ระวัง! โอนเงินผ่านเน็ต โดนไวรัส-ขโมยรหัส ไม่รู้ตัว

เรียบเรียงข้อมูลโดยกระปุกดอทคอม
ขอขอบคุณภาพประกอบจาก ไทยเซิร์ต, ธนาคารกสิกรไทย, ธนาคารกรุงไทย, ธนาคารไทยพาณิชย์

            ในยุคปัจจุบันนี้ การทำธุรกรรมโอนเงินผ่านธนาคารเป็นเรื่องที่ง่ายแสนง่าย เพราะแต่ละธนาคารจะมีบริการ "โอนเงินผ่านอินเทอร์เน็ต" เพื่อให้ผู้ใช้บริการได้รับความสะดวกสบายและประหยัดเวลา...

            หากพูดถึงในส่วนของการโอนเงินนั้น ทางธนาคารต่าง ๆ ก็มีระบบป้องกันอย่างดีเยี่ยม ทำให้ผู้ใช้บริการวางใจในระบบว่าปลอดภัยไร้กังวล แต่ปัญหาที่ทำให้ธนาคารต่าง ๆ ถึงกับต้องประกาศแจ้งเตือนผ่านเว็บ ก็คือการปล่อยไวรัสเข้าเครื่องคอมพิวเตอร์ ในส่วนของมือถือก็เป็นการติดตั้งโปรแกรมเพื่อดักเอารหัสผ่านของเรานั่นเอง

            สำหรับไวรัสที่ว่านี้ จะแฝงตัวมาในรูปแบบของการดาวน์โหลดโปรแกรมแอนตี้ไวรัสฟรี บนหน้าเว็บการโอนเงินผ่านอินเทอร์เน็ต พร้อมบรรยายสรรพคุณทั้งดาวน์โหลดฟรี อัพเกรดฟรี บริการฟรีตลอดชีพ!! โดยให้ผู้ใช้บริการระบุหมายเลขโทรศัพท์มือถือ จากนั้นมีคำแนะนำสำหรับการติดตั้งขึ้นมา ในส่วนของมือถือก็จะมีการให้ดาวน์โหลดแอพพลิเคชั่นลงในเครื่อง และถ้าหากเราทำตามขั้นตอนจนเสร็จ ก็เท่ากับว่าคอมพิวเตอร์หรือมือถือของเราโดนไวรัสจำพวก "โทรจัน/สปายแวร์" เข้าไปแล้ว
       
            อย่างไรก็ตาม ทางธนาคารก็ได้ออกมาประกาศแจ้งเตือนหน้าเว็บว่า ไม่มีการแจกโปรแกรมแอนตี้ไวรัส หรือให้ดาวน์โหลดแอพพลิเคชั่นแต่อย่างใด และขอให้ผู้ใช้บริการทุกท่าน ห้ามคลิก ห้ามกรอกเบอร์โทรศัพท์ ห้ามติดตั้งแอพพลิเคชั่น บนคอมพิวเตอร์หรือโทรศัพท์มือถือเป็นอันขาด!


โทรจัน/สปายแวร์ คืออะไร

            โทรจัน คือโปรแกรมหรือซอฟต์แวร์ ที่คนร้ายส่งเข้ามาแอบแฝงอยู่ในเครื่องคอมพิวเตอร์หรือโทรศัพท์มือถือ เพื่อขโมยข้อมูลหรือปลอมแปลงธุรกรรมทางการเงินโดยไม่รู้ตัว ซึ่งโทรจัน/สปายแวร์ อาจจะแอบแฝงมากับการดาวน์โหลดโปรแกรมฟรีต่าง ๆ หรือโปรแกรมที่แนบมากับอีเมล รวมไปถึงการติดตั้งโปรแกรมโดยที่ท่านไม่รู้ตัว


อันตรายของ โทรจัน/สปายแวร์

            1. จะดักจับข้อมูลสำคัญที่ท่านพิมพ์เข้าไป เช่น ชื่อผู้ใช้งาน, รหัสผ่าน ฯลฯ พร้อมกับส่งข้อมูลของท่านไปให้คนร้าย 

            2. โปรแกรมโทรจัน/สปายแวร์ สามารถแทรกหน้าจอหลอกลวงให้เหมือนกับหน้าจอเว็บไซต์ของธนาคารจริง ๆ เพื่อให้ท่านกรอกหมายเลขโทรศัพท์ และรหัสการใช้งาน

            และหากท่านหลงเชื่อทำการกรอกหมายเลขโทรศัพท์ลงไป คนร้ายก็จะส่ง SMS ที่มี Link ดาวน์โหลดโปรแกรมโทรจัน/สปายแวร์ มาที่โทรศัพท์มือถือของท่าน และเมื่อคลิกโปรแกรมก็ติดตั้งบนโทรศัพท์มือถือของท่านทันที ซึ่งทำให้คนร้ายสามารถขโมยรหัสเพื่อไปทำการทุจริต และทำเงินออกจากบัญชีได้

            สำหรับผลกระทบที่ได้รับ การตรวจสอบ และแนวทางที่แก้ไข ทางเว็บไซต์ Thaicert ได้ระบุดังนี้            

ระบบที่ได้รับผลกระทบ

            ระบบปฏิบัติการ Windows ที่ติดตั้ง Java
            Internet Explorer
            โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android
            ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12-13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น)

   
ข้อแนะนำในการป้องกันและแก้ไข

            เว็บไซต์ไทยเซิร์ต ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) แนะนำไว้มีดังนี้

วิธีการตรวจสอบ

            หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง เนื่องจากว่าไฟล์ของโทรจันถูกซ่อนไว้ ในการลบไฟล์ดังกล่าว ผู้ใช้จำเป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยคลิกที่ปุ่ม Organize เลือก Folder and search options คลิกที่แท็บ View แล้วคลิกที่ตัวเลือก Show hidden files, folder, and drives




            จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่

            C:UsersadminAppDataLocalTempfvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes)
            C:UsersadminAppDataRoamingKB00695775.exe (ชื่อไฟล์ KB ตามด้วยหมายเลขสุ่ม 8 ตัว)
            C:UsersadminAppDataLocalTempPOSDDA1.tmp
            C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT
            C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT

            หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ติดโทรจันแล้ว

วิธีการแก้ไข

            หากพบว่ามีไฟล์ของโทรจันอยู่ในเครื่อง อาจไม่สามารถลบไฟล์ดังกล่าวได้ด้วยวิธีปกติ เนื่องจากโทรจันกำลังเรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำได้โดยการ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows

วิธีการป้องกัน

            1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลดและถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชั่นล่าสุด พบว่าจะมีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูป หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน





            2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บบราวเซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย ดังรูปที่ 6 และ 7 ไม่ควรเข้าใช้งานเว็บไซต์นั้น







            3. หากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บบราวเซอร์