ไซแมนเทครายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนกุมภาพันธ์ 2554
ฟิชชิ่ง ไฮเทค ใช้ระบบรักษาความปลอดภัยปลอม หลอกเหยื่อตายใจพร้อมขโมยข้อมูล
ในโลกของระบบเศรษฐกิจ กลุ่มประเทศบราซิล, รัสเซีย, อินเดียและจีน หรือที่เรียกว่า “BRIC” ในฐานะประเทศกลุ่มเศรษฐกิจใหม่ ในรายงานสถานการณ์อีเมลขยะและฟิชชิ่งฉบับเดือนนี้ เรากำลังมองว่ากลุ่มประเทศเหล่านี้อาจเป็นผู้นำ รายใหม่ในตลาดอีเมลขยะอีกหรือไม่ คำถามที่เกิดขึ้นคือ อีเมลขยะที่มาจากกลุ่มประเทศเหล่านี้เพิ่มขึ้นหรือลดลงจากปีที่แล้ว และมีประเทศไหนบ้างที่มีส่วนแบ่งตลาดของอีเมลขยะเพิ่มขึ้นหรือลดลง
อย่างที่ได้มีการคาดการณ์ไว้ในรายงานเดือนที่ผ่านมา จำนวนอีเมลขยะในแต่ละวันเพิ่มขึ้นเป็นครั้งแรกนับตั้งแต่ช่วงเดือนสิงหาคม 2553 เป็นต้นมา จำนวนอีเมลขยะในเดือนกุมภาพันธ์ เพิ่มขึ้นในแต่ละวันคิดเป็น 8.7 % โดยเฉลี่ย โดยในภาพรวมของเดือนกุมภาพันธ์ อีเมลขยะคิดเป็น 80.65% ของจำนวนข้อความทั้งหมด เมื่อเทียบกับเดือนมกราคมซึ่งตัวเลขอีเมลขยะยังอยู่แค่ 79.55%
นายนพชัย ตั้งไตรธรรม ผู้จัดการฝ่ายที่ปรึกษาด้านโซลูชัน บริษัท ไซแมนเทค คอร์ปอเรชัน เปิดเผยว่า ภาพรวมของฟิชชิ่งในเดือนนี้เพิ่มขึ้น 38.56% ซึ่งการเพิ่มขึ้นแบบมีนัยนี้ บางส่วนมาจากเว็บไซต์ฟิชชิ่งที่สร้างจากชุดเครื่องมืออัตโนมัติ ที่เพิ่มขึ้นประมาณ 50.33% และยูอาร์แอลที่มีลักษณะเฉพาะที่เพิ่มขึ้น 33.73% ทั้งนี้ เว็บไซต์ ฟิชชิ่งประเภทไอพีโดเมน (อย่างเช่น
http://255.255.255.255) ลดลงประมาณ 47.22% บริการเว็บโฮสติ้งคิดเป็น 13% ของฟิชชิ่งทั้งหมด –ซึ่งเพิ่มขึ้น 38.97% เมื่อเทียบกับช่วงเดือนก่อน ฟิชชิ่งไซต์ที่ไม่ใช่ภาษาอังกฤษมีจำนวนเพิ่มสูงขึ้นมากถึง 76.51% ในบรรดาเว็บไซต์ฟิชชิ่งที่ไม่ใช่ภาษาอังกฤษ พบเว็บฟิชชิ่งภาษาโปตุเกส, ฝรั่งเศส และสเปน มีสัดส่วนมากที่ที่สุดในเดือนกุมภาพันธ์
ประเด็นที่น่าจับตามองในรายงานประจำเดือนมีนาคม 2554 ได้แก่
o การตรวจสอบ อีเมลขยะในกลุ่มประเทศ BRIC
o รหัสผ่านเพื่อความปลอดภัยระบบสามมิติ สำหรับการเติมแอร์ไทม์มือถือ
o ฟิชชิ่งในคราบผู้ให้บริการบัตรเครดิต โดยใช้ SSL ปลอม
o การวิเคราะห์หัวข้ออีเมลขยะ ประจำเดือนกุมภาพันธ์
o จับตาดูอีเมลขยะในกลุ่มประเทศ BRIC
