Don’t get hooked with phishing fraud

จากเรื่อง Phishing ที่หลอกเรื่องการโหลด Sticker ของ Line ฟรี นำไปสู่การขโมย Apple ID http://www.pantip.com/cafe/mbk/topic/T12997206/T12997206.html

บทความนี้เราจะแสดงให้เห็นว่าจริง ๆ แล้วการสร้าง Phishing Website นั้นง่ายมาก ถึงขนาดที่ว่าผู้ร้ายไม่ต้องมีความสามารถในการเขียนโปรแกรมก็ทำได้นะครับ ซึ่งหาก User ไม่มี Awareness ที่มากพอก็อาจตกเป็นเหยื่อของผู้ร้ายได้ง่ายนะครับ

การทำ Phishing นั้นถือว่าเป็นการโจมตีในรูปแบบที่เรียกว่า Social Engineering ซึ่งเป็นวิธีการที่เน้นโจมตีไปที่คน [Human] เพื่อหลอกล่อให้เปิดเผยข้อมูลลับออกมา วิธีการของ Social Engineering รวมไปถึง Shoulder Surfing ซึ่งคือแอบมองด้านหลังนั่นเอง หรือแม้แต่ Dumpster Diving ซึ่งคือการค้นหาข้อมูลในถังขยะที่อาจจะมีคนนำกระดาษที่มีข้อมูลสำคัญมาทิ้งไว้

เริ่มวิธีการสร้าง Phishing Website โดย Tool ที่ชื่อว่า Social-Engineer Toolkit (SET)

1. หน้าแรกหลังจากเปิดโปรแกรม SET ขึ้นมา เป็นรายละเอียดทั่ว ๆ ไปเกี่ยวกับ SET โดยมีผู้พัฒนาคือ David Kennedy ซึ่งเป็น 1 ในผู้ก่อตั้ง DerbyCon และผูู้พัฒนา Fast-Track ด้วย รวมถึงร่วมก่อตั้ง www.social-engineer.org แต่ในภายหลังได้ก่อตั้งบริษัทของตัวเองชื่อ TrustedSec เเละได้เขียนหนังสือชื่อ Metasploit: The Penetration Tester’s Guide ซึ่งผมเชื่อว่าคนในวงการจะต้องเคยเห็นหนังสือเล่มนี้แน่นอน
2. เลือก 1) Social-Engineering Attacks
3. จะมี menu ให้เลือกมากมาย ซึ่ง menu เหล่านี้ก็คือ option ต่าง ๆ สำหรับไว้หลอกล่อเหยื่อนั่นเอง ซึ่ง Tool นี้จะ Support หลาย ๆ วิธี ซึ่งในบทความนี้จะขอเลือก 2) Website Attack Vectors
4. การใช้ Website หลอกเหยื่อก็มีหลาย option เพื่อความสะดวก ไม่ว่าจะเป็น เอา Template ที่มีอยู่แล้วมาใช้ หรือ นำ URL Website ที่ต้องการมาใส่ แม้แต่กระทั่งใส่ code เองก็ทำได้ ซึ่งในที่นี้ขอเลือก 2) Site Cloner
5. เมื่อเลือกวิธีการ Clone Site มาแล้ว จะต้องใส่ข้อมูลเพิ่มเติมคือเครื่องที่จะใช้ในการรับข้อมูลตอนที่เหยื่อโดนหลอก ซึ่งในที่นี้ผมทำการทดลองบนเครื่องของผมเอง ดังนั้นใส่เป็น Localhost ครับ
6. ถัดมาขั้นตอนสำคัญ คือจะให้ Clone จาก Site ไหนมาดี ตาม Case Study นี้แล้วคงเป็น Web ไหนไม่ได้นอกจากหน้า Web ของ Apple ที่มีให้ใส่ Apple ID
7. เมื่อใส่ข้อมูลเรียบร้อยทั้งหมดแล้ว Tool จะทำหน้าที่ Clone หน้า Web ขึ่้นมา รอให้เหยื่อเข้า Web และ Tool ก็จะคอยรอรับ input จากเหยื่อด้วย
8. หน้า Phishing Website ที่เพิ่งสร้างเรียบร้อย
   • สังเกตที่ URL นะครับ ในที่นี้เป็น IP ของเครื่องผม แต่ถ้าเป็นกรณีที่จะโจมตีจริง ๆ ก็จะมีการจด Domain ที่มีความน่าเชื่อถือมากขึ้นเพื่อหลอกให้เหยื่อหลงกลได้
   • ไม่มีการใช้ SSL Certificate โดย Default ของ Tool [หากใครไม่รู้จัก SSL ก็คงเคยได้ยินที่คนเข้าบอกกันว่ารูปแม่กุญแจหรือ HTTPS น่ะครับ] ซึ่งถ้าทำจริง ๆ แล้วก็สามารถใส่ SSL Certificate เข้าไปเพื่อเพิ่มความน่าเชื่อถืออีกขั้นหนึ่งได้ แต่การหา SSL Certificate นั้นถ้าทำแบบไม่ลงทุนมาก็จะใช้ Self-Signed Certificate ซึ่งเวลาเราเข้า Website แล้ว Browser จะเตือนว่าเป็น Invalid Certificate ซึ่งคนที่ขาด Awareness ก็มักจะกด Exception เพื่อเข้า Website น่ะครับ หรือหากผู้ร้ายคิดจะใช้ SSL ที่มีความน่าเชื่อถือก็อาจจะใช้วิธีการซื้อ SSL Certificate จาก Certificate Authority (CA) ที่ไม่ค่อยเคร่งในเรื่องการ Verify ผู้ซื้อมากนัก ซึ่งตรงนี้แหละที่ทำให้ Security Awareness ถือว่าสำคัญมาก
9. ลอง Login ผ่านหน้า Phishing Website
10. เมื่อมีการใส่ข้อมูล Username และ Password เรียบร้อยและกด Sign in หน้า Web ก็จะถูก Redirect กลับมาสู่หน้าจริง ๆ ของ Apple เพื่อหลอกให้เหยื่อคิดว่าอาจจะแค่เป็นการใส่ Password ผิดเท่านั้น
11. แต่สำหรับฝั่งผู้ร้ายนั้นก็จะได้ข้อมูล Username และ Password ของเหยื่อ ไปเรียบร้อยแล้วครับ

บทความนี้เขียนละเอียดไม่ใช่เพื่อให้คนเอาไปใช้ในทางที่ผิดนะครับ ผมอยากให้ทุกคนทราบว่ามันง่ายมากแค่ไหนสำหรับการทำ Phishing Website ขั้นตอนทั้งหมดนี้อาจจะใช้เวลาแค่ 1-2 นาทีก็เรียบร้อยแล้ว ซึ่งต่อให้ระบบมีการป้องกันที่สุดยอดแค่ไหน หาก User ยังไม่มี Security Awareness ที่มากพอ User ก็ยังมีโอกาสที่จะโดนหลอกได้อยู่ดี ดังคำที่บอกว่า "Human is the weakest link in security chain" นั่นเอง