Phishing คือ
การโจมตีในรูปแบบของการปลอมแปลงอี-เมล์ (Email Spoofing) และทำการสร้างเว็บไซต์ปลอม เพื่อทำการหลอกลวงให้เหยื่อหรือผู้รับอี-เมล์เปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ (Username) และ รหัสผ่าน (Password) หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่นๆ
Phishing สามารถทำได้โดยการขโมยหรือนำเครื่องหมายหรือสัญลักษณ์ตลอดจนรูปลักษณ์ของธนาคารหรือสถาบันการเงินที่มีชื่อเสียง และบัตรเครดิตประเภทต่างๆของผู้ประกอบการ การให้สินเชื่อทางอินเตอร์เน็ต มาประกอบเข้ากับการหลอกลวงเหยื่อหรือผู้ใช้ให้เปิดเผยข้อมูล ซึ่งมีการประเมินเบื้องต้นว่า การโจมตีในรูปแบบของ phishing สามารถหลอกให้เหยื่อร้อยละ 5 ของทั้งหมด เปิดเผยข้อมูลที่ต้องการ นอกจากนี้ ผู้โจมตี (Hacker หรือ Spammer) ยังใช้ยุทธวิธีการหลอกลวงแบบ Social Engineering ประกอบเพิ่มเติม เพื่อให้มีความน่าเชื่อถือยิ่งขึ้น เช่น การหลอกลวงชื่ออี-เมล์ เป็นต้นว่า เป็นเรื่องด่วนจากธนาคาร การหลอกลวงว่าบัญชีที่ใช้งานจะหมดอายุ การเสนอสินค้าที่มีดอกเบี้ยต่ำต่างๆ เป็นต้น
เนื่องจากการโจมตีแบบ phishing ได้มีการแพร่ระบาดไปในหลายประเทศ ซึ่งทำให้คาดการณ์ได้ว่า อาจมีการแพร่เข้ามาในประเทศไทยในอีกไม่นานนี้ จึงมีความจำเป็นต้องแจ้งให้ประชาชนได้รับทราบถึงภัยที่มีความรุนแรงนี้
ระวังอี-เมล์หลอกลวง
การหลอกลวงให้ลูกค้าธนาคารหลงเชื่อว่ามีอี-เมล์มาจากธนาคาร แจ้งข่าวว่ามีการปรับปรุงฐานข้อมูล ทำให้ข้อมูลที่เกี่ยวกับลูกค้าบางส่วนสูญหาย จึงต้องขอให้ลูกค้ากรอกข้อมูลบัตรเครดิตเข้าไปใหม่ โดย อี-เมล์ดังกล่าวมีสัญลักษณ์ของธนาคารจริง มี URL ให้คลิกได้โดยมีชื่อโดเมนและ subdirectory เป็นจริงมาก ลูกค้าธนาคารที่คุ้นเคยกับ URL นี้จะพบว่าเหมือน URL ปกติที่ใช้งานจริง แต่เมื่อวิเคราะห์ตรวจสอบโดยละเอียดแล้ว พบว่าข้อความที่เป็น URL ที่ขีดเส้นใต้นั้น (http://web.da-us.citbank.com/signin/citifi/scripts/login2/user_setup/jsp) อันที่จริงได้มีการทำ hypertext link ไปที่
(http://web.da-us.citibank.com/citifi/scripts/@isapi100.info/index.htm) ซึ่งหมายถึงเว็บไซต์อื่นที่ไม่ใช่ของธนาคารนั้น แต่เป็น http://isapi100.info/ คาดหมายได้ว่าเป็นเว็บดักให้คนมากรอกข้อมูลบัตรเครดิต
คำแนะนำคือ หากมีอี-เมล์เช่นนี้มาถึงท่านและบังเอิญท่านใช้บริการบัตรเครดิตหรือ Internet Banking ของธนาคารนั้นอยู่ ท่านไม่ควรทำอะไรก็ตามที่อี-เมล์นั้นบอกมา ควรติดต่อธนาคารทางและสอบถามด้วยตัวท่านเอง สำหรับผู้ให้บริการ ISP ท่านอาจจะพิจารณาว่าจะสกัดเว็บเช่น isapi100.info หรือไม่ เพื่อป้องกันไม่ให้ลูกค้าของท่านถูกหลอกเอาข้อมูลบัตรเครดิต ตัวอย่าง phishing จากhttp://antiphishing.org/
กรณีตัวอย่างการใช้อี-เมล์หลอกลวงที่เกิดขึ้นมีดังนี้
1. ระวังอี-เมล์ : ตัวอย่างกรณีของลูกค้าธนาคาร 08-Apr-2004
Phishing นี้เป็นการปลอมแปลงเว็บไซต์ของธนาคารโดยมีการเชื่อมโยง link ไปยังเว็บไซต์อื่นๆ ซึ่งหลอกลวงลูกค้าธนาคาร มีลักษณะที่คล้ายคลึงเว็บไซต์ของธนาคารมาก มีการแจ้งกับลูกค้าธนาคารในการเปลี่ยนแปลงฐานข้อมูลและมีการให้ลูกค้าธนาคารกรอกข้อมูลใหม่ ทั้งนี้ข้อมูลต่างๆที่ลูกค้ากรอกใหม่ เช่น รหัสบัตรเครดิต ข้อมูลส่วนบุคคล บัญชีผู้ใช้(Username) รหัสผ่าน(Password)
