การตรวจสอบหา User ที่โดนหลอกเอา Password บน เว็บเมล์

วันก่อนได้รับจดหมายแจ้งเตือนว่า กำลังจะทำการปรับปรุงฐานข้อมูล email และจะทำการลบบัญชีที่ไม่ได้ใช้งาน เพื่อขยายพื้นที่ให้กับผู้ใช้รายใหม่ เพื่อเป็นการยืนยันว่าท่านยังมีการใช้งานอยู่โปรดกรอกข้อมูลตาม url ด้านล่าง มิเช่นนั้นบัญชีของท่านจะถูกลบ เมื่อคลิกเข้าไปดูตาม url ก็พบว่ามีช่องให้กรอกข้อมูล ชื่อผู้ใช้ และรหัสผ่าน แหมเจอแบบนี้ถ้าเป็นคนในวงการก็จะรู้ว่าหลอกลวงแน่นอน แต่ก็ยังมีผู้ใช้ที่รู้เท่าไม่ถึงการณ์หลงเชื่อ (จากประสบการณ์จะพบว่าผู้ใช้ทีหลงเชื่อโดยส่วนใหญ่จะเก่งภาษาอังกฤษหรือเป็นชาวต่างชาติครับ)

Screenshot-1

เมื่อลองตรวจดูที่ header ทั้งหมดของจดหมายดังกล่าวเพื่อหาว่าต้นตอของจดหมายถูกส่งมาจากที่ใด ก็พบว่าถูกส่งมาจาก 199.83.103.141 ซึ่งเมือตรวจสอบต่อไปก็พบว่าเป็น ip address ที่อยู่ในประเทศสหรัฐอเมริกา

Screenshot-2

 ก็เลยชักสงสัยแล้วว่าผู้ใช้รายใดกันที่ส่งอีเมล์ฉบับนี้มากจากอเมริกา ก็เลยตรวจสอบจาก log ของเว็บเมล์เพื่อหาดูกิจกรรมของหมายเลข ip ดังกล่าว ก็พบว่า มีผู้ใช้รายหนึ่ง (จากรูปด้าล่างคื sophita.t) ได้ทำการ login โดยใช้ ip ดังกล่าวครับ ดังรูป

Screenshot-3

ตรวจสอบใน log ต่อไปก็พบว่า ip นี้มีการส่งจดหมายดังกล่าวจริง

Screenshot-4

เมือตรวจสอบไปยังผู้ใช้เจ้าของบัญชีดังกล่าวว่าช่วงเวลาที่มีการส่งจดหมายหลอกลวงดังกล่าว ได้อยู่ที่อเมริกาหรือเปล่า ก็ได้คำตอบว่าอยุ่เมืองไทยตลอดจะมีไป ตปท. บ้างก็คงไปจีนแต่ไม่ใช่ช่วงดงกล่าว จึงเป็นที่แน่ชัดว่าถูกขโมยรหัสผ่านแน่นอน แถมยังใช้ในการส่ง SPAM เพื่อหวังหลอกเอารหัสผ่านผู้ใช้รายอื่นๆ อีก

ขั้นแรกจึงได้ทำการปิดกั้นการเข้าถึงไปยังเว็บไซต์ที่หลอกลวงให้กรอกข้อมูลผู้ใช้ก่อน จากนั้นจึงได้ทำการแจ้งเตือนผู้ใช้อื่นๆ แล้วจึงทำการ reset รหัสผ่านผู้ใช้ที่โดนขโมยรหัสผ่าน

1 comment for “การตรวจสอบหา User ที่โดนหลอกเอา Password บน เว็บเมล์

  1. คณกรณ์ หอศิริธรรม
    May 18, 2013 at 8:42 am

    เยี่ยมครับ
    จากที่เห็นใน Log ข้างต้น แสดงว่ามีระบบ SMTP Authentication แล้ว ทำให้รู้ sasl_username ได้
    จึงสามารถ identify ได้ครับ

    ถ้าสามารถสร้าง script ทำงานอัตโนมัติให้ lock การส่งผิดปรกติ หรือ ถ้าเข้าเงื่อนไขหลายๆอย่าง ก็ให้ reset password ไปก่อน ก็อาจจะทำให้ป้องกันความเสียหายได้มากครับ

    อีกประการหนึ่ง อันนี้ระบบของผมก็เจอ คือ saslauthd นั้น ถ้าในไฟล์ /etc/defaults/saslauthd ให้
    OPTIONS=”-c -m /var/run/saslauthd”

    ซึ่ง Option ที่เขียนว่า -c แสดงว่าให้ระบบ cache รหัสผ่านเอาไว้ โดย default จะเป็น 8hr นะครับ ผลคือ เมื่อทำการ reset รหัสผ่านอัตโนมัติแล้ว ผู้ร้ายก็ยังคงใช้ระบบต่อไปอีก 8hr นั่นเอง
    ถ้าต้องการให้การ Cache ลดเวลาลงเหลือสัก 10 นาทีก็ใส่ -t 600 อย่างนี้

    OPTIONS=”-c -m /var/run/saslauthd -t 600”

    ก็จะทำให้ใช้งานได้ไปอีก 10 นาที ก็จะใช้ไม่ได้แล้ว
    ค่าประมาณนี้ผมทดลองดู พบว่าไม่กระทบกับผุ้ใช้ส่วนใหญ่ …

    แต่การ SMTP Authentication มีการ connect/disconnect ตลอด อาจจะไม่ได้รับผลกระทบนัก แต่แจ้งเผื่อๆไว้ครับ 😉

Leave a Reply