ช่วงนี้เป็นประเด็นเยอะ จากกระทู้แนะนำที่โดนแฮกสูญเงินไปหลายแสน
เลยอยากจะตั้งกระทู้ให้ความรู้นิดหน่อย (จากประสบการณ์อันน้อยนิด)
ผมเห็นหลายคนเวลาจะเข้าเว็บอะไรก็ตาม ชอบเข้า Google ก่อน เสิร์ชชื่อเว็บ แล้วค่อยคลิกลิ้ง (ไม่เข้าใจทำไม ไม่เข้าตรง ๆ เลย เพราะที่พิมค้นหา ก็เกือบจะครบ url อยู่แล้ว เช่น เข้าเว็บ scbeasy.com แต่เข้า google หาคำว่า scbeasy แล้วค้นหาก่อนแล้วคลิกลิ้งเข้าไป - -') มันจึงเกิดความเป็นไปได้ ที่จะมีลิ้งค์ปลอมโผล่ขึ้นมาดักให้คุณเผลอคลิกเข้าแบบเนียน ๆ เช่น เว็บของกสิกร อาจจะเป็น
https://online.kasikornbankgroup.com/K-Online/ib/login_th.jsp แบบนี้ คนที่มีความรู้ด้านเว็บไซต์ ก็ใช้วิธีง่าย ๆ ครับ
ไปจดโดเมนมาใหม่เลย เป็น
https://online.kasikornbankgroups.com หรือ
https://online.kasikornbankgroups.x78.com จะเห็นได้ว่ามันใกล้เคียงกันมาก ๆ ขั้นตอนพวกนี้ไม่ยาก ใช้เงินแค่ $9 ก็ทำได้แล้ว
ขั้นต่อมา เมื่อคนเข้าเว็บปลอม ไปแล้ว หน้าตาเหมือนของจริงเป๊ะ ๆ ระหว่างนั้น พอเปิดปุ๊บเว็บก็จะฝัง Trojan เข้าไปในคอมของคุณเลยก็ได้ ถ้า OS (windows) ของคุณตกรุ่น ไม่เคยอัพเดท ใช้ของปลอมอัพเดทไม่ได้ ไม่มีแอนตี้ไวรัส ซึ่งโอกาสที่จะฝังสำเร็จมีน้อยพอสมควร แต่ใช่ว่าจะไม่มี (**เรื่องฝัง Trojan อันนี้ทดไว้ในใจก่อนนะครับ ฮึบ ๆ)
ถ้าฝัง Trojan ไม่สำเร็จ คนทั่วไปก็จะทำการ กรอก user/pass ลงไปเพื่อล็อกอิน พอกด login หน้าเว็บปลอมจะเก็บข้อมูลของคุณไปให้โจรทันที
แต่เอ๊ะ! ถ้าพิมผิดล่ะ ไม่ต้องตื่นเต้น พอล็อกอินถึงแม้รหัสจะถูกมันก็บอกว่าใส่รหัสผิด เพื่อให้คุณพิมกรอกซ้ำอีก 2-3 ครั้ง มันก็เก็บไว้ทั้งหมด
ยกตัวอย่างให้เห็นภาพ ถ้าคุณใช้รหัส เป็น user:kondee pass:sawasdee
scenario::
- เข้าเว็บมา (*ฝัง Trojan)
- ล็อกอินครั้งแรก ใส่รหัส user:kondee pass:sawasdee
- เว็บปลอม บอกว่ารหัสผิดใส่อีกครั้ง
- คุณงง เอ๊ะ ใส่ผิดหรือเปล่า หรือเราจะใส่ผิดจริง ๆ ใส่อีกรอบ user:kondee pass:sawasdee (*ครั้งที่สองอันนี้ re-check กับครั้งแรกจะได้รหัสที่ถูกต้อง)
- เฮ้่ย ยังผิดอีก รหัสอื่นหรือเปล่า user:kondee pass:thailand (*ปกติคนทั่วไปมีรหัสผ่านที่ใช้ประจำอยู่ 2-3 คำถ้ามันเก็บรหัสอื่นได้ มันก็ลองเอาไปใช้ login ที่เว็บอื่นได้ )
- พอครั้งที่ 3 มันตรงกับระบบทั่วไปที่สามารถ login ได้ 3 ครั้ง ปุ๊บ มันก็เนียน ส่งเราไปหน้าเว็บสำหรับโหลดโปรแกรมลงมือถือ อ้างว่าต้องใช้เพื่อความปลอดภัย อาจจะเป็น link / qr code หรือใส่เบอร์ส่ง sms ในกรณีนี้ ถ้าคุณใส่เบอร์โทร ระบบโจรจะส่งลิ้งกดใน sms