กลุ่มประเทศ BRIC ที่ประกอบด้วยประเทศ บราซิล, รัสเซีย, อินเดีย และจีน เป็นกลุ่มประเทศชั้นนำของตลาดใหม่ ประเทศเหล่านี้ มีอัตราการเติบโตค่อนข้างสูงในช่วงที่ผ่านมา และขณะเดียวกัน ยังมีอัตราการเติบโตของอินเตอร์เน็ตบรอดแบนด์สูงอีกด้วย ซึ่งการเติบโตของจำนวนการใช้งานอินเตอร์เน็ตบรอดแบนด์นี้ทำให้ประเทศเหล่านี้เสี่ยงต่อการโดนโจมตีด้วยบ็อตเน็ตผ่านทางเว็บ
เราจึงได้ตั้งคำถามว่า ประเทศเหล่านี้ มีจำนวนอีเมลขยะมากน้อยเพียงใด
ชาร์ตข้างบนแสดงให้เห็นเปอร์เซนต์ของการเกิดอีเมลขยะในแต่ละประเทศ ซึ่งชี้ให้เห็นถึงแนวโน้มหลักสามประการคือ
• ในภาพรวม กลุ่มประเทศ BRIC มีส่วนแบ่งในตลาดอีเมลขยะ ลดลงตลอดช่วง 15 เดือนที่ผ่านมา
• อีเมลขยะในบราซิลลดลงมากที่สุด
• ในทางกลับกัน รัสเซียมีส่วนแบ่งตลาดอีเมลขยะเพิ่มขึ้น
ในช่วง 15 เดือนที่ผ่านมา ประเทศในกลุ่มตะวันออกกลางและแอฟริกายังคงได้รับการจัดอันดับอย่างต่อเนื่องในการเป็นภาคพื้นที่มีอีเมลขยะมากที่สุดในโลก ในขณะที่อีกหลายๆ ประเทศในภูมิภาคดังกล่าวยังคงถูกจัดให้เป็นประเทศที่มีอีเมลขยะสูงสุด โดยมีประเทศหนึ่งที่มีส่วนแบ่งการตลาดที่เหนือกว่าประเทศอื่น
เนเธอร์แลนด์ ซึ่งเคยส่งอีเมล์ขยะคิดเป็น 2.3% ของจำนวนอีเมลขยะทั่วโลกในเดือนพฤศจิกายน ปี 2552 ตอนนี้มีปริมาณอีเมลขยะเพิ่มขึ้น5.3% ในเดือนกุมภาพันธ์ 2554 และเพิ่มขึ้นเป็น 6.3% ในเดือนมิถุนายน ปี 2553
o รหัสผ่านเพื่อความปลอดภัยแบบสามมิติ สำหรับการเติมแอร์ไทม์มือถือ
เป็นที่ทราบดีว่าผู้ทำฟิชชิ่งพัฒนากลยุทธ์ที่แตกต่างด้วยจุดมุ่งหมายที่ต้องการทำให้เหยื่อเชื่อว่าเว็บไซต์ฟิชชิ่งเป็น
เว็บไซต์จริงและปลอดภัย และเรายังเห็นอีกว่าเว็บไซต์ฟิชชิ่ง ในปัจจุบันมีการถามถึงหมายเลขรักษาความปลอดภัยแบบสามมิติ
อะไรคือ รหัสเพื่อความปลอดภัยแบบสามมิติ
หมายเลขรักษาความปลอดภัยแบบสามมิติ คือ รหัสผ่านที่เป็นที่รู้กันระหว่างธนาคารและผู้ซื้อ อีกนัยหนึ่งคือรหัสที่ใช้ระหว่างการทำธุรกรรม่ผ่านระบบออนไลน์ ซึ่งผู้ขายจะไม่รู้หมายเลขนี้ เนื่องจากหมายเลขดังกล่าวเป็นรหัสที่เพิ่มขึ้นมาต่างหาก โดยให้เฉพาะผู้ถือบัตรเพื่อไว้ใช้ในการทำธุรกรรมออนไลน์ได้อย่างปลอดภัย
การทำธุรกรรมออนไลน์หลายประเภท มักจะเกี่ยวข้องกับการใช้หมายเลขบัตรเครดิต บัตรเดบิต และตัวเลขที่อยู่หลังบัตร หากมีคนพบบัตรและทำสำเนาไว้หรือจดตัวเลขที่อยู่บัตรเหล่านี้ ก็จะทำให้ผู้ถือบัตรตกอยู่ในความเสี่ยงในการที่เงินจะถูกขโมยผ่านการทำธุรกรรมออนไลน์ การใช้รหัสผ่านในการสร้างความปลอดภับแบบสามมิติเพื่อป้องกันความเสี่ยงดังกล่าว เนื่องจากเป็นตัวเลขที่ไม่มีระบุอยู่บนบัตร ผู้ถือบัตรจะเป็นคนกรอกตัวเลขนี้เองเพื่อช่วยยืนยันตัวตนที่ถูกต้องระหว่างทำธุรกรรม
