สวัสดีท่านผู้อ่านและผู้ติดตามบทความของดาต้าฟาร์มทู๊กกท่าน ช่วงนี้สถานการณ์บ้านเมืองเราก็อึมครึมพอๆกับฟ้าฝนเลยนะคะ สำหรับการระบาดอย่างหนักของไอ้เจ้า COVID-19 ที่ข่าวออกมาว่ามีคลัสเตอร์ใหม่ผุดขึ้นเรื่อยๆเลยยย ยังไงก็ขอให้ผู้อ่านทุกท่านรักษาสุขภาพ สวมแมส ล้างมือ เว้นระยะห่าง และอยู่บ้านหยุดเชื้อกันไปก่อนนะคะช่วงนี้..
วันนี้ผู้เขียนก็จะมาเขียนบทความเกี่ยวกับ phishing email ซึ่งเป็นทั้งการทำความเข้าใจ และขั้นตอนการทำจริงๆ ว่าเวลาที่เหล่าแฮคเกอร์ (Hacker) หรือผู้ไม่ประสงค์ดีเขาโจมตีด้วยวิธีการ phishing attack นี่มันง่าย ย ย หรือมันยาก ก ก ขนาดไหน ที่จะมาหลอกเอาข้อมูลของเราไปได้ รวมไปถึงวิธีป้องกันการโจมตีจาก phishing attack ซึ่งปัจจุบันนี้การโจมตีในรูปแบบนี้เป็นที่ Hot Hit กันมากกกก
Phishing (ฟิชชิง) ที่มันเป็นการพ้องหรือผันเสียงมาจาก “Fishing” ที่เรารู้ และเข้าใจว่ามันคือการ ตกปลา!! นั่นเองนะคะ แต่ Phishing ของ cyber crime มันคือ การล่อเหยื่อให้ปลามากินเหยื่อ !! ซึ่งการโจมจีแบบนี้ มีความอันตรายไม่แพ้การโจมตีจากไวรัสมัลแวร์เลยหล่ะค่ะ ลักษณะของการโจมตีแบบ Phishing จะเป็นการหลอกลวง หลอกล่อ (ให้เราตกใจ ตื่นเต้น ตื่นตระหนก) เรียกง่ายๆว่าใช้หลักจิตวิทยานั่นแหละ เพื่อขอข้อมูลที่สำคัญเช่น การขอรหัสผ่าน หรือหมายเลขบัตรเครดิต ด้วยวิธีการส่งข้อความผ่านทางอีเมล หรือสมัยนี้ที่เห็นบ่อยก็คือส่งผ่าน SMS
แต่วันนี้ผู้เขียนขอยกตัวอย่างเป็นการทำ Email Phishing ก่อนก็แล้วกันนะคะ มาดูกันเลยว่าทำไมวิธีนี้ถึงหลอกกันได้ง่ายดาย เริ่มจากผู้เขียนจะสมมุติตัวเองว่าเป็นผู้ไม่ประสงค์ดี โดยทำการติดตั้ง Phishing Server ก่อนเป็นอันดับแรกกก (บทความนี้ใช้ประกอบการศึกษาเพื่อเรียนรู้ขั้นตอนการโจมตีและป้องกันเท่านั้นนะคะ อย่าเอาไปทำเพื่อหลอกลวงเอาข้อมูลคนอื่นน้า ผิดกฎหมายน้า)
ขั้นแรกผู้เขียนก็จะต้องทำการติดตั้ง Go Phish ซึ่งเป็นเครื่องมือ Open-Source เพื่อทำเป็น Phishing Server กันก่อนนน แต่วิธีติดตั้งนั้นผู้เขียนขอข้ามในส่วนนี้ไปนะคะ เนื่องจากจะทำให้บทความยาวเกินความจำเป็น ฮร่าๆ เมื่อเราติดตั้งเสร็จเรียบร้อยเราจะพบหน้า Login พอเรากด Login เข้าไปก็จะพบกับหน้า Dashboard ประมาณนี้
