Category Archives: Mobile Security

Extra: HTTPS Insecurity with SSLstrip

SSLstrip เป็น 1 ในเทคนิคที่นิยมใช้กันในการทำ Man-in-the-middle เพื่อดักข้อมูล ซึ่งถูกคิดค้นโดย Moxie Marlinspike (คุณพี่ Deadlock นั่นเอง) และได้ถูกนำมา present ในงาน Black Hat DC 2009

ทำไมต้อง SSLstrip

โดยปกติการทำ Man-in-the-middle กับ Encrypted Traffic (HTTPS) นั้น Attacker จะติดปัญหาคือไม่สามารถ Decrypt Data ได้ ทำให้ไม่สามารถอ่านข้อมูลได้นั่นเอง หากต้องการจะอ่านข้อมูลก็มักจะใช้วิธีการทำ SSLsniff ซึ่งวิธีจะเป็นการ Decrypt HTTPS Traffic ระหว่างทางโดยการสร้าง SSL Tunnel 2 อัน เพื่อคุยระหว่างกับ User กับ Attacker และระหว่าง Attacker กับ Server

SSLsniff

SSLsniff

ซึ่งวิธีการทำ SSLsniff นี้มักจะเป็นปัญหาเนื่องจาก Certificate ที่ใช้ระหว่างเครื่อง User และ Attacker จะไม่ถูก Trust โดย Web Browser ทำให้ขึ้นหน้า Certificate Error ที่ฝั่ง User (Client) ดังนั้น User ที่มี Awareness ดีหน่อยก็อาจจะรอดพ้นจากวิธีการทำ SSLsniff ได้ [รายละเอียดการ Trust กันของ PKI อ่านได้จาก HTTPS Insecurity Part 1] ทำให้โอกาสประสบความสำเร็จของ Attacker นั้นลดลง แต่หากใช้ SSLstrip ปัญหา Certificate Error จะหมดไปทันที

SSLstrip ทำงานอย่างไร

SSLstrip ทำงานบนสมมติฐานว่าโดยปกติ User ไม่ได้เข้า Website ที่เป็น HTTPS โดยตรงแต่มักจะถูก Redirect ให้เข้า ตัวอย่างเช่น เราพิมพ์ URL http://www.twitter.com จะโดน Server จะทำการ Redirect ให้เราไปที่ https://www.twitter.com แทน

Trick ของ SSLstrip คือการโจมตีไปที่ HTTP (ข้อมูลจะไม่ถูกเข้ารหัส) แทนที่จะโจมตี HTTPS ซึ่งทำโดยวิธีการใช้ Man-in-the-middle บวกกับการบังคับไม่ให้ User คุยกับ Server ผ่าน HTTPS แต่จะเป็นการคุยโดย

  1. เครื่อง Attacker คุย HTTPS กับ Server
  2. เครื่อง User (Client) คุย HTTP กับ Attacker

SSLstrip

ขั้นตอนการใช้งาน SSLstrip

ขั้นตอนที่ 1 (เหมือนกับการทำ Man-in-the-middle ทั่วไป)

  • ตั้ง Forward Packet
  • ทำ ARP Spoofing เพื่อ Redirect ข้อมูลจากเครื่อง User มาที่ Attacker

ขั้นตอนที่ 2

  • ทำ Routing traffic เพื่อให้ข้อมูลวิ่งเข้าที่ port ของ SSLStrip ที่เปิดไว้ ตัวอย่างบนเวปทั่วไปจะใช้คำสั่ง
    “iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port <listenPort>”
  • Run SSLStrip

แค่เพียงเท่านี้ Attacker จะสามารถดัก Traffic ของ User ได้ทั้งหมดทันที

วิธีการป้องกัน SSLstrip

  1. Implement HTTP Strict Transport Security (HSTS) ที่ฝั่ง Server ซึ่งเป็นวิธีการบังคับให้ Web Browser คุยผ่าน HTTPS เท่านั้น แต่การทำด้วยเทคนิคนี้จะยากมากเพราะว่า Developer แต่ละ Web จะต้องมีความรู้ความเข้าใจในการทำให้ Web ตัวเองปลอดภัย
  2. User จะต้องมี Awareness มากขึ้น

เอ๊ะ!!

อ่านถึงตรงนี้หลายๆคนคงอาจสงสัยว่า Mobile Application ที่นิยมใช้ในตลาดบ้านเราที่เรียกว่า SSLSTRIPguard นั้นทาง Incognito Lab ไม่รู้จักเหรอ เพราะ Application นี้มักมีการพูดถึงในงาน Security Conference ของเมืองไทยเป็นประจำ แม้ว่าจะผ่านมาหลายปีแล้วก็ตาม (จะไม่ขอพูดถึงว่า Security Conference นั้นชื่ออะไรและจัดโดยบริษัทไหนนะครับ แต่เชื่อว่าทุกท่านคงทราบดี ^_^)

SSLSTRIPguard เป็น Application บน Smart Phone ที่ “Claim” ว่าสามารถช่วยให้สามารถทราบได้ว่าเรากำลังถูกโจมตี SSLstrip อยู่หรือไม่ ซึ่งจากการลองใช้แล้วพบประเด็นที่น่าสนใจพอสมควรครับ

ประเด็นที่ 1: Marketing Strategy ???

