ไซแมนเทครายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนมิถุนายน 2554
การระบาดของวิดีโอลวงไปสู่อีเมลขยะขายยาและการหลอกลวงเรื่องคืนภาษีกลายเป็นยุทธวิธีหลักของเหล่าสแปมเมอร์
แม้ว่าเดือนที่ผ่านมาจะไม่เกิดเหตุการณ์สำคัญๆ ขึ้น แต่ก็ไม่ได้ทำให้เหล่าสแปมเมอร์หยุดที่จะโจมตีเหยื่อบนเครือข่ายไซเบอร์ ยุทธวิธีใหม่ที่นำมาใช้คือวิดีโอลวงที่หลอกเหยื่อเข้าชมแล้วนำพาไปสู่การขายยานานาชนิด และการหลอกลวงเรื่องการคืนภาษีซึ่งทั้งสองเรื่องกลายเป็นหัวข้อสำคัญของรายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนมิถุนายน
นายนพชัย ตั้งไตรธรรม ผู้อำนวยการฝ่ายเทคนิค บริษัท ไซแมนเทค ประเทศไทย เปิดเผยว่า “ผลกระทบจากการปิดตัวของบอตเน็ตในช่วงหลายเดือนที่ผ่านมา ยังคงส่งผลต่อภาพรวมของสถานการณ์ในแง่ของปริมาณอีเมลขยะ ซึ่งหลังจากลดลง 5.35% ในเดือนเมษายนและปริมาณโดยเฉลี่ยต่อวันลดลงเพิ่มขึ้นอีก 10.02% ในเดือนพฤษภาคมที่ผ่านมา เทียบกับช่วงเดียวกันนี้ในปีที่แล้วลดลงถึง 70.65% ซึ่งโดยรวมแล้วอีเมลขยะถือเป็น 72.14% ของข้อความทั้งหมดที่เกิดขึ้นในเดือนพฤษภาคม เทียบกับในเดือนเมษายนที่คิดเป็นสัดส่วน 74.81% และเพื่อให้เห็นภาพย้อนหลังไปนานกว่านั้นสัดส่วนดังกล่าวเคยมีมากถึง 89.81% ในเดือนพฤษภาคมปีที่แล้ว
อย่างไรก็ตาม ก็ไม่ได้หมายความว่าสแปมเมอร์จะวางมือกันไปหมดแล้ว จากรายงานของเดือนมิถุนายนมุ่งจับตามองที่อีเมลขยะขายยาที่มาในสองรูปแบบทั้งที่เป็นบริการแชร์วิดีโอออนไลน์และเว็บไซต์สารานุกรมออนไลน์อย่าง Wikipedia นอกจากนั้นจากการวิเคราะห์ในส่วนของหัวข้อของอีเมลขยะในเดือนพฤษภาคม พบว่าอีเมลขยะที่มีเนื้อหาลามกยังคงแพร่หลายอยู่
ภาพรวมของการคุกคามในรูปแบบฟิชชิ่งเพิ่มขึ้น 6.67% ซึ่งเพิ่มขึ้นทั้งแบบที่สร้างขึ้นจากเครื่องมืออัตโนมัติและโดเมนที่มีลักษณะเฉพาะเทียบกับเดือนที่ผ่านมา เว็บไซต์ฟิชชิ่งที่สร้างจากเครื่องมืออัตโนมัติมีจำนวนเพิ่มขึ้น 24.82% ในขณะที่แบบ URL เฉพาะนั้นเพิ่มเพียงเล็กน้อย 0.26% เว็บไซต์ฟิชชิ่งแบบที่มีที่อยู่ไอพี (ตัวอย่างเช่น
