Cryptolocker 2.0 ของแท้ หรือแค่เลียนแบบ

Posted on December 19, 2014 by welivesecurity in Malware

  ในบล็อกก่อนหน้านี้ของเราได้เคยมีการพูดถึง การเรียกค่าไถ่ข้อมูล หรือที่คุ้นเคยกันในชื่อ Ransomware ซึ่งแฮกเกอร์จะใช้วิธีการฝังมัลแวร์ลงไปในระบบเพื่อให้คุณไม่สามารถใช้งาน เครื่อง

ระบบ หรือเว็บไซต์ได้จนกว่าจะมีการจ่ายเงิน เรายังได้นำเสนอรายละเอียดเกี่ยวกับการเข้ารหัสไฟล์ข้อมูลเพื่อเรียกค่าไถ่ ไปตั้งแต่เดือนกรกฎาคม ปี 2013 ในขณะนั้นมัลแวร์ลักษณะนี้กระจายแพร่หลายในรัสเซีย โดยมีเป้าหมายอยู่ที่ผู้ใช้ทั่วโลก (ส่วนใหญ่เป็นนักธุรกิจ)
Cryptolocker หรือการเข้ารหัสเพื่อเรียกค่าไถ่ ถูกพบโดย ESET ในชื่อ Win32/Filecoder.BQ เป็นหนึ่งในตัวอย่างที่เลวร้ายที่สุด และได้รับความสนใจจากผู้คนและสื่อมวลชนเป็นจำนวนมากในช่วงเวลาเพียงสองเดือน ESET LiveGrid® แสดงให้เห็นถึงสถิติการตรวจจับจากรูปด้านล่าง โดยประเทศที่ได้รับผลกระทบมากที่สุดคือ สหรัฐอเมริกา

ในเดือนที่แล้วเราได้พบมัลแวร์สายพันธุ์ Filecoder ที่เราสนใจก็คือ มันเรียกตัวเองว่า “Cryptolocker 2.0” โดยธรรมชาติแล้วเราสงสัยว่ามันเป็นเวอร์ชันใหม่ของ Ransomware ที่พัฒนาโดยแก๊งเดียวกัน เนื้อหาในบทความนี้จะเปรียบเทียบกันระหว่างไฟล์ “Cryptolocker 2.0” ที่ตรวจจับโดย ESET นั่นคือ MSIL/Filecoder.D และ MSIL/Filecoder.E และ Cryptolocker “แบบปกติ”
Cryptolocker 2.0 เทียบกับ Cryptolocker
มัลแวร์ทั้งสองสายพันธุ์มีระบบการทำงานที่คล้ายกัน หลังจากที่ติดเชื้อ มันจะทำการสแกนโครงสร้างโฟลเดอร์ของเหยื่อสำหรับการจับคู่ไฟล์ที่มีนามสกุล ที่ตั้งไว้ ทำการเข้ารหัสไฟล์เหล่านั้น และแสดงหน้าต่างข้อความที่ต้องการเรียกค่าไถ่เพื่อถอดรหัสไฟล์ ทั้งคู่ใช้การเข้ารหัสแบบ RSA Public-Key แต่ก็ยังมีความแตกต่างระหว่างมัลแวร์สองสายพันธุ์นี้



มีสามความแตกต่างของมัลแวร์ทั้งสองสายพันธุ์ นั่นคือ Cryptolocker ใช้การเข้ารหัส RSA-2048 (ตามที่ข้อความบอกไว้) ในขณะที่ Cryptolocker 2.0 ระบุว่าใช้การเข้ารหัสแบบ RSA-2048 (แม้ว่าในความจริงจะใช้ RSA-1024) Cryptolocker 2.0 จะแสดงเส้นตายของรหัสที่คาดว่าจะถูกลบออก แต่ไม่แสดงเวลานับถอยหลังเหมือน Cryptolocker และที่น่าสนใจก็คือ Cryptolocker 2.0 จะรับค่าไถ่เป็น Bitcoins ในขณะที่ Cryptolocker จะรับค่าไถ่เป็น MoneyPak, Ukash หรือ cashU
นอกจากนั้นยังมีความแตกต่างในด้านการทำงานของมัลแวร์ทั้งสองตัวนี้ ความแตกต่างอย่างแรกที่เห็นได้ชัดคือ ภาษาที่ใช้ในการเขียนโปรแกรม Cryptolocker ใช้ภาษา Visual C ++ ในการคอมไพล์ ส่วน Cryptolocker 2.0 ใช้ C# ในส่วนของไฟล์และ Registry Key ก็มีความแตกต่าง และน่าสนใจ รายชื่อของนามสกุลไฟล์ที่มัลแวร์เรียกค่าไถ่ต้องทำการค้นหาแล้วเข้ารหัส Cryptolocker จะเน้นไปที่ไฟล์การใช้งานทางธุรกิจ และไม่เข้ารหัสไฟล์ประเภทรูปภาพ เพลง และวิดีโอ ในขณะที่ Cryptolocker 2.0 มีเป้าหมายที่นามสกุลของไฟล์ประเภท mp3, .mp4, .jpg, .png, .avi, .mpg และอื่นๆ
เมื่อมัลแวร์เริ่สทำงาน มันจะทำการติดต่อกันเซิร์ฟเวอร์ควบคุม (C&C Server) ที่จะขอการเข้ารหัส RSA เมื่อแต่ละไฟล์ที่พบตรงกับเงื่อนไขเฉพาะ (การจับคู่นามสกุลไฟล์ ที่อยู่ของไฟล์ไม่ถูกเอามารวมไว้) ไฟล์จะถูกเข้ารหัสที่แตกต่างกันโดยใช้การสุ่มด้วย 3DES Key จากนั้นไฟล์ที่เข้ารหัสแล้วจะถูกเข้ารหัสอีกครั้งด้วยการใช้ RSA Key ที่ได้รับจากเซิร์ฟเวอร์ การเข้ารหัสจะถูกเขียนเป็นตัวอักษรด้วยชื่อเดียวกับไฟล์เดิมและมีการต่อท้าย ไฟล์ที่เข้ารหัสด้วย k
%filename%.%fileext%.k
ดังนั้นการถอดรหัสจะต้องใช้ RSA Private Key ซึ่งจะยอมให้มีการถอดรหัส 3DES มัลแวร์ Cryptolocker เดิมจะมีการทำงานที่คล้ายกัน แต่ก็แตกต่างในรายละเอียด เช่น การใช้ AES แทน 3DES และกุญแจการเข้ารหัสจะถูกบันทึกในตอนท้ายของไฟล์ ไม่แยกเป็นไฟล์ออกมาอีก
Cryptolocker (Win32/Filecoder.BQ) จะบรรจุโดเมน รุ่น และอัลกอริธึมสำหรับที่อยู่ของเซิร์ฟเวอร์ควบคุม ในขณะที่ Cryptolocker 2.0 ไม่มีในส่วนนี้ ภาพรวมความแตกต่างของมัลแวร์สองสายพันธุ์นี้ดูได้จากตารางด้านล่าง