รหัสรักษาความปลอดภัยแบบสามมิติ ช่วยลดความเสี่ยงในสถานการณ์ที่มีผู้แอบนำหมายเลขบนบัตรไปใช้ อย่างไรก็ตาม หากผู้ใช้หลงกรอกหมายเลขรหัสรักษาความปลอดภัยแบบสามมิติไปในเว็บไซต์ฟิชชิ่ง เงินของผู้ใช้ก็ตกอยู่ในความเสี่ยงอยู่ดี ซึ่งฟิชเชอร์รู้เรื่องนี้เป็นอย่างดี จึงพยายามหาทางให้ผู้ใช้กรอกรหัสดังกล่าวพร้อมกับรายละเอียดต่างๆ ของบัตรลงในเว็บไซต์ฟิชชิ่งนั่นเอง
เมื่อเร็วๆนี้ ไซแมนเทคได้สังเกตพบตัวอย่างหนึ่งที่เว็บไซต์ฟิชชิ่งกระตุ้นให้ผู้ใช้กรอกรายละเอียดบัตรเครดิต พร้อมรหัสรักษาความปลอดภัยแบบสามมิติ สำหรับการทำธุรกรรมออนไลน์ โดยใช้เรื่องการซื้อแอร์ไทม์มือถือผ่านออนไลน์มาเป็นตัวล่อ โดยพุ่งเป้าไปที่ลูกค้าในตุรกีและหน้าเว็บฟิชชิ่งก็เป็นภาษาตุรกี ข้อมูลที่ต้องการคือ หมายเลขมือถือ, จำนวนแอร์ไทม์ที่ต้องการเติม, ชื่อธนาคาร, ชื่อผู้ถือบัตร, หมายเลขบัตรเครดิต, วันหมดอายุของบัตร, เลขสามตัวหลังบัตรเครดิต (CVV) และรหัสผ่านเพื่อรักษาความปลอดภัยแบบสามมิติ
เพื่อเพิ่มแรงจูงใจ หน้าเว็บฟิชชิ่งนำเสนอลูกค้าด้วยของรางวัลจากธนาคารสองแห่ง ที่มีมูลค่า10 เหรียญสหรัฐ ในทุกการซื้อที่มูลค่า 20 เหรียญสหรัฐ และเมื่อกรอกข้อมูลแล้ว ผู้ใช้จะถูกลิงค์ไปยังหน้าของเว็บฟิชชิ่ง ที่ถามรายละเอียดอื่นๆ เพิ่มเติม
ข้อมูลที่ถามในเว็บฟิชชิ่งในลำดับถัดมา ประกอบด้วย นามสกุลเดิม, วันเกิดของผู้ถือบัตร, หมายเลขบัญชีหรือรหัสผ่านของลูกค้าหรือแอคเคาท์นั้นๆ โดยหน้าฟิชชิ่งยังอ้างว่าหลังจากคลิ๊กปุ่มที่อยู่ด้านล่างของหน้านั้นแล้ว จะส่งรหัสผ่านมาให้ทางเอสเอ็มเอสทางมือถือของผู้ใช้ โดยอ้างว่าถ้าผู้ใช้ไม่กรอกข้อมูลให้ครบถ้วน ทางผู้ให้บริการจะไม่อนุมัติและไม่สามารถทำธุรกรรมได้ โดยจะมีข้อความอยู่ด้านท้ายแจ้งว่าการซื้อบัตรโดยใช้ระบบรักษาความปลอดภัยแบบสามมิติช่วยให้การทำธุรกรรมออนไลน์ปลอดภัย และระบบเข้ารหัสที่ให้ความปลอดภัยสูงยังช่วยป้องกันผู้ใช้ที่ไม่ได้รับอนุญาติ แน่นอนว่าการแสดงข้อความดังกล่าวก็เพื่อสร้างความเชื่อมั่นให้กับผู้ใช้นั่นเอง
หน้าที่สาม ของเว็บฟิชชิ่ง จะถามถึงรหัสผ่านที่อ้างว่ามีการส่งให้ทางเอสเอ็มเอส โดยในหน้าฟิชชิ่งยังมีการแจ้งลูกค้าว่าการส่งรหัสมาให้ทางเอสเอ็มเอสจะใช้เวลาประมาณหนึ่งถึงห้านาที และขอให้อย่างเพิ่งปิดหน้าดังกล่าว แน่นอนว่านี่เป็นเพียงกลลวงและผู้ใช้งานจะไม่ได้รับรหัสผ่านอย่างแน่นอน
