#ระวังโดนหลอก ว่าด้วยกลโกง Dropbox > Email phishing

ตั้งแต่เมื่อคืนนี้ผมโดนโกง 2 ครั้งครับ ทีแรกว่าจะเขียนเรื่องแรกก่อน แต่นึกดูอีกที เดี๋ยวไปเขียนลงพันทิปดีกว่า ส่วนเรื่องที่สองนี่เนิร์ดหน่อยเลยเอามาเล่าในนี้น่าจะเหมาะดี

เข้าเรื่องเลยนะ… ผมได้รับอีเมลจากคุณหมอท่านนึงที่เคยสนทนากันเมื่อหลายปีมาแล้ว โดยส่งเอกสารมาเป็นลิงก์ PDF ผ่าน Dropbox

Dropbox phishing

ข้อสังเกต:

  1. การที่อยู่ดีๆ คนที่เคยติดต่อกันมาตั้งนานแล้ว ส่งอะไรสักอย่างมาให้โดยไม่ได้แจ้งอะไรเพิ่ม อันนี้ให้ตระหนักไว้ก่อนเลยครับว่ามีอะไรไม่ชอบมาพากลแน่ๆ
  2. ชื่อไฟล์นั้นเป็นภาษาอังกฤษ ซึ่งเข้าข่าย phishing แบบโง่ๆ ของฝรั่ง (คือไม่ว่าจะกี่ปีผ่านมา อีโจรพวกนี้ก็ไมได้พัฒนาความทึ่มของชื่อไฟล์ให้เหมาะสมกับประเทศปลายทางของเหยื่อเลย)

ด้วยความอยากรู้ เลยลองใช้เมาส์แหย่ตรงปุ่มสีฟ้าดูว่าปลายทางจะเป็นลิงก์อะไร ซึ่งก็เป็นระบบย่อลิงก์ db.tt/นัวๆ ด้วยความอยากรู้ว่าสุดท้ายโจรจะใส่อะไรมาในไฟล์ pdf นี้ เลยลองเปิดดู ก็เจอหน้านี้

Dropbox phishing

อ๋อ ถ้าจะเข้าไปดูใน Dropbox ได้ เราก็ต้องล็อกอินก่อนสินะ อ๋อเดี๋ยวนี้เจ๋งดี ล็อกอินผ่าน Google Account ได้ด้วย ได้เลยๆ (ว่าแล้วก็กรอกมั่วลงไป)

ข้อสังเกต:

  1. ดูในช่อง Address bar จะเห็นได้ว่ามันคือหน้าเว็บที่ใช้ระบบ generate html ขึ้นมาแบบ base64 (กดดูโค้ดมันจะมั่วๆ ครับ) ทั้งหน้านี่คือหน้าเพจปลอมที่มีแค่ช่องกรอกแบบฟอร์มหลอกๆ เฉยๆ ไม่ใช่เว็บ Gmail จริงๆ นะ เพราะไอคอนกุญแจเขียวสักหน่อยก็ไม่มีให้
  2. โจรเขียนหน้าเว็บนี้มาเนียนดี แม้กระทั่งตอนผมกรอกอีเมลแบบไม่ได้ใส่ @gmail.com ลงไป แม่งยังเตือนว่ามึงลืมใส่
  3. ที่จริง ตอนนี้กูเกิลเปลี่ยนหน้าล็อกอินแบบนี้แล้วนะครับ การล็อกอินเข้าสิ่งใดๆ ของกูเกิล มันจะให้เรากรอก username แล้วเคาะผ่านหน้านึง หน้าถัดไปถึงจะมีอวตารเราโผล่ขึ้นมาพร้อมช่องกรอกรหัสผ่าน (น่าจะเอาไว้ต่อกรกับอินเทอร์เฟซเดิมที่โจรใช้อยู่เนี่ย ที่ถ้าเบลอๆ ก็กรอกรหัสผ่านจบในหน้าเดียว ถวายให้โจรเรียบร้อย)

อ้อ อีกอย่าง ถ้าเป็นบริการของกูเกิลจริงๆ เวลาเราผูกกับบริการใดๆ มันจะไม่ได้ให้เรากรอกรหัสผ่านใหม่นะครับ แต่ของแท้จะเป็นหน้าแบบนี้

Dropbox phishing

สังเกตว่าเราล็อกอิน Gmail หรือบริการของกูเกิลอยู่แล้ว ไม่มีความจำเป็นใดๆ ต้องไปกรอกรหัสผ่านใหม่ครับ (เช่นเดียวกับพวกต้มตุ๋นในเฟซบุ๊ก ที่ถ้าส่งมาจากระบบเฟซบุ๊กจริงๆ มึงจะมาถามชื่อและรหัสผ่านกูอีกทำไมในเมื่อกูล็อกอินค้างไว้อยู่แล้ว)

และสุดท้าย เมื่อเรากรอกอีเมลและรหัสผ่าน (มั่ว) ลงไป มันก็จะทำการส่งข้อมูลไปถวายโจรตามภาพ

Dropbox phishing

แล้วก็เด้งไปหน้า Dropbox ซึ่งไม่พบไฟล์ PDF (และมุมบนขวาก็แสดงชัดว่าเราไมไ่ด้ล็อกอินอยู่ซะหน่อย) ซึ่งที่จริงสมมติมีไฟล์ PDF ที่เป็นอันตรายต่อคอมเราก็ว่าไปอย่าง แต่นี่ไม่มี เป็นไปได้ว่า Dropbox อาจจะสแกนเจอแล้วจัดการไปเรียบร้อย หรือไม่ก็มันยิงลิงก์มามั่วๆ จริงๆ

สำหรับกรณีนี้ขอลงบันทึกไว้เฉยๆ ครับ เผื่อใครตกเป็นเหยื่อแล้วมาเจอจะได้ระวังกันถูก

ส่วนเหยื่อที่เป็นต้นทาง (ในที่นี้คือคุณหมอ) อันนี้ยังไม่รู้ว่าติดเชื้อไปได้ยังไง (อาจจะเพราะเคยกรอกอีเมลพร้อมรหัสผ่านไปก่อนหน้า?) เดี๋ยวจะลองเมลกลับไปถามครับ

ป.ล.
ส่วนอีแบบต้มตุ๋นโกงเงินเมดอินไทยแลนด์ที่บอกไว้ข้างต้นว่าเจอเมื่อคืนเป็นกรณีแรก เดี๋ยวกะว่าจะโพสต์พันทิปวันนี้แหละ ขอไปแจ้งความก่อน