Don’t get hooked with phishing fraud

จากเรื่อง Phishing ที่หลอกเรื่องการโหลด Sticker ของ Line ฟรี นำไปสู่การขโมย Apple ID [http://www.pantip.com/cafe/mbk/topic/T12997206/T12997206.html]

บทความนี้เราจะแสดงให้เห็นว่าจริงๆแล้วการสร้าง Phishing Website นั้นง่ายมาก ถึงขนาดที่ว่าผู้ร้ายไม่ต้องมีความสามารถในการเขียนโปรแกรมก็ทำได้นะครับ ซึ่งหาก User ไม่มี Awareness ที่มากพอก็อาจตกเป็นเหยื่อของผู้ร้ายได้ง่ายนะครับ

การทำ Phishing นั้นถือว่าเป็นการโจมตีในรูปแบบที่เรียกว่า Social Engineering ซึ่งเป็นวิธีการที่เน้นโจมตีไปที่คน [Human] เพื่อหลอกล่อให้เปิดเผยข้อมูลลับออกมา วิธีการของ Social Engineering รวมไปถึง Shoulder Surfing ซึ่งคือแอบมองด้านหลังนั่นเอง หรือแม้แต่ Dumpster Diving ซึ่งคือการค้นหาข้อมูลในถังขยะที่อาจจะมีคนนำกระดาษที่มีข้อมูลสำคัญมาทิ้งไว้

เริ่มวิธีการสร้าง Phishing Website โดย Tool ที่ชื่อว่า Social-Engineer Toolkit (SET)

1. หน้าแรกหลังจากเปิดโปรแกรม SET ขึ้นมา เป็นรายละเอียดทั่วๆไปเกี่ยวกับ SET โดยมีผู้พัฒนาคือ David Kennedy ซึ่งเป็น 1 ในผู้ก่อตั้ง DerbyCon และผูู้พัฒนา Fast-Track ด้วย รวมถึงร่วมก่อตั้ง www.social-engineer.org แต่ในภายหลังได้ก่อตั้งบริษัทของตัวเองชื่อ TrustedSec เเละได้เขียนหนังสือชื่อ Metasploit: The Penetration Tester’s Guide ซึ่งผมเชื่อว่าคนในวงการจะต้องเคยเห็นหนังสือเล่มนี้แน่นอน

set

 Metasploit: The Penetration Tester’s Guide: A Penetration Tester’s Guide

Metasploit: The Penetration Tester’s Guide

2. เลือก 1) Social-Engineering Attacks

menu1

3. จะมี menu ให้เลือกมากมาย ซึ่ง menu เหล่านี้ก็คือ option ต่างๆสำหรับไว้หลอกล่อเหยื่อนั่นเอง ซึ่ง Tool นี้จะ Support หลายๆวิธี ซึ่งในบทความนี้จะขอเลือก 2) Website Attack Vectors

menu2

4. การใช้ Website หลอกเหยื่อก็มีหลาย option เพื่อความสะดวก ไม่ว่าจะเป็น เอา Template ที่มีอยู่แล้วมาใช้ หรือ นำ URL Website ที่ต้องการมาใส่ แม้แต่กระทั่งใส่ code เองก็ทำได้ ซึ่งในที่นี้ขอเลือก 2) Site Cloner

menu4

5. เมื่อเลือกวิธีการ Clone Site มาแล้ว จะต้องใส่ข้อมูลเพิ่มเติมคือเครื่องที่จะใช้ในการรับข้อมูลตอนที่เหยื่อโดนหลอก ซึ่งในที่นี้ผมทำการทดลองบนเครื่องของผมเอง ดังนั้นใส่เป็น Localhost ครับ

destination

6. ถัดมาขั้นตอนสำคัญ คือจะให้ Clone จาก Site ไหนมาดี ตาม Case Study นี้แล้วคงเป็น Web ไหนไม่ได้นอกจากหน้า Web ของ Apple ที่มีให้ใส่ Apple ID

target

7. เมื่อใส่ข้อมูลเรียบร้อยทั้งหมดแล้ว Tool จะทำหน้าที่ Clone หน้า Web ขึ่้นมา รอให้เหยื่อเข้า Web และ Tool ก็จะคอยรอรับ input จากเหยื่อด้วย