http://255.255.255.255) ยังคงเพิ่มขึ้น 14.93% ส่วนบริการโฮสติ้งคิดเป็น 9% ของฟิชชิ่งทั้งหมดซึ่งลดลง 17.66% จากเดือนที่แล้ว จำนวนของเว็บไซต์ฟิชชิ่งที่เป็นภาษาอังกฤษเพิ่มขึ้น 17.73% ซึ่งต่างจากเมื่อเดือนพฤษภาคมที่เว็บฟิชชิ่งภาษาอื่นๆ อย่าง ภาษาโปรตุเกส ฝรั่งเศส อิตาลีและสเปน ระบาดอย่างหนัก
ประเด็นที่น่าจับตามองในรายงานประจำเดือนมิถุนายน 2554 ได้แก่
• การคลิกดูวิดีโอออนไลน์ที่พาไปสู่อีเมลขยะขายยา
• สารบัญออนไลน์มีทุกอย่าง ไม่เว้นกระทั่งอีเมลขยะ
• ฟิชเชอร์ย้อนกลับไปหลอกลวงด้วยเรื่องการคืนภาษี
• การรับบริจาคจอมปลอมเพื่อช่วยผู้ประสบภัยในญี่ปุ่น
• การวิเคราะห์หัวข้ออีเมลขยะ ประจำเดือนพฤษภาคม 2554
วิดีโอออนไลน์นำพาไปสู่อีเมลขยะขายยา
ข้อความในอีเมลขยะที่โฆษณาขายเวชภัณฑ์เป็นสิ่งที่พบเห็นเป็นเรื่องปกติของการโจมตีด้วยอีเมลขยะในช่วงสองสามปีที่ผ่านมา เวชภัณฑ์เหล่านี้โฆษณาชวนเชื่อให้กับผู้ซื้อผ่านทางอีเมลขยะด้วยเทคนิคสร้างความสับสนหลายรูปแบบ และไซแมนเทคตรวจพบการเพิ่มขึ้นของอีเมลขยะที่โฆษณาขายเวชภัณฑ์เหล่านี้แฝงไปกับเว็บไซต์แชร์วิดีโอออนไลน์ชื่อดัง
ตัวอย่างของที่มาและหัวข้อที่พบจากการโจมตีของอีเมลขยะ ด้านล่าง
From: [REMOVED] Service <service@[REMOVED].com>
Subject: [REMOVED] Administration sent you a message: Your video on the TOP of [REMOVED]
Subject: [REMOVED] Service sent you a message: Best Unrated Videos To Watch
Subject: [REMOVED] Support sent you a message: Your video has been removed due to terms of use violation
ในหัวข้ออีเมลนี้ สแปมเมอร์พยายามจู่โจมโดยอาศัยความอยากรู้ของเหยื่อ ซึ่งข้อความนั้นพยายามที่จะดึงดูดเหยื่อว่าเป็นวิดีโอที่ได้รับความนิยมหรือหลอกเหยื่อว่าวิดีโอนั้นๆ ได้ถูกลบออกไปแล้วเนื่องจากมีเนื้อหาเกี่ยวกับความรุนแรง ตัวหนังสือที่รวมทั้งลิงค์ URL ในตัวเนื้อความ ซึ่งจะปรากฏรูปแบบของการกระทำแบบนี้ในทุกครั้งที่เกิดการแพร่กระจายของอีเมลขยะ และใน URL ที่ปรากฏบนเนื้อความดังกล่าวจะเป็นการเชื่อมไปยังเว็บไซต์แชร์ไฟล์วีดีโอซึ่งที่อยู่จริงของ URL เหล่านั้นเป็นโดเมนที่ถูกปล้นมาทั้งนั้น เมื่อคลิกไปที่ URL ดังกล่าวก็จะเป็นการเชื่อมไปยังหน้าเพจของร้านขายยาสัญชาติแคนาดาที่เป็นชื่อโดเมนที่มีแสปมเมอร์เป็นเจ้าของ โดยพบว่าบางโดเมนถูกจดทะเบียนในรัสเซียและฝรั่งเศส แม้ว่าในอีเมลดังกล่าวจะมีลิงก์สำหรับให้ผู้รับแจ้งสแปมแต่ก็เป็นลิงก์ที่เชื่อมไปยังหน้าเวบเพจขายยาเหมือนเดิม
