Banking Trojan

ช่วง 1-2 ปีที่ผ่านมามี virus/trojan หรือเรียกโดยรวมว่า malware ประเภทหนึ่งที่ผู้เชี่ยวชาญให้คำจำกัดความว่า highly sophisticated ซึ่งหมายถึงมีความซับซ้อนสูง malware ที่กล่าวถึงในบทความนี้ถูกสร้างขึ้นมาเพื่อทำการโจรกรรมการทำธุรกรรมออนไลน์เป็นหลัก ทั้ง US และหลายประเทศใน EU ถ้าดูจากภาพด้านล่างซึ่งได้มาจาก รายงาน F-Secure Threat Report H1-2012 อย่างไรก็ตามผมรู้สึกว่าสถานการณ์มันเริ่มจะไม่ค่อยจะดีครับ เพราะมีการโจมตีบ่อยขึ้นในประเทศไทย ซึ่งธนาคารชั้นนำหลายแห่งในประเทศไทยเคยเผชิญกับ Zeus/SpyEye มาแล้วทั้งสิ้น บทความชิ้นนี้จึงถูกเขียนขึ้นเพื่อให้ความรู้และแจ้งเตือนกับผู้ใช้งานทุกท่านให้ระมัดระวังกันมากยิ่งขึ้น

Internet Banking

กิจกรรมที่เป็นการทำธุรกรรมออนไลน์ที่ใช้งานมากที่สุดคงหนีไม่พ้น Internet Banking นั่นเป็นสาเหตุว่าทำไม hacker ถึงเลือกที่จะโจมตีกิจกรรมนี้เป็นหลัก เนื่องด้วยสาเหตุคือมีคนใช้งานอยู่เยอะ มีระบบอยู่หลากหลาย และได้เงินแน่ ๆ หากทำสำเร็จ

ปกติแล้วการเข้าใช้งาน Internet Banking ผู้เข้าใช้งานก็จะทำการเปิด Web Browser เช่น IE,Firefox,Chrome หริอ Safari จากนั้นก็พิมพ์ URL ของระบบ Internet Banking ที่ผู้ใช้งานเปิดใช้บริการกับสถาบันการเงินนั้น ๆ ที่ตนเองเป็นลูกค้า ทำการกรอก Username และ Password ก็จะทำการเข้าสู่ระบบได้ ทีนี้พอมาถึงช่วงที่ต้องทำการโอนเงินไปบัญชีอื่น ๆ อาจจะเป็นบัญชีของผู้ใช้เองหรือบัญชีบุคคลที่สาม จะมีระบบป้องกันที่เรียกว่า Multifactor Authentication ซึ่งจะใช้การระบุตัวตนว่าผู้ใช้เป็นเจ้าของบัญชีนั้นจริง ๆ หาก Username และ Password สูญหายหรือบุคคลอื่นทราบก็จะสามารถเข้าสู่บัญชีของลูกค้าคนนั้นได้ แต่ก็ทำธุรกรรมที่สำคัญไม่ได้ สิ่งที่ธนาคารทุกที่นิยมใช้กันก็คือ รหัสผ่านแบบครั้งเดียว Time-based OTP(One Time Password) ซึ่งจะส่งรหัส OTP มาทาง SMS ผ่านทางโทรศัพท์มือถือที่ผู้ใช้หรือเจ้าของบัญชีทำการลงทะเบียนกับธนาคาร การทำธุรกรรมที่สำคัญจึงจำเป็นต้องใช้ OTP ก่อนจึงจะทำธุรกรรมนั้น ๆ ได้ หาก Username หรือ Password หายและ OTP ถูกดักจับได้ ก็ไม่สามารถใช้งานได้อีกเพราะ OTP จะใช้งานแค่ครั้งเดียว ภายใต้เวลาที่จำกัด วิธีการนี้ดูเหมือนจะปลอดภัยก็จริง แต่ Malware ที่กล่าวถึงมันสามารถเอาชนะและจัดการยึดบัญชีของผู้ใช้ได้อยู่ดี

