ระวัง! มัลแวร์ตัวใหม่เจาะตลาดไทย ล้วงรหัสผ่านเข้าธนาคารออนไลน์ไทย

นี่เป็นเรื่องเร่งด่วนที่ไม่เขียนไม่ได้ครับ และกระทบกับผู้อ่านไทยรัฐออนไลน์เข้าเต็มๆ เสียด้วย เรื่องราวมีดังนี้

ในช่วง 1-2 วันที่ผ่านมา (12-13 มิ.ย. 56) เว็บข่าวใหญ่ๆ ของไทยหลายแห่ง เท่าที่ผมทราบชื่อ มีไทยรัฐ มติชน และ Voice TV ถูกแฮ็กระบบ โดยแฮ็กเกอร์ได้ฝัง “มัลแวร์” (หรือบางคนเรียก “โทรจัน” ก็ได้) ลงในหน้าเว็บ (ข่าวประกาศเตือนจาก ThaiCERT http://www.thairath.co.th/content/tech/351084)

ผมจะพยายามอธิบายกระบวนการทำงานของมัลแวร์ตัวนี้ให้เข้าใจง่ายๆ ตามนี้ครับ

การทำงานของมัลแวร์
ถ้าหากว่าผู้อ่านเข้าไปยังเว็บไซต์เหล่านี้ผ่านโปรแกรม Internet Explorer บนวินโดวส์ และบนเครื่องติดตั้งโปรแกรม Java เอาไว้ด้วย เครื่องคอมพิวเตอร์ที่ใช้จะติดมัลแวร์โดยที่เราไม่รู้ตัว

จากนั้นถ้าใช้คอมพิวเตอร์ที่ติดมัลแวร์ ไปเข้าหน้าเว็บธนาคารออนไลน์ในไทย (เท่าที่ทราบชื่อคือธนาคารกสิกรไทย กรุงไทย กรุงเทพ และไทยพาณิชย์) มัลแวร์ที่แอบอยู่ในเครื่องของเราจะปลอมแปลงหน้าเว็บธนาคารเสียใหม่ โดยขึ้นข้อความหลอกว่าธนาคารแจกแอพแอนตี้ไวรัสชื่อ AVG ฟรีบน Android ขอเพียงแค่เรากรอกเบอร์โทรศัพท์ผ่านหน้าเว็บ (ปลอม) ธนาคารจะส่งวิธีดาวน์โหลดแอพแอนตี้ไวรัสไปให้ทางมือถือ ดูตัวอย่างตามภาพ

ถ้าเราหลงเชื่อและกรอกหมายเลขโทรศัพท์ลงไป เราจะได้ SMS ที่มีลิงก์สำหรับดาวน์โหลดไฟล์ที่หลอกว่าเป็นแอพแอนตี้ไวรัส แต่จริงๆ แล้วแอพตัวนี้ทำหน้าที่ “ดัก” อ่าน SMS รหัสผ่าน OTP ที่ธนาคารส่งมายืนยันตัวตนของเราเวลาทำธุรกรรมออนไลน์ แล้วส่งกลับไปยังแฮ็กเกอร์เจ้าของแอพนั่นเอง

ดังนั้น ถ้าเผลอติดตั้งแอพตัวนี้ลงในเครื่อง Android แล้วทำธุรกรรมออนไลน์หลังจากนั้น ผู้ประสงค์ร้ายก็สามารถเข้าถึงบัญชีธนาคารออนไลน์ของเราได้ทันที เพราะได้รหัส OTP ของเราไปแล้ว

จะเห็นว่ามัลแวร์ตัวนี้ใช้กลไกการทำงานร่วมกันถึง 3 ชั้น และปรับแต่งมาเพื่อหลอกคนไทยเป็นการเฉพาะ ถือว่าแนบเนียนและน่ากลัวมากครับ (สรุปสั้นๆ ว่าถ้าเราไม่สนใจ ไม่โดนหลอก อยู่นิ่งๆ ไม่มีทางโดน แต่มัลแวร์จะพยายามหลอกเราให้เผลอกรอกข้อมูลสำคัญลงไป)

