ไซแมนเทครายงานสถานการณ์อีเมลขยะและฟิชชิ่งประจำเดือนกรกฎาคม 2553

จันทร์ ๐๙ สิงหาคม ๒๐๑๐ ๑๕:๐๘
เว็บไซต์ปลอมแย่งซีน โต 25% จากเดือนที่ผ่านมา

นักเล่นเกมออนไลน์ และแฟนโซเชียลเน็ตเวิร์ก ระวังตกเป็นเหยื่อเว็บปลอม

รางวัลสแปมดาวร้ายประจำเดือน ได้แก่ สแปมรูปภาพโฆษณาเกี่ยวกับสุขภาพ

อีเมลขยะพ่วงมัลแวร์หัวข้อ “Outlook Setup Notification” แพร่กระจายสูงอันดับสอง

นายนพชัย ตั้งไตรธรรม ที่ปรึกษาทางเทคนิคอาวุโส บริษัท ไซแมนเทค คอร์ปอเรชัน เปิดเผยว่า “จากความเข้มงวดในการกวาดล้างเครือข่ายซอมบี้ (เครือข่ายคอมพิวเตอร์ที่ถูกควบคุมโดยอาชญากรออนไลน์) ในช่วงที่ผ่านมา เห็นได้ชัดว่าวายร้ายเหล่านี้ได้เปลี่ยนพฤติกรรมการโจมตีในเดือนมิถุนายน 2553 โดยอาศัยช่องทางการส่งอีเมลขยะพร้อมด้วยมัลแวร์เพิ่มมากขึ้น หากมองย้อนกลับไปตั้งแต่ช่วงต้นปี 2553 ไซแมนเทคยังไม่เคยพบกรณีที่มีการแพร่มัลแวร์ผ่านอีเมลขยะเกินระดับ 3 เปอร์เซ็นต์ของจำนวนอีเมลขยะทั้งหมด แม้จะเป็นช่วงที่มีการแพร่ระบาดมากที่สุดก็ตาม อย่างไรก็ดีในเดือนมิถุนายนที่ผ่านมา ปริมาณอีเมลขยะที่มาพร้อมกับมัลแวร์นั้นได้เพิ่มขึ้นไปถึงระดับ 12 เปอร์เซ็นต์ของจำนวนอีเมลขยะทั้งหมดในวันที่ 13 มิถุนายน และอยู่ในระดับ 5 เปอร์เซ็นต์ในวันที่ 3 และ 15 มิถุนายน ซึ่งรายละเอียดเพิ่มเติมเกี่ยวกับอีเมลขยะลักษณะนี้สามารถย้อนกลับไปอ่านการวิเคราะห์หัวข้อเรื่องของอีเมลขยะในเดือนมิถุนายน 2553”

สำหรับในภาพรวมนั้น ปริมาณอีเมลขยะคิดเป็น 88.32 เปอร์เซ็นต์ของปริมาณอีเมลทั้งระบบในเดือนมิถุนายน เทียบกับเดือนพฤษภาคมที่อยู่ในระดับ 89.81 เปอร์เซ็นต์