- พอกดลิ้งปุ๊บ เท่ากับคุณโหลดโปรแกรม Trojan/Malware มาไว้ในมือถือของคุณแล้ว ซึ่งขั้นตอนนี้สำคัญมาก เพราะระบบโจร มันสามารถตรวจจับได้ว่าคุณใช้มือถืออะไร ใช้ OS อะไร ไม่ว่าจะเป็น iOs / Android /BB /Nokia ไม่ใช่ว่าจะทำได้แต่ smart phone เพราะ Feature phone บ้าน ๆ อย่าง nokia เก่า ๆ ก็สามารถโดนได้เหมือนกัน (** อันนี้มี Trojan ในมือถือแล้ว) ไว้ดักจับ SMS
- พอโหลดเสร็จ มันจะส่งคุณกลับไปหน้าเว็บจริง ของธนาคาร คุณก็จะสามารถล็อกอินได้ปกติ ทำธุรกรรมได้ปกติ โดยไม่รู้ว่าหายนะ กำลังจะมาเยือน
- เท่ากับตอนนี้มันสามารถเข้าถึงได้ โดยมี user/pass/sms แล้วนะครับ
- ตกดึกมันกะเวลาที่คุณจะนอนหลับแล้ว เพราะเผื่อมีอะไรผิดพลาด คุณจะได้ไม่รู้ตัว หรือเบลอ ๆ มันก็ล็อกอินเข้าไปในเว็บธนาคารด้วยรหัสผ่านของคุณ โดยมันอาจจะต่อเน็ตจาก 3G ที่ซื้อซิมมาจาก 7-11 (ใช้แล้วทิ้ง ติดตามไม่ได้) แล้วไปนั่งใช้เน็ตตามข้างทางไกล ๆ บ้านตัวเอง
- พอเข้าไปได้ มันก็จัดการเพิ่มบัญชีสำหรับโอนเงิน โดยบัญชีที่มันใช้ ก็จะเป็นบัญชีปลอม (แหงล่ะ ใครจะให้สาวมาถึงตัว) ซึ่งบัญชีปลอม ในวงการโจร มีซื้อขายกันแม้กระทั่งในเน็ต (เป็นบัญชีจ้างชาวเขา ชาวดอย คน ตจว.เปิด) โดยมีบัตร ATM ไว้กดเงิน พอเพิ่มปุ๊บ ธนาคารส่ง OTP มาให้ที่เครื่องคุณ แต่เจอ Trojan ในมือถือดักไว้แล้ว มันก็กรอก OTP เพิ่มบัญชีได้สบาย ๆ ถ้าเพิ่มวงเงินการโอนในระบบได้ นี่ยิ่งวายป่วง
****** โดยการทำงานของ Trojan ก็จะดักจับ SMS ที่เข้ามาในมือถือของคุณ แล้วเช็คว่าส่งมาจากเบอร์ของ ธนาคารหรือเปล่า สมมติเบอร์ที่ส่ง OTP จาก ธนาคารเป็น 02-7777777 พอมันเจอเบอร์ตรงกับที่ตั้งไว้ส่ง sms มา มันก็ปิดเสียง alert ซะ แล้วส่ง OTP ไปให้โจรทางใดทางนึง อาจจะส่ง sms forward ไปที่เบอร์โจร ซิมซื้อจาก 7-11 ไม่กี่บาท หรือถ้าต่อเน็ตไว้ ก็ส่งเข้าอีเมล์โจรได้ทันที โดยคุณไม่รู้ตัว ******
- พอเพิ่มบัญชีเสร็จก็ทำการโอน ระบบส่ง OTP มาอีก มันก็กรอกได้อีก เท่ากับว่าโอนสำเร็จ
- ระหว่างนั้น โจร1 จะทำการแจ้งกับโจร2 ที่ อาจจะใส่หมวกกันน๊อค ขี่เวฟไปนั่งรอที่ตู้ ATM ข้างทาง เปลี่ยว ๆ สลัว ๆ ไม่มีกล้องวงจรปิด ใส่ป้ายทะเบียนปลอม ให้กดเงินออกมาทันที จะกี่รอบก็ว่าไป กดมันจนหมดบัญชีแหระ เด๋วพอเค้าจับได้ บัญชีก็ถูกอายัด มันเป็นแบบใช้แล้วทิ้ง (ไอคนที่ถูกจ้างไปเปิดบัญชีถึงคราวซวย)
- โจร1 ทำการ logout ออกจากระบบ ถอดซิม 3G ทิ้งถังขยะ โจร2 ขี่เวฟมารับ พากันไปใช้เงิน สบายใจจุงเบยยยย
*** หมายเหตุ: เป็นเหตุการณ์สมมติ บรรยายเพื่อให้เข้าใจและเห็นภาพ ไม่ได้มีเจตนาโจมตีระบบการเงินธนาคาร หรือคนขี่เวฟ แต่อย่างใด
บทเสริม : (ยังจำ Trojan ที่ทดไว้ในใจได้ไม๊??)
