Spam – Page 5 – CoP PSU IT Blog

แกะรอย Facebook Spam

August 20, 2013 11:05

ตามรอย Facebook Spam with Virus คำเตือน : ขั้นตอนต่อไปนี้ ทำเพื่อให้เห็นว่า Facebook แพร่ Virus มาได้อย่างไรเท่านั้น อย่านำไปลองทำที่บ้าน !!! โดยเฉพาะ Windows Users 1. มี Message มา เป็น Link แปลกๆ 2. ระแวงไว้ก่อน ลองใช้ Linux Mint LiveCD ตรวจสอบ โดยเปิด Link ดังกล่าวด้วย FireFox (พิมพ์ลงไป ไม่ได้เปิดโดยตรงจาก Facebook) พบว่า มันให้ Download ไฟล์ Zip ชื่อ CameraImage-35160.jpg.zip ดังภาพ แต่เดี๋ยวก่อน !!! อย่าใช้คำสั่ง Open เด็ดขาด ให้เปลี่ยนเป็น Save File หากใครเจอเหตุการณ์เช่นนั้น แล้วเผลอไปเปิด คุณก็ติด Virus เข้าแล้ว !!! 3. จะเห็นได้ว่า พวกนี้จะหลอกให้ผู้ใช้ โดยเฉพาะ Windows ที่มักจะ “ซ่อน” นามสกุลของไฟล์ (Hide known extensions) ทำให้ไม่เห็นว่าไฟล์ที่ download มานั้นเป็น .Zip ซึ่งจะสามารถสั่งให้ Execute โปรแกรมหรือ สั่งให้ Virus ทำงานได้ทันที ! ผู้ใช้ที่ไม่รู้หรือไม่สังเกตุ ก็จะเห็นเป็นแค่ CameraImage-35160.jpg ซึ่งน่าจะเป็นภาพ แทนที่จะเป็น CameraImage-35160.jpg.zip ซึ่งเป็นไฟล์อันตราย 4. คราวนี้ มาดูว่า เจ้าไฟล์นี้ มันทำอะไร โดยทดลองเปิดดู (บน Linux Mint ไวรัสไม่สามารถทำอะไรได้) พบว่าใน Zip ไฟล์นี้ มี ไฟล์ชื่อ summertime-fun.jpg.exe อยู่ ซึ่งเป็น Virus นั่นเอง (ดังภาพ) 5. ต่อไป เป็นการส่งไฟล์ไปตรวจสอบ ว่าเป็น Virus ชนิดใด ในที่นี้เลือกใช้ https://www.virustotal.com/en/ เพราะสามารถส่งไฟล์ไปตรวจสอบได้ทาง Web Browser ดังภาพ โดยเลือกไฟล์ summertime-fun.jpg.exe ข้างต้นไปตรวจสอบ ผลที่ได้คือ สรุป เป็น Virus/Malware ชนิดหนึ่ง รายละเอียดยังไม่แน่ชัด แต่ไม่ไปยุ่งกับมันเป็นดีที่สุด 6. อ่านเพิ่มเติมเกี่ยว Virus/Spam ที่มากับ Facebook ได้ที่ http://www.hacker9.com/beware-of-spambook-facebook-spam-and-virus.html สำหรับใครที่เจอเหตุการณ์นี้ แล้ว 1. ได้รับ Message แล้วคลิก Link … ถ้า Web Browser ของท่านฉลาดสักหน่อย ก็จะถามว่า จะ Save หรือ Open (กรณีใช้ Microsoft Windows เท่านั้น) ถ้าเลือก Save แล้วไม่ได้ไปเปิดไฟล์ –> ก็ยังปลอดภัย แค่ไปลบไฟล์ทิ้ง จบ ถ้าเลือก Open แล้ว ไม่ได้ไป Double Click ไฟล์ที่ซ่อนอยู่ –> ก็ยังปลอดภัย ลบไฟล์ทิ้ง จบ แต่ถ้า เลือก Open แล้ว double click –> ท่านน่าจะติด Virus ไปแล้วครับ ถ้าในเครื่องมี Antivirus แต่ไม่ Update หรือตรวจสอบไม่เจอ ก็เป็นอันว่า มันฝังในเครื่องแล้ว หากติดแล้ว จะเห็นได้ว่า เครื่องจะช้าลง

