Gift Card – An alternate secured payment channel

สำหรับหลายๆคนที่ได้ใช้บริการบัตรเครดิตในการซื้อของ Online เป็นประจำ หรือแม้แต่มีการใช้งานในต่างประเทศบ่อยๆนั้น อาจจะไม่ค่อยสบายใจนัก หากบัตรที่ใช้มีวงเงินสูง เนื่องจากหากถูกขโมยไปใช้งาน กว่าจะทำเรื่องแจ้งหาย ยกเลิก เรียบร้อยก็อาจจะถูกนำบัตรไปใช้สร้างหนี้มหาศาลแล้ว หรือแม้แต่เหตุการณ์ที่โด่งดังในประเทศไทยที่มีการขโมย Apple ID แล้วนำบัตรเครดิตที่ผูกกับ Apple ID ไปใช้งานซื้อของ

Gift Card หรือบัตร Prepaid ที่เราเห็นโดยส่วนใหญ่นั้น มักจะเห็นในรูปของบัตรสำหรับ Service ต่างๆ เช่น Online Game, Amazon, iTunes, etc. แต่เมื่อเร็วๆนี้ผมได้มีโอกาสเดินทางไปต่างประเทศก็ได้พบว่าที่ต่างประเทศนั้นมีการขาย Gift Card ใน Super Market กันอย่างแพร่หลาย โดยเฉพาะ Gift Card ของ Visa และ MasterCard ที่จะช่วยให้สามารถใช้จ่ายเงินทาง Online ได้อย่างสบายใจ เนื่องจากวงเงินที่มีจำกัด และวงเงินนั้นก็จะขึ้นอยู่กับเงินที่เราซื้อมานั่นเอง

photo(1)

เท่าที่เห็นในไทยม้ักจะเห็นบัตร iTunes, XB0x, Wii เป็นส่วนใหญ่ พวก Gift Card ของ Visa และ MasterCard อาจจะหายากซักหน่อย แต่มีอีกช่องทางที่น่าสนใจคือบริการ K-Web Shopping Card ของ KBank ที่ออกบัตร Virtual Credit Card และสามารถควบคุมวงเงินได้ทันทีครับ

Be Anonymous — ตอนที่ 1 Search Privately

ผมมั่นใจว่าทุกท่านน่าจะเคยใช้งาน Search Engine เพื่อค้นหาข้อมูลที่เราสนใจไม่ว่าจะเพื่อการทำงานหรือว่าความสนใจส่วนตัวและ Search Engine ที่นิยมกันก็เห็นจะไม่พ้นพวก Google หรือ Bing ถึงแม้ว่า Search Engine เหล่านี้จะให้ผู้ใช้งานได้ใช้งานกันแบบฟรีๆ แต่จริงๆแล้ว Search Engine พวกนี้มีการจับตาและติดตามการ Search ของผู้ใช้งานตลอดเวลาที่ทำการค้นหา และข้อมูลที่ได้จากการ Search ก็จะถูกเก็บรวบรวมเอาไปวิเคราะห์ ข้อมูลที่เกี่ยวกับตัวเรา,ความสนใจของเรา, Web Activity ของเราก็จะถูกเอาไปขาย พูดให้ดูหรูๆก็คือเอาไปใช้ในงานด้าน Marketing หรือ Advertisement เพื่อจะได้ Generate รายได้แม้จะเป็นบริการที่เปิดให้ใช้งานฟรี

ปัญหาของเราก็คือทุกครั้งที่เราทำการค้นหาข้อมูลพวก Keyword ที่เราใช้, IP Address, Application ที่เราใช้อยู่และข้อมูลที่ Cookie ที่ Search Engine ทิ้งไว้ที่เครื่องของเราเพื่อทำการ Track Activity ของเราก็จะถูกส่งไปหา Search Engine ด้วย ทีนี้เราจะแก้ไขหรือบังคับไม่ให้มีการส่งข้อมูลพวกนี้ได้หรือไม่ คำตอบคือไม่ได้ครับ เราต้องเลิกใช้จึงจะแก้ปัญหานี้ได้ แต่วิธีนี้เป็นคำตอบที่ยากที่จะเป็นไปได้ในปัจจุบัน

Incognito Lab ขอแนะนำให้ผู้ใช้งานได้ลองใช้ Search Engine ที่มีจุดแข็งเรื่อง Privacy โดยจะไม่มีการทำการเก็บข้อมูลการ Search จากฝั่งผู้ใช้งานเลย

1. ixquick มีผลการค้นหาที่ดี และ Privacy Policy ที่น่าใช้งานมาก
search1 หากสงสัยว่า Privacy Policy ของ ixquick เป็นอย่างไรให้ไปดูได้ที่นี่ ixquick Privacy Policy เลยครับ

2. DuckDuckGo
search2
นอกเหนือจากเรื่อง Privacy แล้ว DuckDuckGo ยังช่วยในการ Forward คำค้นหาไปยัง Target Web ได้อีกครับ รายละเอียดแนะนำให้ดูได้จาก About DuckDuckGo

การ Search อย่างปลอดภัยไม่ได้มีใช้งานเฉพาะผู้ใช้งานทั่วไปเท่านั้น แม้แต่ Security Professionals หรือพวก Hackers ก็คำนึงถึงเรื่อง Privacy จากการ Search เป็นอย่างยิ่ง

Instagram Insecurity (ความไม่ปลอดภัยของ Instagram)

Follow Facebook ของเราเพื่อรับข่าวสารและเป็นกำลังใจได้ที่
https://www.facebook.com/secure.thailandนะครับ พวกเราอยากเห็นคนไทยตื่นรู้เรื่อง Information Security กันให้มากขึ้น