เลขที่อยู่ IP ที่ปรากฏอยู่ในการโจมตีนั้นเป็นส่วนหนึ่งของบอตเน็ตและได้ถูกขึ้นบัญชีดำไว้แล้วจากการเกี่ยวข้องของการแพร่กระจายอีเมลขยะในครั้งก่อนๆ เราเชื่อว่าอีเมลดังกล่าวถูกส่งด้วยเครือข่ายบอตเน็ตหลายแห่ง นำมาซึ่งการกระจายสแปมในจำนวนมหาศาล
สารบัญออนไลน์มีทุกอย่าง ไม่เว้นกระทั่งอีเมลขยะ
ในปีที่แล้วสแปมเมอร์ตั้งเป้าที่จะใช้สารานุกรรมออนไลน์อย่าง Wikipedia เพื่อส่งออกอีเมลขยะจำนวนมากที่จะตรงเข้าหาเหยื่อที่หลงเข้ามาในเว็บไซต์ดังกล่าวที่ได้ปลอมขึ้นมา Global Intelligence Network ของไซแมนเทคตรวจพบการใช้เทคนิคในการหลอกลวงแบบใหม่ ที่พุ่งเป้าไปที่การใช้ชื่อของ Wikipedia ในการโฆษณาขายผลิตภัณฑ์ยาปลอม ซึ่งในส่วนของหัวข้อที่ใช้ในการโจมตีจะมีหลายรูปแบบที่จะถูกสุ่มขึ้นมาใช้และในส่วนของช่องผู้ส่งก็จะเป็นชื่อปลอมหรือเป็นบัญชีที่ขโมยมาจากผู้ให้บริการอินเทอร์เน็ต เพื่อหลอกลวงเหยื่อว่านี่คืออีเมลที่ถูกส่งจากผู้ใช้จริงๆ
ตัวอย่างของหัวข้อที่ถูกใช้ในการส่งอีเมลขยะออกไป
Subject: wWIKIp
Subject: kWIKIx
Subject: yWIKIg
Subject: hWikiPharmacyl
Subject: oWikiPharmacyp
Subject: uWikiPharmacym
จากรูปแสดงให้เห็นว่าสแปมเมอร์โฆษณาเวชภัณฑ์ลดราคาด้วยหน้าตาที่คล้ายกับเว็บไซต์ Wikipedia ซึ่งหน้าเว็บเพจดังกล่าวยังแสดงตัวตนว่าเป็น “WikiPharmacy” ซึ่งปริมาณการระบาดครั้งล่าสุดที่เกิดขึ้นมีจำนวนมากพอสมควร ซึ่งในปัจจุบันปฏิเสธไม่ได้ว่า Wikipedia ได้รับความนิยมอย่างมากรวมถึงเป็นที่รู้จักในวงกว้าง ทำให้ผู้ใช้อินเทอร์เน็ตต้องให้ความระวังและรอบคอบในการให้ข้อมูลกับเว็บไซต์ปลอมเหล่านี้
ต่อไปนี้เป็นตัวอย่างรูปแบบของ URL ที่ระบาดอยู่
http://sucullu.[REMOVED].net/wiki14.html
http://cinar. [REMOVED].org.tr/wiki14.html
http://jmleml. [REMOVED]].com/wiki14.html
http:// [REMOVED].com.br/wiki15.html
http:// [REMOVED].com/wiki15.html
http://web164892.web23. [REMOVED].net/wiki15.html