นอกจากนี้โทรจันตัวใหม่ที่ค้นพบยังมีคุณสมบัติบางอย่างที่ไม่เข้าพวกกับ Ransomware โปรแกรมเหล่านี้ได้รวมเอาหน้าต่างเลียนแบบการปลดล็อก หรือแครกของซอฟต์แวร์ลิขสิทธิ์ รวมไปถึง Microsoft Windows, Microsoft Office, Team Viewer, Adobe Photoshop หรือแม้แต่ ESET Smart Security


การเลือกใช้หน้าต่างที่แสดงจะขึ้นอยู่กับไบนารี่ของไฟล์นั้นๆ หลังจากที่ถูกปล่อยออกมา มันจะถูกติดตั้งในระบบ และมัลแวร์จะทำงานในโหมด Ransomware ตามที่บอกไว้ข้างต้น เทคนิคนี้เป็นการปลอมตัวให้คล้ายหน้าต่างแครก ซึ่งเป็นกลไกเพิ่มเติมในการกระจายโทรจัน นอกจากประเด็นเรื่องกฎหมาย ตัวอย่างนี้แสดงให้เห็นถึงความเสี่ยงในการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์
Cryptolocker 2.0 ยังสามารแพร่กระจายตัวเองผ่ายสื่อบันทึกข้อมูลโดยเปลี่ยนข้อมูลในไฟล์ .exe และบรรจุตัวเองลงไป
รายชื่อการแสดงฟังก์ชันโค้ดโทรจันกระจายไปอย่างเงียบๆ รวมถึงไฟล์ขโมย Bitcoin การปล่อย BFGMiner หรือการโจมตีด้วย DDOS ไปยังเซิร์ฟเวอร์ที่ระบุไว้ แตเรายังไม่สามารถสร้างระบบให้ทำงานได้จริงในตอนนี้
ข้อสรุป
จากความแตกต่างดังที่กล่าวมา มัลแวร์ตัวใหม่ไม่น่าจะเรียกตัวเองว่า Cryptolocker 2.0 ที่เป็นเวอร์ชั่นใหม่ของ Cryptolocker จากผู้สร้างคนเดียวกัน การเปลี่ยนภาษาการเขียนจาก C ++ เป็น C# ยังไม่มีความสำคัญพอที่จะพุดถึง หรือแม้แต่ในกรณีความแตกต่างของกุญแจก็ยังไม่สามารถเรียกได้ว่าเป็นปรับปรุง
อาจจะมีใครบางคนได้รับแรงบันดาลใจจาก Cryptolocker ในการเขียนโปรแกรมหารายได้แบบผิดกฎหมายนี้ขึ้นมา และนี่ไม่ใช่ครั้งแรกที่มีการเลียนแบบ
แต่อย่างไรก็ตาม MSIL/Filecoder.D หรือ MSIL/Filecoder.E ที่ตรวจพบยังสามารถสร้างความเสียหายให้กับเหยื่อได้ ถ้าเขาไม่มีการสำรองข้อมูลเก็บไว้ ด้วยเหตุนี้การสำรองข้อมูลจึงมีความสำคัญ
นอกจากนี้เราขอแนะนำให้ผู้ใช้อัพเดตโปรแกรมป้องกันไวรัสให้เป็นเวอร์ชัน ล่าสุด (ESET Smart Security และ ESET NOD32 Antivirus อัพเดตเป็นเวอร์ชัน 7) และใช้ฟีเจอร์ Advanced Memory Scanner ซึ่งได้รับการพิสูจน์แล้วในการตรวจจับมัลแวร์รุ่นใหม่ๆ รวมไปถึง Ransomware ด้วย
 welivesecurity
blog.eset.co.th

แนวโน้มและการคาดการณ์ภัยร้ายไซเบอร์ ปี 2015

Posted on December 18, 2014 by Pimthong R. in Cybercrime

เป็นที่รู้กันของผู้อ่าน We Live Security ว่าในเดือนธันวาคมของทุกๆ ปี นักวิจัยของ ESET จะคาดการณ์แนวโน้มการโจมตีของอาชญากรรมคอมพิวเตอร์ที่กำลังจะมาในปีหน้า