หลังจากที่เราได้เคยแนะนำขั้นตอนการ setup ค่าความเป็นส่วนตัวบน Facebook อย่างไรให้ปลอดภัยไปแล้ว โอกาสนี้ Incognito Lab จึงอยากแจ้งเตือนและบอกกล่าวถึงภัยและการป้องกัน Social Network อีกเจ้าหนึ่งที่ได้รับความนิยมไม่แพ้กันนั่นก็คือ Instagram
instagram
Instagram เป็น Social Network ที่มีผู้ใช้ในประเทศไทยอยู่เป็นจำนวนมากถึงขนาดที่ว่า Top 15 ของสถานที่ที่ถูกถ่ายภาพลง Instagram มีอยู่ 3 ที่ที่อยู่ในประเทศไทยคือท่าอากาศสุวรรณภูมิ,Siam Paragon และ Terminal 21 ซึ่งทางเราเห็นว่าควรจะเผยแพร่บทความชิ้นนี้กับผู้ใช้งานคนไทยเป็นอย่างยิ่ง

ความไม่ปลอดภัยของ Instagram

1. Instagram เสี่ยงต่อการถูกขโมย Account หากใช้งานอยู่บนเครือข่ายที่ไม่มีความปลอดภัย
ขณะที่ทำการเขียนบทความชิ้นนี้ผมได้ทดสอบกับ Instagram version ล่าสุดคือ 3.4.2 บน non-jail-broken iPhone ที่ใช้ iOS 6.1 โดยทำการ connect เข้ากับ Wireless Network ผลที่ได้พบว่า Instagram บนเครื่อง iPhone ทำการแลกเปลี่ยนข้อมูลกับ Server ของทาง Instagram โดยไม่มีการเข้ารหัสเลย ยกเว้น Login Page ซึ่งเป็นอะไรที่แย่มากเนื่องจากวิธีการขโมย Account ไม่จำเป็นต้องรู้ Password
ig2
จากรูป ผมทำการดักจับข้อมูลของ Instagram และส่งข้อมูลไปบอก Server ว่าต้องการเปลี่ยน email ที่ผูกกับ Account อันนี้เป็น email อื่น (สังเกตตำแหน่งที่ทำการ Censor)ผลที่ได้ก็คือ Account ที่ใช้งานจะถูกเปลี่ยน email ที่ผูกไว้ หาก email ถูกเปลี่ยนเป็น email ของ Hacker เค้าก็ไม่จำเป็นต้องรู้ Password ของเราครับ เนื่องจากสามารถสั่ง Reset Password ได้ จากนั้น Instagram Account ก็จะถูกยึดโดยไม่ต้องใช้วิธีการอะไรที่ซับซ้อนช่องโหว่ดังกล่าวถูกรายงานตั้งแต่ปลายปีที่แล้วโดยบริษัทด้าน Security หมายเลยหนึ่งของ Denmark ชื่อ Secuniaแต่แม้จนกระทั่งตอนนี้ทาง Instagram ก็ยังไม่ได้แก้ไขอะไร

ป้องกัน:
อย่าใช้ Instagram ผ่าน Wireless Network ที่ไม่รู้จัก หรือไม่แน่ใจในความปลอดภัย และถ้าไม่จำเป็นอย่าเปิด Wi-Fi ทิ้งไว้

2. โดยปกติ Instagram จะทำการ Public รูปที่ Upload โดยอัตโนมัติ
ig1_1
ถ้าหากไม่มีการ Setting ที่เหมาะสม(Photos are Private เป็น OFF) คนที่ไม่ได้เป็น Follower ก็สามารถเข้ามาดูรูปได้ อยากจะแนะนำว่าถ้าไม่ได้เป็น Celeb หรือดารา ก็ควรจะไปปิดค่า Public นี้ครับ (แต่ทาง Incognito Lab ขอเชียร์นะครับ ถ้าผู้อ่านเป็น Celeb หรือดาราก็ควรจะ Set ค่านี้ด้วยจะได้บังคับ Follower และโชว์ความรู้เรื่อง IT Security Awareness) เรามาดูตัวอย่างกัน

จากรูป Instagram ของ Kimberley(ผมชอบเป็นการส่วนตัวครับ ^^) ไม่ได้ทำการ Set เป็น Private คนที่ไม่ได้ Login หรือไม่ได้เป็น Follower ก็เข้าไปดูรูปได้ ผมทำการ Access ผ่าน Web Browser ครับโดยผู้อ่านสามารถทดสอบได้โดยพิมพ์ http://instagram.com/USER_ID โดยไม่ต้องใช้โปรแกรม Instagram
ig1_2

แต่ถ้าเป็นกรณีนี้ Instagram ที่ set เป็น Private จำเป็นต้องเป็น Follower ก่อนจีงจะสามารถดูรูปได้
ig1_3
ป้องกัน:
ให้ Set ค่า Photos Are Private เป็น ON ข้อดีของการ Setting นี้ก็คือหากทำการ Search ก็จะไม่พบรูปของเราด้วยถ้าคน Search ไม่ยอมเป็น Follower

3. Page Register ของ Instagram ทำการแสดงค่า Password ที่พิมพ์เป็น Plaintext
ประเด็นนี้ผมไม่เข้าใจว่าทำไม Instagram ถึงพลาดไป ตอน Register ถ้าหากทำบน Mobile Phone ก็ระวังคนแอบดูกันหน่อยนะครับ
ig3
ป้องกัน:
ทำได้แค่หวังให้ Instragram แก้ไข

4. การ Share ภาพไปยัง Social Network อื่น ค่าความปลอดภัยจะแปรผันตาม Socail Network นั้น ยกตัวอย่างเช่นรูปใน Instagram ทำการ Set ค่า Private ไว้เรียบร้อยดี
ig4_1
แต่ถ้าผู้ใช้ทำการ Share ภาพใดภาพหนึ่งไปยัง Facebook ที่ทำการ Set ค่า Privacy ไม่ดีเลย ค่าความปลอดภัยของ Instragram ก็จะไม่ช่วยอะไร
ป้องกัน:
จากรูปก่อนทำการ Enable Instagram บน Facebook ให้ทำการ Set ค่าให้ดีว่าอนุญาตให้ใครที่สามารถดูได้บ้าง ไม่ควรเปิดแบบ Public
ig4_2
และทำการ Set ค่า Security หรือ Privacy ของ Social Network ปลายทางนั้นๆให้ดี เช่น Facebook ผู้อ่านสามารถอ่านเพิ่มเติมได้ที่บทความนี้ครับ Facebook Security Part1 : Privacy

