โพสนี้เป็นโพสแรกของผมครับ แต่คิดว่าน่าจะมีประโยชน์เผื่อใครเผลออาจจะตกเป็นเหยื่อมิจฉาชีพได้
ปกติคิดว่าหลายคนน่าจะเคยเจอพวกเมลปลอม หรือที่เรียกว่า Phishing email ที่หน้าตาเหมือนของธนาคารส่งมา บอกว่าบัญชีของเราโดนแฮ็คหรือไม่ปลอดภัยอย่างงั้นงี้ แล้วก็มี link ให้เราคลิกไปเปลี่ยน password ซึ่งคนพวกนี้ก็จะสร้างหน้าเว็บปลอมขึ้นมาอันนึงที่หน้าตาเหมือนของธนาคารเป๊ะๆ มาเพื่อดัก username และ password ของเราไปใช้
วิธีป้องกันที่ง่ายๆ ก็คือดูว่า from address ที่ส่งมาเป็นธนาคารจริงไหม เช่น SCB ก็ @scb.co.th หรือ KBANK ก็ @kasikornbank.com ถ้าเมลมาจากธนาคาร แต่ลงท้ายเป็น @gmail.com แบบนี้ก็คือหลอกแน่นอน
แต่!!!!!! วันนี้เมลที่ผมได้รับคือมาจาก securityinfo@scb.co.th เลย เนื้อหาคือตามในรูป
เมลนี้อยู่ใน junk folder ของผมก็จริง แต่ถ้าบางคนจะหลงเชื่อก็ไม่แปลก เพราะเมลจริงอื่นๆ ที่มาจากธนาคาร บางครั้งก็ลงไปอยู่ใน junk folder เหมือนกัน ถ้าใครเชื่อ คลิก link ตามไปเปลี่ยน password ก็คือโดนเลย
ถามว่าทำไมเค้าถึงปลอมได้ ผมต้องขออธิบายในเชิงเทคนิคนิดนึงครับ ( ไม่อยากอ่าน ข้ามไปด้านล่างสุดได้เลย)
****************************************** เนื้อหาเทคนิค *************************************************
จริงๆ แล้วอีเมล address เนี่ยปลอมได้ไม่ยากนัก นึกถึงเวลาเราเขียนจดหมาย ใครก็สามารถทำจดหมายปลอม ปริ้นโลโก้ธนาคารบนหัวจดหมายแล้วไปหยอดตู้ไปรษณีย์ส่งได้เหมือนกัน
ดังนั้นจึงได้มีคนคิดวิธีขึ้นมาเพื่อตรวจสอบว่าเมลไหนเจ้าตัวส่งมาจริง เมลไหนถูกปลอมขึ้นมา วิธีเช็คหลักๆ จะมี 2 วิธีคือแบบ SPF และแบบ DKIM (รายละเอียดขอละไว้นะครับ)
ซึ่งพอมาดูไอ้เจ้าอีเมลที่ส่งมาหาผมเนี่ย มันไม่ผ่านการเช็ค (fail) ทั้งคู่เลย (ดูในวงกลม)
ซึ่งจริงๆ แล้วเมลที่ไม่ผ่านการเช็คทั้งคู่แบบนี้
มันไม่ควรมาอยู่ใน junk ด้วยซ้ำ มันควรจะถูก reject ออกไปเลยเพื่อป้องกันความสับสน
คำถามคือแล้วทำไมเมลปลอมอันนี้ ถึงผ่านเข้ามาได้ละ
ซึ่ง Outlook หรือ Gmail ไม่ใช่คนผิด เพราะ
เจ้าของ email address (กรณีนี้คือ @scb.co.th) จะต้องเป็นผู้ตั้งกฏว่า ถ้าหากพบเมลที่ไม่ผ่านการตรวจสอบทั้ง 2 วิธีข้างบนแล้วจะให้ทำยังไง เช่น ให้ reject ทิ้งไป หรือโยนลง junk เมล (หรือไม่ต้องทำอะไรเลยก็ยังได้)
