มาลองแกะการทำงานของไวรัส Phishing ที่ไล่ Tag เพื่อนใน Facebook กัน (20/12/2020)
![มาลองแกะการทำงานของไวรัส Phishing ที่ไล่ Tag เพื่อนใน Facebook กัน (20/12/2020)](/content/images/size/w2000/2020/12/Screen-Shot-2563-12-20-at-17.46.21.png)
ที่จริงได้ยินมาสักพักแหละ ไอเรื่องไวรัสที่ไล่ Tag เพื่อนใน Facebook เพื่อหลอกให้เหยี่อ Login Facebook Account ของตัวเองในเว็บไซต์ที่เป็นหน้าเว็บ Facebook ปลอมที่ Hacker สร้างขึ้นมา (เราเรียกการกระทำแบบนี้ว่า Phishing)
ตอนแรกนึกว่าตัวเองจะรอดจากการโดน Tag ซะละ มาวันนี้สดๆร้อนๆ ผมโดน Tag จากเพื่อนที่โดนไวรัสตัวนี้ โดยที่ผมไม่รู้จักกับเจ้าของ Facebook นี้เลย
![](https://kusumotolab.com/content/images/2020/12/image-1.png)
พอเห็นลิงค์ก็น่าจะแชร์มาจากเว็บ FM91BKK.com ปกติ ไม่น่าจะมีอะไรนะ พอผมทดสอบเปิดลิงค์นี้บน Computer ก็เข้าไปยังหน้าข่าวของ FM91BKK.com ตามปกติ แล้วมันเป็นไวรัสยังไงหว่าาา
แต่แล้ว เมื่อผมเปิดลิงค์ดังกล่าวในมือถือ โป๊ะเชะ!
![](https://kusumotolab.com/content/images/2020/12/IMG_F2EB3590949D-1.jpeg)
ผมก็เริ่มแกะการทำงานของเว็บ Phishing นี้ ก็ได้ผล ดังนี้ครับ
![](https://kusumotolab.com/content/images/2020/12/image-2.png)
![](https://kusumotolab.com/content/images/2020/12/image-4.png)
สรุปคือ การทำงานของมันใช้ช่องโหว่การสร้างตัวอย่างหน้าเว็บตัวอย่างของ Facebook (Facebook Crawler) โดย Facebook นั้น จะทำการสร้างเว็บตัวอย่าง โดยยึดหน้าเว็บที่เข้าผ่านคอมพิวเตอร์เป็นหลักครับ แถมยังยึดเอาค่าหน้าเว็บที่ถูกเปลี่ยนหน้า (302 Redirect) ไปสร้างหน้าเว็บตัวอย่างด้วย
ส่วนเรื่องการแชร์ลิงค์ไปเรื่อยๆ น่าจะถูกทำหลังจากได้ Username และ Password จากหน้าเว็บปลอมที่ถูกทำขึ้นมา แล้วนำไปเขียน Bot เพื่อไล่ Tag คนอื่นต่อๆไป
เพื่อให้ทดสอบสมมติฐานของผม ว่าสิ่งที่ผมหามาด้านบนนั้นถูกต้องหรือไม่ ผมได้ทำการเขียนสคริปต์ PHP สร้างหน้าเว็บง่ายๆ โดยมีเงื่อนไขดังนี้
- เมื่อลิงค์นี้ ถูกเปิดในคอมพิวเตอร์ จะพาไปยังหน้า Google.com
- เมื่อลิงค์นี้ ถูกเปิดในมือถือ จะพาไปยังหน้าเว็บที่ถูก Hijact
- ให้ Facebook สร้างตัวอย่างหน้าเว็บเวลาแชร์ออกไป เป็น Google.com
โค๊ดจะประมาณนี้ครับ
![](https://kusumotolab.com/content/images/2020/12/image-5.png)
ผมจะทดสอบแชร์ลิงค์สคริปต์นี้ใน Facebook Timeline ของตัวเอง
![](https://kusumotolab.com/content/images/2020/12/image-7.png)
แล้วทดสอบเข้าลิงค์นี้จากทั้งคอมพิวเตอร์และมือถือ
![](https://kusumotolab.com/content/images/2020/12/image-8.png)
![](https://kusumotolab.com/content/images/2020/12/image-9.png)
คำแนะนำสำหรับเรื่องนี้ คือเปิด 2 Factor Authentication เอาไว้ พร้อมกับสังเกตดีๆครับ ว่าหน้าเว็บที่เราเข้าไป เป็นหน้าเว็บของจริงหรือไม่ URL ถูกต้องหรือไม่ครับ ทำให้เราปลอดภัยจากภัย Phishing นี้ระดับนึงครับ