5. ข้อมูล Backup สามารถทำให้ Access Instagram Account ได้
เนื่องจากมันเก็บค่าที่เรียกว่า Cookie ที่ Server จะใช้เป็น Identity ในการยืนยันตัวตน จากรูปด้านล่างค่า Cookie ถูกเก็บอยู่ใน Backup ของ iPhone ที่ไม่มีการเข้ารหัส แต่เก็บอยู่ในรูปของ Binary Format แสดงเป็นเลขฐานสอง ถ้าหากตกอยู่ในมือ Hacker รับรองได้ว่าถูกขโมย Account อย่างแน่นอน
ig5
ป้องกัน:
อย่าทำ iPhone หาย, อย่า jailbreak เครื่อง และทำการเข้ารหัสข้อมูลที่ Backup ไว้ด้วยตามรูปให้ืำทำการเลือก Encrypt iPhone Backup
ig5_2

น่าตกใจเป็นอย่างยิ่งที่ Social Network ระดับโลกอย่าง Instagram จะมีช่องโหว่ที่ผู้ใช้งานควรระมัดระวังอยู่หลายจุด คงต้องรอดูเวลาว่า Facebook ซึ่งทำการ Acquire Instagram ไปแล้วจะปรับปรุงให้ดีขึ้นมากน้อยอย่างไรครับ

007 Skyfall : the untold story

สวัสดีปีใหม่ สำหรับในปี 2012 ที่ผ่านมาทางทีมงาน Incognito Lab ของเรา ขอขอบคุณทุกๆท่านที่คอยติดตามเรา และ ส่งเมล์เข้ามาให้กำลังใจทีมงานอย่างมากครับ

สำหรับ Post แรกของปีนี้เราจะมาพูดถึงหนังใหญ่ในปี 2012 กัน นั่นคือ  007 Skyfall ซึ่งสำหรับคนที่ยังไม่ได้ดูนี่อาจจะเป็นการ Spoil เล็กน้อยนะครับ

skyfall

เนื้อเรื่องในภาคนี้ค่อนข้างจะถูกใจผมมากในหลายๆฉาก รวมถึง plot เรื่องที่มีตัวละครร้าย Silva ซึ่งเป็น Hacker ฝีมือดี และมีเรื่อง Security เกี่ยวข้องมากมาย เช่น ปืนของ Bond ที่ Q สร้างให้นั้นจะต้องมีการ Authentication ก่อนโดยใช้เทคโนโลยีพวก Biometrics เพื่อยืนยันว่าเป็น Bond เท่านั้นถึงจะใช้ยิงได้

secret-intelligence-service

รู้จักกับ MI6 (Military Intelligence, Section 6)  หรือ Secret Intelligence Serivce (SIS) ก่อนซักนิด MI6 เป็นหน่วยงานสืบสวนราชการลับของสหราชอาณาจักร (UK) ที่จะเน้นการปฏิบัติหน้าที่นอกสหราชอาณาจักรเป็นหลัก เพื่อสร้างความมั่นคงปลอดภัยให้กับสหราชอาณาจักร ซึ่งในสงครามโลกครั้งที่ 2 หน่วยงาน MI6 ก็มีส่วนในการช่วยถอดรหัสของ Enigma ที่ Bletchy  Park ด้วยเหมือนกัน

1 ใน ฉากที่น่าสนใจคือการวางแผนหลบหนีของ Silva โดยการ Hack เข้าระบบเพื่อเปิดประตูหนี

รายละเอียดของฉากนี้คือ หลังจากทาง MI6 จับกุม Silva ได้ และเตรียมหาข้อมูลโดยวิธีการ Digital Forensics กับเครื่อง Notebook ของ Silva ประเด็นเกี่ยวกับ Security ที่น่าสนใจคือ

  • มีการทำ Encryption ข้อมูลเอาไว้ ซึ่งเป็นเรื่องของ DLP โดยรายละเอียดเรื่อง DLP สามารถดูได้จาก DLP ตอนที่ 1 และ DLP ตอนที่ 2
  • มีการพูดถึงประโยค “Security through obscurity” ซึ่งเป็นประโยคที่สำคัญในวงการ Security มาก มีความหมายถึง การที่ไว้วางใจว่าระบบจะปลอดภัยเนื่องจากผู้สร้างระบบปกปิด Design ของระบบเป็นความลับและมั่นใจว่าจะไม่มีใครหาช่องโหว่ของระบบพบ ยกตัวอย่างในเชิงของ Cryptography เช่น การเลือกใช้ Encryption/Decryption Algorithm  นั้นควรจะเลือก Algorithm ที่ได้รับการพิสูจน์จากนัก Cryptography ทั้งหลายแล้วว่ามีความปลอดภัยสูง ไม่ใช่เลือก Algorithm ที่คิดค้นเอง หรือ Algorithm ที่ไม่เป็นที่รู้จักมากนักมาใช้ เนื่องจาก Algorithm นั้นอาจมีช่องโหว่ แต่ไม่มีคนมานั่งวิเคราะห์ ก็เลยไม่มีการเผยแพร่ช่องโหว่ออกมา ดังนั้นสำหรับในวงการ Security แล้วจะไม่ค่อยชอบระบบที่มีความปลอดภัยแบบ Security through obscurity เท่าไรนัก
  • เมื่อรู้ตัวว่าถูก Hack เข้าระบบ Q ก็ได้รีบถอดสาย LAN ออกจาก Notebook ทันที ซึ่งเป็นขั้นตอน Containment สำหรับ Incident Response เพื่อจำกัดความเสียหายที่เกิดขึ้น จากตัวอย่างในหนัง หมายถึง ป้องกันไม่ให้ระบบถูก Hack เพิ่มนั่นเอง