รู้จักกับ Zeus/SpyEye

ทั้ง 2 ตัวจัดเป็น Banking Trojan ถูกสร้างและออกแบบมาเพื่อโจมตี Internet Banking มีความสลับซับซ้อน รูปแบบการโจมตีมีความยืดหยุ่น มีความสามารถในการพรางตัวสูง ทำงานเป็นอิสระ และสามารถทำงานผ่านการควบคุมจาก C&C (Command and Control Centre) สามารถเรียนรู้พฤติกรรมผู้ใช้งาน เลือกการโจมตีให้ใกล้เคียงกับการใช้งานปกติของผู้ใช้ สามารถอัพเดตตัวเองได้ สามารถปรับเปลี่ยนตัวเองไม่ให้โปรแกรม Antivirus ตรวจจับได้(Advanced Polymorphic Stealth Technique)

Zeus/SpyEye โจมตีเหยื่ออย่างไร ขอแบ่งเป็นช่วงการโจมตีย่อย ๆ ดังนี้

1. Infection Phrase
   Link หรือ file แนบใน spam mail ซึ่งมีหลายประเภทเช่น file ประเภท .exe,.pdf และ Microsoft Office, การเข้าไป web ที่ถูก hacker โจมตีและฝัง script ไว้, portable USB drive ที่ติดไวรัสหรือการถูกโจมตีผ่านเครือข่าย Internet เป็นช่องทางแรกที่ Zeus/SpyEye จะเข้ามาสู่เครื่องของเรา โดยจะทำการหาช่องโหว่ของเครื่องผู้ใช้เริ่มจาก Java Runtime, Adobe Flash, Adobe Reader และตัวระบบปฏิบัติการโดยเฉพาะ MS Window หลังจากที่พบช่องโหว่แล้ว Zeus/SpyEye จะทำการติดตั้งในเครื่องของผู้ใช้แบบเงียบ ๆ
2. Attack Phrase
   Zeus/SpyEye จะรออย่างเงียบ ๆ ในเครื่องผู้ใช้งาน เมื่อผู้ใช้งานเข้าระบบ Internet Banking เจ้า Zeus/SpyEye จะทำการตรวจสอบการใช้งานว่า เป็นบัญชีประเภทไหน ธนาคารอะไร จำนวนเงินเท่าไร และถ้าค่าต่าง ๆ เหล่านี้เป็นค่าที่ Zeus/SpyEye สามารถโจมตีได้มันจะทำการติดต่อกับ Command and Control Centre และใช้เทคนิคที่เรียกว่า HTML Injection เปลี่ยนแปลงสิ่งต่าง ๆ เพื่อหลอกลวงและซ่อนสิ่งที่ผู้ใช้เห็นผ่าน Browser ซึ่งแต่ละขั้นตอนสามารถอธิบายได้ดังนี้
   • เมื่อ User เข้าไปที่ URL ของ Internet Banking จากนั้นป้อน username และ password, Zeus/SpyEye จะเริ่มทำงาน
   • ขั้นตอนนี้มีความหลากหลายแล้วแต่ประเภทย่อย(Variance)ของ Zeus/SpyEye ที่เจอครับ โดยประสบการณ์ที่เคยพบส่วนใหญ่ Zeus/SpyEye จะปลอมหน้าจอ หรือบิดเบือนบางสิ่งบางอย่างบน Page ปกติเพื่อหลอก User โดยหน้าจอที่เห็นอาจจะเป็นหน้าจอที่แสดงข้อผิดพลาด หรือหน้าจอบอกให้รอสักครู่เพื่อทำการถ่วงเวลา User เอาไว้ User จะไม่สามารถรู้ได้ว่า ณ ขณะนี้กำลังถูก Zeus/SpyEye เล่นงานอยู่ เนื่องจาก URL ก็เป็น URL ของธนาคาร มีเพียงแต่หน้าเว็บเท่านั้นที่จะมีการเปลี่ยนแปลงไปจากเดิม
   
