วิธีสร้างเงินล้าน ตอนที่ 2: ขอบเขตของภัยคุกคาม

อังคาร ๒๑ กันยายน ๒๐๑๐ ๑๕:๔๗
ข้อมูลโดย เฟเก้ ฮักเกอบอร์ด (นักวิจัยด้านภัยคุกคามขั้นสูง) บริษัท เทรนด์ ไมโคร อิงค์

จากรายงานการวิจัยของเทรนด์ ไมโครพบว่า แม้ว่านายหน้าค้าทราฟฟิกในตลาดทุกรายจะไม่ได้ดำเนินธุรกิจหลอกลวงเหมือนกับบริษัท ออนวา จำกัด แต่บรรดานายหน้าค้าทราฟฟิกที่ถูกต้องก็อาจถูกลวงให้เชื่อว่าพวกเขากำลังติดต่ออยู่กับบริษัทที่ถูกต้องตามกฎหมายอยู่ ซึ่งในการดำเนินการดังกล่าวนายหน้าค้าทราฟฟิกจอมปลอมอย่างบริษัท ออนวา จำกัด มักจะสร้างเว็บไซต์ที่จะนำเสนอว่านายหน้าค้าทราฟิกรายนั้นได้ดำเนินธุรกิจอย่างถูกต้องมาเป็นเวลานานแล้ว จากนั้นก็จะสร้างเว็บไซต์ค้นหาลวงขึ้นมาเพื่อกระตุ้นให้เกิดทราฟฟิกของผู้ใช้จริง ขณะที่ในความเป็นจริงแล้วเว็บไซต์ค้นหาลวงเหล่านี้จะดำเนินการขโมยคลิกโดยใช้บ็อตเน็ตเป็นสื่อกลาง

เนื่องจากเครื่องมือค้นหาลวงดังกล่าวไม่ได้มีผู้เยี่ยมชมปกติทั่วไป และผู้โฆษณาก็อาจสามารถสังเกตเห็นสิ่งนี้ได้ ดังนั้นจึงต้องอาศัยการจัดอันดับลวงของ Alexa ด้วยในบางครั้ง สิ่งนี้สามารถทำได้โดยให้บ็อตเข้าถึง URL ของ Alexa โดยอัตโนมัติ จากนั้นก็จะกำหนดจำนวนการเยี่ยมชมไซต์ได้ตามต้องการ นอกจากนี้ นายหน้าค้าทราฟฟิกจอมปลอมมักจะแบ่งย่อยทราฟฟิกที่ลวงมาได้ออกเป็นส่วนเล็กๆ เพื่อให้ดูเหมือนว่าเป็นทราฟฟิกที่มาจากหลายๆ แหล่ง ทั้งที่ในความเป็นจริงแล้ว คลิกส่วนใหญ่มาจากบ็อตเน็ตเพียงหยิบมือเดียวเท่านั้น หากผู้ซื้อทราฟฟิกตรวจพบการหลอกลวง นายหน้าค้าทราฟฟิกจอมปลอมก็จะโยนความผิดไปให้กับธุรกิจในเครือที่จัดตั้งขึ้นมาเพื่อหลอกลวงแห่งใดแห่งหนึ่ง และก็จะกรองข้อมูลส่วนที่ต้องสงสัยออกไป ดังนั้นแก๊งค์อาชญากรก็จะเสียรายได้เพียงส่วนน้อยแทนที่จะต้องเสียไปทั้งหมด

ตัวปล้นบราวเซอร์เป็นมัลแวร์ชนิดที่รู้จักกันดี โดยเหยื่อจะสังเกตพบสิ่งผิดปกติได้เมื่อพวกเขาถูกเปลี่ยนทิศทางลิงก์อย่างไม่คาดคิด ดังนั้นช่วงอายุโดยเฉลี่ยของบ็อตประเภทนี้จึงน้อยมาก จากรูปที่ 1 จะพบว่าช่วงอายุของบ็อตตัวหนึ่งจากประวัติที่รวบรวมได้นั้นจะมีลักษณะที่ผันผวนอยู่ระหว่าง 6 ถึง 12 วัน

ในการรักษาขนาดของบ็อตให้คงที่ ผู้ดูแลบ็อตจึงต้องสร้างระบบใหม่ในเครือข่ายอย่างสม่ำเสมอ โดยรูปที่ 2 แสดงให้เห็นถึงจำนวนระบบใหม่ที่ถูกเพิ่มลงในบ็อตเน็ตทุกวัน ซึ่งในแต่ละวันจะมีระบบใหม่นับหมื่นจุดเกิดขึ้นในเครือข่าย โดยขณะนี้มีคอมพิวเตอร์กว่า 2 ล้านเครื่องแล้วที่ติดเชื้อจากมัลแวร์ประเภทตัวปล้นบราวเซอร์ และเราคาดว่าจำนวนนี้จะเพิ่มขึ้นเป็น 4 ล้านเครื่องภายในปลายปีนี้

ตัวปล้นบราวเซอร์ที่เราตรวจพบมาพร้อมกับส่วนประกอบ DNS Changer ที่จะเปลี่ยนการตั้งค่า DNS ของระบบเพื่อชี้ไปยังเซิร์ฟเวอร์ลวง โดยเซิร์ฟเวอร์ DNS ที่ถูกใช้เป็นเครื่องมือจะมีการฝังข้อมูลลงในโค้ดต้นฉบับของมัลแวร์ เราพบว่าในปัจจุบันกลุ่มวายร้ายได้แพร่กระจายมัลแวร์ใหม่ที่จะทำการเปลี่ยนการตั้งค่า DNS ของระบบให้เป็นเซิร์ฟเวอร์ (ลวง) เฉพาะขึ้นมาหนึ่งคู่