ในปีที่แล้วจะเน้นไปที่ความเป็นส่วนตัวบนอินเทอร์เน็ต การโจมตีใหม่ๆ ใน Android และปัญหามัลแวร์ประสิทธิภาพสูงระลอกใหม่ ปัญหาทั้งหมดนี้ได้มีการโพสต์ใน บล็อกตั้งแต่ปี 2014ในวันนี้เราจะมาสรุปสิ่งที่จะเกิดขึ้นในปี 2015และหลังจาก 2-3 วันนี้คุณสามารถดาวน์โหลดรายงานฉบับเต็มรวมไปถึงตัวเลขและกราฟเกี่ยวกับการ คาดการณ์ครั้งนี้
การโจมตีแบบเจาะจงเป้าหมาย
บทเรียนหนึ่งทีเราได้เรียนรู้ในปีที่ผ่านมาคือการโจมตีแบบเจาะจงเป้าหมาย มีมากขึ้น และในปีต่อไปก็จะมีมากขึ้นไปอีก (เช่น การโจมตี Sony ที่เป็นข่าวดังอยู่ขณะนี้) การโจมตีแบบนี้เรียกกันว่า AdvancedPersistent Threats (APTs) การโจมจีในรูปแบบนี้ต่างจากการโจมตีรูปแบบเดิมๆ ที่เลือกเป้าหมายแฝงตัว และเริ่มโจมตี
อย่างแรกเลย การโจมตีมีการเลือกเป้าหมายเมื่อเทียบกับการโจมตีแบบเก่าที่ใช้เป้าการโจมตีหลากหลายเพื่อบรรลุวัตถุประสงค์
อย่างที่สอง รูปแบบการโจมตีจะพยายามโจมตีไม่ให้ใครสังเกตเห็นเป็นเวลานานในสถานการณ์นี้ ความสำคัญมุ่งไปที่การโจมตีซึ่งเน้นไปที่เป้าหมายทางวิศวกรรมเทคนิคหรือ 0-day Exploit (การใช้ประโยชน์จากช่องโหว่ในระบบ และทำการโจมตีครั้งแรกก่อนที่จะมีการแก้ไข)
จากการเก็บข้อมูลของ APTnote (เว็บไซต์ที่รวบรวมการโจมตีแบบ APT จากข้อมูลและเอกสารที่มีการเปิดเผยสู่สาธารณะเรียงตามปี) รูปแบบการโจมตีนี้เติบโตขึ้นมากหลายปีที่ผ่านมาโดยจากที่มีการโจมตีเพียง 3 รายในปี 2010 มาเป็น 53 รายในปี 2014 และอาจจะมีมากกว่านี้กับข้อมูลที่ไม่มีการเปิดเผย ในปี 2014 ทาง We Live Security ได้มีการเผยแพร่ตัวอย่างโจมตีแบบนี้ เช่น ในแคมเปญ BlackEnergy หรือ WindigoOperation

จากรายงานของ United States Identity Theft Resource Center พบว่า ในปี 2014 มีการละเมิดข้อมูลสำคัญไป 720 ครั้ง และ 304 ครั้ง (42%) เป็นข้อมูลเกี่ยวกับอุตสาหกรรมด้านสุขภาพ