อีกฉากที่น่าสนใจคือ ฉากที่ Bond ไล่ล่า Silva ในสถานีรถไฟฟ้าใต้ดินนั่นเอง

ตาม definition ของ Homeland Security นั้น Critical Structure Security ได้มีการแบ่งออกเป็น 18 ส่วน ซึ่งหนึ่งในนั้นคึอ Transportation System

Transportation System ยกตัวอย่างแค่รถไฟฟ้าใต้ดิน สำหรับเมืองใหญ่ๆนั้น ถือเป็นหัวใจในการเดินทาง หากมีการหยุดชะงักไป หรือมองว่า Availability เสียไปจะส่งผลกระทบขยายวงกว้างแค่ไหน นอกจากความเสียหายทางด้านวัตถุที่เกิดขึ้นแล้ว สิ่งที่สำคัญมากกว่าคือ ชีวิต ที่จะต้องปกป้องรักษาไว้ หากใครมีโอกาสได้สอบ CISSP, CISM แล้วจะเห็นว่าในเรื่องของ Business Continuity Management นั้นก็ได้ให้ความสำคัญเรื่องความปลอดภัยที่เกี่ยวกับชีวิตไว้สูงสุด

และสุดท้ายฉากที่ประทับใจผมมากที่สุดคือฉากที่ M ขึ้นศาล

ประโยคเด็ดเลย “I suppose I see a different world than you do” ซึ่งผมเห็นด้วยมากกับประโยคนี้ เพราะแม้แต่คนรอบๆตัวผมยังมีคนที่ไม่เห็นความสำคัญของเรื่อง Security อยู่มาก

สุดท้ายนี้ ในปี 2013 ทาง Incognito Lab ของเราจะมุ่งมั่นผลักดันและสร้างความรู้ความสามารถให้กับบุคคลากรของประเทศให้มีความรู้ความเข้าใจเกี่ยวกับ Information Security ให้มากขึ้น ให้สมกับ mission ของเรา “We secure the nation”

Don’t get hooked with phishing fraud

จากเรื่อง Phishing ที่หลอกเรื่องการโหลด Sticker ของ Line ฟรี นำไปสู่การขโมย Apple ID [http://www.pantip.com/cafe/mbk/topic/T12997206/T12997206.html]

บทความนี้เราจะแสดงให้เห็นว่าจริงๆแล้วการสร้าง Phishing Website นั้นง่ายมาก ถึงขนาดที่ว่าผู้ร้ายไม่ต้องมีความสามารถในการเขียนโปรแกรมก็ทำได้นะครับ ซึ่งหาก User ไม่มี Awareness ที่มากพอก็อาจตกเป็นเหยื่อของผู้ร้ายได้ง่ายนะครับ

การทำ Phishing นั้นถือว่าเป็นการโจมตีในรูปแบบที่เรียกว่า Social Engineering ซึ่งเป็นวิธีการที่เน้นโจมตีไปที่คน [Human] เพื่อหลอกล่อให้เปิดเผยข้อมูลลับออกมา วิธีการของ Social Engineering รวมไปถึง Shoulder Surfing ซึ่งคือแอบมองด้านหลังนั่นเอง หรือแม้แต่ Dumpster Diving ซึ่งคือการค้นหาข้อมูลในถังขยะที่อาจจะมีคนนำกระดาษที่มีข้อมูลสำคัญมาทิ้งไว้

เริ่มวิธีการสร้าง Phishing Website โดย Tool ที่ชื่อว่า Social-Engineer Toolkit (SET)

1. หน้าแรกหลังจากเปิดโปรแกรม SET ขึ้นมา เป็นรายละเอียดทั่วๆไปเกี่ยวกับ SET โดยมีผู้พัฒนาคือ David Kennedy ซึ่งเป็น 1 ในผู้ก่อตั้ง DerbyCon และผูู้พัฒนา Fast-Track ด้วย รวมถึงร่วมก่อตั้ง www.social-engineer.org แต่ในภายหลังได้ก่อตั้งบริษัทของตัวเองชื่อ TrustedSec เเละได้เขียนหนังสือชื่อ Metasploit: The Penetration Tester’s Guide ซึ่งผมเชื่อว่าคนในวงการจะต้องเคยเห็นหนังสือเล่มนี้แน่นอน

set

Metasploit: The Penetration Tester’s Guide: A Penetration Tester’s Guide

Metasploit: The Penetration Tester’s Guide

2. เลือก 1) Social-Engineering Attacks

menu1

3. จะมี menu ให้เลือกมากมาย ซึ่ง menu เหล่านี้ก็คือ option ต่างๆสำหรับไว้หลอกล่อเหยื่อนั่นเอง ซึ่ง Tool นี้จะ Support หลายๆวิธี ซึ่งในบทความนี้จะขอเลือก 2) Website Attack Vectors

menu2

4. การใช้ Website หลอกเหยื่อก็มีหลาย option เพื่อความสะดวก ไม่ว่าจะเป็น เอา Template ที่มีอยู่แล้วมาใช้ หรือ นำ URL Website ที่ต้องการมาใส่ แม้แต่กระทั่งใส่ code เองก็ทำได้ ซึ่งในที่นี้ขอเลือก 2) Site Cloner

menu4

5. เมื่อเลือกวิธีการ Clone Site มาแล้ว จะต้องใส่ข้อมูลเพิ่มเติมคือเครื่องที่จะใช้ในการรับข้อมูลตอนที่เหยื่อโดนหลอก ซึ่งในที่นี้ผมทำการทดลองบนเครื่องของผมเอง ดังนั้นใส่เป็น Localhost ครับ

destination

6. ถัดมาขั้นตอนสำคัญ คือจะให้ Clone จาก Site ไหนมาดี ตาม Case Study นี้แล้วคงเป็น Web ไหนไม่ได้นอกจากหน้า Web ของ Apple ที่มีให้ใส่ Apple ID