สมัยเด็ก ๆ ผมเคยลองเล่นของพวกนี้ มันคอนโทรลได้หมดครับ ในแต่ละ OS มันมีรหัสเก็บไว้ตรงไหน ไปขุดมาได้หมด รหัสเน็ต รหัสไวไฟ รหัสเอ็มเอสเอ็น ดาวน์โหลดชิว ๆ เลย มีกล้องหรือไม่มี เปิดปิดกล้อง/ซีดี ได้คีย์ล็อกเกอร์ ดักจับทุกอย่างที่คุณพิมผ่านคีบอร์ด คุณเข้าเว็บไหน ดูหน้าไหน รหัสอะไร สามารถคอนโทรลเครื่องคอมทั้งเครื่องได้เหมือนเป็นเจ้าของเครื่องครับ
ดังนั้น ถ้ามี Trojan ในเครื่องคอมของคุณ ถึงคุณจะทำการเปลี่ยนรหัสผ่านในเว็บธนาคารแล้ว โจรก็รู้ได้ทันทีว่าคุณเปลี่ยนรหัสเป็นอะไร ...
นอกจากนี้ ข้อมูลสำคัญเช่นการเข้าถึง อีเมล /เฟซบุ๊ค โจรก็สามารถเอาไปเนียนหลอกเพื่อนคุณได้อีก เหมือนที่เคยเป็นข่าว อยู่ดี ๆ เพื่อน Chat/mail มาบอกว่าอยู่ต่างจังหวัด โดนโขมยกระเป๋าโอนเงินให้หน่อย แต่เพื่อนคุณตัวจริงนั่งมึนดูซีรี่อยู่ที่บ้าน ปรากฏว่าโดนแฮ็กเฟซบุ๊ค ซะงั้น
... นาน ๆ ตั้งกระทู้ยาว ๆ ที ผิดพลาดบ้าง อย่าว่ากันนะครับ
-------------------------
เพิ่มเติม:
หลายท่านบอกว่าดู url แล้วก็ถูกต้องตรงกับของธนาคารเป๊ะ ๆ แต่ไม่มี ssl แสดง(ตาม คห.2)
ก็มีความเป็นไปได้ที่จะถูกแก้ไฟล์ host เพื่อหลอกเครื่องคอมของคุณ นะครับ
วิธีการไม่ยาก ถ้าติด Trojans หรือ Virus บางตัวที่จะเข้าไปแก้ไฟล์ C:\Windows\System32\drivers\etc\hosts ได้
แค่เพิ่มบรรทัดเดียว ในไฟล์นี้ แบบนี้
202.11.11.11 kasikornbankgroup.com
โดย 202.11.11.11 เป็น ip ของเครื่อง server โจร เท่านี้ ถึงแม้คุณจะพิม url เอง หรือเข้าจาก bookmark ด้วย โดเมนข้างต้น
ระบบจะพาคุณไปหาหน้าเว็บปลอมของโจร โดยละม่อม และไม่รู้ตัว เพียงแต่ ssl (ตาม คห.2) จะแสดงไม่ถูกต้อง หรือไม่แสดงเลยเท่านั้น
ปกติ windows7 จะมี permission ในการแก้ไขไฟล์พวกนี้ แต่ windows ที่อาจจะรุ่นต่ำกว่า หรือโดนไวรัส/โทรจัน เข้าไปเต็ม ๆ ก็อาจจะโดนแก้ไขไฟล์นี้ได้ โดยไม่รู้ตัวนะครับ ^^
credit:
http://ppantip.com/topic/30334337 ที่ทำให้ผมนึกได้ว่ายังมีวิธีนี้อีกวิธีนึงที่หลอก user ได้แบบเนียน ๆ
[แฉวิธีการโขมยเงินธนาคาร] วิธีการของโจรที่จะเข้าถึงเงินของคุณ จากประเด็นดังช่วงนี้
เลยอยากจะตั้งกระทู้ให้ความรู้นิดหน่อย (จากประสบการณ์อันน้อยนิด)
