เตือนภัย Paypal กับเมล์ Phishing แบบเนียนๆ

กระทู้สนทนา
สวัสดีครับ วันนี้มาขอแชร์ความรู้ส่วนตัว ในเรื่องของการได้รับเมล์ Spam ประเภท Phishing ให้อ่านกันเป็นอุทาหรณ์ และเตือนภัยกันสักนิดนะครับ ด้วยเหตุที่ไม่เคยเขียนบทความยาวๆ ในพันทิพ มาก่อน อาจจะใช้ถ้อยคำไม่เหมาะสม หรืออ่านยาก ก็ติเตียนกันได้นะครับ

ขอออธิบายคำศัพท์ของคำว่า Phishing ก่อนนะครับ มันคือรูปแบบการหลอกลวงเพื่อเอาข้อมูลจากผู้ใช้บ้านๆ แบบเรานี่แหละครับ โดยข้อมูลที่จะหลอกก็อาจจะเป็นได้ตั้งแต่ ชื่อ-นามสกุล, อีเมล์, รหัสผ่าน, วัน เดือน ปี เกิด, ไปจนถึง รหัสบัตรเครดิต เลยครับ รูปแบบคือ ผู้ประสงค์ร้ายจะทำหน้าเว็บหลอกลวงว่าเหมือนของจริงขึ้นมาให้เราเข้าใจผิด คิดว่าเป็นหน้าเว็บจริงๆ เพื่อให้เรากรอกข้อมูลที่เป็นจริงลงไป โดยระบบมันจะเก็บข้อมูลของเราต่อไปอีกทีครับ

รายละเอียดเกี่ยวกับการ Phishing สามารถหาอ่านได้จากที่นี่ครับ
Wikipedia -> Phishing

เข้าเรื่องเลยนะครับ ตัวผมนั้นได้มีบัญชี Paypal เอาไว้ โดยผูกกับบัตรเครดิตผมไว้ เพื่อเอาไว้ซื้อของต่างประเทศครับ เหตุเกิดคือผมได้รับเมล์จาก Paypal มาแจ้งว่า ให้ผมเข้าไปอัพเดทข้อมูลส่วนตัว ไม่เช่นนั้นจะถูกระงับสิทธิ์การใช้งานบางอย่างไป



ณ จุดนี้ผมแปลกใจ 2 อย่างครับ ว่า
1. ผมมีข้อมูลอะไรผิด ? เพราะใช้มาจะ 2 ปีได้แล้ว
2. เมล์ถูกส่งมาจาก support-center@service.com ซึ่งไม่ใช่ Address paypal.com เลย

แต่ใจก็ปล่อยไปครับ ไม่คิดอะไรมาก เพราะว่า Gmail จะมีระบบกัน Spam พวกนี้อยู่หนาแน่นพอสมควร การที่มันหลุดมาได้ ผมไม่เคยเจอมาก่อน เลยคิดว่าเป็นของจริง ไม่น่าจะหลอกลวง จึงคลิกเข้าไปที่ลิ้งค์ "Update" ตามภาพครับ

ผลคือหน้าเว็บเปิดมาที่ URL นี้ครับ (ขอใส่ Tag Spoil เพราะมันยาวมาก)
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้



ด้วยความที่ผมทำงานสายคอม จึงรู้สึกถึงความแปลกของหน้านี้คือ
Q: เข้ามาหน้านี้... แล้วไงต่อ ?
A: ปกติเว็บไซต์ที่มีปุ่มจากเมล์ให้กดมาเพื่ออัพเดทข้อมูลอะไรสักอย่าง หากพอเข้าเว็บมาแล้วไม่มีการ Login ค้างไว้จากของเก่า มันจะถามหาการ Login ทันทีแบบเห็นได้ชัดครับ ไม่ใช่เปิดมาหน้าแรกแบบนี้ มันผิดหลัก User Experience (หลักการออกแบบการทำงานของโปรแกรมหรือเว็บไซต์ให้เหมาะสม และสะดวกสบาย กับผู้ใช้มากที่สุดครับ) ง่ายๆ ที่ Paypal ควรคิดได้ แต่กลับไม่ทำ มันเลย