เซิร์ฟเวอร์เหล่านี้จะเริ่มทำการกำหนดชื่อโดเมนให้เป็นที่อยู่ IP ที่เป็นอันตราย หลังจากที่คอมพิวเตอร์ติดเชื้อแล้วประมาณหนึ่งสัปดาห์ เราเชื่อว่าการดำเนินการดังกล่าวเป็นความพยายามที่จะขยายช่วงอายุของบ็อตให้นานขึ้น โดยเมื่อส่วนประกอบของตัวปล้นเบราว์เซอร์ถูกเอาออกจากเครื่องคอมพิวเตอร์ที่ติดเชื้อแล้ว DNS Changer อาจยังคงมีอยู่ภายในระบบ เพื่อให้บ็อตสามารถถูกใช้เป็นเครื่องมือในการปล้นทราฟฟิกด้วยเทคนิค DNS ได้ ดังนั้นจึงไม่แปลกที่ช่วงอายุของบ็อตจะใเพิ่มมากขึ้น

เราคาดว่าตัวปล้นบราวเซอร์จะได้รับการพัฒนาและมีความยืดหยุ่นมากขึ้นในอนาคต อย่างเทคนิคขั้นสูงในการแทนที่โฆษณาที่ถูกต้องด้วยโฆษณาจอมปลอมซึ่งกำลังเกิดขึ้นอยู่ในขณะนี้ โดยบ็อตเน็ตที่กล่าวถึงในบทความนี้จะแทนที่โฆษณาของ DoubleClick ด้วยโฆษณาของ Clicksor เมื่อมีการเปิดใช้งานส่วนประกอบของ DNS ลวง นี่คือรูปแบบของการขโมยคลิกที่ยากจะตรวจจับได้ในส่วนของ DoubleClick อย่างไรก็ตามในกรณีนี้เราเชื่อว่าไม่มีบริษัทตัวกลางระหว่าง Clicksor และแก๊งค์อาชญากรรม และเรายังเชื่อด้วยว่า Clicksor ควรจะตรวจจับกลโกงนี้ได้ อย่างไรก็ตามถ้ามีการใช้ตัวกลางจอมปลอมขึ้นมา การตรวจจับนี้ก็อาจกลายเป็นเรื่องที่ยุ่งยากมากขึ้น

สำหรับผู้ใช้ที่มีความกังวลเกี่ยวกับการโจมตีบราวเซอร์สามารถดาวน์โหลดเครื่องมือป้องกัน Trend Micro Browser Guard ได้ฟรีที่ http://free.antivirus.com/browser-guard/

สอบถามรายละเอียดเพิ่มเติมติดต่อ

บริษัท คอร์ แอนด์ พีค จำกัด ที่ปรึกษาประชาสัมพันธ์ บุษกร สนธิกร

โทร +66 (0) 2439 4600 ต่อ 8202 อีเมล [email protected]

ข่าวประชาสัมพันธ์ล่าสุด

๑๕:๒๑ โรงพยาบาลเอกชล ได้มีการจัดกิจกรรมงาน วันเบาหวานโลก 2567 Diabetes and Well-Being สุขกาย สุขใจ โลกสดใส ใส่ใจเบาหวาน
๑๔:๓๑ ทีทีบี ชูพลัง Data และ AI ก้าวข้ามขีดจำกัด ตอบโจทย์ลูกค้าระดับเฉพาะบุคคล จับมือ databricks เพิ่มประสิทธิภาพการให้บริการ
๑๔:๒๔ AMF ประกาศรางวัลการตลาดยอดเยี่ยม และนักการตลาดดีเด่นแห่งเอเชีย ประจำปี 2567
๑๔:๑๘ สยาม ทาคาชิมายะ ณ ไอคอนสยาม เฉลิมฉลองสุดยิ่งใหญ่ครบรอบ 6 ปี
๑๔:๕๖ ใจสั่น ไม่ใช่เรื่องเล็ก AF เพิ่มความเสี่ยงโรคหลอดเลือดสมอง 3 เท่า
๑๔:๓๗ บุฟเฟต์มื้อกลางวันและมื้อค่ำวันพ่อพร้อมโปรสุดพิเศษคุณพ่อทานฟรี
๑๔:๕๘ บริษัทศูนย์รับฝากคะแนน จับมือ Robinhood เข้าร่วมแพลตฟอร์ม Paypoint NETWORK มั่นใจ EFFECT ที่แข็งแกร่งทำหน้าที่เป็นศูนย์กลางแลกเปลี่ยนคะแนน
๑๔:๓๗ ดร.นุชนารถ ชลคงคาขนทัพวิทยากรฝีมือฉมัง!! เตรียมจัดอบรมหลักสูตร DMK Mastering Service Excellence :Professional Image and Communication ระหว่างวันที่ 27-28 ม.ค.68 ณ
๑๔:๐๖ Kaspersky เปิดคอร์สฝึกอบรมออนไลน์ฟรี เรื่อง AI ในระบบการศึกษา สำหรับนักการศึกษาและผู้ปกครอง
๑๔:๕๕ NCP ฟอร์มเด่น! Q3 กำไรพุ่ง 23.88% รับผลดีธุรกิจ Upselling Service และ Dedicated Telesale Outsourcing ฮอต