กฏนี้เรียกว่า DMARC Policy ซึ่งเจ้าของโดเมน scb.co.th จะต้องเป็นคนเขียนมันขึ้นมาแล้วประกาศไว้ให้ทุกคนเห็น ยกตัวอย่างเช่น paypal เค้าได้ตั้งกฏ DMARC ไว้ว่า เมื่อไหรที่มีเมลที่ไม่ผ่านการตรวจสอบ ให้ reject ทันที อย่าเก็บมันไว้
แต่ในขณะที่ scb.co.th นั้นไม่มีการระบุไว้ ทำให้แทนที่เมลปลอมจะถูก reject กลับผ่านเข้ามาใน junk folder ให้ผู้รับเห็นได้
สรุป
สิ่งที่เราจะต้องระวังต่อไปนี้ก็คือ ถึงแม้อีเมล from address จะถูกต้องก็ยังไว้ใจไม่ได้ เมื่อมีอีเมลจากธนาคารที่เราไม่แน่ใจ ให้โทรไปเช็ค call center จะดีที่สุด และให้พิมพ์ชื่อเว็บเอง อย่าคลิ้ก link ในอีเมล
สิ่งที่ฝากไปยังธนาคาร scb (และธนาคารอื่นๆ ด้วย) คือ ให้ทีม IT Security รีวิวและปรับปรุงตรงนี้ เพื่อลดโอกาสคนหลงเชื่อและถูกหลอกได้ครับ
สุดท้ายหากใครต้องการอ่านเพิ่มเกี่ยวกับเรื่อง SPF/DKIM และเรื่องราว DIY อื่นๆ ติดตามที่ blog ผมได้นะครับ (ขออนุญาตโมษณา)
บล็อกนายช่าง:
https://theengineerblog.com/
แฟนเพจ:
https://www.facebook.com/theengineerblog/
หวังว่าจะเป็นประโยชน์ครับ
[เตือนภัย] อีเมลปลอมแบบอัพเกรดของ SCB ปลอมได้แม้กระทั่ง email address
ปกติคิดว่าหลายคนน่าจะเคยเจอพวกเมลปลอม หรือที่เรียกว่า Phishing email ที่หน้าตาเหมือนของธนาคารส่งมา บอกว่าบัญชีของเราโดนแฮ็คหรือไม่ปลอดภัยอย่างงั้นงี้ แล้วก็มี link ให้เราคลิกไปเปลี่ยน password ซึ่งคนพวกนี้ก็จะสร้างหน้าเว็บปลอมขึ้นมาอันนึงที่หน้าตาเหมือนของธนาคารเป๊ะๆ มาเพื่อดัก username และ password ของเราไปใช้
วิธีป้องกันที่ง่ายๆ ก็คือดูว่า from address ที่ส่งมาเป็นธนาคารจริงไหม เช่น SCB ก็ @scb.co.th หรือ KBANK ก็ @kasikornbank.com ถ้าเมลมาจากธนาคาร แต่ลงท้ายเป็น @gmail.com แบบนี้ก็คือหลอกแน่นอน
แต่!!!!!! วันนี้เมลที่ผมได้รับคือมาจาก securityinfo@scb.co.th เลย เนื้อหาคือตามในรูป
เมลนี้อยู่ใน junk folder ของผมก็จริง แต่ถ้าบางคนจะหลงเชื่อก็ไม่แปลก เพราะเมลจริงอื่นๆ ที่มาจากธนาคาร บางครั้งก็ลงไปอยู่ใน junk folder เหมือนกัน ถ้าใครเชื่อ คลิก link ตามไปเปลี่ยน password ก็คือโดนเลย
ถามว่าทำไมเค้าถึงปลอมได้ ผมต้องขออธิบายในเชิงเทคนิคนิดนึงครับ ( ไม่อยากอ่าน ข้ามไปด้านล่างสุดได้เลย)