ด้วยเหตุนี้ผมเลยสงสัยตัวเว็บนี้มากขึ้น และไล่มองสิ่งต่างๆ จึงเจอจุดผิดสังเกตุตามนี้ครับ
1. URL มันไม่ได้มาจากโดเมน paypal.com (เรื่อง โดเมน ผมขออธิบายไว้ล่างสุดของกระทู้นะครับ)
2. มันไม่มี SSL ซึ่งผิดหลักความปลอดภัยของ paypal (https หรือ SSL ผมขออธิบายไว้ล่างสุดของกระทู้นะครับ)

เพื่อความแน่ใจ ผมจึงเข้าไปที่ paypal.com เพื่อ login ด้วยบีญชีของผมเอง และกลับมา Refresh ที่เว็บแปลกปลอมนี้ใหม่
- เพื่ออะไร ?
--- ตามหลักของเว็บไซต์ขนาดใหญ่ หากเค้าจะทำ 2 ชื่อเว็บไซต์ ที่ไม่เหมือนกัน แต่ด้านในเป็นระบบเดียวกันจริงๆ เค้าจะต้องรองรับการ Single Sign-on (Login จากที่หนึ่ง อีกที่จะต้อง Login ได้เองด้วยอัตโนมัติ) ครับ หากยังสงสัย สามารถดูได้จากการที่เรา Login เข้า Gmail ที่เดียว แต่สามารถเข้าใช้งาน Google Calendar หรือบริการอื่นๆของ Google ได้ โดยที่ไม่ต้อง Login ซ้ำอีกรอบครับ

ผลออกมาตามคาดครับ Login ที่ paypal แล้ว แต่เว็บแปลกปลอมกลับไม่ได้ Login ตามด้วย ไม่ต้องคิดอะไรแล้วครับ...
ผมจึงสงสัยต่อว่า... เว็บนี้มันเว็บอะไรกัน ?

สังเกตุที่ URL ที่เริ่ม จนจบ .com นะครับ
http://update.paypal.com.nesmasports.com/

โดเมนจริงๆของเว็บนี้คือ nesmasports.com พอผมลองเข้าไปที่เว็บนี้ ผลคือแบบนี้เลยครับ



ตายครับ ตาย ภาษาอาหลับ มาแต่ไกลเลย - -"
กรอกไปนี่ ผมคงมีหนี้สินเพิ่มแน่ๆอ่ะครับ

ท้ายนี้ก็ขอย้ำครับ
1. ที่มาแชร์เพื่อให้เป็นความรู้ในการรับมือเว็บพวก Phishing ประหลาดๆ พวกนี้
2. อย่าคิดว่า Gmail, Hotmail, iCloud Mail หรือเมล์อื่นๆ มันจะป้องกันเราได้ตลอดไปครับ
3. เหตุที่มันปล่อยหลุดมาให้ผมอ่านได้แบบนี้ ก็เพราะของพวกนี้มันต้องยอมโง่ก่อน 100 ครั้ง ถึงจะเริ่มฉลาดครับ เพราะระบบพวกนี้มันจะดูร่วมด้วยว่ามีการโดนแจ้งแสปมไปมั้ย กี่ครั้ง คิดเป็นกี่ % จากคนใช้ทั่วโลก ถึงจะรู้ว่ามันคือแสปมครับ

และตามสัญญาครับ คำอธิบายในศัพท์ต่างๆ ที่ติดไว้ด้านบน
โดเมน
โดเมนในที่นี้คือชื่อเว็บไซต์ครับ เช่น facebook.com สามารถเอาไปใช้ได้หลายแบบเช่นไม่ว่าจะเป็น
- developers.facebook.com
- tools.facebook.com
- api.facebook.com

ไม่ว่ามันจะ อะไร.facebook.com แต่ชื่อจริงๆ มันต้องจบด้วย facebook.com นั่นคือ โดเมน ครับ
อาจจะไม่เข้าใจเท่าไหร่ แนะนำให้เข้าไปอ่านที่นี่ครับ
Wikipedia -> ชื่อโดเมน

SSL หรือ https
เว็บที่เกี่ยวข้องกับการใช้งานข้อมูลที่จำเป็นต้องมีความปลอดภัยสูง จำพวกเว็บธนาคารเป็นต้น, จำเป็นต้องมี SSL หรือการเข้ารหัสเว็บไซต์ไว้เสมอครับ

เพิ่มเติมที่นี่ครับ
SSL.IN.TH -> SSL คืออะไร


ปล.แก้คำผิดครับ
แก้ไขข้อความเมื่อ
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่