ภาพที่ 1.1 แสดงการเชื่อมโยง link ไปยังเว็บไซต์อื่นๆ ซึ่งหลอกลวงลูกค้าธนาคาร มีลักษณะที่คล้ายคลึงเว็บไซต์ของธนาคารมาก
ภาพที่ 1.2 แสดงการให้ลูกค้าธนาคารกรอกข้อมูลใหม่ อาทิ เลขที่บัญชี และข้อมูลส่วนบุคคล เป็นต้น
รูปที่ 1. ตัวอย่าง phishing หลอกลวงลูกค้าของธนาคาร CityBank
2 . Visa "Visa Security Update " 22-Jan-2004
Phishing นี้เป็นอี-เมล์หลอกลวงว่าข้อมูลบัตรเครดิตของลูกค้าได้ถูกขโมยไปหรือใช้โดยผู้อื่น เพื่อเป็นการแก้ไขปัญหานี้ ให้ลูกค้าคลิกที่ปุ่ม continue เพื่อเข้าไปใส่ข้อมูลส่วนบุคคลของตนอีกครั้ง
รูปที่ 2. ตัวอย่าง phishing หลอกลวงว่าข้อมูลบัตรเครดิตของลูกค้า
ถูกนำไปใช้โดยผู้อื่นหรือเกิดการสูญหายและให้เข้าไปกรอกใหม่
3. eBay - "to users of eBay!" 13-Apr-2004
Phishing นี้เป็นการหลอกลวงลูกค้าของ eBay โดยแจ้งว่า eBay ไม่สามารถตรวจสอบข้อมูลของลูกค้าซึ่งอาจมีสาเหตุมาจากข้อมูลเปลี่ยนแปลงไปหรือไม่สมบูรณ์ จึงขอให้ลูกค้าคลิกตาม link เพื่อเข้าไปกรอกข้อมูลส่วนบุคคล ซึ่งรวมถึงข้อมูลบัญชีผู้ใช้(Username) และ รหัสผ่าน(Password) ด้วย
รูปที่ 3. ตัวอย่าง phishing หลอกลวงลูกค้าของ eBay ให้เข้าไปกรอกข้อมูลส่วนบุคคลของตน
รูปที่ 4. หน้าจอหลอกลวงให้ลูกค้าของ eBay เข้าไปกรอกข้อมูลส่วนบุคคลของตน
4. eBay "eBay Account Verification " 5-Dec-2003
Phishing นี้เป็นการหลอกลวงว่า eBay ประสบกับปัญหาการฉ้อโกงจากลูกค้าและทำให้ eBay ต้องขอข้อมูลเพิ่มเติมในส่วนของบัญชีธนาคารของลูกค้า และขอให้ลูกค้าคลิก link เข้าไป
รูปที่ 5. ตัวอย่าง phishing ที่หลอกลวงลูกค้าของ eBay ให้เข้าไปใส่ข้อมูลเกี่ยวกับบัญชีธนาคารของตน
รูปที่ 6. หน้าจอหลอกลวงเพื่อให้ลูกค้าของ eBay เข้าไปใส่ข้อมูลบัญชีธนาคารของตน
วิธีการป้องกันและรับมือกับการถูกโจมตีแบบ phishing
1. หยุดคิดและพิจารณาข้อมูลที่ได้รับทางอี-เมล์ หรือข้อมูลที่เข้าไปดูในเว็บไซต์ทุกครั้ง
2. ควรลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกหรือส่งข้อมูลใดทางเว็บไซต์ ต้องพิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่ามีตัวตนหรือมีการรับรองหรือไม่ หากไม่แน่ใจควรติดต่อไปยังเจ้าของเว็บไซต์หรือเจ้าของสถาบันการเงินดังกล่าว เพื่อสอบถามข้อมูลและยืนยันข้อมูลก่อนการดำเนินการใดๆ
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร หรือไม่ทราบว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ตลอดจนเว็บไซต์หรือไฟล์ที่ถูกส่งมาด้วยโปรแกรมสนทนาประเภทต่างๆ เช่น IRC, ICQ, MSN หรือ PIRCH เป็นต้น
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์ของท่านอยู่เสมอ
6. ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ผ่านทางอี-เมล์ ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)http://www.thaicert.nectec.or.th/mailinglist/register.php
แหล่งข้อมูลอ้างอิง
• http://www.antiphishing.org
• http://www.thaicert.nectec.or.th
