การตรวจสอบหา User ที่โดนหลอกเอา Password บน เว็บเมล์

วันก่อนได้รับจดหมายแจ้งเตือนว่า กำลังจะทำการปรับปรุงฐานข้อมูล email และจะทำการลบบัญชีที่ไม่ได้ใช้งาน เพื่อขยายพื้นที่ให้กับผู้ใช้รายใหม่ เพื่อเป็นการยืนยันว่าท่านยังมีการใช้งานอยู่โปรดกรอกข้อมูลตาม url ด้านล่าง มิเช่นนั้นบัญชีของท่านจะถูกลบ เมื่อคลิกเข้าไปดูตาม url ก็พบว่ามีช่องให้กรอกข้อมูล ชื่อผู้ใช้ และรหัสผ่าน แหมเจอแบบนี้ถ้าเป็นคนในวงการก็จะรู้ว่าหลอกลวงแน่นอน แต่ก็ยังมีผู้ใช้ที่รู้เท่าไม่ถึงการณ์หลงเชื่อ (จากประสบการณ์จะพบว่าผู้ใช้ทีหลงเชื่อโดยส่วนใหญ่จะเก่งภาษาอังกฤษหรือเป็นชาวต่างชาติครับ)

Screenshot-1

เมื่อลองตรวจดูที่ header ทั้งหมดของจดหมายดังกล่าวเพื่อหาว่าต้นตอของจดหมายถูกส่งมาจากที่ใด ก็พบว่าถูกส่งมาจาก 199.83.103.141 ซึ่งเมือตรวจสอบต่อไปก็พบว่าเป็น ip address ที่อยู่ในประเทศสหรัฐอเมริกา

Screenshot-2

 ก็เลยชักสงสัยแล้วว่าผู้ใช้รายใดกันที่ส่งอีเมล์ฉบับนี้มากจากอเมริกา ก็เลยตรวจสอบจาก log ของเว็บเมล์เพื่อหาดูกิจกรรมของหมายเลข ip ดังกล่าว ก็พบว่า มีผู้ใช้รายหนึ่ง (จากรูปด้าล่างคื sophita.t) ได้ทำการ login โดยใช้ ip ดังกล่าวครับ ดังรูป

Screenshot-3

ตรวจสอบใน log ต่อไปก็พบว่า ip นี้มีการส่งจดหมายดังกล่าวจริง

Screenshot-4

เมือตรวจสอบไปยังผู้ใช้เจ้าของบัญชีดังกล่าวว่าช่วงเวลาที่มีการส่งจดหมายหลอกลวงดังกล่าว ได้อยู่ที่อเมริกาหรือเปล่า ก็ได้คำตอบว่าอยุ่เมืองไทยตลอดจะมีไป ตปท. บ้างก็คงไปจีนแต่ไม่ใช่ช่วงดงกล่าว จึงเป็นที่แน่ชัดว่าถูกขโมยรหัสผ่านแน่นอน แถมยังใช้ในการส่ง SPAM เพื่อหวังหลอกเอารหัสผ่านผู้ใช้รายอื่นๆ อีก

ขั้นแรกจึงได้ทำการปิดกั้นการเข้าถึงไปยังเว็บไซต์ที่หลอกลวงให้กรอกข้อมูลผู้ใช้ก่อน จากนั้นจึงได้ทำการแจ้งเตือนผู้ใช้อื่นๆ แล้วจึงทำการ reset รหัสผ่านผู้ใช้ที่โดนขโมยรหัสผ่าน

Comments

One response to “การตรวจสอบหา User ที่โดนหลอกเอา Password บน เว็บเมล์”

  1. คณกรณ์ หอศิริธรรม Avatar
    คณกรณ์ หอศิริธรรม

    เยี่ยมครับ
    จากที่เห็นใน Log ข้างต้น แสดงว่ามีระบบ SMTP Authentication แล้ว ทำให้รู้ sasl_username ได้
    จึงสามารถ identify ได้ครับ

    ถ้าสามารถสร้าง script ทำงานอัตโนมัติให้ lock การส่งผิดปรกติ หรือ ถ้าเข้าเงื่อนไขหลายๆอย่าง ก็ให้ reset password ไปก่อน ก็อาจจะทำให้ป้องกันความเสียหายได้มากครับ

    อีกประการหนึ่ง อันนี้ระบบของผมก็เจอ คือ saslauthd นั้น ถ้าในไฟล์ /etc/defaults/saslauthd ให้
    OPTIONS=”-c -m /var/run/saslauthd”

    ซึ่ง Option ที่เขียนว่า -c แสดงว่าให้ระบบ cache รหัสผ่านเอาไว้ โดย default จะเป็น 8hr นะครับ ผลคือ เมื่อทำการ reset รหัสผ่านอัตโนมัติแล้ว ผู้ร้ายก็ยังคงใช้ระบบต่อไปอีก 8hr นั่นเอง
    ถ้าต้องการให้การ Cache ลดเวลาลงเหลือสัก 10 นาทีก็ใส่ -t 600 อย่างนี้

    OPTIONS=”-c -m /var/run/saslauthd -t 600”

    ก็จะทำให้ใช้งานได้ไปอีก 10 นาที ก็จะใช้ไม่ได้แล้ว
    ค่าประมาณนี้ผมทดลองดู พบว่าไม่กระทบกับผุ้ใช้ส่วนใหญ่ …

    แต่การ SMTP Authentication มีการ connect/disconnect ตลอด อาจจะไม่ได้รับผลกระทบนัก แต่แจ้งเผื่อๆไว้ครับ 😉

Leave a Reply

Your email address will not be published. Required fields are marked *