ฟิชชิ่งประเภท ยูอาร์แอลจะใช้ไอพี โดเมน (เช่น โดเมนอย่าง
http://255.255.255.255) ซึ่งเว็บไซต์ฟิชชิ่งจะโฮสต์บนเซิร์ฟเวอร์ที่ตั้งอยู่ที่มลรัฐโคโรลาโด ในสหรัฐอเมริกา
o ฟิชชิ่งในคราบผู้ให้บริการบัตรเครดิต ที่ใช้ SSL ปลอม
ในเดือนกุมภาพันธ์ ไซแมนเทคได้สังเกตุพบการโจมตีฟิชชิ่งในวงกว้าง ไปที่แบรนด์ผู้ให้บริการบัตรเครดิตโดยมี
การใช้ URL ปลอมจำนวนมากในการโจมตี และใช้ Secure Socket Layer (SSL) ในการรักษาความปลอดภัย
อะไรที่ทำให้การโจมตีนี้มีความโดดเด่นเหนืออันอื่น
เว็บไซต์ ฟิชชิ่ง ทั่วไปมักไม่มีการใช้ SSL ในการสร้างเว็บไซต์ฟิชชิ่งที่มีการใช้ SSL ฟิชเชอร์อาจต้องสร้างใบรับรอง SSL ปลอมหรือขโมยใบรับรองจากเวบไซต์จริง ในการโจมตีครั้งหนึ่งมีการใช้ ฟิชชิ่ง URL นับร้อยที่มีการใช้ใบรับรอง SSL ปลอม สิ่งนี้เกิดขึ้นได้เพราะมีการโฮสต์ฟิชชิ่งไซต์บนไอพีเดียว แต่สามารถแปลงชื่อได้หลายโดเมน ดังนั้นแม้ว่าจะมีหลาย URL แต่เมื่อแปลงชื่อกลับมาจะเป็นเพียงไอพีเดียวซึ่งเป็นเวบเพจเดียวกัน อย่างไรก็ดีพบว่าใบรับรอง SSL ดังกล่าวได้หมดอายุการใช้งานไปแล้ว แต่ฟิชชิ่งเวบนำมาใช้เพื่อสร้างภาพและหลอกให้เหยือเชื่อว่าทำธุรกรรมแล้วจะปลอดภัย
o ตารางการวิเคราะห์หัวข้อเรื่องของอีเมลขยะ 10 อันดับยอดนิยมในเดือนกุมภาพันธ์ 2554 เทียบกับเดือนมกราคมที่ผ่านมา
โดยปกติข้อความอีเมลขยะประเภทหลอกเอาเงินล่วงหน้า มักมีการโจมตีที่น้อยกว่า ถ้าเทียบว่ามีการส่งข้อความในหัวข้อเดียวกันนับหลายล้านข้อความด้วยกัน ซึ่งสามารถอธิบายได้ว่าทำไมการโจมตีประเภทนี้ไม่ได้อยู่ในหัวข้อวิเคราะห์ข้างบน แม้ว่าในความเป็นจริงการโจมตีรูปแบบนี้เพิ่มขึ้น คิดเป็น 5% ในแต่ละเดือน ยังไงก็ตาม ไซแมนเทคยังสังเกตพบการโจมตีประเภทหลอกเอาเงินล่วงหน้า โดยอาศัยสถานการณ์ปัจจุบันมาใช้เป็นตัวล่อมากมายอยู่ดี
ทั้งนี้ จึงเรียนมาเพื่อพิจารณา โดยทางบริษัทฯ พร้อมที่จะสนทนาเกี่ยวกับประเด็นต่างๆ ในรายงานฉบับนี้หากท่านสนใจ
ขอแสดงความนับถือ
ไซแมนเทค คอร์ปอเรชั่น
เกี่ยวกับ ไซแมนเทค
ไซแมนเทค เป็นผู้นำระดับโลกด้านโซลูชันที่ช่วยสร้างความมั่นใจให้แก่องค์กร ทั้งในระดับเอ็นเตอร์ไพร์ซและองค์กรส่วนบุคคลในเรื่องการใช้งานข้อมูลร่วมกัน รวมถึงความพร้อมในการเรียกใช้และความปลอดภัยของข้อมูล โดยมีสำนักงานใหญ่อยู่ที่คิวเปอร์ติโน มลรัฐแคลิฟอร์เนีย และมีศูนย์ปฏิบัติการอยู่กว่า 40 ประเทศ รายละเอียดเพิ่มเติมสามารถเยี่ยมชมได้ที่
www.symantec.com