SSLStripGuard นี้ทำหน้าที่แค่เรียก Web page อยู่ 1 URL หลักๆนั่นคือ “
http://guarded-wave-5813.herokuapp.com/StripGuard/acis2.html
” ซึ่งจากการลองใช้พบว่าสามารถทำงานได้บนอุปกรณ์อื่นๆ ไม่ว่าจะเป็น PC หรือ Laptop

แต่ Application นี้กลับถูก Promote ว่าเป็น Smart Phone Application ซึ่งแน่นอนคงหนีไม่พ้นเรื่องการทำ Marketing แหละ เพราะอย่างน้อยการทำ Mobile Application ก็ช่วยสร้างภาพลักษณ์ได้ดี และสามารถใส่โฆษณาต่างๆเข้าไปได้ด้วย แต่เพราะการทำ Marketing แบบนี้เลยทำให้สังคมไม่ได้รับประโยชน์อย่างเต็มที่

ทาง Incognito Lab เราไม่อยากให้วงการ Security บ้านเราทำเพื่อผลประโยชน์อย่างเดียวครับ แต่เราอยากทำให้วงการ Security ในเมืองไทยนั้นสนุกและได้ประโยชน์ให้สมกับวลีเด็ดของ Paul Asadoorian และ John Strand ที่ว่า “Bring Sexy Back” ให้สมกับ mission ของเรา “We secure the nation”

ประเด็นที่ 2: Reliability ???

Result ของ SSLSTRIPguard นั้นน่าเชื่อถือแค่ไหน จะเป็นอย่างไรหาก SSLSTRIPGuard บอกว่า User ไม่ได้โดน SSLstrip แต่ที่จริงแล้วกำลังโดนอยู่??

การทำงานของ SSLSTRIPguard นั้นคือการตรวจสอบว่า Traffic ของ HTTPS request ที่เรียกไปที่ guarded-wave-5813.herokuapp.com ถูก Strip ออกหรือไม่ ซึ่งหากมีการทำ Routing Traffic ของ guarded-wave-5813.herokuapp.com เข้าไปที่ port ของ SSLstrip (ดูขั้นตอนที่ 2 ในการทำ SSLstrip ด้านบน) ก็จะถูกตรวจสอบได้ทันที หากเป็น Attacker ทั่วๆไปมักจะ copy&paste command ในการทำ SSLstrip ตาม Website ต่างๆบน Internet ซึ่งจะใช้คำสั่ง “iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port <listenPort>” เพื่อ Route ทุก Traffic ที่เป็น HTTP เข้าไปที่ port ของ SSLStrip ซึ่งแน่นอนว่า SSLSTRIPguard จะสามารถตรวจสอบได้

ดังนั้น

การ Bypass SSLSTRIPguard นั้นทำได้ง่ายมาก เพียงแค่ไม่ต้อง Route Traffic ของ guarded-wave-5813.herokuapp.com เข้า SSLstrip ก็พอแล้ว

ในขั้นตอนที่ 2 ก่อนที่จะ Routing ทุก Traffic ไปที่ SSLstrip ใช้คำสั่ง
“iptables -t nat -A PREROUTING -p tcp -d guarded-wave-5813.herokuapp.com –destination-port 80 -j REDIRECT –to-port <non SSLstrip port>”
เพื่อ Route Traffic ของ SSLSTRIPguard ไปที่ port อื่นที่ไม่ใช่ของ SSLSTRIP

จากนั้นเมื่อลองเข้าใช้งาน SSLSTRIPguard ผ่าน ”
http://guarded-wave-5813.herokuapp.com/StripGuard/acis2.html
” จะพบว่าเราไม่ได้ถูก Strip อยู่ แต่หากลองเข้า http://www.twitter.com จะพบว่า Twitter ก็ไม่ได้ถูก Redirect ไปที่ https://www.twitter.com และ Traffic ทั้งหมดจะถูก Capture ไว้โดย Attacker

ปล. หวังว่าทุกคนที่ได้อ่านบทความนี้จะมี Awareness เพิ่มขึ้นนะครับ เราควรจะป้องกันที่ตัวเราเองเป็นลำดับแรก ไม่ใช่ไปหวังพึ่ง Tool ต่างๆอย่างเดียว
Ref:
http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf

SMS spoofing (การปลอมแปลง SMS)

ช่วงนี้ถือว่าเป็นกระแสมากทีเดียว หลังจากมีผู้ใช้งานทั่วไปได้รับ SMS จากเบอร์โทร 02-777-777 ซึ่งเป็นเบอร์ Call Center ของธนาคารไทยพาณิชย์ (SCB) และทางธนาคารก็ได้มีการแจ้งเตือนผ่านทาง SCB Thailand Fan Page แล้ว

SMS spoof warning

ผู้ใช้งานควรจะต้องเพิ่มความระมัดระวังให้ดีนะครับ เพราะว่าวิธีการในการปลอม SMS นั้นค่อนข้างง่าย และเครื่องเหยื่อไม่จำเป็นต้องติดตั้งโปรแกรมพิเศษใดๆเพิ่มเติม ขอแค่มีเบอร์เครื่องเหยื่อก็พอแล้วครับ

Clip ด้านล่างทางทีมงาน Incognito Lab ได้ทำ Proof-of-Concept ให้ดูว่าสามารถทำ SMS spoofing ได้โดยสังเกตว่าชื่อที่เป็น Sender นั้นไม่ได้ถูก save อยู่ใน list ของ contacts

1 ในวิธีการทำ SMS Spoofing Service ที่ทำได้ง่ายมากคือทำผ่าน SMS Service Provider ซึ่งปัจจุบันมี Service Provider เหล่านี้อยู่เยอะมาก และแต่ละ Provider ก็ให้ความสำคัญในเรื่อง Security ไม่เท่ากัน ทำให้อาจจะมีบาง Provider ที่มีช่องโหว่อยู่บ้าง (ทางทีม Incognito Lab ขอไม่เปิดเผยรายละเอียดเกี่ยวกับเรื่องนี้มากนะครับ เพราะว่าอาจจะทำให้เกิดการนำไปใช้ผิดๆมากขึ้น)

วิธีการป้องกัน SMS Spoofing นั้นแทบจะทำไม่ได้เลย เพราะว่าเป็นปัญหาระดับ Infrastructure

แต่อย่างไรก็ตามหากผู้ใช้งานมี Awareness เกี่ยวกับเรื่อง Security ก็จะช่วยลดโอกาสให้ไม่ตกเป็นเหยื่อของเหล่ามิจฉาชีพได้นะครับ

Instagram Insecurity (ความไม่ปลอดภัยของ Instagram)

Follow Facebook ของเราเพื่อรับข่าวสารและเป็นกำลังใจได้ที่

https://www.facebook.com/secure.thailand
นะครับ พวกเราอยากเห็นคนไทยตื่นรู้เรื่อง Information Security กันให้มากขึ้น

หลังจากที่เราได้เคยแนะนำขั้นตอนการ setup ค่าความเป็นส่วนตัวบน Facebook อย่างไรให้ปลอดภัยไปแล้ว โอกาสนี้ Incognito Lab จึงอยากแจ้งเตือนและบอกกล่าวถึงภัยและการป้องกัน Social Network อีกเจ้าหนึ่งที่ได้รับความนิยมไม่แพ้กันนั่นก็คือ Instagram
instagram
Instagram เป็น Social Network ที่มีผู้ใช้ในประเทศไทยอยู่เป็นจำนวนมากถึงขนาดที่ว่า Top 15 ของสถานที่ที่ถูกถ่ายภาพลง Instagram มีอยู่ 3 ที่ที่อยู่ในประเทศไทยคือท่าอากาศสุวรรณภูมิ,Siam Paragon และ Terminal 21 ซึ่งทางเราเห็นว่าควรจะเผยแพร่บทความชิ้นนี้กับผู้ใช้งานคนไทยเป็นอย่างยิ่ง

ความไม่ปลอดภัยของ Instagram

1. Instagram เสี่ยงต่อการถูกขโมย Account หากใช้งานอยู่บนเครือข่ายที่ไม่มีความปลอดภัย
ขณะที่ทำการเขียนบทความชิ้นนี้ผมได้ทดสอบกับ Instagram version ล่าสุดคือ 3.4.2 บน non-jail-broken iPhone ที่ใช้ iOS 6.1 โดยทำการ connect เข้ากับ Wireless Network ผลที่ได้พบว่า Instagram บนเครื่อง iPhone ทำการแลกเปลี่ยนข้อมูลกับ Server ของทาง Instagram โดยไม่มีการเข้ารหัสเลย ยกเว้น Login Page ซึ่งเป็นอะไรที่แย่มากเนื่องจากวิธีการขโมย Account ไม่จำเป็นต้องรู้ Password
ig2
จากรูป ผมทำการดักจับข้อมูลของ Instagram และส่งข้อมูลไปบอก Server ว่าต้องการเปลี่ยน email ที่ผูกกับ Account อันนี้เป็น email อื่น (สังเกตตำแหน่งที่ทำการ Censor)ผลที่ได้ก็คือ Account ที่ใช้งานจะถูกเปลี่ยน email ที่ผูกไว้ หาก email ถูกเปลี่ยนเป็น email ของ Hacker เค้าก็ไม่จำเป็นต้องรู้ Password ของเราครับ เนื่องจากสามารถสั่ง Reset Password ได้ จากนั้น Instagram Account ก็จะถูกยึดโดยไม่ต้องใช้วิธีการอะไรที่ซับซ้อนช่องโหว่ดังกล่าวถูกรายงานตั้งแต่ปลายปีที่แล้วโดยบริษัทด้าน Security หมายเลยหนึ่งของ Denmark ชื่อ Secuniaแต่แม้จนกระทั่งตอนนี้ทาง Instagram ก็ยังไม่ได้แก้ไขอะไร

