แกะรอยหาคนทำ Phishing Website ของ SCB

     สวัสดีครับทุกท่าน วันนี้ผมจะมาเล่าประสบการณ์แกะรอยคนทำ Phishing Website ของ SCB ครับ สืบเนื่องจากเมื่อเช้า ผมได้รับโทรศัพท์จากพี่ที่รู้จักท่านนึงโทรมาบอกว่า "เฮ้ย! มีมาอีกแล้วหวะ อีเมล์หลอกเอารหัสเข้าใช้งาน scbeasy ของ SCB จะแก้เผ็ดมันยังไงดีเนี่ย หาต้นตอให้หน่อยดิว่ามันมาจากไหน" ทันทีที่ได้ยินคำนี้หัวใจเริ่มเต้นแรง อะดรีนาลีนเริ่มสูบฉีด พร้อมกับปากที่ตอบไปว่า "Challenge accepted" โดยที่สมองไม่ต้องคิดไตร่ตรอง ๕๕๕ ก็เลยให้พี่เค้าส่งเมล์มาให้ทีว่าได้รับแบบไหนมา
     ในไม่ช้าอีเมล์ก็มาถึง จึงได้รีบเปิดเมล์เข้าไปทันที ผลที่ได้ก็คือ เป็นเมล์หลอก บอกแนว ๆ ว่าแอคเค้าของเราไม่ปลอดภัยให้ทำการยืนยันตัวตน และก็แนบลิงค์มา เป็นลิงค์ของ SCB หากมองเผิน ๆ ก็ไม่มีอะไร แต่พอเอาเมาส์ไปชี้ที่ลิงค์เท่านั้นแหละ โอ้วววววว ปรากฏว่าลิงค์ที่ ref ไปจริง ๆ ไม่ใช่เว็บของ SCB แต่ดันเป็นเว็บของ "bit.do/PshY"

     เมื่อเห็นลิงค์ที่มันแปลกปลอม อย่ารอช้ารีบกดเข้าไปลองของทันที และผลที่ได้ก็คือหน้าเว็บล็อกอินของ SCB ซึ่งเหมือนกันเป๊ะ ๆ ยังกับ ctrl+u > ctrl+a > ctrl+c > ctrl+v เลยทีเดียว

     จะเห็นได้ว่าพอเข้าลิงค์ไปปุ๊ป มันก็จะลิงค์ไปที่เว็บ "gallant.ge" ในทันที ซึ่งไม่ใช่เว็บจริงของ scbeasy ทีนี่ก็ชัวร์ 100% ละว่าเป็น Phishing Website แน่นอน ก็เลยจัดการขอดู code หน่อยซิ ว่ากด Login ละจะไปไหนต่อ ฮิฮิ

     เมื่อไล่ code ไปเรื่อย ๆ ก็พบว่าเมื่อกด Login นั้นมันจะพาไปที่ mysql.php ทันทีที่มีลายแทงจะรอช้าอยู่ไย รีบหาทันทีว่าไฟล์ mysql.php อยู่แห่งหนใด เลยลองไล่ Path ของเว็บจนไปเจอว่ามีไฟล์อะไรบ้างที่ทำงานกับ Phishing Website หน้านี้

     ทันทีที่เห็นก็เลยพยายามที่จะเปิดไฟล์ mysql.php ให้ได้ แต่ปรากฏว่า php มันจะทำการรันบน server เมื่อกดเข้าไปจะไม่เห็นอะไรเลยในนั้น ประจวบเหมาะกับการเริ่มเอะใจว่าคนทำเว็บปกติที่ไหน จะเอาไฟล์มาไว้ใน Path ที่ลึกขนาดนี้ และเป็น Path การทำงานของเว็บไซต์ นอกซะจากว่าโดนแฮกเข้ามา แล้วคนที่ทำ Phishing Website นั้นเอาไฟล์เข้ามาแอบวางไว้ เพื่อที่คนจะได้ตามไม่เจอ ก็เลยลองไล่ดูว่าเว็บนี้มันโหว่ตรงไหนหว่าาาา ทำไมมีคนแอบเอาไฟล์มาวางได้

     โป๊ะเชะ!!!! เจอไฟล์ของคนที่แฮกเข้ามาแล้วไม่ได้ลบทิ้งไว้ จากสันนิษฐานที่ว่าเว็บนี้โดนแฮก จึงได้ผลสรุปว่าเว็บนี้โดนแฮคจริง ๆ ก็เลยขออนุญาติแอบใช้ไฟล์ที่แฮกเกอร์ลืมทิ้งไว้ดึงไฟล์ของ Phishing Website มานะ อิอิ ,,, พอทำการดึงไฟล์ออกมาเก็บไว้เสร็จเรียบร้อย ก็ไม่รอช้า ทำการเปิดไฟล์ mysql.php ซะ

     แหม่... พอเปิดไฟล์นี้ได้เท่านั้นแหละ เห็นทันทีเลยว่าเมื่อเรา Login ผ่านหน้า Phishing Website เรียบร้อยแล้วมันจะส่งไปไหน ซึ่งที่มันจะส่งไปก็คือเจ้าของเมล์ที่อยู่บรรทัดที่ 14 และ 20 นั่นเอง ซึ่งสิ่งที่มันส่งไปด้วยนั้น ประกอบไปด้วย User, Password, Date และ Host เมื่อทำการส่งเสร็จแล้วจะพาเราไปหน้าที่ชื่อว่า login09.html ,,, พอได้ลายแทงขั้นต่อไป ไหนนนนขอตามไปดูหน่อยซิว่ามันยังไงต่อไป

     อ้ออออ พามาหน้านี้ ให้กรอกเบอร์มือถือ กับเลือกว่ามือถือเราเป็นระบบปฏิบัติการอะไร หน้านี้ไม่มีอะไรมาก ก็เลยทำการขอดู code หน่อยซิว่าไปไหนต่อ

     เหมือนเดิมครับ code ไม่มีอะไรมาก แต่หน้านี้ลิงค์ไปไฟล์อันใหม่คือ mysq.php และในเมื่อเรามีไฟล์ทั้งหมดอยู่ในมือเราแล้ว หุๆ จัดการเปิดมันซะเลยยย อยากรู้จริง ๆ ว่าข้างในจะมีอะไร

     code ที่มี ก็ไม่ต่างจากไฟล์ mysql.php เท่าไหร่ แค่เปลี่ยนการส่ง User กับ Password ไปเป็น เบอร์มือถือกับระบบปฏิบัติการ และก็ส่งไปที่อีเมล์เดิม เมื่อส่งเสร็จแล้วก็จะพาไปหน้า success.html

     เมื่อเรากรอกข้อมูล Login ทั้งหมดไม่ว่าจะถูก หรือจะผิด มันก็จะไม่มีการตรวจสอบว่าที่ใส่มามั่วหรือไม่ กรอกไปเรื่อย ๆ จนครบ มันก็จะพามาที่หน้า Success นี้อยู่ดี ,,, ไหน ๆ ก็แกะ code ของคนทำ Phishing Website นี้ได้แล้ว ลองทำอะไรเล่นดีกว่า

     แก้นู้นนิด แปะนี่หน่อย นี่แหนะ อยากได้ข้อมูลมากนักใช่มั้ย จัดให้ เอาไปเลยแสปม 10,000 ฉบับ ฮา ๆ เอาให้ inbox เละกันไปเลยทีเดียว . . . จบบริบูรณ์ กับการแกะรอยหาคนที่ทำ Phishing Website ของ SCB

ป.ล. ฝากถึงคนทำเว็บไซต์ทุกท่านว่า พัฒนาเว็บไซต์แต่ละครั้ง อย่าลืมเช็คของโหว่ของเว็บท่านด้วย มิเช่นนั้นอาจมีคนมาฝากไฟล์ไว้ในเว็บเราได้ เราอาจจะกลายเป็นคนผิดไปในทันที

ป.ล. ฝากถึงผู้ใช้งานอินเตอร์เน็ตทุกท่านเวลาทำธุรกรรมทางการเงินโปรดสังเกตุแถบ address bar นิดนึงว่ามันเป็นเว็บของธนาคารที่เราจะทำธุรกรรมนั้นจริง ๆ หรือไม่

ป.ล. ฝากถึงคนที่ทำ Phishing Website ว่าอย่าทำเลยครับมันทำให้คนอื่นเดือดร้อน และเสียเวลาในการดำเนินการเอาเงินคืนครับ แถมคนที่ทำยังอาจโดนจับได้ด้วยนะ ผมว่าสมัยนี้ตามตัวกันไม่ยากเท่าไหร่ครับ