สถิตินี้อ้างอิงจากการโจมตีที่มีการเปิดเผยสู่สาธารณะ ซึ่งจากตัวเลขเหล่านี้เป็นตัวยืนยันว่าแนวโน้มที่บอกกำลังเป็นจริงตัวเลข จริง แต่อย่างไรก็ตามอาจจะมีการโจมตีขนาดใหญ่กว่านี้แต่ไม่เคยมีการบันทึกไว้ หรือเผยแพร่ให้คนทั่วไปได้รู้ เพราะเป็นความลับทางธุรกิจ
ระบบการจ่ายเงิน เป้าหมายสำคัญ
มันเป็นของคู่กันที่ระบบการจ่ายเงินออนไลน์กำลังเติบโตขึ้นเหล่าบรรดา อาชญากรไซเบอร์ที่สนใจเรื่องนี้ก็เติบโตขึ้นด้วยเหมือนกัน ณ จุดๆ นี้เคยมีแฮกเกอร์ที่พยายามจะโจมตีระบบจ่ายเงินออนไลน์ที่มีมากมายบนเว็บไซต์ ในปี 2014 ในเดือนพฤษภาคม เราเห็นการโจมตีครั้งเดียวที่ส่งผลกระทบต่อผู้ใช้บางรายของ Dogevault เมื่อมีผู้ใช้บางคนร้องเรียนก่อนที่เว็บจะถูกปิดลงจะเห็นได้ว่ามีเงินอยู่ใน กระเป๋าคนอื่นมากกว่า 100 ล้าน Dogecoins (สกุลเงินออนไลน์)
ในอีกกรณีหนึ่ง เครื่องคิดเงินแบบทั่วไป (Point of Sale – PoS) ซึ่งได้รับความนิยมในวงกว้างและมีผู้เขียนมัลแวร์โจมตีด้วยเช่นกัน เมื่อกลางปี 2014 เราได้เผยแพร่ข้อมูลบน We Live Security เกี่ยวกับหนอนอินเทอร์เน็ต Win32/BrutPOS ซึ่งพยายามจะฝังตัวลงในเครื่อง PoS และพยายามจะแทรกแซงรหัสผ่านเพื่อเข้าสู้ระบบผ่านทาง Remote Desktop Protocol (RDP)
นอกจากนี้ยังมีมัลแวร์ในตระกูลอื่นๆ สำหรับเครื่อง PoS เช่น JacksPos หรือ Dexter ซึ่งอาจจะมีส่วนในการโจมตีครั้งใหญ่ เช่น ห้าง Target (ข้อมูลของบัตรกว่า 40 ล้านใบถูกขโมยไป) หรือห้าง Home Depot มีบัตรกว่า 56 ล้านใบถูกขโมยข้อมูลไปการโจมตียาวนานถึง 5 เดือน (เริ่มต้นในเดือนเมษายน แต่ยังไม่มีการตรวจพบจนเดือนกันยายนเมื่อบริษัทมีการประกาศการรั่วไหลของ ข้อมูลออกมา)
มีความน่าสนใจตรงที่มีข้อมูลซอร์สโค้ดของ BlackPOS รั่วออกมาในปี 2012 ซึ่งอาจจะช่วยอำนวยความสะดวกในการสร้างสายพันธุ์ใหม่ของภัยคุกคามประเภทนี้ ที่อาจจะเพิ่มขึ้นในช่วงไม่กี่ปีข้างหน้า
Bitcoin, Ransomware และ Malware
จากหัวข้อที่แล้วผู้พัฒนามัลแวร์พยายามอย่างต่อเนื่องที่จะบุกรุกระบบ เงินออนไลน์และระบบรับจ่ายเงินในปี 2015 ยกตัวอย่างเช่น การปฏิบัติงานซึ่งเป็นที่รู้จักมากที่สุดเมื่อต้นปีที่ผ่านมานี้ ที่แฮกเกอร์สามารถได้เงินไปมากกว่า 600,000 เหรียญสหรัฐฯในระบบเงินดิจิตอลผ่านการใช้เครื่องที่ถูกบุกรุกในระบบเครือ ข่ายผ่านการติดเชื้อไปยังอุปกรณ์ NAS ที่ซึ่งแฮกเกอร์ได้สร้างโฟลเดอร์ชื่อ PWNED ไว้โดยใส่โปรแกรม CPUMiner เอาไว้ โปรแกรมนี้จะทำหน้าที่หา Bitcoin และ Dogecoin สิ่งที่น่าสนใจก็คือการโจมตีชนิดนี้จะสร้างเงินใหม่แทนที่จะขโมยมันไปจากผู้ ที่ถูกบุกรุกถือเป้ฯทางเลือกใหม่ในการขโมย
ในทำนองเดียวกันเว็บไซต์ SecureMac ยังได้ออกรายงานในเดนอกุมภาพันธ์เกี่ยวกับการทำเหมือง Bitcoin ซึ่งมีผลกระทบต่อผู้ใช้ MacOS โดยแฮกเกอร์ได้กระจายแอพฯ Bitcoin โดยการนำแอพฯ ที่ผ่านการตรวจสอบแล้วมาดัดแปลงใหม่เพื่อบรรจุโทรจันลงไป
ในท้ายที่สุด Ransomware (การจับตัวประกันเรียกค่าไถ่) จะเป็นกลยุทธ์สำคัญสำหรับนักพัฒนามัลแวร์และมันจะเป็นภัยคุกคามที่มีมากขึ้น ในปีที่จะถึงนี้ในปี 2014 เราเห็นบริษัทใหญ่ๆ โดน Ransomware เล่นงาน เช่น Yahoo, Match และ AOL ในเดือนกรกฎาคมนักวิจัยของ ESET ได้เปิดเผยการวิเคราะห์ Android/Simplocker ซึ่งเป็นการเปิดเผยครั้งแรกให้เห็นถึงไฟล์การเข้ารหัสของ Android ที่เปิดการทำงาน Ransomware ในเดือนธันวาคมในการอภิปรายที่ GeorgetownLaw ในงาน Cybercrime 2020: The Future of Online Crime andInvestigations ได้มีการกล่าวว่า Ransomware คืออนาคตของอาชญากรคอมพิวเตอร์
Internet of Thing โจมตีทุกสิ่ง
บรรดาอุปกรณ์ดิจิตอลรุ่นใหม่ทั้งหลายล้วนแล้วแต่สามารถเชื่อมต่ออินเทอร์ เน็ตได้จากทุกที่ไปยังระบบรักษาความปลอดภัยภายในบ้านหรือเครื่องควบคุม อุณหภูมิ แนวโน้มที่เกิดขึ้นนี้เรียกว่า Internet of Thing หรือ IoT โดยเทคโนโลยีนี้จะเติบโตขึ้นมากในปี 2015 เราไม่เห็นเหตุผลว่าทำไมเทคโนโลยีนี้จะต้องเป็นที่สนใจของอาชญากร คอมพิวเตอร์จนในปีนี้เราได้เห็นหลักฐานบางอย่างของแนวโน้มที่เกิดขึ้นใหม่ นี้เช่นการโจมตีบนรถที่แสดงให้เห็นในงาน DefCon โดยใช้กบ่อง ECU หรือรถ Tesla ที่ถูกแฮกให้เปิดประตูในขณะที่แล่นอยู่ซึ่งค้นพบโดย NiteshDhanjani การโจมตีและการพิสูจน์ถึงแนวคิดนี้แสดงให้ถึงเป้าการโจมตีมากมาย เช่นสมาร์ททีวี อุปกรณืกล่องรับสัญญาณทีวี ระบบไบโอเมตริกซ์บนสมาร์ทโฟน (เช่นระบบจดจำลายนิ้วมือ) เราทเตอร์ หรือแม้แต่ Google Glass มันอาจจะเคยมีรายงานเกี่ยวการแฮก IoT แต่บางส่วนก็พูดเกินความจริงไปมากเรากล่าวถึงแนวโน้มนี้จากเหตการณ์ที่ผ่าน มาก แต่มันอาจจะไม่เป็นปัญหาใหญ่ในปีหน้าแต่มันเป็นพื้นที่ในการก่ออาชญากรรมแบบ ใหม่ เราคาดว่าอาจจะใช้เวลาอีก 2-3 ปีกว่าจะเป็นปัญหาในวงกว้าง แต่ทั้งนี้มันเป็ฯเพียงแนวโน้ม ไม่ใช่ปัญหาในเชิงปริมาณแต่มันเป็นปัญหาเฉพาะด้านและปัญหาทางนวัตกรรม
ข้อสรุป
นี่เป็นเพียงหัวข้อสำคัญที่เราคิดว่าจะเป็นปัญหาใหญ่เกี่ยวมัลแวร์และ อาชญากรรมคอมพิวเตอร์ในปี 2015 ยังมีแนวโน้มอื่นๆ อีก เช่นการโจมตีอุปกรณ์มือถือที่ยังคงมีเพิ่มขึ้นอย่างต่อเนื่องคอยติดตาม รายงานฉบับเต็มได้ทีนี่เร็วๆ นี้
Welivesecurity 
blog.eset.co.th