“ด้านอีเมลขยะประเภทฟิชชิ่ง (phishing) ที่มุ่งหลอกลวงขโมยข้อมูลส่วนบุคคลของผู้ใช้นั้น มีปริมาณที่เพิ่มขึ้นราว 25 เปอร์เซ็นต์ในแทบทุกหมวดหมู่ของฟิชชิ่ง ด้านเว็บไซต์ฟิชชิ่งที่สร้างขึ้นมาเลียนแบบเว็บไซต์จริงเพื่อหลอกขอรายละเอียดส่วนตัวของผู้ใช้ก็มีปริมาณเพิ่มขึ้นมากถึง 123 เปอร์เซ็นต์เมื่อเทียบกับเดือนพฤษภาคม อันเป็นผลมาจากชุดเครื่องมืออัตโนมัติที่ช่วยในการสร้างเว็บไซต์ฟิชชิ่งนั่นเอง โดยปริมาณ URL ที่มีลักษณะเป็นฟิชชิ่งและมีชื่อไม่ซ้ำกันนั้นได้เพิ่มขึ้น 12 เปอร์เซ็นต์จากเมื่อเดือนก่อน ส่วนเว็บไซต์ฟิชชิ่งที่ใช้หมายเลขไอพีเป็นโดเมน (อาทิ http://255.255.255.255) ถือเป็นฟิชชิ่งเพียงกลุ่มเดียวที่ลดลงจากเดือนพฤษภาคมราว 2 เปอร์เซ็นต์ ส่วนบริการด้านเว็บโฮสติ้งนั้นตกเป็นช่องทางในการฝากเว็บฟิชชิ่งมากถึง 11 เปอร์เซ็นต์ของจำนวนเว็บฟิชชิ่งทั้งหมด ถือได้ว่าเพิ่มขึ้นจากเมื่อเดือนก่อนประมาณ 26 เปอร์เซ็นต์ ทางด้านจำนวนเว็บไซต์ฟิชชิ่งที่ไม่ใช่ภาษาอังกฤษนั้นเพิ่มขึ้น 15 เปอร์เซ็นต์ โดยเว็บหลอกลวงภาษาฝรั่งเศสและภาษาอิตาเลียนมีอัตราส่วนสูงสุดในเดือนมิถุนายน ซึ่งในส่วนของเว็บภาษาฝรั่งเศสนั้นมีจำนวนฟิชชิ่งเพิ่มขึ้นถึงกว่า 25 เปอร์เซ็นต์ และส่วนใหญ่เกี่ยวข้องกับธุรกิจอีคอมเมิร์ช”

สำหรับแนวโน้มที่น่าสนใจในเดือนมิถุนายน 2553 มีดังนี้:

สแปมเมอร์อาศัยข้อความเกี่ยวกับเวิร์ลด์คัพ 2010 เพิ่มขึ้นถึง 9 เท่า

ขณะที่การแข่งขันฟุตบอลโลกฟีฟ่าเวิร์ลด์คัพ 2010 กำลังดำเนินไปในแอฟริกาใต้ ทางด้านสแปมเมอร์เองก็อาศัยโอกาสดังกล่าวในการล่อลวงผู้ใช้ให้ติดกับดัก โดยนักวิจัยของไซแมนเทคพบว่า ตัวเลขการอาศัยการแข่งขันฟุตบอลโลกเพื่อส่งอีเมลขยะระหว่างปี 2549 และ 2553 ต่างกันค่อนข้างมาก โดยปริมาณการส่งอีเมลขยะที่มีคีย์เวิร์ดสำคัญว่า "World Cup" ในบรรทัดหัวเรื่องอีเมล์นั้นเพิ่มขึ้นมากกว่า 9 เท่า

เช่นเดียวกับผลสำรวจ "Spam Street Journal" ของไซแมนเทค ที่ได้รวบรวมหัวข้อข่าวเด่นจากหลากหลายหมวดหมู่ และเปรียบเทียบกับการตั้งชื่อหัวเรื่องของอีเมลขยะที่ตรวจพบผ่าน Global Intelligence Network ของไซแมนเทค ซึ่งพบว่า 10 หัวเรื่องที่พบมากที่สุดนั้นเป็นเรื่องราวที่มีเนื้อหาเกี่ยวกับประเด็นข่าวดังทั้งสิ้น ได้แก่:

1. FIFA World Cup South Africa… bad news

2. World Cup: Uruguay Beats South Korea 2-1

3. Germany beats England 4-1 in World Cup

4. ONGOING FIFA WORLD CUP LOTTERY SOUTH AFRICA 2010.

5. World Cup: Germany Defeats England 4-1

6. SOUTH AFRICAN WORLD CUP 2010.

7. Oil spill teams keep wary eye on storm in Gulf

8. World Cup: Argentina Beats Mexico 3-1

9. Ghana beat US, reach first World Cup quarter-final

10. World leaders slam North Korea, Iran

หากไม่นับรายการในอันดับที่ 7 และ 10 จะเห็นได้ว่าหัวเรื่องของอีเมลขยะอันดับอื่นๆ นั้นล้วนเกี่ยวข้องกับฟุตบอลโลก อันสื่อให้เห็นถึงความพยายามของสแปมเมอร์ในการมองหาวิธีที่จะทำให้ผู้ใช้เปิดอ่านด้วยการตั้งชื่อหัวเรื่องให้น่าดึงดูดใจผ่านประเด็นที่กำลังเป็นที่สนใจในขณะนั้น