ผมเห็นหลายคนเวลาจะเข้าเว็บอะไรก็ตาม ชอบเข้า Google ก่อน เสิร์ชชื่อเว็บ แล้วค่อยคลิกลิ้ง (ไม่เข้าใจทำไม ไม่เข้าตรง ๆ เลย เพราะที่พิมค้นหา ก็เกือบจะครบ url อยู่แล้ว เช่น เข้าเว็บ scbeasy.com แต่เข้า google หาคำว่า scbeasy แล้วค้นหาก่อนแล้วคลิกลิ้งเข้าไป - -') มันจึงเกิดความเป็นไปได้ ที่จะมีลิ้งค์ปลอมโผล่ขึ้นมาดักให้คุณเผลอคลิกเข้าแบบเนียน ๆ เช่น เว็บของกสิกร อาจจะเป็น https://online.kasikornbankgroup.com/K-Online/ib/login_th.jsp แบบนี้ คนที่มีความรู้ด้านเว็บไซต์ ก็ใช้วิธีง่าย ๆ ครับ
ไปจดโดเมนมาใหม่เลย เป็น https://online.kasikornbankgroups.com หรือ https://online.kasikornbankgroups.x78.com จะเห็นได้ว่ามันใกล้เคียงกันมาก ๆ ขั้นตอนพวกนี้ไม่ยาก ใช้เงินแค่ $9 ก็ทำได้แล้ว
ขั้นต่อมา เมื่อคนเข้าเว็บปลอม ไปแล้ว หน้าตาเหมือนของจริงเป๊ะ ๆ ระหว่างนั้น พอเปิดปุ๊บเว็บก็จะฝัง Trojan เข้าไปในคอมของคุณเลยก็ได้ ถ้า OS (windows) ของคุณตกรุ่น ไม่เคยอัพเดท ใช้ของปลอมอัพเดทไม่ได้ ไม่มีแอนตี้ไวรัส ซึ่งโอกาสที่จะฝังสำเร็จมีน้อยพอสมควร แต่ใช่ว่าจะไม่มี (**เรื่องฝัง Trojan อันนี้ทดไว้ในใจก่อนนะครับ ฮึบ ๆ)
ถ้าฝัง Trojan ไม่สำเร็จ คนทั่วไปก็จะทำการ กรอก user/pass ลงไปเพื่อล็อกอิน พอกด login หน้าเว็บปลอมจะเก็บข้อมูลของคุณไปให้โจรทันที
แต่เอ๊ะ! ถ้าพิมผิดล่ะ ไม่ต้องตื่นเต้น พอล็อกอินถึงแม้รหัสจะถูกมันก็บอกว่าใส่รหัสผิด เพื่อให้คุณพิมกรอกซ้ำอีก 2-3 ครั้ง มันก็เก็บไว้ทั้งหมด
ยกตัวอย่างให้เห็นภาพ ถ้าคุณใช้รหัส เป็น user:kondee pass:sawasdee
scenario::
- เข้าเว็บมา (*ฝัง Trojan)
- ล็อกอินครั้งแรก ใส่รหัส user:kondee pass:sawasdee
- เว็บปลอม บอกว่ารหัสผิดใส่อีกครั้ง
- คุณงง เอ๊ะ ใส่ผิดหรือเปล่า หรือเราจะใส่ผิดจริง ๆ ใส่อีกรอบ user:kondee pass:sawasdee (*ครั้งที่สองอันนี้ re-check กับครั้งแรกจะได้รหัสที่ถูกต้อง)
- เฮ้่ย ยังผิดอีก รหัสอื่นหรือเปล่า user:kondee pass:thailand (*ปกติคนทั่วไปมีรหัสผ่านที่ใช้ประจำอยู่ 2-3 คำถ้ามันเก็บรหัสอื่นได้ มันก็ลองเอาไปใช้ login ที่เว็บอื่นได้ )
- พอครั้งที่ 3 มันตรงกับระบบทั่วไปที่สามารถ login ได้ 3 ครั้ง ปุ๊บ มันก็เนียน ส่งเราไปหน้าเว็บสำหรับโหลดโปรแกรมลงมือถือ อ้างว่าต้องใช้เพื่อความปลอดภัย อาจจะเป็น link / qr code หรือใส่เบอร์ส่ง sms ในกรณีนี้ ถ้าคุณใส่เบอร์โทร ระบบโจรจะส่งลิ้งกดใน sms
- พอกดลิ้งปุ๊บ เท่ากับคุณโหลดโปรแกรม Trojan/Malware มาไว้ในมือถือของคุณแล้ว ซึ่งขั้นตอนนี้สำคัญมาก เพราะระบบโจร มันสามารถตรวจจับได้ว่าคุณใช้มือถืออะไร ใช้ OS อะไร ไม่ว่าจะเป็น iOs / Android /BB /Nokia ไม่ใช่ว่าจะทำได้แต่ smart phone เพราะ Feature phone บ้าน ๆ อย่าง nokia เก่า ๆ ก็สามารถโดนได้เหมือนกัน (** อันนี้มี Trojan ในมือถือแล้ว) ไว้ดักจับ SMS
