ThaiCERT ไทยเซิร์ต - ระวังภัย พบอีเมลหลอกลวง (Phishing) มุ่งโจมตีหน่วยงานภาครัฐในประเทศไทย
Clear
Lead Graphic Papers

ระวังภัย พบอีเมลหลอกลวง (Phishing) มุ่งโจมตีหน่วยงานภาครัฐในประเทศไทย

วันที่ประกาศ: 12 กุมภาพันธ์ 2558
ปรับปรุงล่าสุด: 12 กุมภาพันธ์ 2558
เรื่อง: ระวังภัย พบอีเมลหลอกลวง (Phishing) มุ่งโจมตีหน่วยงานภาครัฐในประเทศไทย

ประเภทภัยคุกคาม: Phishing

Share on Facebook Share on Twitter Share on Google+

เมื่อวันที่ 11 กุมภาพันธ์ 2558 ไทยเซิร์ตได้รับแจ้งจากหน่วยงานในเครือข่ายว่ามีผู้ได้รับอีเมลหลอกลวงให้คลิกลิงก์ไปยังหน้าเว็บไซต์อื่นที่สอบถามข้อมูลส่วนบุคคล จึงขอให้ไทยเซิร์ตตรวจสอบความผิดปกติและให้คำแนะนำในการป้องกันและแก้ไขปัญหาดังกล่าว

ทีมงานไทยเซิร์ตได้ตรวจสอบแล้วพบข้อมูลเพิ่มเติมว่าอาจมีผู้เกี่ยวข้องที่ตกเป็นเหยื่อของอีเมลหลอกลวงดังกล่าวเป็นจำนวนมาก และอาจส่งผลกระทบร้ายแรง เนื่องจากอาจเป็นการหลอกลวงเพื่อให้ได้ซึ่งข้อมูลสำคัญในการล็อกอินเข้าใช้งานบริการต่างๆ เช่น ระบบอีเมล เป็นต้น

ปัจจุบันทางไทยเซิร์ตได้ประสานไปยังผู้ให้บริการที่เกี่ยวข้อง หน่วยงานในเครือข่ายต่างประเทศ รวมถึงแจ้งเตือนไปยังหน่วยงานภาครัฐของไทยจำนวนหนึ่ง เพื่อให้รับทราบสถานการณ์และทำการตรวจสอบแก้ไขปัญหาในส่วนนี้แล้ว อย่างไรก็ตามทางทีมงานจะแจ้งให้ทราบหากมีข้อมูลอัปเดตเพิ่มเติม ขอให้ผู้ใช้งานเข้ามาอัปเดตข้อมูลจากเว็บไซต์ไทยเซิร์ตอย่างต่อเนื่อง

ลักษณะการโจมตี

เหยื่อหรือผู้ใช้งานอีเมลได้รับอีเมลหัวข้อ “ปรับปรุงเว็บเมล์” จากผู้ที่ใช้ชื่อ “ผู้ดูแลระบบเว็บเมล์” ซึ่งมีเนื้อหาชักจูงให้เหยื่อคลิกลิงก์ http://goo.gl/B7YLSZ ดังรูปที่ 1 (goo.gl เป็นบริการที่ Google เปิดให้ใช้เพื่อย่อ URL) โดยลิงก์ดังกล่าวจะเชื่อมต่อไปยังเว็บไซต์ http://www.form2pay.com/publish/publish_form/163363 ซึ่งเป็นเว็บไซต์ให้บริการสร้างแบบฟอร์มออนไลน์


รูปที่ 1 เนื้อหาในอีเมลหลอกลวงที่ผู้ใช้งานได้รับ

ผลกระทบ

เหยื่อหรือผู้ใช้งานอีเมลที่หลงเชื่อคลิกลิงก์ดังกล่าว จะถูกพาไปยังหน้าเว็บ Phishing (หน้าเว็บเพจที่ผู้ไม่หวังดีสร้างขึ้นเพื่อหลอกลวง) ดังรูปที่ 2 โดยเป็นแบบฟอร์มสอบถามข้อมูลส่วนบุคคล ได้แก่ ชื่อเต็ม ที่อยู่อีเมล ชื่อผู้ใช้ และรหัสผ่าน และหากผู้ใช้งานหลงเชื่อกรอกข้อมูลดังกล่าวก็จะทำให้ข้อมูลส่วนตัวถูกส่งไปยังผู้ไม่หวังดีทันที

รูปที่ 2 หน้าเว็บ Phishing ที่สร้างไว้หลอกลวงผู้ใช้งานให้ทำการอัปเดตข้อมูลสำคัญต่างๆ เช่น อีเมล บัญชีผู้ใช้ และรหัสผ่าน

เมื่อตรวจสอบผลกระทบต่อผู้ใช้ในประเทศไทยจากสถิติของการคลิกลิงก์ดังกล่าว พบว่าผู้ไม่หวังดีทำการสร้างลิงก์ดังกล่าวไว้ตั้งแต่วันที่ 10 กุมภาพันธ์ พ.ศ.2558 โดยจากการตรวจสอบล่าสุด (ณ วันที่ 12 กุมภาพันธ์ พ.ศ.2558 เวลา 9.30 น.) มีผู้ใช้ในประเทศไทยคลิกลิงก์นี้แล้วถึง 285 ครั้ง และสามารถระบุแหล่งที่มาเบื้องต้นได้ โดยพบว่ามีการคลิกลิงก์มาจากหน่วยงานภาครัฐอย่างน้อย 7 หน่วยงานที่สามารถระบุแหล่งที่มา (ตรวจสอบจาก Referer) ดังรูปที่ 3

รูปที่ 3 สถิติการคลิกลิงก์จำแนกตามประเทศและโดเมน เมื่อวันที่ 12 ส.ค. 2557 เวลา 9:30 น.

ข้อแนะนำในการป้องกันและแก้ไข

  1. อย่าหลงเชื่ออีเมลหลอกลวงที่ต้องการให้เปลี่ยนรหัสผ่าน หรือให้อัปเดตข้อมูลส่วนบุคคล หากไม่แน่ใจว่าเป็นอีเมลที่มาจากใคร ให้รีบปรึกษาผู้ดูแลระบบ หรือสอบถามกับผู้ที่ส่งข้อมูลมาในช่องทางอื่นๆกลับไปอีกครั้ง เพื่อยืนยันว่าความถูกต้องก่อนดำเนินการใดๆ
  2. หากผู้ใช้งานอัปเดตข้อมูลไปยังหน้าเว็บ Phishing ดังกล่าวแล้ว ให้รีบเข้าทำการล็อกอินเพื่อเปลี่ยนข้อมูลรหัสผ่านบัญชีนั้นๆในทันที รวมถึงตรวจสอบความผิดปกติในส่วนอื่นๆ เช่น ส่วนการกู้คืนข้อมูล อาจมีการถูกเปลี่ยนแปลงไปเป็นข้อมูลของผู้ไม่หวังดี เป็นต้น
  3. หากเป็นไปได้ผู้ดูแลระบบควรทำการบล็อกการเชื่อมต่อระหว่างผู้ใช้งานในเครือข่ายกับ Phishing URL ดังกล่าว ตามรายการต่อไปนี้
    • http://goo.gl/B7YLSZ
    • http://www.form2pay.com/publish/publish_form/163363
  4. แจ้งเตือนและเผยแพร่แนวทางป้องกันนี้ให้กับผู้ที่เกี่ยวข้อง เพื่อลดโอกาสเสี่ยงจากการตกเป็นเหยื่อของการหลอกลวงดังกล่าว
Clear