คลิก Like ได้รถ (ข่าวหลอกลวง)

คลิก Like ได้รถ

Posted on December 16, 2014 by Pimthong R. in Social Media

ในช่วงไม่กี่อาทิตย์ที่ผ่านมา มีการหลอกลวงครั้งใหญ่เกิดขึ้นในโลกโซเชียลเน็ตเวิร์กอย่าง Facebook การหลอกลวงที่ว่านี้ก็คือการคลิก Like และ Share รูปรถสวยผูกโบว์

แล้วจะมีโอกาสได้รับรางวัลเป็นรถสุดหรู เช่น Audi R8, a Range Rover 4WD และ Mercedes Benz E63 AMG กับคำชวนเชื่อที่ประกาศว่า “เป็นครั้งแรกในประวัติศาสตร์ของ Facebook”

แน่นอนว่าไม่มีรางวัลใดๆ และ Facebook ก็ได้เอาแคมเปญหลอกลวงนี้ออกจากระบบไปแล้ว แต่รูปที่คุณเห็นเราได้มาจากแคชในการค้นหาด้วย Google จากรูปจะเห็นว่ามีเหยื่อที่หลงเชื่อมโฆษณาหลอกลวงนี้เป็นจำนวนมาก
“เบาะแสแรกของการแจกรางวัลในรูปแบบนี้ไม่ได้เกิดขึ้นในหน้าเพจที่ส่งไป ยังผู้ใช้ Facebook โดยตรง ตัวหน้าเพจถูกสร้างเพียงไม่กี่วันก่อนที่การโพสต์จะเริ่มขึ้น” Snopes.com ชี้ให้เห็นถึงการหลอกลวงใน Facebook “มีบริษัทที่ถูกต้องตามกฎหมายที่มีส่วนร่วมในการแจกของรางวัล เช่น ตั๋วคอนเสิร์ต ทำให้มีแรงจูงใจให้คนสนใจ แต่กลับไม่มีการส่งเสริมการขายที่สนับสนุนโพสต์เหล่านั้นใน Facebook”
มันเป็นเรื่องที่ไร้สาระ “การหลอกลวงนี้สะสมอยู่ในหน้าเพจของ Facebook อีกมาก ซึ่งเตรียมที่จะเริ่มหลองลวงเหยื่ออีกหต่อไป” อย่างไรก็ตามในกรณีที่สิ่งที่กล่าวมานั่นอาจจะเป็นกรณีที่ดีที่สุด คือคุณแค่โดนหลอกให้คลิก Like เพื่อเพิ่มยอดการเข้าเว็บไซต์ Snope ได้เสริมว่า “ในกรณีที่เลวร้าย เหยื่ออาจจะโดนมัลแวร์อย่าง Clickjacking หรือภัยร้ายอื่นๆ”
แม้ว่าการโพสต์ที่จะดูน่าตื่นตาอย่าง “ครั้งแรกในประวัติศาสตร์ของ Facebook” แต่ทั้งหมดก็คือของปลอม ย้อนไปในเดือนกรกฎาคมมีรายงานการหลอกลวงในลักษณะนี้เหมือนกัน โดยแจก Mercedes Benz CLA 45
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการหลอกลวงบน Facebook เรามีข้อมูลที่เป็นประโยชน์ นี่คือ 5 การหลอกลวงสุดคลาสสิคบน Facebook ที่คุณมองหา


Welivesecurity
blog.eset.co.th

ข้อความหลอกลวงบน Facebook สุดคลาสสิค พร้อมวิธีป้องกัน

Posted on August 22, 2014 by Pimthong R. in Social Media

ในช่วงหลายปีที่ผ่านมา Facebook มีการปรับเปลี่ยนระบบมาหลายครั้ง คุณยังจำคำสั่ง Poke ได้ไหมทุกวันนี้ Facebook กลายเป็นเครื่องมือสำหรับแชร์วิดีโอข่าว และข้อความหลอกลวง