- พอโหลดเสร็จ มันจะส่งคุณกลับไปหน้าเว็บจริง ของธนาคาร คุณก็จะสามารถล็อกอินได้ปกติ ทำธุรกรรมได้ปกติ โดยไม่รู้ว่าหายนะ กำลังจะมาเยือน
- เท่ากับตอนนี้มันสามารถเข้าถึงได้ โดยมี user/pass/sms แล้วนะครับ
- ตกดึกมันกะเวลาที่คุณจะนอนหลับแล้ว เพราะเผื่อมีอะไรผิดพลาด คุณจะได้ไม่รู้ตัว หรือเบลอ ๆ มันก็ล็อกอินเข้าไปในเว็บธนาคารด้วยรหัสผ่านของคุณ โดยมันอาจจะต่อเน็ตจาก 3G ที่ซื้อซิมมาจาก 7-11 (ใช้แล้วทิ้ง ติดตามไม่ได้) แล้วไปนั่งใช้เน็ตตามข้างทางไกล ๆ บ้านตัวเอง
- พอเข้าไปได้ มันก็จัดการเพิ่มบัญชีสำหรับโอนเงิน โดยบัญชีที่มันใช้ ก็จะเป็นบัญชีปลอม (แหงล่ะ ใครจะให้สาวมาถึงตัว) ซึ่งบัญชีปลอม ในวงการโจร มีซื้อขายกันแม้กระทั่งในเน็ต (เป็นบัญชีจ้างชาวเขา ชาวดอย คน ตจว.เปิด) โดยมีบัตร ATM ไว้กดเงิน พอเพิ่มปุ๊บ ธนาคารส่ง OTP มาให้ที่เครื่องคุณ แต่เจอ Trojan ในมือถือดักไว้แล้ว มันก็กรอก OTP เพิ่มบัญชีได้สบาย ๆ ถ้าเพิ่มวงเงินการโอนในระบบได้ นี่ยิ่งวายป่วง
****** โดยการทำงานของ Trojan ก็จะดักจับ SMS ที่เข้ามาในมือถือของคุณ แล้วเช็คว่าส่งมาจากเบอร์ของ ธนาคารหรือเปล่า สมมติเบอร์ที่ส่ง OTP จาก ธนาคารเป็น 02-7777777 พอมันเจอเบอร์ตรงกับที่ตั้งไว้ส่ง sms มา มันก็ปิดเสียง alert ซะ แล้วส่ง OTP ไปให้โจรทางใดทางนึง อาจจะส่ง sms forward ไปที่เบอร์โจร ซิมซื้อจาก 7-11 ไม่กี่บาท หรือถ้าต่อเน็ตไว้ ก็ส่งเข้าอีเมล์โจรได้ทันที โดยคุณไม่รู้ตัว ******
- พอเพิ่มบัญชีเสร็จก็ทำการโอน ระบบส่ง OTP มาอีก มันก็กรอกได้อีก เท่ากับว่าโอนสำเร็จ
- ระหว่างนั้น โจร1 จะทำการแจ้งกับโจร2 ที่ อาจจะใส่หมวกกันน๊อค ขี่เวฟไปนั่งรอที่ตู้ ATM ข้างทาง เปลี่ยว ๆ สลัว ๆ ไม่มีกล้องวงจรปิด ใส่ป้ายทะเบียนปลอม ให้กดเงินออกมาทันที จะกี่รอบก็ว่าไป กดมันจนหมดบัญชีแหระ เด๋วพอเค้าจับได้ บัญชีก็ถูกอายัด มันเป็นแบบใช้แล้วทิ้ง (ไอคนที่ถูกจ้างไปเปิดบัญชีถึงคราวซวย)
- โจร1 ทำการ logout ออกจากระบบ ถอดซิม 3G ทิ้งถังขยะ โจร2 ขี่เวฟมารับ พากันไปใช้เงิน สบายใจจุงเบยยยย
*** หมายเหตุ: เป็นเหตุการณ์สมมติ บรรยายเพื่อให้เข้าใจและเห็นภาพ ไม่ได้มีเจตนาโจมตีระบบการเงินธนาคาร หรือคนขี่เวฟ แต่อย่างใด
บทเสริม : (ยังจำ Trojan ที่ทดไว้ในใจได้ไม๊??)