เว็บเกมปลอมและข้อเสนอเกี่ยวกับฟีฟ่าที่หลอกลวง

เว็บไซต์ฟิชชิ่งหลายแห่งถูกสร้างขึ้นเลียนแบบเว็บไซต์เกมออนไลน์ ซึ่งความนิยมของฟุตบอลโลกทำให้ผู้ใช้สนใจที่จะเล่นเกมฟุตบอลออนไลน์มากขึ้น และเว็บฟิชชิ่งเหล่านี้จึงได้ถือโอกาสสร้างเว็บปลอมขึ้นมาพร้อมข้อเสนอเกี่ยวกับฟีฟ่าเวิร์ลด์คัพ 2010 ที่ไม่เป็นความจริง โดยมีเว็บเกมออนไลน์ 2 แห่งหลักๆ ที่โดนปลอมแปลงเลียนแบบหน้าเว็บ มีการสร้างและเก็บเว็บฟิชชิ่งเอาไว้ที่บริการเว็บโฮสติ้งฟรีหลายแห่ง และใช้เป็นช่องทางในการขโมยข้อมูลส่วนตัวของลูกค้า

สำหรับเว็บออนไลน์เกมแห่งหนึ่งนั้นความจริงมีเกมออนไลน์ทั้งเวอร์ชันฟรีและเวอร์ชันที่ต้องเสียเงินให้เลือก แต่สำหรับเว็บฟิชชิ่งที่ทำเลียนแบบขึ้นมา กลับมีข้อเสนอแก่ลูกค้าในการแจกเวอร์ชันขายปลีกให้แก่ลูกค้าฟรีในโอกาสเทศกาลฟุตบอลโลก ซึ่งนอกจากจะนำเสนอเกมฟรีที่ไม่เป็นความจริงแล้ว ยังมีการสร้างหน้าเว็บเลียนแบบในส่วนอื่นๆ ด้วย เช่น การจัดกลุ่มสมาชิก การพูดคุยในห้องสนทนา เป็นต้น โดยเว็บปลอมแปลงดังกล่าวจะมีข้อความระบุว่า หากผู้ใช้ต้องการเล่นเกมฟรี จำเป็นจะต้องล็อกอินเข้าระบบด้วยชื่อผู้ใช้และรหัสผ่านจริงของอีเมลของตนเองเท่านั้น ซึ่งเป็นการเปิดโอกาสให้วายร้ายสามารถนำข้อมูลอีเมลและรหัสผ่านดังกล่าวไปขโมยข้อมูลส่วนตัวอื่นๆ ต่อไปได้

สแปมดาวร้ายประจำเดือน

ในรายงานฉบับก่อน การโจมตีแบบอาศัยคำศัพท์ในพจนานุกรมเพื่อคาดเดาอีเมลจริงของผู้ใช้ (DHA - dictionary harvest attack) และอีเมลขยะจากรัสเซีย ถูกยกให้เป็นสแปมดาวร้ายประจำเดือน และจากการวิเคราะห์ในเดือนที่ผ่านมา ไซแมนเทคพบว่า ตำแหน่งสแปมดาวร้ายประจำเดือนนี้ ได้แก่ อีเมลขยะประเภทรูปภาพที่มีเนื้อหาโฆษณาเกี่ยวกับเรื่องสุขภาพ

โดยมีเหตุผลหลักๆ ดังต่อไปนี้:

1. มีการเปลี่ยนชื่อหัวเรื่องอีเมลขยะอย่างต่อเนื่อง และตั้งชื่อได้สอดคล้องกับอีเมลจริง ทำให้การแยกแยะระหว่างอีเมลขยะและอีเมลจริงทำได้ยาก

