Cybersecurity Privacy Scam Top Stories

SMS Phishing: กลโกงขอคืนภาษีของมิจฉาชีพ

เบื้องหลังการทำงานของมิจฉาชีพออนไลน์ในการขโมยข้อมูลสำคัญของผู้ใช้ ผ่านแผนการขอคืนภาษี

ในต่างประเทศมีจะช่วงเวลาที่รัฐบาลคืนภาษีให้กับประชาขนเรียกว่า Tax Season ซึ่งในขณะที่รัฐบาลเปิดให้ประชาชนกรอกแบบฟอร์มเพื่อขอคืนภาษี มิจฉาชีพก็กำลังพยายามทำมาหากินด้วยเช่นเดียวกัน

ยกตัวอย่างของประเทศแคนาดา มิจฉาชีพออนไลน์ใช้วิธีการส่ง SMS พร้อมแนบลิงก์ไปยังเว็บไซต์ที่หน้าตาเหมือนกับเว็บไซต์ Canada Revenue Agency แต่ส่งข้อมูลให้กับตัวมิจฉาชีพแทนที่จะเป็นหน่วยงาน

พวกเราทำการวิเคราะห์วิธีการของแฮกเกอร์กลุ่มนี้ และคาดว่าพวกเขาคงเริ่มแผนการนี้มาตั้งแต่ช่วงต้นปี 2017 ส่วนวิธีการที่ใช้เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ก็คือ Interac Transfer (ผู้ให้บริการโอนเงินของแคนาดา) สำหรับการขอคืนภาษี

ผมเองได้รับข้อความที่คาดว่ามาจากแผนการเดียวกันนี้ เมื่อเดือนพฤศจิกายน 2017IMG_3592

แผนการ

แผนการนี้เริ่มต้นด้วยข้อความ SMS หรือไม่ก็อีเมล เกี่ยวกับการขอแบบฟอร์มการเรียกคืนภาษี โดยใช้โดเมนที่ลอกมาจาก Interac ด้วยการใช้ Subdomain เพื่อหลอกตาผู้ใช้ ยกตัวอย่างเช่น http://interac.hy1-on%5B.%5Dcom

หากผู้ใช้คลิก ลิงก์ดังกล่าวจะนำผู้ใช้มายังเว็บไซต์ที่เตรียมเอาไว้ให้เลือกธนาคารที่ต้องการรับเงินคืน Interac e-Transfer เป็นที่นิยมมากสำหรับการโอนเงินผ่านอีเมลหรือ SMS ในแคนาดา และรองรับได้หลายสถาบันการเงิน ในหน้าเว็บไซต์(ปลอม)ที่แสดงด้านล่างมีหน้าตาคล้ายคลึงกับของจริงมาก ยกเว้นว่าธนาคารที่ให้เลือกมีน้อยกว่าเท่านั้นเอง

Screen-Shot-2018-04-24-at-1.05.00-PM-768x778Screen-Shot-2018-05-03-at-4.11.05-PM-768x767

หลังจากที่เลือกธนาคารแล้ว ลิงก์จะพาไปยังเว็บไซต์เพื่อล็อคอินเข้าสู่ระบบ

Bank-login-stash-768x414

ทันทีที่คลิกที่ปุ่ม “Submit” ทุกอย่างที่กรอกลงไปบนเว็บไซต์จะถูกส่งไปให้มิจฉาชีพ และต่อจากนั้นจะมีแบบฟอร์มข้อมูลอื่นๆให้กรอกข้อมูลเชิงลึกอย่างเช่น คำถามลับ อีเมลและรหัสผ่าน รายละเอียดบัตรเครดิต/เดบิต

ฟอร์มขอคืนภาษีปลอมเลียนแบบจาก Canada Revenue Agency

มีโดเมน 2 ตัวที่แฮกเกอร์สร้างขึ้นมาเพื่อหลอกเอาข้อมูลของผู้ใช้ โดเมนมีชื่อว่า cra-can[.]com และ canada-cr[.]com โดยข้อมูลที่ให้กรอกมีเยอะมาก รวมไปถึงข้อมูลส่วนตัวอย่าง SIN (Social Insurance Number) บัตรประกันสังคม รายละเอียดบัตรเครดิต/เดบิต และชื่อของคนภายในครอบครัว

Screen-Shot-2018-04-20-at-11.35.03-AM-768x509Screen-Shot-2018-04-20-at-11.35.08-AM-768x509

ผู้อยู่เบื้องหลัง

พวกเราอยากทราบว่าตัวการของงานนี้เป็นใคร ดังนั้นเราจึงกรอกอีเมลดัมมี่ เพื่อรอดูว่าจะมีการล็อคอินเกิดขึ้นที่ไหน หลังจากกรอกข้อมูลไป 6 ชั่วโมง มีใครบางคนล็อคอินเข้ามาในอีเมลดัมมี่จากประเทศ Tunisia (ตูนิเซีย)

Screen-Shot-2018-04-25-at-10.45.26-AM-masked-768x885

แต่ไม่มีกิจกรรมใดๆเกิดขึ้นในเวลาต่อมา อาจเป็นเพราะบัญชีถูกสร้างขึ้นมาใหม่และไม่มีข้อมูลใดๆทั้งสิ้น ถึงกระนั้นเราก็ยังสรุปไม่ได้ว่าผู้อยู่เบื้องหลังเป็นชาวตูนิเซียหรือเป็นคนนอก เพราะอาจเป็นฝีมือของแฮกเกอร์ที่แฮกคอมพิวเตอร์ภายในประเทศตูนิเซียและสั่งการจากตรงนั้นก็เป็นได้

การป้องกัน

Phishing จากข้อความ SMS และอีเมล เป็นเครื่องมือของแฮกเกอร์ที่ใช้มาอย่างยาวนาน เนื่องจากจุดเด่นของเครื่องมือนี้ก็คือการใช้ประโยชน์จากความผิดพลาดของผู้ใช้ ดังนั้นวิธีการป้องกันคงหนีไม่พ้นการตรวจสอบซ้ำหรือ Double Check เพื่อยืนยันว่าโครงการนั้นๆเป็นของจริง

Note: ผลิตภัณฑ์ของ ESET สามารถปิดกั้นโดเมนและ URL ที่แฮกเกอร์ใช้เพื่อ Phishing ได้

Author: Marc-Etienne M.Léveillé
Source:
https://www.welivesecurity.com/2018/05/09/inside-fake-interac-transfer/
Translated by: Worapon H.

%d bloggers like this: