รายงานเรื่อง: การโจมตีอีเมล์ด้วยรูปแบบแนบไฟล์ .zip ซึ่งเป็น malware ฝังไว้บันเครื่องคอมฯ
รูปแบบการโจมตี
มีการส่งเมล์โดยปลอม hearder From name พร้อมทั้งแนบไฟล์ .zip หากผู้รับเมล์ไม่ระวังหรือมีการกด Extract file .zip เท่ากับการรัน malware ลงบนเครื่องคอมฯ
การทำงานของ malware
ณ ตอนนี้ malware มีผลกับคอมฯที่ใช้งานโปรแกรม Outlook, Thunderbird ตัว malware ที่อยู่บนเครื่องคอมฯจะได้ข้อมูล ดังนี้
– user password ของบัญชีที่แอดลงบนโปรแกรม Outlook, Thunderbird
– ชื่อบัญชี From, Recipient, Data หรือข้อมูลอีเมล์ทั้งหมดทุกฉบับ
malware นำข้อมูลที่ได้ออกไปส่งจาก hosting ต่างประเทศโดยเปลี่ยน From name ให้ตรงกัน แต่ sender จริงจะเป็นคนละชื่อ [From name กับ sender From ไม่ตรงกัน]
หากผู้รับ Company-A มีการกด Extract file .zip จะเป็นการรัน malware ลงบนเครื่องคอมฯ malware ตัวนี้จะได้ข้อมูลอีเมล์ทั้งหมดบนเครื่องคอมฯของ Account@Company-A และทำการส่งเมล์ออก เป็นลูปไม่สิ้นสุด
ระบบป้องกัน Email Security
Auto detect
ระบบ Email security มีการอัพเดท antivirus ทุกวัน ช่วงที่ผ่านมามีการป้องกันเมล์มีไฟล์แนบ .zip [malware] ไว้เป็นจำนวนมาก แต่มีเมล์บางส่วนที่หลุดออกไปถึงผู้รับได้เนื่องด้วยมีการเปลี่ยนรูปแบบการ Encryption ต้องรอการอัพเดทของ Email security จึงป้องกันเมล์ใหม่ๆได้ดีขึ้น
Manual detect
ไม่สามารถบล๊อก sender, From name ได้ทั้งหมด แต่ละเมล์ที่ส่งเข้ามาจะเปลี่ยนชื่อผู้ส่งและส่งจาก hosting ไม่ซ้ำกัน
วิธีการป้องกันได้ดีที่สุด คือ กำชับบอกผู้ใช้งานอีเมล์ห้ามกดลิงค์หรือ Extract file จากผู้ส่งที่ไม่รู้จัก
ตัวอย่าง
จากเว็บเมล์ กด show details เพื่อแสดงชื่อผู้ส่งและข้อมูลอื่นๆในส่วน header Mail
From name กับ sender From ไม่ตรงกัน [ไม่เสมอไป ในอนาคตอาจมีการเปลี่ยนรูปแบบ]
สิ่งที่ต้องสังเกต คือ sender เป็นบุคคลที่เคยติดต่อหรือไม่, ไฟล์แนบไม่ว่าจะเป็น .zip, .doc หรืออื่นๆระวังในการเปิดดู