2. มีการสุ่มเปลี่ยนชื่อหัวเรื่องอีเมลและเนื้อหาภายในให้มีความซับซ้อน

3. มีการใช้ภาพประกอบโฆษณาที่มีการทำงานซับซ้อน

ในโอกาสที่อีเมลขยะประเภทนี้ถูกยกให้เป็นสแปมดาวร้ายแห่งเดือน เราจึงได้เตรียมรายละเอียดเกี่ยวกับอีเมลขยะรูปภาพ (ส่วนใหญ่อยู่ในกลุ่มการขายยาเถื่อนออนไลน์) พร้อมความเปลี่ยนแปลงตั้งแต่อดีตจนถึงปัจจุบันโดยย่อเอาไว้ให้ ในยุคก่อนหน้านี้ สแปมเมอร์มักส่งอีเมลขยะด้วยเนื้อหาที่เป็นข้อความตัวหนังสือเท่านั้น เพราะการส่งอีเมลขยะที่มีรูปภาพแนบไปด้วยทำให้ต้องใช้แบนด์วิธสูงและมีค่าใช้จ่ายเพิ่มขึ้นมาก อย่างไรก็ดีด้วยการถือกำเนิดของเครือข่ายซอมบี้ (เครือข่ายคอมพิวเตอร์ที่ผู้ใช้ตกอยู่ภายใต้การควบคุมของแฮกเกอร์โดยไม่รู้ตัว) ทำให้การส่งอีเมลขยะประเภทรูปภาพผ่านช่องทางดังกล่าวกลายเป็นตัวเลือกที่น่าสนใจขึ้นมาทันที

ช่วงแรกสแปมเมอร์ยังไม่ได้มีการพัฒนาเทคนิคที่ซับซ้อนมากนัก จึงเพียงแค่ใส่รูปภาพประกอบเข้าไปในอีเมลขยะ พร้อมด้วยเว็บลิงก์ไปยังหน้าเว็บไซต์ขายยาเถื่อนที่วางไว้ในส่วนเนื้อหาของอีเมล อย่างไรก็ดีตั้งแต่เดือนเมษายน 2552 เป็นต้นมา สแปมเมอร์เริ่มใส่ลายเส้นเข้าไปที่พื้นหลังของภาพที่ใช้ และหลีกเลี่ยงการใส่ลิงก์ในเนื้อหาอีเมล แต่แสดงลิงก์ดังกล่าวในรูปภาพที่แนบไปด้วย ซึ่งถือเป็นเทคนิคที่นำมาใช้เพื่อหลบหลีกการตรวจจับของระบบคัดกรองอีเมลขยะที่มักวิเคราะห์ได้แต่ข้อความตัวหนังสือเท่านั้น อันเป็นเหตุให้อีเมลขยะแบบรูปภาพดังกล่าวตรวจจับได้ยากยิ่งขึ้น

ฟิชเชอร์อาศัยโอกาสพิเศษในการสร้างเว็บไซต์ฟิชชิ่ง

ช่วงหลายเดือนก่อน ไซแมนเทคได้ตรวจพบเว็บไซต์ฟิชชิ่งที่ปลอมแปลงเป็นเว็บโซเชียลเน็ตเวิร์คของกูเกิล ซึ่งก็คือ Orkut นั่นเอง โดยนอกจากสร้างเว็บไซต์ปลอมขึ้นมาแล้ว ยังมีการเลียนแบบการฉลองโอกาสพิเศษมาใช้ด้วย เพื่อทำให้เว็บไซต์ฟิชชิ่งดังกล่าวดูน่าเชื่อถือและสามารถหลอกขโมยข้อมูลส่วนตัวของผู้ใช้ได้สะดวกขึ้น และการเปลี่ยนโลโก้ของเว็บไซต์ตามเทศกาลโอกาสพิเศษต่างๆ อันเป็นเอกลักษณ์ของกูเกิลนั้น ก็มีส่วนช่วยเว็บไซต์ปลอมเหล่านี้ได้มาก

ตัวอย่างเช่น เมื่อกูเกิลฉลองเอิร์ธเดย์ด้วยการใส่ดูเดิลพิเศษสำหรับวันเอิร์ธเดย์ให้แก่เว็บ Orkut เพียงไม่นานหลังจากนั้นบรรดาเว็บไซต์ฟิชชิ่งหลายแห่งก็เอาโลโก้ใหม่ดังกล่าวไปใส่ไว้ในเว็บปลอมของตนเอง ซึ่งรวมไปถึงเทศกาลอื่นๆ ด้วย ทั้งวันแม่ หรือวันฉลองคานิวัลของบราซิล ทั้งนี้โลโก้ที่เปลี่ยนแปลงตามเทศกาลจะช่วยเพิ่มความน่าเชื่อถือให้เว็บฟิชชิ่งเหล่านั้น และง่ายต่อการหลอกล่อให้ผู้ใช้ส่งมอบข้อมูลส่วนตัวให้แก่ทางเว็บไซต์ปลอม แม้ผู้ใช้ดังกล่าวอาจจะเคยเอะใจเกี่ยวกับ URL ของเว็บที่ดูแปลกๆ ก็ตาม