ผู้ใช้สามารถสังเกตจากส่วนของ “หัวข้อเรื่อง” ของอีเมลที่จะช่วยบ่งบอกได้ว่าเป็นอีเมลขยะหรือไม่ และระวังพวกที่จ้องจะหาโอกาสในการโจมตี และข้อปฏิบัติต่างๆ สามารถช่วยให้ผู้ใช้งานปลอดภัยจากการใช้งาน
ฟิชเชอร์ย้อนกลับไปหลอกลวงด้วยเรื่องการคืนภาษี
กรมสรรพากรของประเทศอินเดียได้ประกาศเปลี่ยนแปลงกำหนดเวลาในการขอคืนภาษีประจำปี 2010-2011 ไปสิ้นสุดในวันที่ 31 กรกฎาคม 2554 ซึ่งเมื่อปีที่แล้วฟิชเชอร์ได้ทำการกระจายการฟิชชิ่งด้วยเรื่องของกำหนดเวลาการขอคืนภาษีประจำปี ซึ่งเป็นการขอคืนภาษีในปีปัจจุบัน ซึ่งเหล่าฟิชเชอร์ก็กลับมาเริ่มใช้วิธีการลวงเหยื่อด้วยวิธีดังกล่าวอีกครั้ง
สิ่งที่ฟิชเชอร์ลงมือทำไปก็คือ ปลอมตัวเป็นธนาคารชาติอินเดียที่มีข้อความเกี่ยวกับเรื่องของการขอคืนภาษี ขั้นตอนต่อไปคือการลวงให้เหยื่อเชื่อว่าจะจัดการคืนเงินภาษีให้ผ่านทางบัญชีธนาคารของเหยื่อ โดยที่เหยื่อสามารถที่จะเลือกให้คืนเงินดังกล่าวไปที่ธนาคารใดก็ได้ใน 8 แห่งเพียงแต่ให้ชื่อในการเข้าใช้และรหัสผ่าน ซึ่งเมื่อฟิชเชอร์หลอกลวงได้สำเร็จก็จะได้ข้อมูลส่วนตัวต่างๆ ของเหยื่อของธนาคารหลายแห่งจากการหลอกลวงเพียงครั้งเดียว นอกจากนั้น เว็บเพจดังกล่าวยังหลอกถามเลขบัตรเครดิตพร้อมเลขรหัสลับหลังจากที่เหยื่อกดตอบรับเรียบร้อยแล้ว เว็บไซต์ฟิชชิ่งยังกล่าวยังมีการแสดงข้อความแจ้งว่าได้รับเรื่องคำร้องในการขอคืนภาษีเรียบร้อยแล้ว หลังจากนั้นผู้ใช้จะถูกเชื่อมต่อไปยังหน้าเว็บจริงของธนาคารชาติอินเดีย ซึ่งหากใครที่ตกเป็นเหยื่อของเว็บไซต์ฟิชชิ่งนี้แล้ว สิ่งที่เหล่าฟิชเชอร์ขโมยไปก็คือ ข้อมูลที่เกี่ยวกับการเงิน
ไซแมนเทคได้ตรวจสอบไปที่ธนาคารชาติอินเดีย ในเรื่องของการส่งอีเมลไปสอบถามผู้ใช้ในการบอกข้อมูลที่เกี่ยวกับชื่อเข้าใช้และรหัสผ่านของบัญชีธนาคารหรือไม่ คำตอบของธนาคารชาติอินเดียคือ ไม่เคยสื่อสารกับผู้ใดเพื่อที่จะสอบถามเรื่องดังกล่าวเพื่อประโยชน์ใดๆ และทางธนาคารชาติอินเดียยังวิงวอนไปยังสาธารณะว่าอย่าได้ตอบสนองกับอีเมลดังกล่าวและอย่าได้ให้ข้อมูลเกี่ยวกับบัญชีธนาคารให้กับผู้ใดหรือเพื่อประโยชน์อันใด
เว็บไซต์ฟิชชิ่งดังกล่าวจะมาในรูปแบบที่อยู่เลข IP (เช่น hxxp://255.255.255.255) ซึ่งถูกโฮสต์อยู่ในเซนต์หลุยส์ สหรัฐอเมริกา ซึ่งเลขที่อยู่ IP ดังกล่าวยังเป็นที่อยู่ของเว็บไซต์ฟิชชิ่งของธนาคารอื่นๆ ของอินเดียซึ่งรวมถึงบริษัทให้สินเชื่อในการซื้อบ้าน
