มาลองแกะการทำงานของไวรัส Phishing ที่ไล่ Tag เพื่อนใน Facebook กัน (20/12/2020)

มาลองแกะการทำงานของไวรัส Phishing ที่ไล่ Tag เพื่อนใน Facebook กัน (20/12/2020)

ที่จริงได้ยินมาสักพักแหละ ไอเรื่องไวรัสที่ไล่ Tag เพื่อนใน Facebook เพื่อหลอกให้เหยี่อ Login Facebook Account ของตัวเองในเว็บไซต์ที่เป็นหน้าเว็บ Facebook ปลอมที่ Hacker สร้างขึ้นมา (เราเรียกการกระทำแบบนี้ว่า Phishing)

ตอนแรกนึกว่าตัวเองจะรอดจากการโดน Tag ซะละ มาวันนี้สดๆร้อนๆ ผมโดน Tag จากเพื่อนที่โดนไวรัสตัวนี้ โดยที่ผมไม่รู้จักกับเจ้าของ Facebook นี้เลย

รูปแบบในการแชร์ลิงค์แล้ว Tag คนอื่นๆไปเรื่อยๆ ของไวรัสตัวนี้

พอเห็นลิงค์ก็น่าจะแชร์มาจากเว็บ FM91BKK.com ปกติ ไม่น่าจะมีอะไรนะ พอผมทดสอบเปิดลิงค์นี้บน Computer ก็เข้าไปยังหน้าข่าวของ FM91BKK.com ตามปกติ แล้วมันเป็นไวรัสยังไงหว่าาา

แต่แล้ว เมื่อผมเปิดลิงค์ดังกล่าวในมือถือ โป๊ะเชะ!

ฮันแน่ เจอแล้วเจ้าตัวดี

ผมก็เริ่มแกะการทำงานของเว็บ Phishing นี้ ก็ได้ผล ดังนี้ครับ

เมื่อเราเข้าหน้า Phishing จากคอมพิวเตอร์ จะเห็นว่าตัวเว็บ Phishing จะทำการพาไปยังหน้าเว็บที่ถูกต้อง (ส่งสถานะ 302 มา เพื่อพาไปยังหน้าเว็บที่ถูกต้อง)
แต่เมื่อผมจำลองว่าเป็นการเข้าใช้งานจากมือถือ ตัวเว็บ Phishing กลับสร้างหน้า Login ที่เหมือนเข้าสู่ระบบ Facebook ขึ้นมาแทน

สรุปคือ การทำงานของมันใช้ช่องโหว่การสร้างตัวอย่างหน้าเว็บตัวอย่างของ Facebook (Facebook Crawler) โดย Facebook นั้น จะทำการสร้างเว็บตัวอย่าง โดยยึดหน้าเว็บที่เข้าผ่านคอมพิวเตอร์เป็นหลักครับ แถมยังยึดเอาค่าหน้าเว็บที่ถูกเปลี่ยนหน้า  (302 Redirect) ไปสร้างหน้าเว็บตัวอย่างด้วย

ส่วนเรื่องการแชร์ลิงค์ไปเรื่อยๆ น่าจะถูกทำหลังจากได้ Username และ Password จากหน้าเว็บปลอมที่ถูกทำขึ้นมา แล้วนำไปเขียน Bot เพื่อไล่ Tag คนอื่นต่อๆไป

เพื่อให้ทดสอบสมมติฐานของผม ว่าสิ่งที่ผมหามาด้านบนนั้นถูกต้องหรือไม่ ผมได้ทำการเขียนสคริปต์ PHP สร้างหน้าเว็บง่ายๆ โดยมีเงื่อนไขดังนี้

  • เมื่อลิงค์นี้ ถูกเปิดในคอมพิวเตอร์ จะพาไปยังหน้า Google.com
  • เมื่อลิงค์นี้ ถูกเปิดในมือถือ จะพาไปยังหน้าเว็บที่ถูก Hijact
  • ให้ Facebook สร้างตัวอย่างหน้าเว็บเวลาแชร์ออกไป เป็น Google.com

โค๊ดจะประมาณนี้ครับ

ผมจะทดสอบแชร์ลิงค์สคริปต์นี้ใน Facebook Timeline ของตัวเอง

เมื่อแชร์ลิงค์นี้ไปใน Timeline จะเห็นว่าเป็นตัวอย่างของ Google.com

แล้วทดสอบเข้าลิงค์นี้จากทั้งคอมพิวเตอร์และมือถือ

เมื่อเข้าลิงค์ที่แชร์จากคอมพิวเตอร์ จะเข้า Google.com ปกติ
แต่เมื่อเข้าจากมือถือ กลับเจอหน้าเว็บหลอกลวงที่ถูกสร้างขึ้น

คำแนะนำสำหรับเรื่องนี้ คือเปิด 2 Factor Authentication เอาไว้ พร้อมกับสังเกตดีๆครับ ว่าหน้าเว็บที่เราเข้าไป เป็นหน้าเว็บของจริงหรือไม่ URL ถูกต้องหรือไม่ครับ ทำให้เราปลอดภัยจากภัย Phishing นี้ระดับนึงครับ