เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด Pharming
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
เหล่าอาชญากรยุคไฮเทคในปัจจุบันกำลังใช้เทคนิคใหม่ที่เข้ามาแอบขโมยข้อมูลส่วนตัวของเราตลอดจนทำให้เงินออกจากกระเป๋าเราได้อย่างง่ายดาย โดยเฉพาะผู้ที่ใช้บริการอินเตอร์เน็ตแบงค์กิ้งอยู่ในเวลานี้ วิธีการที่เหล่าอาชญกรไฮเทคนิยมใช้ได้แก่วิธี “Phishing” และ ล่าสุดคือวิธี “Pharming”
ซึ่งอันตรายและน่ากลัวกว่าเดิมหลายเท่า วิธี “Phishing” นั้น ใช้วิธีทางจิตวิทยา (Social Engineering) โดยการส่ง eMail มาหลอกผู้ใช้บริการ Online หรือ ผู้ใช้บริการอินเตอร์เน็ตแบงค์กิ้ง ว่าให้รีบติดต่อกลับไปที่ Web Site ของบริการ Online เช่น eBay หรือ Paypal ตลอดจน บริการอินเตอร์เน็ตแบงค์กิ้งของธนาคาร เช่น ธนาคาร CITIBANK หรือ Bank of America เป็นต้น โดย eMail เหล่านั้นจะทำ Link หลอกผู้ใช้บริการไว้ให้คิดว่าเป็น URL ที่ Link ไปยัง Web Site ของผู้ให้บริการ แต่จริงๆแล้วเมื่อหลงคลิ๊กเข้าไปก็พบว่าถูกหลอกให้ไปยัง Web Site ปลอมที่พวกอาชญากรไซเบอร์เตรียมไว้สำหรับรอดัก Username และ Password ของเรา หลังจากนั้นเหล่าผู้ไม่หวังดีก็จะนำ Username และ Password ของเราไปใช้ในการชำระเงินต่างๆ ทำให้เราต้องเสียเงิน และ เสียเวลาในการติดต่อกับธนาคารซึ่งส่วนใหญ่แล้ว ธนาคารก็จะไม่สามารถรับผิดชอบให้เราได้ เพราะเราไม่ระมัดระวัง eMail ลักษณะหลอกลวงแบบนี้ ดังนั้น เราจึงต้องพยายามสังเกตุ eMail และคอยติดตามข่าวสารเรื่องนี้ได้ที่ Anti Phishing Working Group ซึ่งมี Web Site www.antiphishing.org
สำหรับเทคนิคใหม่ที่ซับซ้อนกว่า “Phishing” นั้นได้แก่เทคนิค “Pharming” ซึ่งไม่จำเป็นต้องใช้วิธีเดิมคือส่ง eMail มาหลอกผู้ใช้บริการ Online และ ผู้ใช้บริการก็ไม่ต้องคลิ๊ก Link ที่หลอกมาแต่อย่างใด เหล่าอาชญากรไซเบอร์ใช้วิธีใหม่ที่แนบเนียนกว่า คือ การโจมตีไปที่ระบบ DNS Server ของบริษัท หรือ ผู้ให้บริการอินเตอร์เน็ต (ISP) โดยตรง โดยวิธีแฮกเข้าไปในระบบ DNS เลย หรือ ไม่ก็ใช้วิธีการที่เรียกว่า DNS Hijacking หรือ Poisoning ทำให้ผู้ใช้บริการที่ตกเป็นเหยื่อคิดว่าได้เข้าไปใน URL ที่ถูกต้องจริงๆ แต่ปรากฏว่า URL นั้นได้ถูก “Redirect” ไปยัง Web Site ปลอมที่อาชญากรไซเบอร์ทำรอไว้ให้หลงเข้าไปติดกับดัก
อีกวิธีหนึ่งก็คือ การแฮกเข้าที่เครื่อง Client ตามบ้าน ซึ่งใช้อินเตอร์เน็ตความเร็วสูง หรือ Broadband Internet แล้วส่งโทรจันเช่น Trojan/BankAsh-A หรือ PWSteal.Banking.A เข้ามาดักรออยู่ ในเครื่องของเหยื่อโดยตรง โทรจันตัวนี้ถือว่าเป็นไวรัสคอมพิวเตอร์แบบหนึ่ง ซึ่งมันจะเข้าไปแก้ไขไฟล์ HOSTS ที่อยู่ใน Sub Directory c:\windows\system32\drivers\etc หรือ c:\winnt\systems\drivers\etc และ เพิ่มบรรทัดที่หลอกให้เหยื่อไปยัง URL ปรกติแต่ถูก “Redirect” ไปยัง Web Site ที่อาชญากรไซเบอร์เตรียมไว้ ที่โดนกันไปก็คือ ธนาคารต่างๆในต่างประเทศ Barclays Bank และ HSBC Bank เป็นต้น
การโจมตีด้วยวิธีการ “Pharming” นี้ เหยื่อจะสังเกตุได้ยากมาก หรือ เรียกได้ว่าแทบไม่รู้ตัวเลยก็ว่าได้ เพราะ URL ที่เข้าไปก็เหมือนกับของ Web Site จริงทุกประการ แต่เป็นกลลวงที่ระบบ DNS ทำให้เหยื่อเกิดความเข้าใจผิด
สำหรับวิธีการแก้ไขในระยะสั้น นอกจากการที่เราต้องหมั่นตรวจสอบไฟล์ HOSTS ที่อยู่ในเครื่องเราบ่อยๆ แล้ว เราก็ต้องคอยอ่านข่าวสารใหม่ๆ เกี่ยวข้องกับเรื่อง Phishing เป็นระยะๆ จาก web site ที่ได้กล่าวมาแล้วในตอนต้น วิธีการแก้ไขในระยะยาวแบบบูรณาการ ก็คือ การใช้ระบบวิธีบริหารจัดการตรวจสอบการแสดงตัวตน IAM (Identity and Access Control Management System) ซึ่งต้องใช้ Digital Certificate มาช่วยในการตรวจสอบการเข้าถึงระบบ (Authentication Process) นั่นหมายถึง CA (Certificate Authority) และ PKI (Public Key Infrastructure) จะต้องเข้ามาเกี่ยวข้องโดยตรง นอกจากนั้น ผู้ที่ดูแล DNS Server อยู่ เช่น ผู้ให้บริการในอินเทอร์เน็ตหรือ ISP ก็ต้องคอย “Patch” เครื่อง DNS Server ของตน และหมั่นตรวจสอบประเมินความเสี่ยง (Vulnerability Assessment) ระบบของตนเองอยู่เป็นระยะๆ
ภัยอินเทอร์เน็ตในวันนี้น่ากลัวกว่าที่เราคิดไว้มาก ดังนั้นเราควรต้องหมั่น “Update” ข่าวสารความเคลื่อนไหวด้าน Information Security บ่อยๆเพื่อไม่ให้ตกเป็นเหยื่อการหลอดลวงใหม่ๆทางอินเทอร์เน็ต ที่นับวันจะเพิ่มมากขึ้นอย่างน่าตกใจ
จาก : หนังสือ eWeek Thailand
ประจำเดือน ปักษ์แรก เดือนพฤษภาคม 2548
Update Information : 22 เมษายน 2548