เมื่อวันที่ 17 กุมภาพันธ์ 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ (ETDA) (เอ็ตด้า) โดย ThaiCERT (ไทยเซิร์ต) เตือนภัย! แฮกเกอร์ป่วน! ส่งอีเมลหลอกหลวง (Phishing) จู่โจมหน่วยงานรัฐหลายแห่ง พบมีเหยื่อคลิกลิงก์นี้แล้วเกือบ 1,000 ครั้ง ในเวลาเพียง 2 วัน เตือน!! รีบเปลี่ยนพาสเวิร์ดทันทีก่อนถูกล้วงข้อมูลสำคัญ
นางสุรางคณา วายุภาพ ผู้อำนวยการ สพธอ. (ETDA) เผยว่า เมื่อวันที่ 11 กุมภาพันธ์ 2558 ThaiCERT ได้รับแจ้งจากหน่วยงานในเครือข่ายว่ามีผู้ได้รับอีเมลหลอกลวงหรือ Phishing ให้คลิกลิงก์ ซึ่งนำเข้าไปยังหน้าเว็บไซต์ที่มีการสอบถามข้อมูลส่วนตัว โดย ThaiCERT ได้เร่งตรวจสอบความผิดปกติ พร้อมให้คำแนะนำอย่างเร่งด่วนในการป้องกันและแก้ไขปัญหา รวมถึงเร่งเตือนภัยประชาชนมิให้หลงเชื่ออีเมลหลอกลวง (Phishing) โดยพบว่า มีผู้ที่ตกเป็นเหยื่อของอีเมลหลอกลวงดังกล่าวเป็นจำนวนมาก และอาจส่งผลกระทบร้ายแรงต่อผู้ที่หลงเชื่อกรอกข้อมูลสำคัญในการล็อกอินเข้าใช้งานบริการต่าง ๆ เช่น ระบบอีเมล ทั้งยังอาจถูกนำไปใช้เป็นเครื่องมือกระทำความผิด เช่น แพร่กระจายอีเมลหลอกลวงหรือโปรแกรมมัลแวร์อันตราย
จากการตรวจสอบทางสถิติโดยใช้เครื่องมือของ Google เฉพาะวันที่ 13 กุมภาพันธ์ พ.ศ. 2558 มีผู้ใช้ในประเทศไทยคลิกลิงก์นี้แล้วมากกว่า 600 ครั้ง ทั้งยังมีข้อสังเกตที่พึงระวังว่าหน่วยงานภาครัฐหลายแห่งตกเป็นเป้าหมายการโจมตีครั้งนี้ ซึ่งอาจจะเป็นความตั้งใจของแฮกเกอร์ผู้โจมตีที่มุ่งเจาะข้อมูลของบุคลากรในหน่วยงานรัฐ ใช้เป็นเครื่องมือในการแพร่กระจายอีเมลหลอกลวงไปยังประชาชน ซึ่งอาจส่งผลให้ประชาชนเชื่อและถูกหลอกให้กรอกข้อมูลต่อๆ กันไปได้
นอกจากนี้ ยังพบว่ามีอีเมลบางฉบับที่ระบุต้นทางของผู้ส่งอีเมลมาจากไอพีในประเทศไนจีเรีย โดยมีจุดสังเกตอยู่ที่เนื้อหาในอีเมลมีลักษณะคล้ายกับการใช้โปรแกรมแปลภาษา รวมถึงมีอีเมลที่ถูกส่งผ่านเซิร์ฟเวอร์ของหน่วยงานรัฐบาลของต่างประเทศ เช่น เวียดนาม และ บราซิล โดยเบื้องต้นคาดว่า เมื่อจู่โจมเข้าถึงข้อมูลสำเร็จ ผู้ไม่หวังดีจะใช้อีเมลของเหยื่อส่งอีเมล Phishing ต่อไปอีก ทั้งยัง มีความเสี่ยงที่ผู้ไม่หวังดีจะใช้ข้อมูลส่วนบุคคลที่ขโมยจากเหยื่อกระทำความผิดอื่นๆ ได้ด้วย
