มาลองแกะการทำงานของไวรัส Phishing ที่ไล่ Tag เพื่อนใน Facebook กัน (20/12/2020)
ที่จริงได้ยินมาสักพักแหละ ไอเรื่องไวรัสที่ไล่ Tag เพื่อนใน Facebook เพื่อหลอกให้เหยี่อ Login Facebook Account ของตัวเองในเว็บไซต์ที่เป็นหน้าเว็บ Facebook ปลอมที่ Hacker สร้างขึ้นมา (เราเรียกการกระทำแบบนี้ว่า Phishing)
ตอนแรกนึกว่าตัวเองจะรอดจากการโดน Tag ซะละ มาวันนี้สดๆร้อนๆ ผมโดน Tag จากเพื่อนที่โดนไวรัสตัวนี้ โดยที่ผมไม่รู้จักกับเจ้าของ Facebook นี้เลย
พอเห็นลิงค์ก็น่าจะแชร์มาจากเว็บ FM91BKK.com ปกติ ไม่น่าจะมีอะไรนะ พอผมทดสอบเปิดลิงค์นี้บน Computer ก็เข้าไปยังหน้าข่าวของ FM91BKK.com ตามปกติ แล้วมันเป็นไวรัสยังไงหว่าาา
แต่แล้ว เมื่อผมเปิดลิงค์ดังกล่าวในมือถือ โป๊ะเชะ!
ผมก็เริ่มแกะการทำงานของเว็บ Phishing นี้ ก็ได้ผล ดังนี้ครับ
สรุปคือ การทำงานของมันใช้ช่องโหว่การสร้างตัวอย่างหน้าเว็บตัวอย่างของ Facebook (Facebook Crawler) โดย Facebook นั้น จะทำการสร้างเว็บตัวอย่าง โดยยึดหน้าเว็บที่เข้าผ่านคอมพิวเตอร์เป็นหลักครับ แถมยังยึดเอาค่าหน้าเว็บที่ถูกเปลี่ยนหน้า (302 Redirect) ไปสร้างหน้าเว็บตัวอย่างด้วย
ส่วนเรื่องการแชร์ลิงค์ไปเรื่อยๆ น่าจะถูกทำหลังจากได้ Username และ Password จากหน้าเว็บปลอมที่ถูกทำขึ้นมา แล้วนำไปเขียน Bot เพื่อไล่ Tag คนอื่นต่อๆไป
เพื่อให้ทดสอบสมมติฐานของผม ว่าสิ่งที่ผมหามาด้านบนนั้นถูกต้องหรือไม่ ผมได้ทำการเขียนสคริปต์ PHP สร้างหน้าเว็บง่ายๆ โดยมีเงื่อนไขดังนี้
- เมื่อลิงค์นี้ ถูกเปิดในคอมพิวเตอร์ จะพาไปยังหน้า Google.com
- เมื่อลิงค์นี้ ถูกเปิดในมือถือ จะพาไปยังหน้าเว็บที่ถูก Hijact
- ให้ Facebook สร้างตัวอย่างหน้าเว็บเวลาแชร์ออกไป เป็น Google.com
โค๊ดจะประมาณนี้ครับ
ผมจะทดสอบแชร์ลิงค์สคริปต์นี้ใน Facebook Timeline ของตัวเอง
แล้วทดสอบเข้าลิงค์นี้จากทั้งคอมพิวเตอร์และมือถือ
คำแนะนำสำหรับเรื่องนี้ คือเปิด 2 Factor Authentication เอาไว้ พร้อมกับสังเกตดีๆครับ ว่าหน้าเว็บที่เราเข้าไป เป็นหน้าเว็บของจริงหรือไม่ URL ถูกต้องหรือไม่ครับ ทำให้เราปลอดภัยจากภัย Phishing นี้ระดับนึงครับ