สมัยเด็ก ๆ ผมเคยลองเล่นของพวกนี้ มันคอนโทรลได้หมดครับ ในแต่ละ OS มันมีรหัสเก็บไว้ตรงไหน ไปขุดมาได้หมด รหัสเน็ต รหัสไวไฟ รหัสเอ็มเอสเอ็น ดาวน์โหลดชิว ๆ เลย มีกล้องหรือไม่มี เปิดปิดกล้อง/ซีดี ได้คีย์ล็อกเกอร์ ดักจับทุกอย่างที่คุณพิมผ่านคีบอร์ด คุณเข้าเว็บไหน ดูหน้าไหน รหัสอะไร สามารถคอนโทรลเครื่องคอมทั้งเครื่องได้เหมือนเป็นเจ้าของเครื่องครับ
ดังนั้น ถ้ามี Trojan ในเครื่องคอมของคุณ ถึงคุณจะทำการเปลี่ยนรหัสผ่านในเว็บธนาคารแล้ว โจรก็รู้ได้ทันทีว่าคุณเปลี่ยนรหัสเป็นอะไร ...
นอกจากนี้ ข้อมูลสำคัญเช่นการเข้าถึง อีเมล /เฟซบุ๊ค โจรก็สามารถเอาไปเนียนหลอกเพื่อนคุณได้อีก เหมือนที่เคยเป็นข่าว อยู่ดี ๆ เพื่อน Chat/mail มาบอกว่าอยู่ต่างจังหวัด โดนโขมยกระเป๋าโอนเงินให้หน่อย แต่เพื่อนคุณตัวจริงนั่งมึนดูซีรี่อยู่ที่บ้าน ปรากฏว่าโดนแฮ็กเฟซบุ๊ค ซะงั้น
... นาน ๆ ตั้งกระทู้ยาว ๆ ที ผิดพลาดบ้าง อย่าว่ากันนะครับ
-------------------------
เพิ่มเติม:
หลายท่านบอกว่าดู url แล้วก็ถูกต้องตรงกับของธนาคารเป๊ะ ๆ แต่ไม่มี ssl แสดง(ตาม คห.2)
ก็มีความเป็นไปได้ที่จะถูกแก้ไฟล์ host เพื่อหลอกเครื่องคอมของคุณ นะครับ
วิธีการไม่ยาก ถ้าติด Trojans หรือ Virus บางตัวที่จะเข้าไปแก้ไฟล์ C:\Windows\System32\drivers\etc\hosts ได้
แค่เพิ่มบรรทัดเดียว ในไฟล์นี้ แบบนี้
202.11.11.11 kasikornbankgroup.com
โดย 202.11.11.11 เป็น ip ของเครื่อง server โจร เท่านี้ ถึงแม้คุณจะพิม url เอง หรือเข้าจาก bookmark ด้วย โดเมนข้างต้น
ระบบจะพาคุณไปหาหน้าเว็บปลอมของโจร โดยละม่อม และไม่รู้ตัว เพียงแต่ ssl (ตาม คห.2) จะแสดงไม่ถูกต้อง หรือไม่แสดงเลยเท่านั้น
ปกติ windows7 จะมี permission ในการแก้ไขไฟล์พวกนี้ แต่ windows ที่อาจจะรุ่นต่ำกว่า หรือโดนไวรัส/โทรจัน เข้าไปเต็ม ๆ ก็อาจจะโดนแก้ไขไฟล์นี้ได้ โดยไม่รู้ตัวนะครับ ^^
credit: http://ppantip.com/topic/30334337 ที่ทำให้ผมนึกได้ว่ายังมีวิธีนี้อีกวิธีนึงที่หลอก user ได้แบบเนียน ๆ