waiting

8. หน้า Phishing Website ที่เพิ่งสร้างเรียบร้อย

fake

  • สังเกตที่ URL นะครับ ในที่นี้เป็น IP ของเครื่องผม แต่ถ้าเป็นกรณีที่จะโจมตีจริงๆก็จะมีการจด Domain ที่มีความน่าเชื่อถือมากขึ้นเพื่อหลอกให้เหยื่อหลงกลได้
  • ไม่มีการใช้ SSL Certificate โดย Default ของ Tool [หากใครไม่รู้จัก SSL ก็คงเคยได้ยินที่คนเข้าบอกกันว่ารูปแม่กุญแจหรือ HTTPS น่ะครับ] ซึ่งถ้าทำจริงๆแล้วก็สามารถใส่ SSL Certificate เข้าไปเพื่อเพิ่มความน่าเชื่อถืออีกขั้นหนึ่งได้ แต่การหา SSL Certificate นั้นถ้าทำแบบไม่ลงทุนมาก็จะใช้ Self-Signed Certificate ซึ่งเวลาเราเข้า Website แล้ว Browser จะเตือนว่าเป็น Invalid Certificate ซึ่งคนที่ขาด Awareness ก็มักจะกด Exception เพื่อเข้า Website น่ะครับ หรือหากผู้ร้ายคิดจะใช้ SSL ที่มีความน่าเชื่อถือก็อาจจะใช้วิธีการซื้อ SSL Certificate จาก Certificate Authority (CA) ที่ไม่ค่อยเคร่งในเรื่องการ Verify ผู้ซื้อมากนัก ซึ่งตรงนี้แหละที่ทำให้ Security Awareness ถือว่าสำคัญมาก
Invalid SSL Certificate

Invalid SSL Certificate

9. ลอง Login ผ่านหน้า Phishing Website

fake-2

10. เมื่อมีการใส่ข้อมูล Username และ Password เรียบร้อยและกด Sign in หน้า Web ก็จะถูก Redirect กลับมาสู่หน้าจริงๆของ Apple เพื่อหลอกให้เหยื่อคิดว่าอาจจะแค่เป็นการใส่ Password ผิดเท่านั้น

redirect

11. แต่สำหรับฝั่งผู้ร้ายนั้นก็จะได้ข้อมูล Username และ Password ของเหยื่อ ไปเรียบร้อยแล้วครับ

data capture

บทความนี้เขียนละเอียดไม่ใช่เพื่อให้คนเอาไปใช้ในทางที่ผิดนะครับ ผมอยากให้ทุกคนทราบว่ามันง่ายมากแค่ไหนสำหรับการทำ Phishing Website ขั้นตอนทั้งหมดนี้อาจจะใช้เวลาแค่ 1-2 นาทีก็เรียบร้อยแล้ว ซึ่งต่อให้ระบบมีการป้องกันที่สุดยอดแค่ไหน หาก User ยังไม่มี Security Awareness ที่มากพอ User ก็ยังมีโอกาสที่จะโดนหลอกได้อยู่ดี ดังคำที่บอกว่า “Human is the weakest link in security chain” นั่นเอง

What’s next in 12 months?

บางครั้งสถิติก็เป็นสิ่งที่น่าสนใจ คนอื่นๆบนโลกนี้เค้าคิดอะไรกัน มาดูกัน

[สถิตินี้ Publish ออกมาประมาณกลางปี 2012]

จากบทสำรวจของ ISACA ถ้าใครไม่รู้จักก็อาจจะรู้จัก ISACA ในนามของ Certificate เหล่านี้ CISA, CISM, CGEIT, CRISC นะครับ

  • 17% Data leakage
  • 16% Employee mistake
  • 13% Incidents from employee-owned devices

ซึ่งสำหรับ Data leakage หรือ DLP ได้ยกตัวอย่างโดยใช้ Whatsapp หากใครยังไม่ได้อ่านสามารถติดตามตัวอย่างได้ที่ Whatsapp

สำหรับ Employee mistake นั้นควรจะเน้นไปในเรื่องของการให้ความรู้กับพนักงาน (Security Awareness) ซึ่งสามารถลองอ่านได้ที่ Dave

สุดท้าย Employee-owned devices หรือ BYOD (ฺBring your own devices) เรียกได้ว่าเป็นกระแสในช่วงนี้เลย ในบทความถัดไปเราจะมาคุยกันเรื่องBYOD นะครับ

Reference: http://www.isaca.org/GEITsurvey2012

Do you believe in mind reader?

เมื่อได้ดู Clip นี้จบ ผมนั่งยิ้มเลยครับ มีไอโม่งชุดดำนั่งกันเต็มเลยเพื่อที่จะช่วยกันหาข้อมูลให้กับ Dave

ในโลกความจริงแล้วเราอาจจะเจอไอโม่งชุดดำมากมายที่พยายามนั่งหาข้อมูลส่วนตัวเราอยู่ ซึ่งไอโม่งเหล่านี้ไม่มี Time constraint (ข้อจำกัดในเรื่องเวลา) ในการหาข้อมูลของเรานะครับ

ในยุคสมัยที่เฟื่องฟูของ Social network นี้ ข้อมูลส่วนตัว (Privacy) สามารถเข้าถึงและเปิดเผยได้ง่ายขึ้น ตัวอย่างเช่น ข้อมูลที่อยู่บน Facebook นั้นหาก User ไม่มี Security Awareness ก็จะ post ข้อมูลส่วนตัว ไปที่ wall ของตัวเองซึ่งลืมนึกไปว่าข้อมูลเหล่านี้อาจจะสามารถนำไปใช้ประโยชน์ได้ ไม่ว่าจะเป็น วันเกิด, ที่อยู่, เลขที่บัตรประชาชน, ชื่อสัตว์เลี้ยง, ฯลฯ

“Secure the human first”

ผมเชื่อว่าปัจจุบันทุกคนมี Security Awareness ในระดับนึง คือ อย่างน้อยก็รู้ว่าไม่ควร Share Password ของตัวเองให้คนอื่นทราบ ซึ่งแน่นอน ไม่ค่อยจะเห็นคนแปะ Password ของตัวเองไว้ที่หน้า Wall Facebook แต่บางคนอาจจะลืมนึกไปถึงข้อมูลส่วนตัว (Privacy) ก็มีความสำคัญ เช่นการติดต่อธนาคาร กรณีเราลืม Password ทางธนาคารอาจจะ Verify (ตรวจสอบ) ตััวเราเอง โดยถามคำถามต่างๆนาๆ เช่น วันเกิด, วันหมดอายุบัตร, ที่อยู่, blah blah

ซึ่งบน Social network นี่แหละที่เป็นแหล่งสำคัญในการหาข้อมูลที่เป็น Privacy ของเรา หากคนไม่มี Security Awareness ก็มักจะ Post บอกเล่าเรื่องราวต่างๆของตัวเองผ่าน Wall ส่วนตัว ซึ่งไม่เคยได้ระวังว่าข้อมูลเหล่านี้อาจสามารถนำไปใช้ในทางที่ไม่ดีต่อเราได้ ยกตัวอย่างบน Facebook เวลาจะ Post อะไรบน Wall เราก็ควรจะมีการกำหนดว่าใครจะเห็นสิ่งที่เราจะ Post ได้บ้าง

หวังว่าทุกคนจะมี Security Awareness เพิ่มมากขึ้นเรื่อยๆนะครับ

“Be Vigilant”

Is it really a wrong call?

มันใช่โทรผิดแน่เหรอ?

คงจะไม่ยาวมากสำหรับบทความนี้ แต่อยากให้ทุกคนมี Awareness เพิ่มมากขึ้นเท่านั้นเอง

เคยไหมที่โทรศัพท์โทรมาจากเบอร์แปลกๆ แล้วคนโทรมาก็ถามว่าที่นั่นที่ไหน

อันนี้ขอเล่าประสบการณ์จริง

มีโทรศัพท์ดังขึ้น

นาย ก (คนโทรมา) : ฮัลโหลที่นั่นที่ไหนอ่ะ ใช่ร้านขาย TV ป่าว

นาย ข (คนรับสาย) : ไม่ใช่ร้านขาย TV นี่มันเบอร์ส่วนตัวผม

นาย ก : อ้าวเหรอ เห็นเบอร์โพสบน Internet ไม่ใช่ร้าน TV แล้วเป็นอะไร

นาย ข : ผมเป็น Security Consultant อยู่บริษัท XXX

ผม : (คิดในใจ) เฮ้ย เป็น Senior ผมทำไม Awareness ต่ำแบบนี้(วะ)

อยากให้ลองมองในมุมกลับกัน คนโทรมาจะถามทำไมว่าโทรไปที่ไหน??