ตรวจสอบอย่างไรว่าติดมัลแวร์

เนื่องจากกระบวนการหลอกเอารหัสผ่านมี 2 ขั้นตอน คือ บนคอมพิวเตอร์ และบนมือถือ Android ดังนั้น ขอแยกกรณีนะครับ
บนคอมพิวเตอร์

ลองเข้าหน้าเว็บของธนาคารตามรายชื่อข้างต้นดูครับ ถ้าเห็นหน้าเว็บของธนาคารแปลกไปจากที่เคย มีช่องให้ใส่หมายเลขโทรศัพท์เพิ่มเข้ามา หรือมีหน้าแจกแอนตี้ไวรัสตามภาพตัวอย่างข้างต้น แบบนี้เรียกว่า “โดนของ” เข้าแล้ว
ถ้าติดมัลแวร์แล้วก็ไม่ต้องตกใจมากครับ แก้ได้ง่ายๆ เพียงแค่ลบไฟล์ทิ้งเป็นอันจบ วิธีการลองอ่านตามคู่มือของ ThaiCERT ซึ่งเป็นหน่วยงานของกระทรวงไอซีทีได้ตามลิงก์ https://thaicert.or.th/alerts/user/2013/al2013us008.html (หัวข้อ “ข้อแนะนำในการป้องกันและแก้ไข”)

บนมือถือ Android

อันนี้ง่ายหน่อย ตรวจสอบว่าติดตั้งแอพชื่อ AVG Antivirus หรือไม่ โดยแอพปลอมตัวนี้หน้าตาไอคอนเหมือนกับ AVG Antivirus ของจริง แต่กดเข้าแอพไปแล้วหน้าตาจะแตกต่างกันมาก ถ้าเจอหน้าตาตามภาพก็แปลว่าแอพปลอม

ถ้าเจอแอพตามนี้ก็ขอให้ลบทิ้งตามวิธีการลบแอพปกติของ Android เหมือนลบแอพทั่วๆ ไปครับ

วิธีป้องกันตัวไม่ให้ติดมัลแวร์ลักษณะนี้

ไม่ใช่ทุกคนที่โดนมัลแวร์ แต่ทุกคนควรป้องกันตัวไม่ให้ติดมัลแวร์แบบนี้ (เพราะอาจมีเว็บอื่นๆ โดนแฮ็กในลักษณะเดียวกัน)

ผมขอแยกคำแนะนำเป็นส่วนของคอมพิวเตอร์กับมือถือเพื่อไม่ให้ปนกัน แต่ควรทำทั้งสองส่วนนะครับ

คอมพิวเตอร์

มัลแวร์ฝั่งคอมพิวเตอร์อาศัยช่องโหว่ของโปรแกรม Java ที่อาจติดตั้งอยู่ในระบบ ช่วงหลังๆ โปรแกรม Java มีช่องโหว่มากมาย (ผมเคยเขียนถึงไปแล้วในบทความ “อันตรายจาก Java” ) ดังนั้น ถ้าเราไม่จำเป็นต้องใช้งาน Java เลย (ถ้าไม่รู้ว่าจำเป็นหรือไม่ กรณีส่วนใหญ่แปลว่าไม่จำเป็น) ให้ลบ Java ออกจากระบบเพื่อลดจำนวนช่องโหว่

กรณีที่จำเป็นต้องใช้ Java สำหรับงานเฉพาะทางบางอย่าง ให้หมั่นอัพเดต Java เป็นรุ่นล่าสุดที่แก้ปัญหาช่องโหว่เก่าๆ ไปแล้ว (รุ่นล่าสุดขณะที่เขียนคือ Java 7 Update 21)

