ทำความรู้จักอีเมลหลอกลวงแบบ Sextortion และ “You Are Hacked!”

บทนำ

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว
Sextortion คืออะไร
Sextortion หรือการแบล็คเมลล์ทางเพศออนไลน์ ได้แก่ การหลอกให้เหยื่อส่งภาพลับส่วนตัวไปให้แล้วขู่ว่าจะเปิดเผย อ้างว่าแอบส่งมัลแวร์เข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูลภาพลับหรือประวัติการเข้าถึงเว็บไซต์ต่างๆ หรือ อ้างว่าสามารถแฮกเครื่องเหยื่อมาอัดคลิประหว่างที่เหยื่อเข้าเว็บโป๊แล้วอ้างว่าจะเปิดเผย และการแบล็คเมล์อื่นๆ ที่เกี่ยวกับเรื่องส่วนตัว ซึ่งเหยื่อที่หลงเชื่อและกลัวเสียหน้าที่การงานจะยินยอมจ่ายค่าไถ่ดังกล่าวให้กับคนร้าย ซึ่งในปี 2018 นี้มี Sextortion ที่มีการพัฒนาให้น่าเชื่อถือขึ้นแพร่ระบาด 2 รูปแบบ คือ อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง และ อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
รายละเอียดเกี่ยวกับภัยคุกคาม
ภัยรูปแบบที่ 1 อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง
เมื่อวันที่ 12 กรกฏาคม ปี 2018 ที่ผ่านมา บล็อก Krebs on Security ได้ออกบทความ Sextortion Scam Uses Recipient’s Hacked Passwords เพื่อเตือนเกี่ยวกับอีเมลหลอกลวงในรูปแบบนี้ โดยเหยื่อจะได้รับอีเมลจากบุคคลที่ไม่รู้จัก เนื้อหาภายในอีเมลจะขึ้นต้นว่า

“I’m aware that <substitute password formerly used by recipient here> is your password,” (ฉันทราบว่า “รหัสผ่านนี้” เป็นรหัสผ่านของคุณ) โดยลักษณะของอีเมลทั้งหมดดังรูป

อีเมลดังกล่าวมีใจความว่าผู้โจมตีนี้ทราบรหัสผ่านของเหยื่อ และได้แอบติดตามเหยื่อมานานแล้วด้วยการติดตั้ง keylogger และอัดวิดีโอผ่านเว็บแคมของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีจะทำการส่งอีเมลเหล่านี้อย่างอัตโนมัติและใช้รหัสผ่านของเหยื่อที่เคยรั่วไหลออกมาจากบริการต่างๆ เช่น กรณีข้อมูลอีเมลและรหัสผ่านของ LinkedIn รั่วไหลกว่า 160 ล้านคนในปี 2016 เป็นต้น เมื่อเหยื่อยังคงใช้รหัสผ่านดังกล่าวซ้ำในบริการอื่นๆ ก็จะเกิดความเชื่อถือและหลงโอนเงินให้กับผู้โจมตี
ภัยรูปแบบที่ 2 อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
เมื่อวันที่ 12 ตุลาคม 2018 ที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เผยแพร่บทความ New Sextortion Scam Pretends to Come from Your Hacked Email Account โดยผู้โจมตีจะสร้างอีเมลที่มีใจความว่าสามารถแฮกอีเมลของเหยื่อได้แล้ว ทำการปลอมแปลงผู้ส่งอีเมลเป็นตัวเหยื่อเอง และส่งอีเมลปลอมหาตัวเหยื่อ ทำให้เหยื่อหลงเชื่อว่าอีเมลดังกล่าวมาจากอีเมลของตัวเองจริงๆ และถูกแฮกแล้วจริง โดยภัยในรูปแบบที่ 2 นี้มีรายงานการค้นพบครั้งแรกในประเทศเนเธอร์แลนด์ ในวันที่ 11 ตุลาคม 2018

หลังจากนั้นได้การพบอีเมลในรูปแบบที่ 2 ถูกแปลเป็นภาษาอื่นๆ เช่น ภาษาอังกฤษ ภาษาญี่ปุ่น ภาษาสเปน และภาษาอื่นๆ อีกมาก

อีเมลปลอมดังกล่าวมีใจความว่าผู้โจมตีได้แฮกอีเมลของเหยื่อสำเร็จเป็นเวลานานแล้ว มีข้อพิสูจน์เป็นอีเมลฉบับนี้ถูกส่งมาจากอีเมลของเหยื่อเอง และได้แอบติดตามเก็บข้อมูลต่างๆ ของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีสามารถปลอมแปลงอีเมลได้จากบริการส่งอีเมลปลอม ส่งอีเมลจาก mail server องค์กรของเหยื่อที่มีการตั้งค่าอย่างไม่ปลอดภัย เป็นต้น