   ในช่วงหลังจากที่ดักจับ Username และ Password ได้สำเร็จ Hacker ก็จะทำการ Login เข้าสู่ระบบและทำธุรกรรมเองหรือสามารถสั่งให้ process ฝั่ง User ทำการ Login ได้ หรือพูดให้ง่ายขึ้นก็คือ Web Browser ฝั่ง User ถูก Hacker ยึด ณ ขณะที่ทำการ Login อยู่ ทุก ๆ คำสั่งที่วิ่งไปยังธนาคารออกจากเครื่องของ User ทั้งสิ้น ซึ่ง Countermeasure ที่ธนาคารทุกที่มักจะใช้ก็คือถ้ามี Login จาก User คนเดียวกัน โดยที่ค่า Session ต่างกัน จะต้องมี Session ใด Session หนึ่งหลุดหรือทั้งสอง Session จะถูกเตะออกมาทันทีไม่มีใครใช้ได้ ซึ่งวิธีนี้ช่วยอะไรไม่ได้ครับเนื่องจาก Zeus/SpyEye ใช้ Session ของ User คนคนนั้นเอง หากการกระทำบางอย่างเช่นการเพิ่มบัญชีใหม่หรือการโอนเงิน จำเป็นต้องใช้การพิสูจน์ตัวตนเพิ่มเติมไม่ว่าจะเป็น OTP หรือ Smartcard หรือ PIN ตัว Hacker ก็จะส่งคำสั่งไปที่หน้าจอของเหยื่ออีกครั้ง
   • เช่น กรอก OTP เพื่อโอนเงินไปบัญชีบุคคลที่ 3 แต่ช่องที่ User กรอกข้อมูล อาจจะขึ้นว่าให้กรอก OTP เพื่อยืนยันตัวตนแทน ถ้าไม่พิจารณาให้ดีย่อมตกเป็นเหยื่อแน่นอน
   • หน้าจอจะแสดงข้อความให้ User รอ หลังจากที่ hacker ขโมยโอนเงินได้สำเร็จ สำหรับใน Variance ที่มีความสามารถสูง ๆ Zeus/SpyEye ก็จะเปลี่ยนแปลงข้อมูลบนหน้าจอ เพื่อซ่อนการขโมยเงินนี้โดยจะเปลี่ยนค่าต่าง ๆ เช่นจำนวนเงินคงเหลือ ซ่อนธุรกรรมที่ถูก Zeus/SpyEye ควบคุม ซ่อนการ Login ที่น่าสงสัย หาก User สั่ง print Statement ก็จะทำการหลอกส่งค่าที่ถูกปลอมแปลงไปที่ printer อีกด้วย

ความหลากหลายที่เพิ่มขึ้น

Zeus/Spyeye ยังคงโจมตีอยู่เรื่อย ๆ โดยล่าสุดพบว่าประเทศในยุโรปถูกการโจมตีที่เรียกว่า Campaign: EuroGrabber ซึ่งมูลค่าความเสียหายประมาณ 36 Million Euros จากเหยื่อประมาณ 30000 คน การโจมตีนั้นมีรูปแบบเดียวกับ Banking Trojan ที่กล่าวถึง(ตระกูลของ Trojan ประเภทนี้ชื่อ Citadel เป็น variant ของ Zeus/SpyEye นั่นแหละครับ : รายละเอียดทางเทคนิค) แต่การโจมตีนั้นครอบคลุมถึงการหลอกให้ผู้ใช้งาน Install Trojan ลงบน Smartphone ของผู้ใช้ด้วยเพื่อขโมยรหัส OTP เพื่อการโจมตีเต็มรูปแบบ ดังภาพ