ป้องกัน:
อย่าใช้ Instagram ผ่าน Wireless Network ที่ไม่รู้จัก หรือไม่แน่ใจในความปลอดภัย และถ้าไม่จำเป็นอย่าเปิด Wi-Fi ทิ้งไว้

2. โดยปกติ Instagram จะทำการ Public รูปที่ Upload โดยอัตโนมัติ
ig1_1
ถ้าหากไม่มีการ Setting ที่เหมาะสม(Photos are Private เป็น OFF) คนที่ไม่ได้เป็น Follower ก็สามารถเข้ามาดูรูปได้ อยากจะแนะนำว่าถ้าไม่ได้เป็น Celeb หรือดารา ก็ควรจะไปปิดค่า Public นี้ครับ (แต่ทาง Incognito Lab ขอเชียร์นะครับ ถ้าผู้อ่านเป็น Celeb หรือดาราก็ควรจะ Set ค่านี้ด้วยจะได้บังคับ Follower และโชว์ความรู้เรื่อง IT Security Awareness) เรามาดูตัวอย่างกัน

จากรูป Instagram ของ Kimberley(ผมชอบเป็นการส่วนตัวครับ ^^) ไม่ได้ทำการ Set เป็น Private คนที่ไม่ได้ Login หรือไม่ได้เป็น Follower ก็เข้าไปดูรูปได้ ผมทำการ Access ผ่าน Web Browser ครับโดยผู้อ่านสามารถทดสอบได้โดยพิมพ์ http://instagram.com/USER_ID โดยไม่ต้องใช้โปรแกรม Instagram
ig1_2

แต่ถ้าเป็นกรณีนี้ Instagram ที่ set เป็น Private จำเป็นต้องเป็น Follower ก่อนจีงจะสามารถดูรูปได้
ig1_3
ป้องกัน:
ให้ Set ค่า Photos Are Private เป็น ON ข้อดีของการ Setting นี้ก็คือหากทำการ Search ก็จะไม่พบรูปของเราด้วยถ้าคน Search ไม่ยอมเป็น Follower

3. Page Register ของ Instagram ทำการแสดงค่า Password ที่พิมพ์เป็น Plaintext
ประเด็นนี้ผมไม่เข้าใจว่าทำไม Instagram ถึงพลาดไป ตอน Register ถ้าหากทำบน Mobile Phone ก็ระวังคนแอบดูกันหน่อยนะครับ
ig3
ป้องกัน:
ทำได้แค่หวังให้ Instragram แก้ไข

4. การ Share ภาพไปยัง Social Network อื่น ค่าความปลอดภัยจะแปรผันตาม Socail Network นั้น ยกตัวอย่างเช่นรูปใน Instagram ทำการ Set ค่า Private ไว้เรียบร้อยดี
ig4_1
แต่ถ้าผู้ใช้ทำการ Share ภาพใดภาพหนึ่งไปยัง Facebook ที่ทำการ Set ค่า Privacy ไม่ดีเลย ค่าความปลอดภัยของ Instragram ก็จะไม่ช่วยอะไร
ป้องกัน:
จากรูปก่อนทำการ Enable Instagram บน Facebook ให้ทำการ Set ค่าให้ดีว่าอนุญาตให้ใครที่สามารถดูได้บ้าง ไม่ควรเปิดแบบ Public
ig4_2
และทำการ Set ค่า Security หรือ Privacy ของ Social Network ปลายทางนั้นๆให้ดี เช่น Facebook ผู้อ่านสามารถอ่านเพิ่มเติมได้ที่บทความนี้ครับ Facebook Security Part1 : Privacy

5. ข้อมูล Backup สามารถทำให้ Access Instagram Account ได้
เนื่องจากมันเก็บค่าที่เรียกว่า Cookie ที่ Server จะใช้เป็น Identity ในการยืนยันตัวตน จากรูปด้านล่างค่า Cookie ถูกเก็บอยู่ใน Backup ของ iPhone ที่ไม่มีการเข้ารหัส แต่เก็บอยู่ในรูปของ Binary Format แสดงเป็นเลขฐานสอง ถ้าหากตกอยู่ในมือ Hacker รับรองได้ว่าถูกขโมย Account อย่างแน่นอน
ig5
ป้องกัน:
อย่าทำ iPhone หาย, อย่า jailbreak เครื่อง และทำการเข้ารหัสข้อมูลที่ Backup ไว้ด้วยตามรูปให้ืำทำการเลือก Encrypt iPhone Backup
ig5_2

น่าตกใจเป็นอย่างยิ่งที่ Social Network ระดับโลกอย่าง Instagram จะมีช่องโหว่ที่ผู้ใช้งานควรระมัดระวังอยู่หลายจุด คงต้องรอดูเวลาว่า Facebook ซึ่งทำการ Acquire Instagram ไปแล้วจะปรับปรุงให้ดีขึ้นมากน้อยอย่างไรครับ