การรับบริจาคจอมปลอมเพื่อช่วยผู้ประสบภัยในญี่ปุ่น
หลายเดือนก่อนหน้าประเทศญี่ปุ่นประสบภัยพิบัติแผ่นดินไหว 9.0 ริกเตอร์และเกิดสึนามิเข้าทำความเสียหายหลายพื้นที่ของประเทศ เหล่าฟิชเชอร์ก็อาศัยสถานการณ์ดังกล่าวทันทีด้วยการ “รับบริจาคจอมปลอม” จากผู้ที่หวังช่วยเหลือ โชคไม่ดีที่เหล่าฟิชเชอร์ยังคงอาศัยเหตุการณ์นี้เพื่อที่จะหลอกรับเงินบริจาคจากเหยื่อจากการตรวจพบของเรา
ในการหลอกรับบริจาคฟิชเชอร์ปลอมเว็บไซต์เป็นองค์กรการกุศลและธนาคารเป็นเหยื่อล่อ ซึ่งตอนนี้มีการปลอมหน้าเว็บเป็นภาษาเยอรมันบอกว่าเป็นช่องทางการรับจ่ายเงินชื่อดังและหลอกถามข้อมูลผู้ใช้ซึ่งในเนื้อความภาษาเยอรมันแปลความได้ว่า “ประเทศญี่ปุ่นต้องการความช่วยเหลือ เพื่อสนับสนุนเบื้องต้นต่อผู้ประสบภัยแผ่นดินไหว ได้โปรดบริจาคทันที” และในเนื้อความยังมีภาพแผนที่ประเทศญี่ปุ่นเน้นไปที่พื้นที่ประสบภัยสองแห่ง แห่งแรก คือ เมืองใกล้กับโรงงานไฟฟ้านิวเคลียร์ ฟูกูชิมาและแห่งที่สองคือเมืองหลวงโตเกียว และแผนที่ยังแสดงศูนย์กลางของแผ่นดินไหวที่อยู่ใต้ทะเลใกล้กับชายฝั่งตะวันออกของประเทศญี่ปุ่น
หลังจากที่เหยื่อบอกข้อมูลไปหมดแล้ว จะถูกเชื่อมต่อไปยังหน้าเว็บไซต์จริงที่มีอยู่และยังสามารถทำกิจกรรมได้ต่อ โชคไม่ดีที่ผู้ใช้งานเหล่านั้นถูกหลอกเอาข้อมูลที่มีค่าไปให้ฟิชเชอร์ไปหมดแล้ว เนื่องจากข้อมูลที่เหยื่อถูกหลอกไปนั้นจะถูกถามจากบริการช่องทางชำระเงินบัญชีของเหยื่อนั้นเหมือนกับได้ข้อมูลบัตรเครดิตหรือบัญชีธนาคารไปด้วย ซึ่งถ้าตกเป็นเหยื่อของเว็บไซต์ฟิชชิ่งเหล่านี้ข้อมูลส่วนตัวทางด้านระบบการเงินจะถูกขโมยไปอย่างง่ายดาย โดยที่การโจมตีด้วยวิธีการฟิชชิ่งแบบนี้จะใช้เครื่องมือเพื่อใช้งานเพียงเลขที่อยู่ IP เดียวในการผนวกเอาที่อยู่โดเมนถึง 4 แหล่งเข้าด้วยกัน โดยที่ทั้งหมดจะถูกโฮสต์อยู่ในประเทศฝรั่งเศส
การวิเคราะห์หัวข้ออีเมลขยะ ประจำเดือนพฤษภาคม
ในเดือนพฤษภาคมที่ผ่านมา อีเมลขยะที่มีเนื้อหาลามกยังคงมีจำนวนมากที่สุดในด้านหัวข้อเรื่อง ส่วนการขายยาออนไลน์ซึ่งเดือนที่แล้วโดดเด่นอย่างมากกลับตกลงหนึ่งอันดับจากเดิมที่อยู่ในอันดับ 16