target

7. เมื่อใส่ข้อมูลเรียบร้อยทั้งหมดแล้ว Tool จะทำหน้าที่ Clone หน้า Web ขึ่้นมา รอให้เหยื่อเข้า Web และ Tool ก็จะคอยรอรับ input จากเหยื่อด้วย

waiting

8. หน้า Phishing Website ที่เพิ่งสร้างเรียบร้อย

fake

  • สังเกตที่ URL นะครับ ในที่นี้เป็น IP ของเครื่องผม แต่ถ้าเป็นกรณีที่จะโจมตีจริงๆก็จะมีการจด Domain ที่มีความน่าเชื่อถือมากขึ้นเพื่อหลอกให้เหยื่อหลงกลได้
  • ไม่มีการใช้ SSL Certificate โดย Default ของ Tool [หากใครไม่รู้จัก SSL ก็คงเคยได้ยินที่คนเข้าบอกกันว่ารูปแม่กุญแจหรือ HTTPS น่ะครับ] ซึ่งถ้าทำจริงๆแล้วก็สามารถใส่ SSL Certificate เข้าไปเพื่อเพิ่มความน่าเชื่อถืออีกขั้นหนึ่งได้ แต่การหา SSL Certificate นั้นถ้าทำแบบไม่ลงทุนมาก็จะใช้ Self-Signed Certificate ซึ่งเวลาเราเข้า Website แล้ว Browser จะเตือนว่าเป็น Invalid Certificate ซึ่งคนที่ขาด Awareness ก็มักจะกด Exception เพื่อเข้า Website น่ะครับ หรือหากผู้ร้ายคิดจะใช้ SSL ที่มีความน่าเชื่อถือก็อาจจะใช้วิธีการซื้อ SSL Certificate จาก Certificate Authority (CA) ที่ไม่ค่อยเคร่งในเรื่องการ Verify ผู้ซื้อมากนัก ซึ่งตรงนี้แหละที่ทำให้ Security Awareness ถือว่าสำคัญมาก
Invalid SSL Certificate

Invalid SSL Certificate

9. ลอง Login ผ่านหน้า Phishing Website

fake-2

10. เมื่อมีการใส่ข้อมูล Username และ Password เรียบร้อยและกด Sign in หน้า Web ก็จะถูก Redirect กลับมาสู่หน้าจริงๆของ Apple เพื่อหลอกให้เหยื่อคิดว่าอาจจะแค่เป็นการใส่ Password ผิดเท่านั้น

redirect

11. แต่สำหรับฝั่งผู้ร้ายนั้นก็จะได้ข้อมูล Username และ Password ของเหยื่อ ไปเรียบร้อยแล้วครับ

data capture

บทความนี้เขียนละเอียดไม่ใช่เพื่อให้คนเอาไปใช้ในทางที่ผิดนะครับ ผมอยากให้ทุกคนทราบว่ามันง่ายมากแค่ไหนสำหรับการทำ Phishing Website ขั้นตอนทั้งหมดนี้อาจจะใช้เวลาแค่ 1-2 นาทีก็เรียบร้อยแล้ว ซึ่งต่อให้ระบบมีการป้องกันที่สุดยอดแค่ไหน หาก User ยังไม่มี Security Awareness ที่มากพอ User ก็ยังมีโอกาสที่จะโดนหลอกได้อยู่ดี ดังคำที่บอกว่า “Human is the weakest link in security chain” นั่นเอง

Banking Trojan

ช่วง 1-2 ปีที่ผ่านมามี virus/trojan หรือเรียกโดยรวมว่า malware ประเภทหนึ่งที่ผู้เชี่ยวชาญให้คำจำกัดความว่า highly sophisticated ซึ่งหมายถึงมีความซับซ้อนสูง malware ที่กล่าวถึงในบทความนี้ถูกสร้างขึ้นมาเพื่อทำการโจรกรรมการทำธุรกรรมออนไลน์เป็นหลัก ทั้ง US และหลายประเทศใน EU ถ้าดูจากภาพด้านล่างซึ่งได้มาจาก รายงาน F-Secure Threat Report H1-2012
อย่างไรก็ตามผมรู้สึกว่าสถานการณ์มันเริ่มจะไม่ค่อยจะดีครับ เพราะมีการโจมตีบ่อยขึ้นในประเทศไทย ซึ่งธนาคารชั้นนำหลายแห่งในประเทศไทยเคยเผชิญกับ Zeus/SpyEye มาแล้วทั้งสิ้น บทความชิ้นนี้จึงถูกเขียนขึ้นเพื่อให้ความรู้และแจ้งเตือนกับผู้ใช้งานทุกท่านให้ระมัดระวังกันมากยิ่งขึ้น

Internet Banking
กิจกรรมที่เป็นการทำธุรกรรมออนไลน์ที่ใช้งานมากที่สุดคงหนีไม่พ้น Internet Banking นั่นเป็นสาเหตุว่าทำไม hacker ถึงเลือกที่จะโจมตีกิจกรรมนี้เป็นหลัก เนื่องด้วยสาเหตุคือมีคนใช้งานอยู่เยอะ มีระบบอยู่หลากหลาย และได้เงินแน่ๆหากทำสำเร็จ

