ่านกล้องที่ซ่อนไว้ในห้องโรงแรม และเมื่อผู้ใช้หลวมตัวล็อกอินก็จะเข้าไปสู่หน้าแอพพลิเคชันปลอม และเพื่อให้ดูน่าเชื่อถือ ก็จะมีการอ้างว่าแอพพลิเคชันนี้มาจากทีมงานที่ให้บริการของเฟซบุ๊ค ซึ่งในหน้าฟิชชิ่งก็จะมีการโชว์ภาพสไลด์ของเซเล็บชาวอินโดฯที่ว่า ซึ่งภาพจะให้ความรู้สึกว่าเป็นภาพสกรีนช็อตของวิดีโออนาจารที่อยู่ในแอพพลิเคชันปลอม โดยมีภาพเคลื่อนไหวประเภทภาพอนาจารเป็นตัวล่อให้ผู้ใช้ติดกับ ซึ่งถ้ามองอีกแง่ก็คือ เว็บไซต์เฟซบุ๊คของจริงไม่มีแอพพลิเคชันสำหรับผู้ใหญ่ประเภทดังกล่าวอยู่แล้ว ซึ่งนี่ก็เป็นการจัดฉากขึ้นเพื่อหวังขโมยข้อมูลนั่นเอง
ไซแมนเทคก็ได้มีการแจ้งเตือนไปยังเฟซบุ๊คถึงเรื่องดังกล่าว และเฟซบุ๊คก็ได้ทำการบล็อก URL เรียบร้อยแล้ว โดยเฟซบุ๊คดำเนินการบล็อกลิงก์ที่เชื่อมไปยังไซต์ที่โดนระบุว่าเป็นไซต์หลอกลวง (เช่น เว็บฟิชชิ่ง หรือเว็บไซต์ที่มีมัลแวร์อยู่) ไม่ให้มีการแชร์การใช้งานร่วมกับเว็บไซต์ดังกล่าว และร่วมกับบุคคลที่สามเพื่อเอาไซต์เหล่านี้เข้าแบล็คลิสต์ประเภทเบราเซอร์ รวมถึงเอาออกไปจากบริการเว็บโฮสต์ติ้ง