คนรับก็สามารถถามกลับไปได้ว่า จะโทรหาใคร ถ้าไม่ได้ต้องการโทรหาเราก็วางไป หรือ เวลาถูกถามอะไรก็ไม่ต้อง friendly มากก็ได้ ไม่ต้องแถมข้อมูลส่วนตัวเราไป

แค่ Aware กับเรื่องเล็กๆแค่นี้ ต่อไปก็ไม่ต้องถูกหลอกถามแล้วนะครับ

ปล. วิธีการนี้เป็น 1 ในวิธีที่เรียกว่า Social Engineering นะครับ ซึ่ง Social Engineering คือวิธีการหาข้อมูลที่มุ่งไปที่บุคคล ซึ่งในตัวอย่างนี้คือนาย ข นั่นเอง วิธีการอื่นๆของ Social Engineering เช่น Shoulder Surfing แอบมองเวลาพิมพ์ password จากด้านหลัง, Dumpster Diving แอบดูข้อมูลจากเอกสารต่างๆที่ถูกทิ้งลงถังขยะ ซึ่งวิธีการป้องกันที่ดีคือ ควรจะมีการเพิ่ม Security Awareness ให้มากขึ้น สำหรับในองค์กรอาจจะเป็นการจัด Training ให้กับพนักงานอย่างน้อย 1 ครั้งต่อปี เพื่อเป็นการช่วยลดโอกาสที่ข้อมูลจะรั่วไหลไปได้

Whatsapp insecurity ตอนที่ 2

ความปลอดภัยของ Whatsapp ตอนที่ 2

หลังจากตอนแรกเราได้พูดกันถึง Concept ของ Data Leakage ไปแล้ว 2 ใน 3 ช่องทาง ในตอนนี้เราจะพูดถึงช่องทางที่ 3 กันซึ่งได้แก่ Data at rest หรือข้อมูลที่ถูกเก็บไว้ที่ Server นั่นเอง

จากตัวอย่างเรื่อง Whatsapp การส่งรูปหากันใน Whatsapp จะมีการ upload รูปที่ต้องการส่งขึ้นไปไว้ที่ Server ของ Whatsapp ซึ่งรูปต่างๆใน Server นั้นเพียงแค่ทราบ URL​ ก็จะสามารถเข้าถึงได้ทันที ไม่มีการทำ Authentication ใดๆทั้งสิ้น แล้วทีนี้ความปลอดภัยอยู่ที่ไหนล่ะเนี่ย

ด้านล่างเป็นตัวอย่างรูปที่ทดลองส่งผ่าน Whatsapp ก็จะพบว่าใน file Database ของ Whatsapp จะมี URL เก็บไว้ทั้งหมด

ลองเข้าตาม URL ก็จะพบรูปที่ส่งหากันได้ทันที https://mms302.whatsapp.net/d7/25/11/7/0/7001274b04452bd0bb68eb7730ddf4ad.jpg
เดี๋ยวนี้มีการใช้งาน Instant Messenger กันอย่างแพร่หลาย เราก็ควรจะตระหนักถึงความสำคัญของข้อมูลของเราด้วยนะครับ
เอาล่ะ ครั้งนี้เป็นการยกตัวอย่างเรื่อง Data Leakage ที่ใกล้ตัว ครบทั้ง 3 แบบแล้ว ซึ่งก็มีหลายอย่างที่ทาง Whatsapp เองควรจะปรับปรุง เช่น
  1. ประกาศนโยบายให้ Data ที่อยู่บน Whatsapp นั้นมีการเก็บนานไว้นานแค่ไหน
  2. Process ในการ review, delete data ทำอย่างไร
  3. การป้องกันในระดับ web application ที่ควรจะมีการทำ Authentication, Authorization ในการเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้

จบเรื่องตัวอย่าง DLP กับ Whatsapp แล้วคราวหน้าเรามาดูกันต่อว่า Security รอบๆตัวเรามีอะไรที่น่าสนใจบ้าง