ปกติแล้วการเข้าใช้งาน Internet Banking ผู้เข้าใช้งานก็จะทำการเปิด Web Browser เช่น IE,Firefox,Chrome หริอ Safari จากนั้นก็พิมพ์ URL ของระบบ Internet Banking ที่ผู้ใช้งานเปิดใช้บริการกับสถาบันการเงินนั้นๆที่ตนเองเป็นลูกค้า ทำการกรอก Username และ Password ก็จะทำการเข้าสู่ระบบได้ ทีนี้พอมาถึงช่วงที่ต้องทำการโอนเงินไปบัญชีอื่นๆ อาจจะเป็นบัญชีของผู้ใช้เองหรือบัญชีบุคคลที่สาม จะมีระบบป้องกันที่เรียกว่า Multifactor Authentication ซึ่งจะใช้การระบุตัวตนว่าผู้ใช้เป็นเจ้าของบัญชีนั้นจริงๆ หาก Username และ Password สูญหายหรือบุคคลอื่นทราบก็จะสามารถเข้าสู่บัญชีของลูกค้าคนนั้นได้ แต่ก็ทำธุรกรรมที่สำคัญไม่ได้ สิ่งที่ธนาคารทุกที่นิยมใช้กันก็คือ รหัสผ่านแบบครั้งเดียว Time-based OTP(One Time Password) ซึ่งจะส่งรหัส OTP มาทาง SMS ผ่านทางโทรศัพท์มือถือที่ผู้ใช้หรือเจ้าของบัญชีทำการลงทะเบียนกับธนาคาร การทำธุรกรรมที่สำคัญจึงจำเป็นต้องใช้ OTP ก่อนจึงจะทำธุรกรรมนั้นๆได้ หาก Username หรือ Password หายและ OTP ถูกดักจับได้ ก็ไม่สามารถใช้งานได้อีกเพราะ OTP จะใช้งานแค่ครั้งเดียว ภายใต้เวลาที่จำกัด วิธีการนี้ดูเหมือนจะปลอดภัยก็จริง แต่ Malware ที่กล่าวถึงมันสามารถเอาชนะและจัดการยึดบัญชีของผู้ใช้ได้อยู่ดี

รู้จักกับ Zeus/SpyEye
ทั้ง 2 ตัวจัดเป็น Banking Trojan ถูกสร้างและออกแบบมาเพื่อโจมตี Internet Banking มีความสลับซับซ้อน รูปแบบการโจมตีมีความยืดหยุ่น มีความสามารถในการพรางตัวสูง ทำงานเป็นอิสระ และสามารถทำงานผ่านการควบคุมจาก C&C (Command and Control Centre) สามารถเรียนรู้พฤติกรรมผู้ใช้งาน เลือกการโจมตีให้ใกล้เคียงกับการใช้งานปกติของผู้ใช้ สามารถอัพเดตตัวเองได้ สามารถปรับเปลี่ยนตัวเองไม่ให้โปรแกรม Antivirus ตรวจจับได้(Advanced Polymorphic Stealth Technique)

Ref:F-Secure Cyber Espionage


Zeus/SpyEye โจมตีเหยื่ออย่างไร ขอแบ่งเป็นช่วงการโจมตีย่อยๆดังนี้
1. Infection Phrase

Link หรือ file แนบใน spam mail ซึ่งมีหลายประเภทเช่น file ประเภท .exe,.pdf และ Microsoft Office, การเข้าไป web ที่ถูก hacker โจมตีและฝัง script ไว้, portable USB drive ที่ติดไวรัสหรือการถูกโจมตีผ่านเครือข่าย Internet เป็นช่องทางแรกที่ Zeus/SpyEye จะเข้ามาสู่เครื่องของเรา โดยจะทำการหาช่องโหว่ของเครื่องผู้ใช้เริ่มจาก Java Runtime, Adobe Flash, Adobe Reader และตัวระบบปฏิบัติการโดยเฉพาะ MS Window หลังจากที่พบช่องโหว่แล้ว Zeus/SpyEye จะทำการติดตั้งในเครื่องของผู้ใช้แบบเงียบๆ
2. Attack Phrase
Zeus/SpyEye จะรออย่างเงียบๆในเครื่องผู้ใช้งาน เมื่อผู้ใช้งานเข้าระบบ Internet Banking เจ้า Zeus/SpyEye จะทำการตรวจสอบการใช้งานว่า เป็นบัญชีประเภทไหน ธนาคารอะไร จำนวนเงินเท่าไร และถ้าค่าต่างๆเหล่านี้เป็นค่าที่ Zeus/SpyEye สามารถโจมตีได้มันจะทำการติดต่อกับ Command and Control Centre และใช้เทคนิคที่เรียกว่า HTML Injection เปลี่ยนแปลงสิ่งต่างๆ เพื่อหลอกลวงและซ่อนสิ่งที่ผู้ใช้เห็นผ่าน Browser ซึ่งแต่ละขั้นตอนสามารถอธิบายได้ดังนี้

2.1 เมื่อ User เข้าไปที่ URL ของ Internet Banking จากนั้นป้อน username และ password, Zeus/SpyEye จะเริ่มทำงาน

2.2 ขั้นตอนนี้มีความหลากหลายแล้วแต่ประเภทย่อย(Variance)ของ Zeus/SpyEye ที่เจอครับ โดยประสบการณ์ที่เคยพบส่วนใหญ่ Zeus/SpyEye จะปลอมหน้าจอ หรือบิดเบือนบางสิ่งบางอย่างบน Page ปกติเพื่อหลอก User โดยหน้าจอที่เห็นอาจจะเป็นหน้าจอที่แสดงข้อผิดพลาด หรือหน้าจอบอกให้รอสักครู่เพื่อทำการถ่วงเวลา User เอาไว้ User จะไม่สามารถรู้ได้ว่า ณ ขณะนี้กำลังถูก Zeus/SpyEye เล่นงานอยู่ เนื่องจาก URL ก็เป็น URL ของธนาคาร มีเพียงแต่หน้าเว็บเท่านั้นที่จะมีการเปลี่ยนแปลงไปจากเดิม