ถัดมาผู้เขียนก็ต้องทำการตั้งค่า Account ที่เราจะใช้ส่งอีเมล์ก่อนน ซึ่งขั้นตอนก็ไม่ยุ่งยาก ไปที่เมนู Sending Profiles คลิก New Profile แล้วทำการใช้ข้อมูล SMTP serve ของผู้เขียนลงไป หลังจากใส่เรียบร้อยก็ทดสอบส่งโดยการกดที่ Send Test Email หากเราตั้งค่าถูกต้องก็จะขึ้น “Email Sent!” พร้อมกับเมล์เข้าที่ปลายทาง .. เป็นอันว่าเราตั้งค่า email account ที่จะใช้ในการส่งไปล่อเหยื่อเรียบร้อยแล้วนะคะ
ถัดมาอีกผู้เขียนก็มาทำตั้งค่า Email Templates กันบ้าง ซึ่งในที่นี้ผู้เขียนขอจำลองเป็นอีเมล์จากโครงการ ม.33 เรารักกัน มาดูวิธีการสร้าง Template กันต่อค่ะ ผู้เขียนก็ทำการคลิกที่ Email Templates กด new template พร้อมทั้งตั้งชื่อ Template และ ตั้ง Subject email ที่จะทำการส่งไปที่หาปลายทางที่เนียนที่สุด ..
เมื่อเราได้ email template มาแล้ว เราก็ต้องทำการสร้าง Landing pages หรือหน้าที่เอาไว้หลอกให้เหยื่อมากรอกข้อมูลนั่นแหละนะคะ ผู้เขียนกดที่เมนู Landing Pages กด new page ซึ่งตัวอย่างนี้ ผู้เขียนจะสร้างขึ้นมาให้สอดคล้องกับ email template ที่สร้างก่อนหน้านี้
ถัดมาถึงขั้นตอนเกือบสุดท้ายแล้ววนะคะ คือเราต้องทำการเพิ่ม email ของเหยื่อก่อน ไปที่ เมนู Users & Groups กด new group ตั้งชื่อ Group ใส่รายละเอียดชื่อ นามสกุล (ถ้ามี) แต่ในบทความนี้ผู้เขียนจะไม่ใช้ข้อมูลชื่อ-นามสกุล ดังนั้นจะใส่แค่อีเมล์ไปก่อนน ผู้เขียนทำการใส่อีเมล์ของตัวเองไปเพื่อทำการหลอกเอาข้อมูลตัวเอง ??
และสุดท้ายแล้ว ผู้เขียนจะไปสร้าง Campaigns เพื่อใช้ส่งจริงๆกันเลย ไปที่ Campaigns กด New Campaign ตั้งชื่อ campaign เลือก template , Landing page ,URL ,Sending Profile, Groups แล้วกด Launch Campaign ได้เลยค่ะ แล้วก็รอเหยื่อมาเปิดเมล์เท่านั้นเองง
ระหว่างนั้นผู้เขียนก็ไปดู Inbox พบว่ามีอีเมล์จากโครงการ ม.33 เข้ามาแล้ววว ลองนึกว่าถ้าเป็นเราเจออีเมล์แบบนี้ เราจะเปิดเพื่อดูเนื้อหาด้านในกันหรือไม่คะ แต่ในบทความนี้ผู้เขียนจะทำการเปิดอ่านเนื้อหาด้านในอีเมล์แล้วกลับไปดูที่ result ฝั่ง phishing server กันค่ะ
กลับมาดูที่ฝั่ง Phishing Server กันบ้าง จะเห็น Timeline ของเหยื่อแล้วว่ามีการเปิดอีเมล์และทำการ click link ที่ทางผู้เขียนจำลองขึ้นมาแล้วว
แต่เรายังไม่จบเท่านี้ เราจะทำการกรอกข้อมูลด้วย!! เพื่อดูว่าเมื่อเรากรอกไปแล้วผู้ไม่ประสงค์ดีนั้น เขาจะได้อะไรจากเราบ้างนะคะ