สำหรับชื่อหัวเรื่องอีเมลขยะในอันดับ 2 ซึ่งก็คือ "Outlook Setup Notification" นั้น ถือเป็นอีเมลขยะที่มาพร้อมกับมัลแวร์ที่แพร่กระจายมากที่สุด และมีอีเมลขยะอยู่ 3 อันดับด้วยกันที่ติดชาร์ตครั้งนี้แม้จะปรากฏตัวอยู่เพียงแค่ 3 หรือ 6 วันในหนึ่งเดือนเท่านั้น โดยอีเมลขยะที่โจมตีผู้ใช้ทั้ง 3 รูปแบบนั้น ได้แอบอ้างว่าส่งมาจากบริษัทชื่อดัง และมีมัลแวร์อันตรายติดมาด้วย

เกี่ยวกับ ไซแมนเทค

ไซแมนเทค เป็นผู้นำระดับโลกด้านโซลูชันที่ช่วยสร้างความมั่นใจให้แก่องค์กร ทั้งในระดับเอ็นเตอร์ไพร์ซและองค์กรส่วนบุคคลในเรื่องการใช้งานข้อมูลร่วมกัน รวมถึงความพร้อมในการเรียกใช้และความปลอดภัยของข้อมูล โดยมีสำนักงานใหญ่อยู่ที่คิวเปอร์ติโน มลรัฐแคลิฟอร์เนีย และมีศูนย์ปฏิบัติการอยู่กว่า 40 ประเทศ รายละเอียดเพิ่มเติมสามารถเยี่ยมชมได้ที่ www.symantec.com

สำหรับสื่อมวลชน สอบถามข้อมูลเพิ่มเติม กรุณาติดต่อ:

ที่ปรึกษาฝ่ายประชาสัมพันธ์ บริษัท เอพีพีอาร์ มีเดีย จำกัด

คุณกณวรรธน์ อิศรางกูร ณ อยุธยา 02-655-6633, 089-990-1911 [email protected]

คุณบุษกร ศรีสงเคราะห์ 02-655-6633, 081-911-0931 [email protected]

ข่าวประชาสัมพันธ์ล่าสุด

๑๓:๐๔ มูลนิธิสัมมาชีพมอบรางวัล 'เกรียงไกร' ประธาน ส.อ.ท.บุคคลต้นแบบสัมมาชีพ ปี'67เตรียมจัดงานมอบรางวัล 17 ธ.ค.
๑๓:๒๙ Kaspersky ระบุ แรนซัมแวร์ยังโจมตีธุรกิจในอาเซียนต่อเนื่อง ไทยรั้งอันดับสาม
๑๓:๔๔ Maxim เพิ่มความปลอดภัยระหว่างการเดินทางด้วยฟีเจอร์ในแอป
๑๓:๐๐ สคร.12 สงขลา เตือน แอมโมเนียรั่วไหล อุบัติภัยจากโรงงานผลิตน้ำแข็งและห้องเย็น
๑๓:๓๑ MEDEZE ชี้ตัวเลขจัดเก็บ Stem Cell ทั่วโลกเติบโต ยืนยันดำเนินธุรกิจตามกฎหมายอย่างเคร่งครัด
๑๓:๐๔ ทินิดี เทรนดี้ กรุงเทพ ข้าวสาร นำเสนอโปรโมชั่นวันลอยกระทง
๑๓:๕๘ เลขาอารี เปิดการแข่งขัน HAB Thailand หนุนอาชีพด้านสุขภาพและความงาม พัฒนาทักษะแรงงานไทยสู่มาตรฐานสากล
๑๓:๔๕ ETL มั่นใจธุรกิจขนส่งยังสดใส หนุนรายได้ปีนี้โตต่อเนื่อง ยอมรับบาทอ่อนและราคาน้ำมันมาเลฯส่งผลกระทบ Q3
๑๓:๒๙ จุฬาฯ เชิญร่วมงาน กายภาพบำบัด ศาสตร์แห่งการฟื้นฟูและพัฒนาคุณภาพชีวิต ครบครันความรู้เพื่อสุขภาพคนไทยทุกช่วงวัย
๑๓:๕๖ Sunplay Asia แถลงข่าวแนวคิดที่อยู่อาศัยเพื่อสังคมคุณภาพ: ยกระดับการอยู่อาศัยด้วยแนวคิด Environmental/Rehabilitation Sustainable