ในช่วงหลังจากที่ดักจับ Username และ Password ได้สำเร็จ Hacker ก็จะทำการ Login เข้าสู่ระบบและทำธุรกรรมเองหรือสามารถสั่งให้ process ฝั่ง User ทำการ Login ได้ หรือพูดให้ง่ายขึ้นก็คือ Web Browser ฝั่ง User ถูก Hacker ยึด ณ ขณะที่ทำการ Login อยู่ ทุกๆคำสั่งที่วิ่งไปยังธนาคารออกจากเครื่องของ User ทั้งสิ้น ซึ่ง Countermeasure ที่ธนาคารทุกที่มักจะใช้ก็คือถ้ามี Login จาก User คนเดียวกัน โดยที่ค่า Session ต่างกัน จะต้องมี Session ใด Session หนึ่งหลุดหรือทั้งสอง Session จะถูกเตะออกมาทันทีไม่มีใครใช้ได้ ซึ่งวิธีนี้ช่วยอะไรไม่ได้ครับเนื่องจาก Zeus/SpyEye ใช้ Session ของ User คนคนนั้นเอง หากการกระทำบางอย่างเช่นการเพิ่มบัญชีใหม่หรือการโอนเงิน จำเป็นต้องใช้การพิสูจน์ตัวตนเพิ่มเติมไม่ว่าจะเป็น OTP หรือ Smartcard หรือ PIN ตัว Hacker ก็จะส่งคำสั่งไปที่หน้าจอของเหยื่ออีกครั้ง

2.3 หน้าจอฝั่ง User อาจจะมีข้อความให้ User ใส่ OTP หรือเสียบ Smartcard หรือให้ใส่ PIN โดยข้อความที่ปรากฏบนหน้าจอจะพยายามโน้มน้าวให้ User กรอกข้อมูลดังกล่าวให้ได้ หาก User ไม่พิจารณาให้ดีว่ามีความผิดปกติเกิดขึ้น หรือ SMS แสดง OTP เพื่อทำกิจกรรมบางอย่างที่ตนเองไม่ได้ทำ หรือระบบไม่ได้บ่งบอกถึงจุดประสงค์ของรหัส OTP ว่าเอาไว้ใช้ทำอะไร User อาจจะกรอกข้อมูลนั้นๆ
เช่น กรอก OTP เพื่อโอนเงินไปบัญชีบุคคลที่ 3 แต่ช่องที่ User กรอกข้อมูล อาจจะขึ้นว่าให้กรอก OTP เพื่อยืนยันตัวตนแทน ถ้าไม่พิจารณาให้ดีย่อมตกเป็นเหยื่อแน่นอน

2.4 หน้าจอจะแสดงข้อความให้ User รอ หลังจากที่ hacker ขโมยโอนเงินได้สำเร็จ สำหรับใน Variance ที่มีความสามารถสูงๆ Zeus/SpyEye ก็จะเปลี่ยนแปลงข้อมูลบนหน้าจอ เพื่อซ่อนการขโมยเงินนี้โดยจะเปลี่ยนค่าต่างๆเช่นจำนวนเงินคงเหลือ ซ่อนธุรกรรมที่ถูก Zeus/SpyEye ควบคุม ซ่อนการ Login ที่น่าสงสัย หาก User สั่ง print Statement ก็จะทำการหลอกส่งค่าที่ถูกปลอมแปลงไปที่ printer อีกด้วย

ความหลากหลายที่เพิ่มขึ้น
Zeus/Spyeye ยังคงโจมตีอยู่เรื่อยๆ โดยล่าสุดพบว่าประเทศในยุโรปถูกการโจมตีที่เรียกว่า Campaign: EuroGrabber ซึ่งมูลค่าความเสียหายประมาณ 36 Million Euros จากเหยื่อประมาณ 30000 คน การโจมตีนั้นมีรูปแบบเดียวกับ Banking Trojan ที่กล่าวถึง(ตระกูลของ Trojan ประเภทนี้ชื่อ Citadel เป็น variant ของ Zeus/SpyEye นั่นแหละครับ : รายละเอียดทางเทคนิค) แต่การโจมตีนั้นครอบคลุมถึงการหลอกให้ผู้ใช้งาน Install Trojan ลงบน Smartphone ของผู้ใช้ด้วยเพื่อขโมยรหัส OTP เพื่อการโจมตีเต็มรูปแบบ ดังภาพ
eurograbber
หากถามว่า Trojan มันลามมาติดบนมือถือได้อย่างไร คำตอบก็คือผู้ใช้งานนั่นแหละครับถูกหลอกให้ติดตั้ง Trojan ลงไป โดยหลังจาก Login เข้า Internet Banking แล้วจะมีหน้าจอมาหลอกให้ Install โปรแกรมบางอย่าง
eurograbber2
หากผู้ใช้งานหลงเชื่อก็จะมี SMS มาที่โทรศัพท์มือถือ เพื่อให้ทำการติดตั้ง Software ช่วยด้าน Security แต่จริงๆแล้วเป็น Trojaneurograbber3
คราวนี้ก็ไม่มีอะไรป้องกันได้อีกแล้วครับ เนื่องจาก Hacker สามารถได้ข้อมูลทุกอย่างทั้ง Username,Password และรหัส OTP จาก SMS สำหรับข้อมูลเพิ่มเติมของ EuroGrabber สามารถอ่านได้จาก Eurograbber_White_Paper ซึ่งจัดทำโดย Check Point and Versafe

