ผมทำเวปไซต์ของสำนักงานสาธารณสุขอำเภอเมืองชุมพร โดยใช้ MAMBO เปิดใช้งานประมาณ 6 เดือน มีผู้เข้าชมกว่า 75,000 คน ใช้ server ของสำนักงานสาธารณสุขจังหวัดชุมพร โดเมนเนมของกระทรวงสาธารณสุข เมื่อวันที่ 16 ผมได้รับแจ้งให้เข้าห้องฝ่ายยุทธศาสตร์สาธารณสุขจังหวัดชุมพร เนื่องจากมีหนังสือจาก บริษัท ebay.com ได้ส่งจดหมายถึงกระทรวงสาธารณสุข ว่า 

Subject:[ebay:DAA06W246] ebay.com spoofing and password phishing

Dear Ministry of Public Health, we have just learned that your service is being use display false or "spoofed":ebay .com pages, appearenly in an effort to steal personal and financial information from consumers and defraund ebay users

และอีกยาวเลย ตรวจสอบที่ server พบว่า มีการมาสร้างเวปปลอมไว้จริง www.cmpo.moph.go.th/Amuang/form.html ผมได้ทำการลบเวป www.cmpo.moph.go.th/Amuang/index.php ของสำนักงานสาธารณสุขอำเภอออกจาก server ในพื้นที่ที่ได้รับจัดสรรไว้  จากนั้น ได้ทำการ search คำว่า ebay พบว่ามีเวป ebay ปลอมอยู่ใน server ทั้งเวปเลย แต่ตัว form นั้นฝากไว้ที่ www.cmpo.moph.go.th/Amuang/index.php  เท่านั้น โดยคนที่เข้าเวปนี้จะไม่สามารถมองเห็นฟอร์มนี้ได้ ต้องไปเข้าเวปที่ไหนสักแห่ง แล้วมันจะ redirect มาที่นี่ พอมาที่นี่ ก็มีรูปแบบของ ebay ปลอมอยู่ครับครันเลย คือสามารถทำการ regiter หรือ sign in ได้ search ได้ ทั้ง ๆ ไม่ได้ต่อ internet แปลว่า server เราเป็นที่อยู่ของเวปปลอมจริง ๆ สิ่งผมทำไปตอนนี้คือปิดทั้งหมด แต่ต้องการความช่วย คำแนะนำเกี่ยวกับการที่ คนคนนึงจะเข้ามาทำแบบนี้เขาใช้วิธีไหนทำ เข้าสร้างเวปใน server ของเรา โดยเราไม่รู้เรื่อง และหลักฐานทุกอย่างตามจดหมายความยาว 3 หน้ากระดาษ A4 ระบุว่าเป็นผมทำ ทั้ง ๆที่ผมไม่รู้เรื่องเลยแม้แต่น้อย ขอท่านผู้รู้ทั้งหลายโปรดให้ความกรุณา ชี้แนะ บอกทางสว่าง หรือการป้องกัน การหาผู้ทำผิด หรือ ความรู้อื่น ๆ อันเป็นผลที่จะทำให้ไม่เกิดเหตุการณ์อย่างนี้อีก หรือใครจะทำก็ทำยากขึ้น ขอขอบคุณล่วงหน้าเป็นอย่างสูงครับ  นึกว่าสงสาร ทำบุญต่ออายุราชการให้คนบริสุทธิ์ ก็แล้วกันครับผม

ชื่อเรื่อง : เทคนิคการโจมตีแบบ "Phishing"
เรียบเรียงโดย : ดร.โกเมน พิบูลย์โรจน์
เผยแพร่เมื่อ : 1 มิถุนายน 2547

Phishing คือ การโจมตีในรูปแบบของการปลอมแปลงอี-เมล์ (Email Spoofing) และทำการสร้างเว็บไซต์ปลอม เพื่อทำการหลอกลวงให้เหยื่อหรือผู้รับอี-เมล์เปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ (Username) และ รหัสผ่าน (Password) หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่นๆ