Banking Trojan

ช่วง 1-2 ปีที่ผ่านมามี virus/trojan หรือเรียกโดยรวมว่า malware ประเภทหนึ่งที่ผู้เชี่ยวชาญให้คำจำกัดความว่า highly sophisticated ซึ่งหมายถึงมีความซับซ้อนสูง malware ที่กล่าวถึงในบทความนี้ถูกสร้างขึ้นมาเพื่อทำการโจรกรรมการทำธุรกรรมออนไลน์เป็นหลัก ทั้ง US และหลายประเทศใน EU ถ้าดูจากภาพด้านล่างซึ่งได้มาจาก รายงาน F-Secure Threat Report H1-2012
อย่างไรก็ตามผมรู้สึกว่าสถานการณ์มันเริ่มจะไม่ค่อยจะดีครับ เพราะมีการโจมตีบ่อยขึ้นในประเทศไทย ซึ่งธนาคารชั้นนำหลายแห่งในประเทศไทยเคยเผชิญกับ Zeus/SpyEye มาแล้วทั้งสิ้น บทความชิ้นนี้จึงถูกเขียนขึ้นเพื่อให้ความรู้และแจ้งเตือนกับผู้ใช้งานทุกท่านให้ระมัดระวังกันมากยิ่งขึ้น

Internet Banking
กิจกรรมที่เป็นการทำธุรกรรมออนไลน์ที่ใช้งานมากที่สุดคงหนีไม่พ้น Internet Banking นั่นเป็นสาเหตุว่าทำไม hacker ถึงเลือกที่จะโจมตีกิจกรรมนี้เป็นหลัก เนื่องด้วยสาเหตุคือมีคนใช้งานอยู่เยอะ มีระบบอยู่หลากหลาย และได้เงินแน่ๆหากทำสำเร็จ

ปกติแล้วการเข้าใช้งาน Internet Banking ผู้เข้าใช้งานก็จะทำการเปิด Web Browser เช่น IE,Firefox,Chrome หริอ Safari จากนั้นก็พิมพ์ URL ของระบบ Internet Banking ที่ผู้ใช้งานเปิดใช้บริการกับสถาบันการเงินนั้นๆที่ตนเองเป็นลูกค้า ทำการกรอก Username และ Password ก็จะทำการเข้าสู่ระบบได้ ทีนี้พอมาถึงช่วงที่ต้องทำการโอนเงินไปบัญชีอื่นๆ อาจจะเป็นบัญชีของผู้ใช้เองหรือบัญชีบุคคลที่สาม จะมีระบบป้องกันที่เรียกว่า Multifactor Authentication ซึ่งจะใช้การระบุตัวตนว่าผู้ใช้เป็นเจ้าของบัญชีนั้นจริงๆ หาก Username และ Password สูญหายหรือบุคคลอื่นทราบก็จะสามารถเข้าสู่บัญชีของลูกค้าคนนั้นได้ แต่ก็ทำธุรกรรมที่สำคัญไม่ได้ สิ่งที่ธนาคารทุกที่นิยมใช้กันก็คือ รหัสผ่านแบบครั้งเดียว Time-based OTP(One Time Password) ซึ่งจะส่งรหัส OTP มาทาง SMS ผ่านทางโทรศัพท์มือถือที่ผู้ใช้หรือเจ้าของบัญชีทำการลงทะเบียนกับธนาคาร การทำธุรกรรมที่สำคัญจึงจำเป็นต้องใช้ OTP ก่อนจึงจะทำธุรกรรมนั้นๆได้ หาก Username หรือ Password หายและ OTP ถูกดักจับได้ ก็ไม่สามารถใช้งานได้อีกเพราะ OTP จะใช้งานแค่ครั้งเดียว ภายใต้เวลาที่จำกัด วิธีการนี้ดูเหมือนจะปลอดภัยก็จริง แต่ Malware ที่กล่าวถึงมันสามารถเอาชนะและจัดการยึดบัญชีของผู้ใช้ได้อยู่ดี

รู้จักกับ Zeus/SpyEye
ทั้ง 2 ตัวจัดเป็น Banking Trojan ถูกสร้างและออกแบบมาเพื่อโจมตี Internet Banking มีความสลับซับซ้อน รูปแบบการโจมตีมีความยืดหยุ่น มีความสามารถในการพรางตัวสูง ทำงานเป็นอิสระ และสามารถทำงานผ่านการควบคุมจาก C&C (Command and Control Centre) สามารถเรียนรู้พฤติกรรมผู้ใช้งาน เลือกการโจมตีให้ใกล้เคียงกับการใช้งานปกติของผู้ใช้ สามารถอัพเดตตัวเองได้ สามารถปรับเปลี่ยนตัวเองไม่ให้โปรแกรม Antivirus ตรวจจับได้(Advanced Polymorphic Stealth Technique)

Ref:F-Secure Cyber Espionage


Zeus/SpyEye โจมตีเหยื่ออย่างไร ขอแบ่งเป็นช่วงการโจมตีย่อยๆดังนี้
1. Infection Phrase