ทั้งนี้ ณ วันที่เขียนบทความ (18 ตุลาคม 2018) ได้มีการพบภัยทั้งสองรูปแบบแพร่ระบาดในประเทศไทยแล้ว
Recommendation
ในกรณีที่เจอภัยคุกคามแบบที่ 1

ไม่หลงเชื่อและจ่ายค่าไถ่ตามที่มีการกล่าวอ้าง
ทำการเปลี่ยนรหัสผ่านซ้ำกับรหัสผ่านที่ถูกอ้างในอีเมลบนบริการทั้งหมดที่มี
สามารถตรวจสอบว่าตัวเองเคยได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหลต่อสาธารณะหรือไม่เพื่อตรวจสอบความเสี่ยงได้จาก https://haveibeenpwned.

Beware of Fake “Shipping Docs” Malspam Pushing the DarkComet RAT

นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.

วิเคราะห์ช่องโหว่ EFAIL: เมื่อการเข้ารหัสอีเมลไม่เป็นผล

สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

Exim-ergency! Unix mailer has RCE, DoS vulnerabilities

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

How the Pwnedlist Got Pwned

Bob Hodges ได้เปิดเผยถึงช่องโหว่ที่ทำให้เว็บไซต์ PwnedList.com โดนแฮ็กข้อมูลทั้งหมด 866 ล้าน Account ซึ่งมีความเสี่ยงที่ผุ้โจมตีจะสามารถ Dump ข้อมูลออกไป
PwnedList เป็นเว็บไซด์ที่ให้บริการตรวจสอบข้อมูล Email หรือ Username ของเราว่าถูกแฮ็กหรือไม่ เพื่อแจ้งเตือนผู้ใช้ได้ทันที

โดยช่องโหว่ที่ Hodges พบคือ Parameter Tampering ทำให้แฮ็กเกอร์สามารถแก้ไข Request เพื่อสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้

ทางเว็บไซด์มีการแก้ไขช่องโหว่แล้ว และประกาศว่าจะปิดให้บริการในวันที่ 16 พฤษภาคม 2559 เพื่อเป็นการแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว

ที่มา : KrebsonSecurity

Ransomware Targets Healthcare Sector

สัปดาห์ที่ผ่านมาได้เกิดกรณี Ransomware โจมตีโรงพยาบาล เข้ารหัสอีเมล์และข้อมูลผู้ป่วย พร้อมเรียกค่าไถ่สูงถึง 3.6 ล้านเหรียญ หรือประมาณ 126 ล้านบาท

โรงพยาบาลที่ถูกโจมตีนี้คือโรงพยาบาลแห่งหนึ่งใน Hollywood เมือง California ทำให้ระบบเครือข่ายล่มไปเป็นเวลานานกว่า 1 สัปดาห์ และสูญเสียข้อมูล Email และข้อมูลผู้ป่วยไปจากการถูกเข้ารหัสด้วย Ransomware

ส่วนสาเหตุที่ทำให้การโจมตีครั้งนี้ประสบความสำเร็จก็คือ การที่ระบบเครือข่ายที่จัดเก็บข้อมูล Sensitive Data กับระบบเครือข่ายสำหรับใช้งานทั่วไปนั้นเชื่อมต่อเป็นระบบเดียวกัน รวมถึงไม่มีนโยบายการรักษาความปลอดภัยที่เพียงพอ อีกทั้งอุปกรณ์การแพทย์และอุปกรณ์อื่นๆ ในระบบนั้นก็ไม่มีการอัพเดตหรืออุดช่องโหว่แต่อย่างใด ทำให้ผู้โจมตีมีช่องทางที่หลากหลายมาก ในขณะที่ข้อมูลทั้งหมดของโรงพยาบาลนั้นล้วนเป็นข้อมูลสำคัญที่ส่งผลกระทบต่อการรักษาพยาบาลโดยตรงทั้งสิ้น ดังนั้นไม่ว่าข้อมูลส่วนใดจะสูญหายไป ความเสียหายก็จะเกิดขึ้นกับโรงพยาบาลอยู่ดี

ทาง McAfee ก็ได้แนะนำแนวทางป้องกันคือ การทำ Backup ให้กับข้อมูล Sensitive Data ทั้งหมดอยู่เสมอ เพื่อที่ถ้าหากถูกโจมตีขึ้นมาจริงๆ ยังกู้ข้อมูลกลับขึ้นมาเพื่อทำงานต่อได้ในเวลาไม่นานนัก

ที่มา : M Blog Central