________________________________________
วันศุกร์ที่ 13 สิงหาคม พ.ศ. 2553
Phishing คืออะไร
Phishing (ออกเสียงเหมือนคำว่า Fishing) คือ การหลอกลวงขั้นสูงทางอินเตอร์เน็ตในรูปแบบของการปลอมแปลง
อีเมล์ หรือข้อความที่สร้างขึ้นเพื่อหลอกให้เหยื่อเปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนตัวต่างๆ อาทิ ข้อมูลหมายเลขบัตรเครดิต หมายเลขประจำตัวผู้ใช้ (User Name) รหัสผ่าน (Password) หมายเลขบัตรประจำตัว
Phishing สร้างกลลวงอย่างไร
Phishing สามารถทำได้โดยการส่งอีเมล์ หรือข้อความที่อ้างว่ามาจากองค์กรต่างๆ ที่ท่านติดต่อด้วย เช่น บริษัทให้บริการ Internet หรือ ธนาคาร โดยส่งข้อความเพื่อขอให้ท่าน "อัพเดท" หรือ "ยืนยัน" ข้อมูลบัญชีของท่าน หากท่านไม่ตอบกลับอีเมล์ดังกล่าว อาจก่อให้เกิดผลเสียตามมาได้
เพื่อให้อีเมล์ปลอมที่ส่งมานั้นดูสมจริง ผู้ส่งอีเมล์ลวงนี้จะใส่ hyperlink ที่อีเมล์ เพื่อให้เหมือนกับ URL ขององค์กรนั้นๆ จริง ซึ่งแท้ที่จริงแล้วมันคือเว็บไซต์ปลอม หรือหน้าต่างที่สร้างขึ้น หรือที่เราเรียกว่า "เว็บไซต์ปลอมแปลง" (Spoofed Website)
เมื่อท่านเข้าสู่เว็บไซต์ปลอมเหล่านี้ ท่านอาจถูกล่อลวงให้กรอกข้อมูลส่วนตัวที่จะถูกส่งไปยังผู้ผลิตเว็บไซต์ลวงเหล่านี้ เพื่อนำข้อมูลของท่านไปใช้ประโยชน์ เช่น ซื้อสินค้า สมัครบัตรเครดิต หรือแม้แต่ทำสิ่งผิดกฎหมายอื่นๆ ในนามของท่า
Phishing (ออกเสียงเหมือนคำว่า Fishing) คือ การหลอกลวงขั้นสูงทางอินเตอร์เน็ตในรูปแบบของการปลอมแปลง
อีเมล์ หรือข้อความที่สร้างขึ้นเพื่อหลอกให้เหยื่อเปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนตัวต่างๆ อาทิ ข้อมูลหมายเลขบัตรเครดิต หมายเลขประจำตัวผู้ใช้ (User Name) รหัสผ่าน (Password) หมายเลขบัตรประจำตัว
Phishing สร้างกลลวงอย่างไร
Phishing สามารถทำได้โดยการส่งอีเมล์ หรือข้อความที่อ้างว่ามาจากองค์กรต่างๆ ที่ท่านติดต่อด้วย เช่น บริษัทให้บริการ Internet หรือ ธนาคาร โดยส่งข้อความเพื่อขอให้ท่าน "อัพเดท" หรือ "ยืนยัน" ข้อมูลบัญชีของท่าน หากท่านไม่ตอบกลับอีเมล์ดังกล่าว อาจก่อให้เกิดผลเสียตามมาได้
เพื่อให้อีเมล์ปลอมที่ส่งมานั้นดูสมจริง ผู้ส่งอีเมล์ลวงนี้จะใส่ hyperlink ที่อีเมล์ เพื่อให้เหมือนกับ URL ขององค์กรนั้นๆ จริง ซึ่งแท้ที่จริงแล้วมันคือเว็บไซต์ปลอม หรือหน้าต่างที่สร้างขึ้น หรือที่เราเรียกว่า "เว็บไซต์ปลอมแปลง" (Spoofed Website)
เมื่อท่านเข้าสู่เว็บไซต์ปลอมเหล่านี้ ท่านอาจถูกล่อลวงให้กรอกข้อมูลส่วนตัวที่จะถูกส่งไปยังผู้ผลิตเว็บไซต์ลวงเหล่านี้ เพื่อนำข้อมูลของท่านไปใช้ประโยชน์ เช่น ซื้อสินค้า สมัครบัตรเครดิต หรือแม้แต่ทำสิ่งผิดกฎหมายอื่นๆ ในนามของท่า
วันพุธที่ 23 มิถุนายน พ.ศ. 2553
'งานกลุ่ม"
วิชา ความปลอดภัยของเครือข่ายของคอมพิวเตอร์
กลุ่มที่ 5
สมาชิก 3 คน
1.นายอภิชาติ บวรเวสสะ รหัส 115110206052-2
2.นางสาวกมลมาศ คล้ายเพ็ญ รหัส 115110206037-3
3.นางสาวเมธินี กลัวผิด รหัส 115110206055-5
กลุ่มที่ 5
สมาชิก 3 คน
1.นายอภิชาติ บวรเวสสะ รหัส 115110206052-2
2.นางสาวกมลมาศ คล้ายเพ็ญ รหัส 115110206037-3
3.นางสาวเมธินี กลัวผิด รหัส 115110206055-5
สมัครสมาชิก:
บทความ (Atom)