ซึ่งแตกต่างจากที่ Mark Zuckerberg สร้างเอาไว้ในตอนแรก
โดยธรรมชาติเมื่อมีการปล่อยฟีเจอร์ใหม่ๆออกมา เราควรกังวลถึงระบบความเป็นส่วนตัว และการรักษาความปลอดภัยผู้ใช้งานเองก็ควรที่จะระมัดระวังในการใส่ข้อมูลส่วน ตัวลงไปแบบเต็มที่ใน Facebook
แต่เชื่อหรือไม่ใน Facebook มีบางสิ่งที่ไม่เคยเปลี่ยนนั่นก็คือข้อความหลอกลวงต่างๆ ซึ่งมันอาจจะดูไม่ใช่การก่ออาชญากรรมบนโลกออนไลน์แต่เราได้เห็นข้อความหลอก ลวงเหล่านี้บ่อยมาก ซึ่งผู้ไม่หวังดีต้องการที่จะกระจายมันออกไปให้มากเพื่อเป็นช่องทางในการหา เงินเข้ากระเป๋า
David Harley นักวิจัยอาวุโสของ ESET กล่าวว่า“ข้อความหลอกลวงเหล่านี้ดูเหมือนจะไม่มีอันตรายมากมายนักในโลกออ นไลน์พวกมันมีการพัฒนาจากข้อควงามหลอกลวงที่ส่งผ่านอีเมล์ไปสู้การส่งผ่าน ข้อความบนโซเชียลเน็ตเวิร์กและการส่งข้อมูลแบบนี้มีผลกระทบค่อนข้างมากเพราะ ผู้คนส่วนใหญ่ชอบที่จะ Like และ Share กดโดยไม่สนใจที่จะตรวจสอบข้อมูลที่ได้รับมาเพียงเพราะแชร์มาจากเพื่อนก็ เชื่อใจแล้ว”
“ยิ่งมีเพื่อนในFacebook มากเราจะเห็นข้อความหลอลวงนี้มากตามไปด้วย เราคงไม่ต้องกังวลเรื่องโฆษณาแฝงใน Facebookที่จะทำให้เราปวดหัวเพราะข้อความหลอกลวงที่คุณเจอบ่อยก็ทำให้ปวดหัว ได้หนักพอกัน”
ESET Social Media Scanner มีคำแนะนำดีๆ มาให้ที่จะทำให้รู้ได้ว่าข้อความไหนใน Facebook หลอกหรือจริง กับข้อความหลอกลวงสุดคลาสสิค 5ตัวอย่างที่เราเจอกันบ่อยๆ และต่อไปเมื่อเห็นคุณจะไม่คลิกอ่านมันอีกเลย

ช่วยด้วยโดนปล้นที่ต่างประเทศ

ข้อความเริ่มต้นด้วยเพื่อนหรือญาติสนิทของคุณทำโทรศัพท์หายจึงต้องติดต่อ ผ่านทางFacebook เพื่อขอความช่วยเหลือด้วยเรื่องราวสุดรันทดว่ากระเป๋าตังค์หาย หรือได้รับบาดเจ็บอยู่ที่โรงพยาบาลเรื่องราวเหล่านี้ถือเป็นเรื่องคลาสสิ คที่อยู่มานานมาก และเป็นผลพวงมาจากการที่เพื่อนหรือญาติของคุณโดนขโมยบัญชีผู้ใช้ Facebook ซึ่ง David Harley บอกว่ารายะเอียดของข้อความชิ้นนี้ รู้จักกันชื่อว่าLondon โดยเวอร์ชั่นแรกถูกใช้กับคนอเมริกันโดยที่ David Harleyได้เอาข้อความมาแสดงให้ดูในลักษณะเรื่องราวว่า “ฉันหวังว่าคุณจะได้รับข้อความนี้ฉันต้องเดินทางไปมะนิลา (ประเทศฟิลิปปินส์) แต่กระเป๋าเงินโดนขโมย เอกสารสำคัญ พาสปอร์ตหายไปหมดฉันติดต่อทางสถานทูตไปแล้วเรื่องพาสปอร์ต แต่จำเป็นจะต้องจ่ายค่าโรงแรมและค่าตั๋ว”

“ฉันได้ติดต่อกับธนาคารธนาคารบอกว่าต้องใช้เวลา 3-5 วันจึงจะเบิกเงินได้ ข่าวร้ายก็คือ เครื่องบินจะบินในอีกไม่ช้านี้และฉันมีปัญหาเรื่องค่าโรงแรมถ้าไม่จ่ายผู้ จัดการโรงแรมก็ไม่ให้ไปไหน ฉันต้องการความช่วยเหลือขอยืมเงินสักหน่อยและสัญญาจะใช้คืนให้เมื่อสามารถ เบิกเงินในบัญชีได้ทันทีที่กลับถึงบ้าน คุณคือความหวังสุดท้ายโปรดบอกฉันทันทีที่คุณให้ยืมเงิน และฉันต้องการเช็คอีเมล์ของคุณ เพราะนี่เป็นทางเดียวที่จะติดต่อกันได้”  ในปัจจุบันข้อความจะมีการดัดแปลงไปตามยุคสมัย
เมื่อเห็นข้อความแบบนี้ คนทั่วไปจะกังวลแต่นั่นไม่ใช่ข้อความจากเพื่อนของคุณ แต่อาจเป็นใครบางคนที่ ขโมยบัญชีผู้ใช้ของเพื่อนคุณไปแล้ว คิดให้ดีก่อนที่จะเชื่อถ้ามีปัญหาจริงๆ ทางสถานทูตจะช่วยเพื่อนของคุณอยู่แล้วและทางที่ดีติดต่อกับเจ้าตัวเลยจะดี ที่สุด ถ้าหากมีปัญหาจริงๆ คุณสามารถติดต่อเพื่อนผ่านทางสถานทูตได้

