ระวังภัย พบอีเมลหลอกลวง (Phishing) มุ่งโจมตีหน่วยงานภาครัฐในประเทศไทย

เตือนภัย! แฮกเกอร์ป่วน! ส่งอีเมลหลอกหลวง (Phishing) จู่โจมหน่วยงานรัฐหลายแห่ง พบมีเหยื่อคลิกลิงค์นี้แล้วเกือบ 1,000 ครั้ง ในเวลาเพียง 2 วัน เตือน!! รีบเปลี่ยนพาสเวิร์ดทันทีก่อนถูกล้วงข้อมูลสำคัญ

ThaiCERT หรือ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ได้รับแจ้งจากหน่วยงานในเครือข่ายว่ามีผู้ได้รับอีเมลหลอกลวงหรือ Phishing ให้คลิกลิงค์ ซึ่งนำเข้าไปยังหน้าเว็บไซต์ที่มีการสอบถามข้อมูลส่วนตัว โดย ThaiCERT ได้เร่งตรวจสอบความผิดปกติ พร้อมให้คำแนะนำอย่างเร่งด่วนในการป้องกันและแก้ไขปัญหา รวมถึงเร่งเตือนภัยประชาชนมิให้หลงเชื่ออีเมลหลอกลวง (Phishing) โดยพบว่า มีผู้ที่ตกเป็นเหยื่อของอีเมลหลอกลวงดังกล่าวเป็นจำนวนมาก และอาจส่งผลกระทบร้ายแรงต่อผู้ที่หลงเชื่อกรอกข้อมูลสำคัญในการล็อกอินเข้าใช้งานบริการต่างๆ เช่น ระบบอีเมล ทั้งยังอาจถูกนำไปใช้เป็นเครื่องมือกระทำความผิด เช่น แพร่กระจายอีเมลหลอกลวงหรือโปรแกรมมัลแวร์อันตราย

โดยจากการตรวจสอบทางสถิติโดยใช้เครื่องมือของ Google เฉพาะวันที่ 13 กุมภาพันธ์ พ.ศ.2558 มีผู้ใช้ในประเทศไทยคลิกลิงค์นี้แล้วมากกว่า 600 ครั้ง ทั้งยังมีข้อสังเกตที่พึงระวังว่าหน่วยงานภาครัฐหลายแห่งตกเป็นเป้าหมายการโจมตีครั้งนี้ ซึ่งอาจจะเป็นความตั้งใจของแฮกเกอร์ผู้โจมตีที่มุ่งเจาะข้อมูลของบุคลากรในหน่วยงานรัฐ ใช้เป็นเครื่องมือในการแพร่กระจายอีเมลหลอกลวงไปยังประชาชน ซึ่งอาจส่งผลให้ประชาชนเชื่อและถูกหลอกให้กรอกข้อมูลต่อๆ กันไปได้

ตัวอย่างเนื้อหาอีเมลที่ผู้ถูกหลอกลวงได้รับ

นอกจากนี้ ยังพบว่ามีอีเมลบางฉบับที่ระบุต้นทางของผู้ส่งอีเมลมาจากไอพีในประเทศไนจีเรีย โดยมีจุดสังเกตอยู่ที่เนื้อหาในอีเมลมีลักษณะคล้ายกับการใช้โปรแกรมแปลภาษา รวมถึงมีอีเมลที่ถูกส่งผ่านเซิร์ฟเวอร์ของหน่วยงานรัฐบาลของต่างประเทศ เช่น เวียดนาม และ บราซิล โดยเบื้องต้นคาดว่า เมื่อจู่โจม เข้าถึงข้อมูลสำเร็จผู้ไม่หวังดีจะใช้อีเมลของเหยื่อส่งอีเมล์ Phishing ต่อไปอีก ทั้งยัง มีความเสี่ยงที่ผู้ไม่หวังดีจะใช้ข้อมูลส่วนบุคคลที่ขโมยจากเหยื่อกระทำความผิดอื่นๆ ได้ด้วย

หน้าเว็บ Phishing ที่สร้างไว้หลอกลวงผู้ใช้งานให้ทำการอัปเดตข้อมูลสำคัญต่างๆ เช่น อีเมล บัญชีผู้ใช้ และรหัสผ่าน

ThaiCERT จึงได้ประสานไปยังผู้ให้บริการที่เกี่ยวข้อง และหน่วยงานในเครือข่ายต่างประเทศเพื่อระงับหน้าเว็บ Phishing และลิงค์หลอกลวง รวมถึงแจ้งเตือนไปยังหน่วยงานภาครัฐของไทย เพื่อให้รับทราบสถานการณ์และทำการตรวจสอบแก้ไขปัญหาในส่วนนี้แล้ว ทั้งนี้ ThaiCERT ขอแนะวิธีป้องกันและแก้ไข ดังนี้