Link หรือ file แนบใน spam mail ซึ่งมีหลายประเภทเช่น file ประเภท .exe,.pdf และ Microsoft Office, การเข้าไป web ที่ถูก hacker โจมตีและฝัง script ไว้, portable USB drive ที่ติดไวรัสหรือการถูกโจมตีผ่านเครือข่าย Internet เป็นช่องทางแรกที่ Zeus/SpyEye จะเข้ามาสู่เครื่องของเรา โดยจะทำการหาช่องโหว่ของเครื่องผู้ใช้เริ่มจาก Java Runtime, Adobe Flash, Adobe Reader และตัวระบบปฏิบัติการโดยเฉพาะ MS Window หลังจากที่พบช่องโหว่แล้ว Zeus/SpyEye จะทำการติดตั้งในเครื่องของผู้ใช้แบบเงียบๆ
2. Attack Phrase
Zeus/SpyEye จะรออย่างเงียบๆในเครื่องผู้ใช้งาน เมื่อผู้ใช้งานเข้าระบบ Internet Banking เจ้า Zeus/SpyEye จะทำการตรวจสอบการใช้งานว่า เป็นบัญชีประเภทไหน ธนาคารอะไร จำนวนเงินเท่าไร และถ้าค่าต่างๆเหล่านี้เป็นค่าที่ Zeus/SpyEye สามารถโจมตีได้มันจะทำการติดต่อกับ Command and Control Centre และใช้เทคนิคที่เรียกว่า HTML Injection เปลี่ยนแปลงสิ่งต่างๆ เพื่อหลอกลวงและซ่อนสิ่งที่ผู้ใช้เห็นผ่าน Browser ซึ่งแต่ละขั้นตอนสามารถอธิบายได้ดังนี้

2.1 เมื่อ User เข้าไปที่ URL ของ Internet Banking จากนั้นป้อน username และ password, Zeus/SpyEye จะเริ่มทำงาน

2.2 ขั้นตอนนี้มีความหลากหลายแล้วแต่ประเภทย่อย(Variance)ของ Zeus/SpyEye ที่เจอครับ โดยประสบการณ์ที่เคยพบส่วนใหญ่ Zeus/SpyEye จะปลอมหน้าจอ หรือบิดเบือนบางสิ่งบางอย่างบน Page ปกติเพื่อหลอก User โดยหน้าจอที่เห็นอาจจะเป็นหน้าจอที่แสดงข้อผิดพลาด หรือหน้าจอบอกให้รอสักครู่เพื่อทำการถ่วงเวลา User เอาไว้ User จะไม่สามารถรู้ได้ว่า ณ ขณะนี้กำลังถูก Zeus/SpyEye เล่นงานอยู่ เนื่องจาก URL ก็เป็น URL ของธนาคาร มีเพียงแต่หน้าเว็บเท่านั้นที่จะมีการเปลี่ยนแปลงไปจากเดิม

ในช่วงหลังจากที่ดักจับ Username และ Password ได้สำเร็จ Hacker ก็จะทำการ Login เข้าสู่ระบบและทำธุรกรรมเองหรือสามารถสั่งให้ process ฝั่ง User ทำการ Login ได้ หรือพูดให้ง่ายขึ้นก็คือ Web Browser ฝั่ง User ถูก Hacker ยึด ณ ขณะที่ทำการ Login อยู่ ทุกๆคำสั่งที่วิ่งไปยังธนาคารออกจากเครื่องของ User ทั้งสิ้น ซึ่ง Countermeasure ที่ธนาคารทุกที่มักจะใช้ก็คือถ้ามี Login จาก User คนเดียวกัน โดยที่ค่า Session ต่างกัน จะต้องมี Session ใด Session หนึ่งหลุดหรือทั้งสอง Session จะถูกเตะออกมาทันทีไม่มีใครใช้ได้ ซึ่งวิธีนี้ช่วยอะไรไม่ได้ครับเนื่องจาก Zeus/SpyEye ใช้ Session ของ User คนคนนั้นเอง หากการกระทำบางอย่างเช่นการเพิ่มบัญชีใหม่หรือการโอนเงิน จำเป็นต้องใช้การพิสูจน์ตัวตนเพิ่มเติมไม่ว่าจะเป็น OTP หรือ Smartcard หรือ PIN ตัว Hacker ก็จะส่งคำสั่งไปที่หน้าจอของเหยื่ออีกครั้ง

2.3 หน้าจอฝั่ง User อาจจะมีข้อความให้ User ใส่ OTP หรือเสียบ Smartcard หรือให้ใส่ PIN โดยข้อความที่ปรากฏบนหน้าจอจะพยายามโน้มน้าวให้ User กรอกข้อมูลดังกล่าวให้ได้ หาก User ไม่พิจารณาให้ดีว่ามีความผิดปกติเกิดขึ้น หรือ SMS แสดง OTP เพื่อทำกิจกรรมบางอย่างที่ตนเองไม่ได้ทำ หรือระบบไม่ได้บ่งบอกถึงจุดประสงค์ของรหัส OTP ว่าเอาไว้ใช้ทำอะไร User อาจจะกรอกข้อมูลนั้นๆ
เช่น กรอก OTP เพื่อโอนเงินไปบัญชีบุคคลที่ 3 แต่ช่องที่ User กรอกข้อมูล อาจจะขึ้นว่าให้กรอก OTP เพื่อยืนยันตัวตนแทน ถ้าไม่พิจารณาให้ดีย่อมตกเป็นเหยื่อแน่นอน