ใครกำลังดู Facebook ของคุณอยู่บ้าง
Facebook ไม่เคยมีฟีเจอร์ที่จะแสดงว่าใครกำลังเข้ามาดูโปรไฟล์ของคุณไม่ว่าจะเป็นราย ชื่อหรือจำนวนตัวเลขที่เข้ามาดู คุณควรระวังข้อความหลอกลวงนี้ซึ่งเป็นการ แสดงว่า Facebook มีฟีเจอร์ใหม่ และหลอกให้คุณกดลิงค์เข้าไปดู โดยลิงค์ที่คุณกดเข้าไปดูนั้นหากสังเกตดีๆ จะเห็นว่าเป็นลิงค์ที่ส่งข้อมูลออกไปข้างนอกระบบ Facebook แล้วจึงค่อยแชร์กลับมา หาก Facebook มีฟีเจอร์นี้จริง ลิงค์จะวนอยู่ในระบบของ Facebook ถ้าคุณเห็นลิงค์ที่จะส่งข้อมูลออกไปข้างนอกหรือจะต้องติดตั้งแอพพลิเคชั่น เสริมให้ปิดหน้าต่างนั้นซะ ข้อความหลอกลวงพวกนี้จะทำการติดตั้งมัลแวร์ลงไป เพื่อเก็บข้อมูลหรือขโมยข้อมูลบน Facebook หรือข้อมูลในเครื่องของคุณ
ถ้าได้1 ล้าน Likeจะ…
ถ้าคลิกครบ1 ล้าน Likeแฟนจะแต่งงานด้วยเรื่องแบบนี้จะมีจริงไหม หรือถ้ากด Like แล้วคนป่วยจะได้รับเงิน Like ละหนึ่งงบาท (ใครเป็นคนจ่าย) สำหรับคนใจดีอยากช่วยเหลือคนอื่นก็กระหน่ำกดไลค์และแชร์กันต่อไปเรื่อยๆการ คลิก Like เหล่านี้จะเป็นการช่วยให้คนที่สร้างข้อความขึ้นมาได้ประโยชน์จากการกดLike ที่จะเอาไปรับเงินจากผู้ว่าจ้างเช่นถ้าโพสต์นี้ได้ 2,000 Like จะได้ 1,000 บาท
เพราะ Like คือ การมองเห็นจริงจากผู้ใช้ Facebook และมีการแชร์ข้อมูลออกไปดังนั้นก่อนจะคลิก Like คิดสักนิดว่าใครจะได้อะไรเช่น คลิกครบ 1 ล้าน คนโพสต์จะแต่งงานกับแฟนไหมหรือคลิก Like ช่วยคนป่วยคนตกยาก Like ละ 1 บาทใครเป็นคนจ่าย
คำเตือนจาก Facebook
ข้อความเตือนจาก Facebook ว่าบัญชีผู้ใช้ของคุณกำลังจะถูกปิดภายใน 24 ชั่วโมงมีปัญหา หรือแม้แต่จะต้องจ่ายเงินเพื่อไม่ใช้บัญชีผู้ใช้ของคุณโดนระงับ หากไม่อยากให้บัญชีผู้ใช้ถูกระงับต้องใส่ชื่อ Username และ Password เพื่อยืนยันความเป็นเจ้าของข้อความเหล่านี้หลอกลวงทั้งนั้น เพราะ Facebook ไม่เคยมีนโยบาย ที่จะถามรหัสผ่านจากผู้ใช้ และถ้าสังเกตดีๆจะเห็นว่าลิงค์ที่ต้องกดไปเพื่อกรอกข้อมูลนั้นจะเป็นลิงค์ ที่ส่งข้อมูลออกไปข้างนอกและผลที่ได้รับก็คือคุณจะโดนขโมยข้อมูลบัญชีผู้ใช้ ของ Facebook และหากอยากได้บัญชีผู้ใช้คืน คุณก็จะต้องจ่ายเงิน

ข่าวคนดังเสียชีวิต

เรื่องราวที่เอาจากข่าวดังหรือเรื่องจริง โดยมีการแต่งเสริมเติมแต่งข้อมูลลงไป เช่นวิดีโอแสดงให้เห็นการใช้โทรศัพท์ครั้งสุดท้ายของ Robin Williams ก่อนจะฆ่าตัวตาย ซึ่งข้อความเหล่านี้เป็นการหากินกับคนตายที่ไม่สามารถตอบโต้หรือพิสูจน์อะไร ได้หรือการใช้ข้อมูลปลอมโดยมุ่งเป้าไปที่รูปเหยื่อของสายการบินมาเลเซียแอร์ ไลน์ MH17 ที่ถูกยิงตก
Alistair MacGibbon จากมหาวิทยาลัย Canberra กล่าวว่าคนร้ายได้ประโยชน์จากการที่เหยื่อคลิกเข้าไปดูแล้วลิงค์ไปยังในเว็บไซต์เป้าหมาย

ช่องทางหาตั๋วราคาถูก
คนร้ายจะติดตามเหตุการณ์ที่เกิดขึ้นรอบโลก และหวังในเหยื่อหลงเขื่อคลิกเข้าไปยังลิงค์ที่ทำหลอกไว้เช่น บัตรดูฟุตบอลโลก บัตรดูคอนเสิร์ตระดับโลกคนร้ายหวังในคนที่ต้องการตั๋วเข้าใจผิด เช่น ให้คลิกลิงค์และแชร์ต่อไปเรื่อยๆเพื่อหาผู้โชคดีที่จะได้ตั๋วดูคอนเสิร์ต ระดับโลกคนที่คลิกเข้าไปก็จะเข้าไปยังเว็บไซต์ที่มีการจ้างเพื่อปั่นยอดเข้า ชมเว็บและจะมีการแชร์ต่อไปในโซเชียลเน็ตเวิร์กอีกด้วย จากนั้นเหยื่อรายอื่นๆ ก็จะหลงกลเข้ามาคลิกและแชร์ต่อไปอีกเรื่อยๆทางที่ดีควรเข้าไปที่เว็บไซต์ อย่างเป็นทางการของเหตุการณ์นั้นๆแม้จะไม่ได้ตั๋วราคาถูก แต่คุณจะได้ตั๋วของแท้แน่นอน
Welivesecurity
blog.eset.co.th