Phishing สามารถทำได้โดยการขโมยหรือนำเครื่องหมายหรือสัญลักษณ์ตลอดจนรูปลักษณ์ของธนาคารหรือสถาบันการเงินที่มีชื่อเสียง และบัตรเครดิตประเภทต่างๆของผู้ประกอบการ การให้สินเชื่อทางอินเตอร์เน็ต มาประกอบเข้ากับการหลอกลวงเหยื่อหรือผู้ใช้ให้เปิดเผยข้อมูล ซึ่งมีการประเมินเบื้องต้นว่า การโจมตีในรูปแบบของ phishing สามารถหลอกให้เหยื่อร้อยละ 5 ของทั้งหมด เปิดเผยข้อมูลที่ต้องการ นอกจากนี้ ผู้โจมตี (Hacker หรือ Spammer) ยังใช้ยุทธวิธีการหลอกลวงแบบ Social Engineering ประกอบเพิ่มเติม เพื่อให้มีความน่าเชื่อถือยิ่งขึ้น เช่น การหลอกลวงชื่ออี-เมล์ เป็นต้นว่า เป็นเรื่องด่วนจากธนาคาร การหลอกลวงว่าบัญชีที่ใช้งานจะหมดอายุ การเสนอสินค้าที่มีดอกเบี้ยต่ำต่างๆ เป็นต้น

เนื่องจากการโจมตีแบบ phishing ได้มีการแพร่ระบาดไปในหลายประเทศ ซึ่งทำให้คาดการณ์ได้ว่า อาจมีการแพร่เข้ามาในประเทศไทยในอีกไม่นานนี้ จึงมีความจำเป็นต้องแจ้งให้ประชาชนได้รับทราบถึงภัยที่มีความรุนแรงนี้

ระวังอี-เมล์หลอกลวง

การหลอกลวงให้ลูกค้าธนาคารหลงเชื่อว่ามีอี-เมล์มาจากธนาคาร แจ้งข่าวว่ามีการปรับปรุงฐานข้อมูล ทำให้ข้อมูลที่เกี่ยวกับลูกค้าบางส่วนสูญหาย จึงต้องขอให้ลูกค้ากรอกข้อมูลบัตรเครดิตเข้าไปใหม่ โดย อี-เมล์ดังกล่าวมีสัญลักษณ์ของธนาคารจริง มี URL ให้คลิกได้โดยมีชื่อโดเมนและ subdirectory เป็นจริงมาก ลูกค้าธนาคารที่คุ้นเคยกับ URL นี้จะพบว่าเหมือน URL ปกติที่ใช้งานจริง แต่เมื่อวิเคราะห์ตรวจสอบโดยละเอียดแล้ว พบว่าข้อความที่เป็น URL ที่ขีดเส้นใต้นั้น (http://web.da-us.citbank.com/signin/citifi/scripts/login2/user_setup/jsp) อันที่จริงได้มีการทำ hypertext link ไปที่
(http://web.da-us.citibank.com/citifi/scripts/@isapi100.info/index.htm) ซึ่งหมายถึงเว็บไซต์อื่นที่ไม่ใช่ของธนาคารนั้น แต่เป็น http://isapi100.info/ คาดหมายได้ว่าเป็นเว็บดักให้คนมากรอกข้อมูลบัตรเครดิต

คำแนะนำคือ หากมีอี-เมล์เช่นนี้มาถึงท่านและบังเอิญท่านใช้บริการบัตรเครดิตหรือ Internet Banking ของธนาคารนั้นอยู่ ท่านไม่ควรทำอะไรก็ตามที่อี-เมล์นั้นบอกมา ควรติดต่อธนาคารทางและสอบถามด้วยตัวท่านเอง สำหรับผู้ให้บริการ ISP ท่านอาจจะพิจารณาว่าจะสกัดเว็บเช่น isapi100.info หรือไม่ เพื่อป้องกันไม่ให้ลูกค้าของท่านถูกหลอกเอาข้อมูลบัตรเครดิต ตัวอย่าง phishing จาก http://antiphishing.org/