2.4 หน้าจอจะแสดงข้อความให้ User รอ หลังจากที่ hacker ขโมยโอนเงินได้สำเร็จ สำหรับใน Variance ที่มีความสามารถสูงๆ Zeus/SpyEye ก็จะเปลี่ยนแปลงข้อมูลบนหน้าจอ เพื่อซ่อนการขโมยเงินนี้โดยจะเปลี่ยนค่าต่างๆเช่นจำนวนเงินคงเหลือ ซ่อนธุรกรรมที่ถูก Zeus/SpyEye ควบคุม ซ่อนการ Login ที่น่าสงสัย หาก User สั่ง print Statement ก็จะทำการหลอกส่งค่าที่ถูกปลอมแปลงไปที่ printer อีกด้วย

ความหลากหลายที่เพิ่มขึ้น
Zeus/Spyeye ยังคงโจมตีอยู่เรื่อยๆ โดยล่าสุดพบว่าประเทศในยุโรปถูกการโจมตีที่เรียกว่า Campaign: EuroGrabber ซึ่งมูลค่าความเสียหายประมาณ 36 Million Euros จากเหยื่อประมาณ 30000 คน การโจมตีนั้นมีรูปแบบเดียวกับ Banking Trojan ที่กล่าวถึง(ตระกูลของ Trojan ประเภทนี้ชื่อ Citadel เป็น variant ของ Zeus/SpyEye นั่นแหละครับ : รายละเอียดทางเทคนิค) แต่การโจมตีนั้นครอบคลุมถึงการหลอกให้ผู้ใช้งาน Install Trojan ลงบน Smartphone ของผู้ใช้ด้วยเพื่อขโมยรหัส OTP เพื่อการโจมตีเต็มรูปแบบ ดังภาพ
eurograbber
หากถามว่า Trojan มันลามมาติดบนมือถือได้อย่างไร คำตอบก็คือผู้ใช้งานนั่นแหละครับถูกหลอกให้ติดตั้ง Trojan ลงไป โดยหลังจาก Login เข้า Internet Banking แล้วจะมีหน้าจอมาหลอกให้ Install โปรแกรมบางอย่าง
eurograbber2
หากผู้ใช้งานหลงเชื่อก็จะมี SMS มาที่โทรศัพท์มือถือ เพื่อให้ทำการติดตั้ง Software ช่วยด้าน Security แต่จริงๆแล้วเป็น Trojaneurograbber3
คราวนี้ก็ไม่มีอะไรป้องกันได้อีกแล้วครับ เนื่องจาก Hacker สามารถได้ข้อมูลทุกอย่างทั้ง Username,Password และรหัส OTP จาก SMS สำหรับข้อมูลเพิ่มเติมของ EuroGrabber สามารถอ่านได้จาก Eurograbber_White_Paper ซึ่งจัดทำโดย Check Point and Versafe

วิธีการหลีกเลี่ยงและป้องกัน
1. เครื่อง PC,Laptop หรือ Mobile ที่ทำธุรกรรมออนไลน์ต้องเป็นเครื่องที่เรามั่นใจว่าปลอดภัย เช่นมีโปรแกรม Antivirus ที่มี Licence มีการ Update สม่ำเสมอ ถ้าเป็นเครื่อง Mobile ก็ไม่ควรใช้ผ่านเครื่องที่ผ่านการ Jailbreak หรือ Jailroot
2. อย่า Click Link หรือเปิด File แนบที่ได้รับจากคนที่เราไม่รู้จัก หรือหากมาจาก email คนรู้จักควรพิจารณาให้ดีด้วยว่าเจ้าตัวเป็นคนส่งจริงหรือไม่ App ต่างๆบน Social Network ควรพิจารณาให้ดีก่อนใช้
3. หน้า Page ของธุรกรรมออนไลน์ไม่ควรแสดงผลผิดปกติอย่างที่เคยเป็น ถ้าหากพบเห็นสิ่งผิดปกติต้องรีบแจ้ง Call Centre ก่อน ไม่ควรกรอกข้อมูลอะไรทั้งสิ้น
4. ทุกๆกิจกรรมที่สำคัญจะมีการบังคับใส่ OTP ก่อน ให้อ่านข้อความ SMS หรือ Text ที่ได้รับจากธนาคารก่อนว่าได้รับ OTP สำหรับทำกิจกรรมอะไร และรหัสอ้างอิง(Reference Code)อะไร เป็นสิ่งที่เรากำลังตั้งใจทำอยู่ใช่หรือไม่ ถ้าผิดจากสิ่งที่ควรจะเป็นเช่น Login เสร็จแล้วมี OTP บอกว่ากำลังเพิ่มผูกบัญชีบุคคลที่ 3 นั่นแสดงว่าเรากำลังถูกโจมตีแล้ว
5. หากพบเห็นสิ่งผิดปกติ ให้ Capture หน้าจอ ส่งธนาคารต้นสังกัด หากสงสัยว่าเครื่องติด Zeus/SpyEye ทางเดียวที่ดีที่สุดคือ ให้รีบเปลี่ยน Password ของเราผ่านเครื่องที่ปลอดภัย และรีบตรวจสอบ Transaction ย้อนหลัง หากไม่สบายใจก็ระงับการใช้งานไปก่อน ส่วนเครื่องที่ติดโทรจันให้ทำการ Format และ Install เครื่องใหม่จะปลอดภัยที่สุดครับ
6. สำหรับธนาคาร หรือผู้ให้บริการทางการเงินควรมีการส่ง SMS OTP ที่ละเอียดพอ บ่งบอกว่า SMS สำหรับใช้ในการทำอะไร เช่น SMS OTP สำหรับการโอนเงิน โดยมี Reference Code:XXXX และ OTP คือ YYYY เป็นต้น