วิธีการหลีกเลี่ยงและป้องกัน
1. เครื่อง PC,Laptop หรือ Mobile ที่ทำธุรกรรมออนไลน์ต้องเป็นเครื่องที่เรามั่นใจว่าปลอดภัย เช่นมีโปรแกรม Antivirus ที่มี Licence มีการ Update สม่ำเสมอ ถ้าเป็นเครื่อง Mobile ก็ไม่ควรใช้ผ่านเครื่องที่ผ่านการ Jailbreak หรือ Jailroot
2. อย่า Click Link หรือเปิด File แนบที่ได้รับจากคนที่เราไม่รู้จัก หรือหากมาจาก email คนรู้จักควรพิจารณาให้ดีด้วยว่าเจ้าตัวเป็นคนส่งจริงหรือไม่ App ต่างๆบน Social Network ควรพิจารณาให้ดีก่อนใช้
3. หน้า Page ของธุรกรรมออนไลน์ไม่ควรแสดงผลผิดปกติอย่างที่เคยเป็น ถ้าหากพบเห็นสิ่งผิดปกติต้องรีบแจ้ง Call Centre ก่อน ไม่ควรกรอกข้อมูลอะไรทั้งสิ้น
4. ทุกๆกิจกรรมที่สำคัญจะมีการบังคับใส่ OTP ก่อน ให้อ่านข้อความ SMS หรือ Text ที่ได้รับจากธนาคารก่อนว่าได้รับ OTP สำหรับทำกิจกรรมอะไร และรหัสอ้างอิง(Reference Code)อะไร เป็นสิ่งที่เรากำลังตั้งใจทำอยู่ใช่หรือไม่ ถ้าผิดจากสิ่งที่ควรจะเป็นเช่น Login เสร็จแล้วมี OTP บอกว่ากำลังเพิ่มผูกบัญชีบุคคลที่ 3 นั่นแสดงว่าเรากำลังถูกโจมตีแล้ว
5. หากพบเห็นสิ่งผิดปกติ ให้ Capture หน้าจอ ส่งธนาคารต้นสังกัด หากสงสัยว่าเครื่องติด Zeus/SpyEye ทางเดียวที่ดีที่สุดคือ ให้รีบเปลี่ยน Password ของเราผ่านเครื่องที่ปลอดภัย และรีบตรวจสอบ Transaction ย้อนหลัง หากไม่สบายใจก็ระงับการใช้งานไปก่อน ส่วนเครื่องที่ติดโทรจันให้ทำการ Format และ Install เครื่องใหม่จะปลอดภัยที่สุดครับ
6. สำหรับธนาคาร หรือผู้ให้บริการทางการเงินควรมีการส่ง SMS OTP ที่ละเอียดพอ บ่งบอกว่า SMS สำหรับใช้ในการทำอะไร เช่น SMS OTP สำหรับการโอนเงิน โดยมี Reference Code:XXXX และ OTP คือ YYYY เป็นต้น

REF: We would like to give a credit to Kaspersky to create this inforgraphic which we referred in this article.

Facebook Security Part 2: Protect our Photo Privacy

การตั้งค่าความเป็นส่วนตัวของรูปภาพให้ปลอดภัย

การใช้งาน Facebook สิ่งหนึ่งที่มักจะหลีกเลี่ยงไม่ได้เลยก็คือการใช้งานรูปภาพโดยเฉพาะอย่างยิ่งการ Upload รูป Facebook ยุคแรกๆการ Upload ต้องทำผ่าน PC เท่านั้นแต่ปัจจุบันสามารถ Upload ผ่าน Mobile Platform ต่างๆได้ การตั้งค่าความปลอดภัยให้กับรูปที่ทำการ Upload นั้นจึงมีความสำคัญอย่างยิ่ง ผมขอให้พิจารณาเรื่องดังต่อไปนี้

1.วิธีการ Upload รูปบน Facebook มี 2 ช่องทางดังนี้
1.1 สำหรับรูปที่ Upload ผ่านทาง PC : การตั้งค่าการเข้าถึงสามารถบังคับแบบ Album หรือแบบแต่ละรูปเลยก็ได้


จากภาพถ้าเราทำการ click จะพบว่าเราสามารถกำหนดสิทธิ์การเข้าถึงทั้ง Album ให้กับ Friend เท่านั้น

1.2 สำหรับรูปที่ Upload ผ่านทาง Mobile : เนื่องจากความสะดวกทำให้การ Upload รูปเป็นสิ่งที่ง่ายขึ้น รูปที่ทำการ Upload ผ่าน Mobile จะอยู่ใน album ชื่อ Mobile Uploads ณ ขณะที่ทำการ Upload เราสามารถกำหนดว่า ใครที่เราอยู่ด้วยและสถานที่(ถ้าหากทำการ Enable Location Service เอาไว้) สิ่งสำคัญที่ควรทำก็คือ ถ้าหากไม่จำเป็นเราไม่ควรบอก Location กับใคร และกำหนดสิทธิ์ให้กับคนที่เราอยากให้เห็นภาพเท่านั้น


หลังจากที่ Upload เสร็จเรียบร้อย รูปนั้นๆจะขึ้นไปที่หน้า News Feed ของคนที่มีสิทธิ์เห็นทันทีนะครับให้ระวังจุดนี้ไว้ด้วย

ระวัง!!คนที่เราอนุญาตให้เห็นจะทราบว่ารูปนั้นเรา Share ให้ใครเห็นได้บ้าง

2. ให้ตั้งค่าป้องกันการ Tag อัตโนมัติไว้ด้วย : ค่านี้ถูกอธิบายในบทความ Facebook Security Part 1: Privacy ไว้แล้วเรื่องการ Enable การ Review Post และ Tag ให้ลองเข้าไปอ่านกันดูครับ ซึ่งถ้าเราบังเอิญถูก Friend คนไหนก็ไม่รู้มา Tag เรา เราสามารถป้องกันไม่ให้ไปโผล่บน Timeline ของเราได้ โดยลำดับแรกไปที่ Profile ของเรา
fb_photo5
เลือกไปที่ Review Post

จากนั้นก็ Hide ไม่ให้ไปแสดงใน Timeline ของเราครับ

และหากจะไม่ให้ใครเห็นเลยต้องไปตั้งค่าที่นี่ให้เป็น Only Me ครับ

และถ้าไม่อยากให้มี Tag ใดๆเลยเกี่ยวกับเราในรูปนั้นก็ให้ Browse ไปที่รูปเลือก Option ตามภาพ

และเลือก untag แต่ถ้ารูปที่เห็นเรารับไม่ได้จริงๆ ก็เลือก option ที่สองไปเลยนะครับ
fb_photo10
ในบทความตอนถัดไปจะกล่าวถึงการตั้งค่าความปลอดภัยให้กับ Account ของตัวเราเอง ว่าจะต้องตั้งค่าอย่างไรและต้องระวังเรื่องอะไรบ้าง