หากถามว่า Trojan มันลามมาติดบนมือถือได้อย่างไร คำตอบก็คือผู้ใช้งานนั่นแหละครับถูกหลอกให้ติดตั้ง Trojan ลงไป โดยหลังจาก Login เข้า Internet Banking แล้วจะมีหน้าจอมาหลอกให้ Install โปรแกรมบางอย่าง

คราวนี้ก็ไม่มีอะไรป้องกันได้อีกแล้วครับ เนื่องจาก Hacker สามารถได้ข้อมูลทุกอย่างทั้ง Username,Password และรหัส OTP จาก SMS สำหรับข้อมูลเพิ่มเติมของ EuroGrabber สามารถอ่านได้จาก Eurograbber_White_Paper ซึ่งจัดทำโดย Check Point and Versafe

วิธีการหลีกเลี่ยงและป้องกัน

1. เครื่อง PC,Laptop หรือ Mobile ที่ทำธุรกรรมออนไลน์ต้องเป็นเครื่องที่เรามั่นใจว่าปลอดภัย เช่นมีโปรแกรม Antivirus ที่มี Licence มีการ Update สม่ำเสมอ ถ้าเป็นเครื่อง Mobile ก็ไม่ควรใช้ผ่านเครื่องที่ผ่านการ Jailbreak หรือ Jailroot
2. อย่า Click Link หรือเปิด File แนบที่ได้รับจากคนที่เราไม่รู้จัก หรือหากมาจาก email คนรู้จักควรพิจารณาให้ดีด้วยว่าเจ้าตัวเป็นคนส่งจริงหรือไม่ App ต่าง ๆ บน Social Network ควรพิจารณาให้ดีก่อนใช้
3. หน้า Page ของธุรกรรมออนไลน์ไม่ควรแสดงผลผิดปกติอย่างที่เคยเป็น ถ้าหากพบเห็นสิ่งผิดปกติต้องรีบแจ้ง Call Centre ก่อน ไม่ควรกรอกข้อมูลอะไรทั้งสิ้น
4. ทุก ๆ กิจกรรมที่สำคัญจะมีการบังคับใส่ OTP ก่อน ให้อ่านข้อความ SMS หรือ Text ที่ได้รับจากธนาคารก่อนว่าได้รับ OTP สำหรับทำกิจกรรมอะไร และรหัสอ้างอิง(Reference Code)อะไร เป็นสิ่งที่เรากำลังตั้งใจทำอยู่ใช่หรือไม่ ถ้าผิดจากสิ่งที่ควรจะเป็นเช่น Login เสร็จแล้วมี OTP บอกว่ากำลังเพิ่มผูกบัญชีบุคคลที่ 3 นั่นแสดงว่าเรากำลังถูกโจมตีแล้ว
5. หากพบเห็นสิ่งผิดปกติ ให้ Capture หน้าจอ ส่งธนาคารต้นสังกัด หากสงสัยว่าเครื่องติด Zeus/SpyEye ทางเดียวที่ดีที่สุดคือ ให้รีบเปลี่ยน Password ของเราผ่านเครื่องที่ปลอดภัย และรีบตรวจสอบ Transaction ย้อนหลัง หากไม่สบายใจก็ระงับการใช้งานไปก่อน ส่วนเครื่องที่ติดโทรจันให้ทำการ Format และ Install เครื่องใหม่จะปลอดภัยที่สุดครับ
6. สำหรับธนาคาร หรือผู้ให้บริการทางการเงินควรมีการส่ง SMS OTP ที่ละเอียดพอ บ่งบอกว่า SMS สำหรับใช้ในการทำอะไร เช่น SMS OTP สำหรับการโอนเงิน โดยมี Reference Code:XXXX และ OTP คือ YYYY เป็นต้น

REF: We would like to give a credit to Kaspersky to create this inforgraphic which we referred in this article.