****************************************** เนื้อหาเทคนิค *************************************************
จริงๆ แล้วอีเมล address เนี่ยปลอมได้ไม่ยากนัก นึกถึงเวลาเราเขียนจดหมาย ใครก็สามารถทำจดหมายปลอม ปริ้นโลโก้ธนาคารบนหัวจดหมายแล้วไปหยอดตู้ไปรษณีย์ส่งได้เหมือนกัน
ดังนั้นจึงได้มีคนคิดวิธีขึ้นมาเพื่อตรวจสอบว่าเมลไหนเจ้าตัวส่งมาจริง เมลไหนถูกปลอมขึ้นมา วิธีเช็คหลักๆ จะมี 2 วิธีคือแบบ SPF และแบบ DKIM (รายละเอียดขอละไว้นะครับ)
ซึ่งพอมาดูไอ้เจ้าอีเมลที่ส่งมาหาผมเนี่ย มันไม่ผ่านการเช็ค (fail) ทั้งคู่เลย (ดูในวงกลม)
ซึ่งจริงๆ แล้วเมลที่ไม่ผ่านการเช็คทั้งคู่แบบนี้ มันไม่ควรมาอยู่ใน junk ด้วยซ้ำ มันควรจะถูก reject ออกไปเลยเพื่อป้องกันความสับสน
คำถามคือแล้วทำไมเมลปลอมอันนี้ ถึงผ่านเข้ามาได้ละ
ซึ่ง Outlook หรือ Gmail ไม่ใช่คนผิด เพราะเจ้าของ email address (กรณีนี้คือ @scb.co.th) จะต้องเป็นผู้ตั้งกฏว่า ถ้าหากพบเมลที่ไม่ผ่านการตรวจสอบทั้ง 2 วิธีข้างบนแล้วจะให้ทำยังไง เช่น ให้ reject ทิ้งไป หรือโยนลง junk เมล (หรือไม่ต้องทำอะไรเลยก็ยังได้)
กฏนี้เรียกว่า DMARC Policy ซึ่งเจ้าของโดเมน scb.co.th จะต้องเป็นคนเขียนมันขึ้นมาแล้วประกาศไว้ให้ทุกคนเห็น ยกตัวอย่างเช่น paypal เค้าได้ตั้งกฏ DMARC ไว้ว่า เมื่อไหรที่มีเมลที่ไม่ผ่านการตรวจสอบ ให้ reject ทันที อย่าเก็บมันไว้
แต่ในขณะที่ scb.co.th นั้นไม่มีการระบุไว้ ทำให้แทนที่เมลปลอมจะถูก reject กลับผ่านเข้ามาใน junk folder ให้ผู้รับเห็นได้
สรุป
สิ่งที่เราจะต้องระวังต่อไปนี้ก็คือ ถึงแม้อีเมล from address จะถูกต้องก็ยังไว้ใจไม่ได้ เมื่อมีอีเมลจากธนาคารที่เราไม่แน่ใจ ให้โทรไปเช็ค call center จะดีที่สุด และให้พิมพ์ชื่อเว็บเอง อย่าคลิ้ก link ในอีเมล
สิ่งที่ฝากไปยังธนาคาร scb (และธนาคารอื่นๆ ด้วย) คือ ให้ทีม IT Security รีวิวและปรับปรุงตรงนี้ เพื่อลดโอกาสคนหลงเชื่อและถูกหลอกได้ครับ
สุดท้ายหากใครต้องการอ่านเพิ่มเกี่ยวกับเรื่อง SPF/DKIM และเรื่องราว DIY อื่นๆ ติดตามที่ blog ผมได้นะครับ (ขออนุญาตโมษณา)
บล็อกนายช่าง: https://theengineerblog.com/
แฟนเพจ: https://www.facebook.com/theengineerblog/
หวังว่าจะเป็นประโยชน์ครับ