จดหมายหลอกลวง 2013-08-07

August 7, 2013 10:46

วันนี้ 7 สิงหาคม 2556 มีจดหมายหลอกลวงหลุดเข้ามาในระบบ โดยผ่าน ผู้ใช้ของมหาวิทยาลัย 3 คน ซึ่งโดนหลอกเอารหัสผ่านไปก่อนหน้านี้ ซึ่ง ทั้งหมด ถูกระงับการใช้งาน PSU Email ชั่วคราวไปแล้ว โดยจะมีหน้าตาจดหมาย เป็นภาษาไทย แต่อ่านแล้วสับสน เพราะใช้ Google Translate แปล เพื่อหลอกคนไทยโดยเฉพาะ เนื้อหาประมาณนี้ โดยหวังให้ผู้ที่โดนหลอก คลิก Link ใน Email ซึ่งจะได้พบหน้า Website นี้ เมื่อมีผู้หลงเชื่อ กรอกข้อมูลลงไป โดยเฉพาะ Username และ Password ก็ทำให้ผู้ร้ายสามารถเข้ามาใช้ PSU Webmail ของผู้นั้น เป็นฐานในการโจมตีผู้อื่นต่อไป ผลกระทบที่ผู้ถูกหลอกจะได้รับ 1. จะมีจดหมายจากตัวเอง ส่งไปหาคนทั่วโลก นับแสนคน สร้างความเดือนร้อนรำคาญ 2. ผู้ร้าย จะทำการเปลี่ยนข้อมูลส่วนตัวของผู้นั้น เมื่อผู้รับตอบกลับมา จะไม่กลับมายัง Email ของคนนั้นอีกเลย แต่จะส่งไปให้ผู้ร้ายแทน หากมีข้อมูลทางการเงิน ก็อาจทำให้สูญทรัพย์สินได้ 3. หากมีการส่ง Email ขยะออกไปมาก จะทำให้ ทั่วโลกปิดกั้นการรับข้อมูลจากมหาวิทยาลัย และทำให้เกิดความเสียหายกับทั้งมหาวิทยาลัยได้ ทางมหาวิทยาลัย จะไม่มีจดหมายลักษณะดังกล่าวไปแจ้งผู้ใช้ ** เด็ดขาด ** กรุณาอ่านเพิ่มเติม เกี่ยวกับกลลวงต่างๆได้ที่ http://share.psu.ac.th/blog/cyber007/25717 หากท่านใดได้รับ กรุณาลบทิ้งทันที อย่าได้ลองคลิก Link เด็ดขาด เพราะอาจจะมีการฝัง Script บางอย่าง เพื่อฝังไว้ในเครื่องของท่านก็เป็นได้ จึงเรียนมาเพื่อทราบ