REF: We would like to give a credit to Kaspersky to create this inforgraphic which we referred in this article.

Facebook Security Part 2: Protect our Photo Privacy

การตั้งค่าความเป็นส่วนตัวของรูปภาพให้ปลอดภัย

การใช้งาน Facebook สิ่งหนึ่งที่มักจะหลีกเลี่ยงไม่ได้เลยก็คือการใช้งานรูปภาพโดยเฉพาะอย่างยิ่งการ Upload รูป Facebook ยุคแรกๆการ Upload ต้องทำผ่าน PC เท่านั้นแต่ปัจจุบันสามารถ Upload ผ่าน Mobile Platform ต่างๆได้ การตั้งค่าความปลอดภัยให้กับรูปที่ทำการ Upload นั้นจึงมีความสำคัญอย่างยิ่ง ผมขอให้พิจารณาเรื่องดังต่อไปนี้

1.วิธีการ Upload รูปบน Facebook มี 2 ช่องทางดังนี้
1.1 สำหรับรูปที่ Upload ผ่านทาง PC : การตั้งค่าการเข้าถึงสามารถบังคับแบบ Album หรือแบบแต่ละรูปเลยก็ได้


จากภาพถ้าเราทำการ click จะพบว่าเราสามารถกำหนดสิทธิ์การเข้าถึงทั้ง Album ให้กับ Friend เท่านั้น

1.2 สำหรับรูปที่ Upload ผ่านทาง Mobile : เนื่องจากความสะดวกทำให้การ Upload รูปเป็นสิ่งที่ง่ายขึ้น รูปที่ทำการ Upload ผ่าน Mobile จะอยู่ใน album ชื่อ Mobile Uploads ณ ขณะที่ทำการ Upload เราสามารถกำหนดว่า ใครที่เราอยู่ด้วยและสถานที่(ถ้าหากทำการ Enable Location Service เอาไว้) สิ่งสำคัญที่ควรทำก็คือ ถ้าหากไม่จำเป็นเราไม่ควรบอก Location กับใคร และกำหนดสิทธิ์ให้กับคนที่เราอยากให้เห็นภาพเท่านั้น


หลังจากที่ Upload เสร็จเรียบร้อย รูปนั้นๆจะขึ้นไปที่หน้า News Feed ของคนที่มีสิทธิ์เห็นทันทีนะครับให้ระวังจุดนี้ไว้ด้วย

ระวัง!!คนที่เราอนุญาตให้เห็นจะทราบว่ารูปนั้นเรา Share ให้ใครเห็นได้บ้าง

2. ให้ตั้งค่าป้องกันการ Tag อัตโนมัติไว้ด้วย : ค่านี้ถูกอธิบายในบทความ Facebook Security Part 1: Privacy ไว้แล้วเรื่องการ Enable การ Review Post และ Tag ให้ลองเข้าไปอ่านกันดูครับ ซึ่งถ้าเราบังเอิญถูก Friend คนไหนก็ไม่รู้มา Tag เรา เราสามารถป้องกันไม่ให้ไปโผล่บน Timeline ของเราได้ โดยลำดับแรกไปที่ Profile ของเรา
fb_photo5
เลือกไปที่ Review Post

จากนั้นก็ Hide ไม่ให้ไปแสดงใน Timeline ของเราครับ

และหากจะไม่ให้ใครเห็นเลยต้องไปตั้งค่าที่นี่ให้เป็น Only Me ครับ

และถ้าไม่อยากให้มี Tag ใดๆเลยเกี่ยวกับเราในรูปนั้นก็ให้ Browse ไปที่รูปเลือก Option ตามภาพ

และเลือก untag แต่ถ้ารูปที่เห็นเรารับไม่ได้จริงๆ ก็เลือก option ที่สองไปเลยนะครับ
fb_photo10
ในบทความตอนถัดไปจะกล่าวถึงการตั้งค่าความปลอดภัยให้กับ Account ของตัวเราเอง ว่าจะต้องตั้งค่าอย่างไรและต้องระวังเรื่องอะไรบ้าง