ThaiCERT จึงได้ประสานไปยังผู้ให้บริการที่เกี่ยวข้อง และหน่วยงานในเครือข่ายต่างประเทศเพื่อระงับหน้าเว็บ Phishing และลิงก์หลอกลวง รวมถึงแจ้งเตือนไปยังหน่วยงานภาครัฐของไทย เพื่อให้รับทราบสถานการณ์และทำการตรวจสอบแก้ไขปัญหาในส่วนนี้แล้ว ทั้งนี้ ThaiCERT ขอแนะวิธีป้องกันและแก้ไข ดังนี้
1. อย่าหลงเชื่ออีเมลหลอกลวงที่ต้องการให้เปลี่ยนพาสเวิร์ด หรือให้อัปเดตข้อมูลส่วนบุคคล หากไม่แน่ใจว่าเป็นอีเมลที่มาจากใคร ให้รีบปรึกษาผู้ดูแลระบบ หรือสอบถามกับผู้ที่ส่งข้อมูลมาในช่องทางอื่นๆ กลับไปอีกครั้ง เพื่อยืนยันความถูกต้องก่อนดำเนินการใด ๆ
2. หากผู้ใช้งานเคยหลงให้ข้อมูลไปยังหน้าเว็บ Phishing ดังกล่าวแล้ว ให้รีบทำการเปลี่ยนข้อมูลพาสเวิร์ดบัญชีนั้น ๆ ในทันที รวมถึงตรวจสอบความผิดปกติในส่วนอื่น ๆ เช่น ส่วนการกู้คืนข้อมูล อาจมีการถูกเปลี่ยนแปลงไปเป็นข้อมูลของผู้ไม่หวังดี เป็นต้น
3. หากเป็นไปได้ ผู้ดูแลระบบควรทำการบล็อกการเชื่อมต่อระหว่างผู้ใช้งานในเครือข่ายกับ Phishing URL ดังกล่าว ตามรายการต่อไปนี้
o http://goo.gl/B7YLSZ
o http://www.form2pay.com/publish/publish_form/163363
4. แจ้งเตือนและเผยแพร่แนวทางป้องกันนี้ให้กับผู้ที่เกี่ยวข้อง เพื่อลดโอกาสเสี่ยงจากการตกเป็นเหยื่อของการหลอกลวงดังกล่าว
สำหรับรูปแบบลักษณะในการโจมตีครั้งนี้คือ เหยื่อหรือผู้ใช้งานอีเมลจะได้รับอีเมลหัวข้อ “ปรับปรุงเว็บเมล” จากผู้ที่ใช้ชื่อ “ผู้ดูแลระบบเว็บเมล” ซึ่งมีเนื้อหาชักจูงให้เหยื่อคลิกลิงค์ http://goo.gl/B7YLSZ (ซึ่งลิงก์ลักษณะนี้ เป็นบริการที่ Google เปิดให้ใช้เพื่อย่อ URL ให้สั้นลง หรือที่เรียกว่า Short URL) เมื่อคลิกลิงก์นี้แล้ว จะมีการเชื่อมต่อไปยังเว็บไซต์ http://www.form2pay.com/publish/publish_form/163363 ซึ่งเป็นเว็บไซต์ให้บริการสร้างแบบฟอร์มออนไลน์ที่เป็นหน้าเว็บ Phishing ของผู้ไม่หวังดีได้สร้างขึ้นเพื่อหลอกลวง โดยให้กรอกข้อมูลส่วนบุคคล ได้แก่ ชื่อเต็ม ที่อยู่อีเมล ชื่อผู้ใช้ รหัสผ่าน และหากผู้ใช้งานหลงเชื่อกรอกข้อมูลดังกล่าวก็จะส่งข้อมูลส่วนตัวไปให้ผู้ไม่หวังดีทันที
“ทาง ETDA โดย ThaiCERT จะดำเนินการตรวจสอบและป้องกันอย่างต่อเนื่อง พร้อมแจ้งข้อมูลเพิ่มเติมให้ทราบถึงสถานการณ์ต่อไปค่ะ หรือสามารถติดตามได้ทางเว็บไซต์ของ ThaiCERT https://www.thaicert.or.th/” นางสุรางคณาฯ กล่าวทิ้งท้าย
