ไทยเซิร์ต แนะวิธีป้องกันภัยไซเบอร์แก่ชาวเน็ต

ไทยเซิร์ต ออกประกาศแนะนำวิธีรักษาความมั่นคงปลอดภัยไซเบอร์

ที่มาของข้อมูลจาก
ขอบคุณข่าวจาก เดลินัวส์

Tags:
,

คำแนะนำของ ?ไทยเซิร์ต? หลังกลุ่มแฮกเกอร์ GhostShell โจมตี

ไทยเซิร์ต แนะนำผู้ใช้เน็ต-ผู้ดูแลระบบ หลังกลุ่มแฮกเกอร์ GhostShell โจมตีเว็บไซต์สถาบันการศึกษาและบริษัทห้างร้านในไทยไป 82 เว็บไซต์

ที่มาของข้อมูลจาก
ขอบคุณข่าวจาก เดลินัวส์

Tags:
, , , ,

?ไทยเซิร์ต? เตือนระวังเปิดอีเมล เจอมัลแวร์เรียกค่าไถ่ระบาด

ไทยเซิร์ต เตือนภัยผู้ใช้อีเมล ระวังเปิดไฟล์แนบในอีเมล เจอแรนซัมแวร์ล็อคไฟล์ ก่อนเรียกค่าไถ่

ที่มาของข้อมูลจาก
ขอบคุณข่าวจาก เดลินัวส์

Tags:
, ,

ไทยเซิร์ต เตือนเว็บสำนักข่าวถูกเจาะฝังโทรจันลวงติดแอนตี้ไวรัสปลอม

?

ไทยเซิร์ต เตือนเว็บสำนักข่าวถูกเจาะฝังโทรจันลวงติดแอนตี้ไวรัสปลอม ผ่านช่องโหว่ของ Java โดยที่โทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว หากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมีลิงก์ดาวน์โหลดแอพพลิเคชันของ Android ส่งมาที่โทรศัพท์มือถือ เพื่อหลอกติดตั้งมัลแวร์ลงในโทรศัพท์มือถือแล้วขโมยเงินจากบัญชีในธนาคาร…

เมื่อวันที่ 13 มิ.ย.2556 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ประกาศการแจ้งเตือนภัยคุกคามสำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป กรณี เว็บไซต์สำนักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม

เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะ ระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของจาวา (Java) ดังรูป ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันที ที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download)

โทรจันจะตรวจสอบการใช้งานเบราวเซอร์ เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย โทรจันจะแทรกหน้าจอสำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอพพลิเคชันของแอนดรอยด์ ส่งมาที่โทรศัพท์มือถือ จุดประสงค์ของแอพพลิเคชันดังกล่าวนี้คือดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้

ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในบราวเซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิตอล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร โดยทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่ และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดัง กล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

สำหรับระบบที่ได้รับผลกระทบ

  • ระบบปฏิบัติการ Windows ที่ติดตั้ง Java
  • Internet Explorer
  • โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
  • ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 – 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

หมายเหตุ: ข้อมูลเวอร์ชั่นของระบบปฏิบัติการและซอฟต์แวร์ที่ได้รับผลกระทบ อยู่ระหว่างการตรวจสอบ ทางทีมไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

วิธีการตรวจสอบ

หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง

เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ ในการลบไฟล์ดังกล่าว ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives ดังแสดง

จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

  • C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
  • C:\Users\admin\AppData\Roaming\KB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
  • C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp
  • C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT
  • C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT

หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว

วิธีการแก้ไข

หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่อง อาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการป้องกัน

1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที

แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูป หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน

ผู้ใช้สามารถอัพเดท Java ให้เป็นเวอร์ชั่นล่าสุด โดยดาวน์โหลดได้ที่่ http://www.java.com/en/download/

2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บบราวเซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ดังรูปที่ 6 และ 7 ไม่ควรเข้าใช้งานเว็บไซต์นั้น

3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์เป็นอย่างน้อย

อย่างไรก็ตาม ในขณะนี้ทางไทยเซิร์ตกำลังอยู่ระหว่างการวิเคราะห์ข้อมูลของโทรจัน และจะอัพเดตข้อมูลที่พบเพิ่มเติมในโอกาสต่อไป.

เว็บไซต์อ้างอิง?
https://www.thaicert.or.th/alerts/user/2013/al2013us008.html

?

ที่มาของข้อมูลจาก
ขอบคุณข่าวจาก ไทยรัฐ

Tags:
,