กลับมาดู Timeline ที่ฝั่ง Phishing Server กันต่อจะเห็นว่าเหยื่อมีการกรอกข้อมูลส่งมาให้เราแล้วนะคะ ดูได้จากสถานะ submitted data
เรามาดูกันดีว่าเราได้ข้อมูลอะไรจากเหยื่อบ้าง จากรูปด้านล่างเราจะเห็นข้อมูลรายละเอียด timeline และข้อมูลที่ผู้โชคร้ายของเรา ทำการกรอกเข้ามาเพื่อรับสิทธิ์ ม.33 ปลอมนะคะ … เป็นอันเสร็จสิ้นในส่วนของการสาธิตวิธีการการโจมตีผ่าน email แล้วนะคะ
เรามาดูในส่วนของวิธีการป้องกัน Email Phishing กันต่อดีกว่านะคะ ซึ่งวิธีการป้องกันและรับมือไม่ยากค่ะ แค่ทำตามขั้นตอนเหล่านี้ก็ช่วยได้แล้ววว
- อย่าเปิด และลบอีเมลจากผู้ส่งหรือต้นทางที่เราไม่รู้จัก
- ไม่เปิดลิงก์ที่แนบมาในอีเมล เนื่องจากมีโอกาสสูงมากกก ที่ท่านจะถูกหลอกเพื่อขโมยข้อมูล หรือลองนำเม้าส์ไปไปชี้ที่ลิงก์ก่อนก็ได้ค่ะว่าลิงก์ที่เราจะ Redirect ไปเป็น URL ที่ถูกต้อง หรือถูกต้ม ถ้าไม่มั่นใจลบทิ้งไปโลดค่ะ
- พยายามระวังอีเมลที่ให้เรากรอกข้อมูลส่วนตัวต่างๆ ไม่ว่าจะเป็นรหัสผ่าน ,ชื่อ-นามสกุล ,หมายเลขบัตรเครดิต ,เบอร์โทรศัพท์ หรือวันเดือน ปีเกิด
- สังเกตให้แน่ใจว่าเว็บไซต์ที่จะใช้งานนั้นเป็น HTTPS หรือไม่ ซึ่งป้องกันได้ระดับหนึ่ง ทั้งนี้ท่านก็ต้องตรวจสอบ URL ด้วยนะคะ
- ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนื่องจากการติดตั้ง Firewall นั้นสามารถช่วยยับยั้งไม่ให้ไวรัสโทรจันแอบส่งข้อมูลออกไปจากระบบได้ เมื่อเราเผลอไปดาวน์โหลดไฟล์อันตราย นอกจากนั้นควรหมั่นตรวจสอบการอัปเดตอยู่เสมอด้วยค่ะ
- หากเราเผลอไปกด แล้วมารู้ทีหลังว่าเป็นอีเมล์หลอกลวงให้รีบทำการเปลี่ยนแปลงรหัสซะ
- หากเป็นองค์กร ก็ควรทำการสร้าง Awareness ให้กับพนักงานเป็นประจำ โดยมีการอบรม Security Awareness Training พร้อมทั้งจัดทำ Email phishing simulation ทุกๆ 3–6 เดือน (ใส่ส่วนนี้ติดต่อ Datafarm ได้นะคะ 😊 ออก report สวยๆให้ด้วย แอบขายของ)
- จัดทำแผน BCP เพื่อรับมือกับเหตุการณ์ ตัวอย่างเช่น หากคนในองค์กรได้รับ Email Phishing และมีการดาวน์โหลดสคริปต์อันตรายหรือไวรัสมัลแวร์ (Ransomware)
จะเห็นได้ว่าวิธีการป้องกันนั้นไม่ยากเลยนะคะ แต่สิ่งที่สำคัญคือเราต้องมี Awareness หรือความตระหนักรู้นั่นเอง สำหรับวันนี้ผู้เขียนต้องขอจบบทความนี้เพียงเท่านี้นะคะ อย่าลืมดูแลตัวเองนะคะ สวมแมส ล้างมือบ่อยๆ เว้นระยะห่างค่ะ เราจะผ่านวิกฤตินี้ไปด้วยกันน สวัสดีค่ะ ^^