Kaspersky เตือนภัยช่องโหว่ Heartbleed

แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed

[News] Kaspersky : 29 เมษายน 2557

ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป เปิดเผยช่องโหว่ล่าสุดที่ชื่อว่า "Heartbleed" ในเว็บไซต์ที่เข้ารหัส SSL ซึ่งแพร่ระบาดในเว็บไซต์จำนวนมากนับพันเว็บไซต์ และกำลังขโมยข้อมูลสำคัญของผู้ใช้งานอินเทอร์เน็ต

เมื่อคุณทำการล็อกอินเข้า Facebook, Google หรือเว็บไซต์ธนาคารออนไลน์ นั่นคือการเชื่อมต่อกับเว็บไซต์แบบเข้ารหัสโปรโตคอล SSL เซิร์ฟเวอร์ของเว็บไซต์จำนวนมากเลือกใช้บริการโปรโตคอลนี้ผ่านโอเพ่นซอร์ส OpenSSL โดยเมื่อต้นสัปดาห์ที่ผ่านมา OpenSSL ได้ออกอัพเดทที่ชื่อ Heartbeat เพื่อซ่อมแซมฟีเจอร์ TLS โดยอาจทำให้เกิดการรั่วของข้อมูล 64kB ในหน่วยความจำของเซิร์ฟเวอร์แก่แฮกเกอร์ ซึ่งช่องโหว่นี้จะทำให้ใครก็ตามที่ใช้อินเทอร์เน็ตสามารถอ่านหน่วยความจำใน เครื่องได้ ซึ่งอาจจะบันทึกยูสเซอร์เนม พาสเวิร์ด หรือแม้แต่รหัสเข้าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อแบบเข้ารหัสอยู่เอาไว้ โดยไม่สามารถตามรอยได้ว่าเซิร์ฟเวอร์ใดหรือข้อมูลอะไรถูกแฮกไปบ้าง

ข่าวดีคือ OpenSSL จัดการซ่อมแซมบั๊กนี้แล้ว แต่ข่าวร้ายคือ ไม่มีใครยืนยันได้ว่าเว็บไซต์ที่โดน Heartbleed เข้าเล่นงานจะอัพเกรดแพทช์เรียบร้อยแล้ว ข่าวร้ายยิ่งกว่า คือ บั๊กตัวนี้มีอายุยืนยาวถึง 2 ปี!! นั่นจะทำให้สิทธิการรับรองความปลอดภัย (Security Certificate) ถูกขโมยได้ รวมถึงข้อมูลสำคัญอื่นๆ ด้วย

คำแนะนำสำหรับผู้ใช้อินเทอร์เน็ต
1.ตรวจสอบว่าเว็บที่ใช้งานเป็นประจำนั้นเคยโดนบั๊กนี้หรือไม่
โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed นอกจากนี้ยังมีหลายเว็บไซต์ที่รายงานสถานะเว็บไซต์ยอดฮิตต่างๆ ข่าวดีคือ Facebook และ Google ปลอดบั๊ก แต่ Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px และเว็บไซต์อื่นๆ ยังไม่ปลอดภัย

2.ตรวจสอบว่าเว็บที่ใช้งานโดนบั๊กหรือไม่
โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed

3.ตรวจสอบว่าใช้งาน Certificate ใหม่หรือยัง
แม้ว่าเจ้าของเว็บไซต์จะแก้ปัญหาบั๊กนี้แล้ว ควรต้องพิจารณาเรื่องการออก Certificate ใหม่ด้วย ผู้ใช้งานจะต้องตรวจสอบว่าได้ใช้งาน Certificate ใหม่หรือยัง เพื่อความปลอดภัย โดยไปที่การตั้งค่าเบราเซอร์และเลือก Check for server certificate revocation

4.ตรวจสอบวันที่ออก Certificate ใหม่
ผู้ใช้งานจะต้องตรวจสอบว่ามี Certificate ใหม่ที่ออกหลังวันที่ 8 เมษายน 2014 หรือไม่ โดยคลิกขวาที่รูปกุญแจสีเขียวที่ช่อง Address Bar ของเบราเซอร์ >> คลิก Connection >> คลิก Certificate Information

5.เปลี่ยนพาสเวิร์ดทันที
ขั้นตอนที่สำคัญที่สุดหลังจากการอัพเดทแพทช์และ Certificate แล้ว คือการเปลี่ยนพาสเวิร์ดเพื่อเข้าใช้งานเว็บไซต์ต่างๆ ทันที เลือกใช้พาสเวิร์ดที่คุณจำง่ายแต่คนอื่นเดายาก โดยทดสอบความยากของพาสเวิร์ดคุณได้ที่ http://blog.kaspersky.com/password-check/

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป กล่าวทิ้งท้ายเตือนผู้ใช้งานอินเทอร์เน็ตให้ระมัดระวังการใช้งานในโลกไซ เบอร์ และติดตามข่าวสารจากเว็บไซต์ไอทีต่างๆ อย่างสม่ำเสมอ เช่น เว็บไซต์ของแคสเปอร์สกี้ แลป www.securelist.com เพื่อการป้องกันได้ทันท่วงที

www.icom.co.th