1. อย่าหลงเชื่ออีเมลหลอกลวงที่ต้องการให้เปลี่ยนพาสเวิร์ด หรือให้อัปเดตข้อมูลส่วนบุคคล หากไม่แน่ใจว่าเป็นอีเมลที่มาจากใคร ให้รีบปรึกษาผู้ดูแลระบบ หรือสอบถามกับผู้ที่ส่งข้อมูลมาในช่องทางอื่นๆ กลับไปอีกครั้ง เพื่อยืนยันความถูกต้องก่อนดำเนินการใดๆ
2. หากผู้ใช้งานเคยหลงให้ข้อมูลไปยังหน้าเว็บ Phishing ดังกล่าวแล้ว ให้รีบทำการเปลี่ยนข้อมูลพาสเวิร์ดบัญชีนั้นๆ ในทันที รวมถึงตรวจสอบความผิดปกติในส่วนอื่นๆ เช่น ส่วนการกู้คืนข้อมูล อาจมีการถูกเปลี่ยนแปลงไปเป็นข้อมูลของผู้ไม่หวังดี เป็นต้น
3. หากเป็นไปได้ ผู้ดูแลระบบควรทำการบล็อกการเชื่อมต่อระหว่างผู้ใช้งานในเครือข่ายกับ Phishing URL ดังกล่าว ตามรายการต่อไปนี้ http://goo.gl/B7YLSZ และ http://www.form2pay.com/publish/publish_form/163363
4. แจ้งเตือนและเผยแพร่แนวทางป้องกันนี้ให้กับผู้ที่เกี่ยวข้อง เพื่อลดโอกาสเสี่ยงจากการตกเป็นเหยื่อของการหลอกลวงดังกล่าว

สถิติการคลิกลิงก์จำแนกตามประเทศและโดเมน เมื่อวันที่ 12 ส.ค. 2557 เวลา 9:30 น.

สำหรับรูปแบบลักษณะในการโจมตีครั้งนี้คือ เหยื่อหรือผู้ใช้งานอีเมลจะได้รับอีเมลหัวข้อ “ปรับปรุงเว็บเมล” จากผู้ที่ใช้ชื่อ “ผู้ดูแลระบบเว็บเมล” ซึ่งมีเนื้อหาชักจูงให้เหยื่อคลิกลิงค์ http://goo.gl/B7YLSZ (ซึ่งลิงค์ลักษณะนี้ เป็นบริการที่ Google เปิดให้ใช้เพื่อย่อ URL ให้สั้นลง หรือที่เรียกว่า Short URL) เมื่อคลิกลิงค์นี้แล้ว จะมีการเชื่อมต่อไปยังเว็บไซต์ http://www.form2pay.com/publish/publish_form/163363 ซึ่งเป็นเว็บไซต์ให้บริการสร้างแบบฟอร์มออนไลน์ ที่เป็นหน้าเว็บ Phishing ของผู้ไม่หวังดีได้สร้างขึ้นเพื่อหลอกลวง โดยให้กรอกข้อมูลส่วนบุคคล ได้แก่ ชื่อเต็ม ที่อยู่อีเมล ชื่อผู้ใช้ รหัสผ่าน และหากผู้ใช้งานหลงเชื่อกรอกข้อมูลดังกล่าวก็จะส่งข้อมูลส่วนตัวไปให้ผู้ไม่หวังดีทันที

“ทาง ETDA โดย ThaiCERT จะดำเนินการตรวจสอบและป้องกันอย่างต่อเนื่อง พร้อมแจ้งข้อมูลเพิ่มเติมให้ทราบถึงสถานการณ์ต่อไปค่ะ หรือสามารถติดตามได้ทางเว็บไซต์ของ ThaiCERT  https://www.thaicert.or.th/”

หมายเหตุ :
Phishing คือ คำที่ใช้เรียกเทคนิคการหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอม เพื่อให้ได้มาซึ่งข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่นๆ เพื่อนำข้อมูลที่ได้ไปใช้ในการเข้าถึงระบบนั้นๆ โดยไม่ได้รับอนุญาต หรือสร้างความเสียหายในด้านอื่นๆ เช่น ด้านการเงิน เป็นต้น โดยคำว่า Phishing เป็นคำพ้องเสียงจากคำว่า Fishing ซึ่งหมายถึงการตกปลา หากจะเปรียบเทียบง่ายๆ คือ เหยื่อล่อที่ใช้ในการตกปลา ก็คือกลวิธีที่ผู้โจมตีใช้ในการหลอกลวงผู้เสียหาย ซึ่งเหยื่อล่อส่วนใหญ่ในการหลอกลวงแบบ Phishing มักจะเป็นการปลอมอีเมล หรือปลอมหน้าเว็บไซต์ ที่มีข้อความซึ่งทำให้ผู้เสียหายอ่านแล้วหลงเชื่อ

อ้างอิง [1] บทความแจ้งเตือน “ระวังภัย พบอีเมลหลอกลวง (Phishing) มุ่งโจมตีหน่วยงานภาครัฐในประเทศไทย” (https://www.thaicert.or.th/alerts/user/2015/al2015us003.html)