การตรวจสอบหา User ที่โดนหลอกเอา Password บน เว็บเมล์

May 17, 2013 09:58

วันก่อนได้รับจดหมายแจ้งเตือนว่า กำลังจะทำการปรับปรุงฐานข้อมูล email และจะทำการลบบัญชีที่ไม่ได้ใช้งาน เพื่อขยายพื้นที่ให้กับผู้ใช้รายใหม่ เพื่อเป็นการยืนยันว่าท่านยังมีการใช้งานอยู่โปรดกรอกข้อมูลตาม url ด้านล่าง มิเช่นนั้นบัญชีของท่านจะถูกลบ เมื่อคลิกเข้าไปดูตาม url ก็พบว่ามีช่องให้กรอกข้อมูล ชื่อผู้ใช้ และรหัสผ่าน แหมเจอแบบนี้ถ้าเป็นคนในวงการก็จะรู้ว่าหลอกลวงแน่นอน แต่ก็ยังมีผู้ใช้ที่รู้เท่าไม่ถึงการณ์หลงเชื่อ (จากประสบการณ์จะพบว่าผู้ใช้ทีหลงเชื่อโดยส่วนใหญ่จะเก่งภาษาอังกฤษหรือเป็นชาวต่างชาติครับ) เมื่อลองตรวจดูที่ header ทั้งหมดของจดหมายดังกล่าวเพื่อหาว่าต้นตอของจดหมายถูกส่งมาจากที่ใด ก็พบว่าถูกส่งมาจาก 199.83.103.141 ซึ่งเมือตรวจสอบต่อไปก็พบว่าเป็น ip address ที่อยู่ในประเทศสหรัฐอเมริกา ก็เลยชักสงสัยแล้วว่าผู้ใช้รายใดกันที่ส่งอีเมล์ฉบับนี้มากจากอเมริกา ก็เลยตรวจสอบจาก log ของเว็บเมล์เพื่อหาดูกิจกรรมของหมายเลข ip ดังกล่าว ก็พบว่า มีผู้ใช้รายหนึ่ง (จากรูปด้าล่างคื sophita.t) ได้ทำการ login โดยใช้ ip ดังกล่าวครับ ดังรูป ตรวจสอบใน log ต่อไปก็พบว่า ip นี้มีการส่งจดหมายดังกล่าวจริง เมือตรวจสอบไปยังผู้ใช้เจ้าของบัญชีดังกล่าวว่าช่วงเวลาที่มีการส่งจดหมายหลอกลวงดังกล่าว ได้อยู่ที่อเมริกาหรือเปล่า ก็ได้คำตอบว่าอยุ่เมืองไทยตลอดจะมีไป ตปท. บ้างก็คงไปจีนแต่ไม่ใช่ช่วงดงกล่าว จึงเป็นที่แน่ชัดว่าถูกขโมยรหัสผ่านแน่นอน แถมยังใช้ในการส่ง SPAM เพื่อหวังหลอกเอารหัสผ่านผู้ใช้รายอื่นๆ อีก ขั้นแรกจึงได้ทำการปิดกั้นการเข้าถึงไปยังเว็บไซต์ที่หลอกลวงให้กรอกข้อมูลผู้ใช้ก่อน จากนั้นจึงได้ทำการแจ้งเตือนผู้ใช้อื่นๆ แล้วจึงทำการ reset รหัสผ่านผู้ใช้ที่โดนขโมยรหัสผ่าน

Warning :: spam-20130109

January 9, 2013 05:39

พบจดหมายหลอกลวง มีเนื้อความประมาณนี้ (แค่นี้จริงๆ — ไม่จำเป็น อย่าได้ตาม link ไปนะครับ) http://www.hfh-schule.de/images/perfsedit.php เมื่อคลิกแล้ว (ไม่แนะนำให้ทุกท่านทำเช่นนี้ แต่ผมขอทดลองให้ดูเป็นตัวอย่าง) มันจะ detect ว่าเราอยู่ที่ใดในโลก ในตัวอย่างนี้ มันพบว่า IP Address ของผมอยู่ที่ Songkhla ก็จะไปยัง website ชื่อ http://workfromyourhome5.com/ ซึ่งมันจะทำเป็น Phishing Site หน้าตาเหมือนของ CNBC เป๊ะ ดังนี้ แต่ถ้าสังเกตดีๆ จะเห็นวันที่ update ข่าวนี้เป็น Published: Monday, 30 April 2012 | 7:48 AM ET แล้วทุก link ในหน้านี้ จะชี้ไปที่ http://workfromyourhome5.com/go.php ซึ่งจะส่งไปยังหน้า page ที่จะหลอกเอาข้อมูลส่วนตัวเราไปครับ ดังนี้ จึงเรียนมาเพื่อให้ระมัดระวังกันมากๆครับ