หลีกเลี่ยงการท่องเว็บด้วยโปรแกรม Internet Explorer โดยเฉพาะเวอร์ชั่นเก่าๆ (เช่น 6 หรือ 7) และควรใช้โปรแกรมอื่นอย่าง Chrome หรือ Firefox จะปลอดภัยกว่า และถ้าเห็นหน้าจอเตือนภัยสีแดงตามภาพ ก็ควรหลีกเลี่ยงไม่เข้าเว็บเหล่านี้ (เป็นเว็บที่กูเกิลดักจับว่ามีมัลแวร์ฝังอยู่)

นอกจากนี้ คุณผู้อ่านควรใช้ระบบปฏิบัติการวินโดวส์ของแท้ และหมั่นอัพเดตอยู่เสมอ ควรเลิกใช้ Windows XP ถ้าเป็นไปได้เพราะ “เก่า” และ “พรุน” มากแล้ว (เปลี่ยนมาใช้ Windows 7 หรือ 8 แล้วแต่ชอบ) และสุดท้ายคือติดตั้งโปรแกรมแอนตี้ไวรัสยี่ห้อไหนก็ได้ที่ชอบ หมั่นอัพเดตฐานข้อมูลไวรัสบ่อยๆ เช่นกัน

มือถือ Android

สิ่งสำคัญมากที่ผู้ใช้ Android ควรยึดถือไว้อยู่เสมอคือ “ห้ามลงแอพด้วยวิธีอื่นที่ไม่ผ่าน Google Play”

จะลงแอพใหม่หรืออัพเดตแอพเก่า ขอให้ทำผ่าน Google Play เท่านั้น เพราะกูเกิลตรวจสอบไฟล์ของแอพตลอดเวลาว่ามีมัลแวร์-ไวรัสหรือไม่ (นานๆ ทีกูเกิลก็มีหลุดบ้างแต่ก็ยังพอเชื่อถือได้)

สิ่งที่ไม่ควรทำเป็นอย่างยิ่งคือโหลดแอพเถื่อน (แม้จะเป็นแอพฟรีก็ตาม) จากเว็บไซต์ต่างๆ แล้วนำมาติดตั้งเองโดยไม่ผ่านระบบของ Play Store เพราะตรวจสอบแหล่งที่มาของแอพลำบาก และอาจโดน “ยัดไส้” ฝังมัลแวร์มาระหว่างทาง

เพื่อความปลอดภัยที่ดียิ่งขึ้น ควรตั้งค่าใน Android ปิดไม่ให้ติดตั้งโปรแกรมนอก Google Play โดยจะอยู่ใน Settings > Applications (หรือ Developer แล้วแต่รุ่นของ Android) > เอาติ๊ก Unknown Sources ออก (ถ้าหาไม่เจอลองไล่หาดูใน Settings ส่วนอื่นๆ ครับ ยกเว้นใช้ Android 4.2 มันจะซ่อนตัวเลือกนี้ไว้แต่แรก ซึ่งเราไม่ต้องไปยุ่งอะไรกับมัน)

นอกจากนี้ Android ยังมีแอพแอนตี้ไวรัสจากบริษัทระดับโลกหลายตัว เช่น McAfee, Norton, Kaspersky, Avast, AVG เกือบทุกตัวดาวน์โหลดมาใช้งานได้ฟรี สามารถโหลดมาติดตั้งและสแกนดูว่าเครื่องของเราติดมัลแวร์อะไรหรือไม่ (แต่ต้องชัวร์ว่าดาวน์โหลดแอนตี้ไวรัสจาก Google Play โดยตรงนะครับ ไม่งั้นก็มีสิทธิโดนยัดไส้มัลแวร์เช่นกัน)

รายละเอียดสามารถอ่านเพิ่มเติมได้จากประกาศของ ThaiCERT
•  มัลแวร์บนคอมพิวเตอร์ https://thaicert.or.th/alerts/user/2013/al2013us008.html
• มัลแวร์บนมือถือ Android https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

มาร์ค Blognone