E-mail อาบยาพิษ

เทรนนิ่ง
จุดประกายโดย: เขียนเมื่อ 2014-12-27 13:43:18

 

e-mail หน้าตาแบบนี้ ไหลเข้ามาใน Spam folder หรือ Junk box เราไม่แน่ใจว่า ของจริง หรือขอเก๊ จะแน่ใจได้อย่างไร จะเปิด e-mail นี้ดูได้อย่างไรให้ปลอดภัย ไม่โดนยาพิษที่แฝงมากับ e-mail
 
 
 
 
ไม่รู้จักผู้ส่ง เนื้อหาไม่ใช่เรา อย่าเปิดอ่าน อย่าคลิกดู
 
Sender name ก็มีอยู่ที่ส่วนหัวของ e-mail ระบุชื่อผู้ส่งชัดเจน (จริงหรือปลอมก็ไม่รู้) ที่ด้านล่าง ก็มี website address แจ้งชื่อ Domain ชัดเจนอีกเหมือนกัน
 
ดังนั้น โดยสามัญสำนึกของเราในหน้าที่การงาน อะไรที่ไม่เกี่ยวกับงาน ก็อย่าเปิด ไม่ต้องเสียดาย ไม่ต้องสงสัย หยุดความอยากรู้อยากเห็น ลบทิ้งได้เลย
 
เห็นกล่องกระดาษวางอยู่หลังป้ายรถเมล์ ไม่ใช่ของเรา ของใครก็ไม่รู้ คุณคงไม่อยากลองเปิดกล่องนั้น และคงสงสัยไว้ก่อนว่า กล่องนี้มันจะตูมขึ้นมาเมื่อไหร่ หลักการเดียวกันกับ e-mail ผู้ส่งไม่รู้จัก เนื้อหาไม่ได้เกี่ยวกับเรา ลบได้เลย อย่าไปแตะ
 
 
 
CryptoLocker ตัวร้ายที่เข้ารหัสข้อมูลแล้วเรียกค่าไถ่ บีบคอเราให้จ่ายเพื่อซื้อกุญแจมาถอดรหัสข้อมูลของเรากลับคืนมา CryptoLocker เข้ามาแผลงฤทธิ์ในเครื่องของเราได้ ก็ติดกันทาง e-mail ด้วย Attach file ง่าย ๆ นี่แหละครับ  และความอยากรู้อยากเห็นก็สร้างความวิบัติมานักต่อนักแล้ว
 
 
ภาพหนึ่งภาพ แทนคำพูดนับพัน
 
 
การตรวจจับ Spam mail รุ่นก่อน ๆ เรามักจะใช้วิธีการตรวจจับจาก คำ, ประโยค, link ที่อยู่ใน e-mail ด้วยเหตุนี้ ผู้ร้ายจึงหันมาส่ง e-mail อาบยาพิษด้วยภาพแทนที่จะใช้เป็นตัวอักษร
 
ภาพที่เห็นข้างบนนี้ คือสิ่งที่อยู่ใน e-mail ดูเหมือนเป็นตัวอักษร แต่จริง ๆ แล้ว เนื้อหาของ e-mail ทั้งหมดเป็นไฟล์ PNG ไฟล์เดียว เพื่อหลีกเลี่ยงการสแกน e-mail และตรวจจับคำพูด
 
 
เราไล่จับ e-mail วิธีไหน คนร้ายก็จะหาทางหนีอยู่ร่ำไป Spam engine ก็ต้องมีการปรับปรุงหรือโละใหม่ทุก ๆ 2-3 ปี ไม่งั้นก็ตกยุคและสกัดสิ่งเลวร้ายออกจากระบบไม่ได้
 
 
เห็น link...ไม่ชัวร์อย่าคลิก
 
 
 
บางที e-mail ที่เราได้รับ ก็มีความคล้ายว่า อาจจะเป็นคนที่สนใจสินค้า ถามเข้ามาเพราะอยากได้ Quotation หรือหน้าตาคล้าย ๆ กับมีใครส่ง PO มาให้กับเรา ครั้นจะลบ e-mail นี้ทิ้งเลยก็ไม่ได้ มีความจำเป็นจะต้องเปิด e-mail นี้ขึ้นมาอ่าน
 
ต่อไปนี้ คือวิธีเปิด e-mail ต้องสงสัยอย่างปลอดภัย ซึ่งคุณจะต้องระวังในทุก ๆ ขั้นตอนไม่แตกต่างจากงานกู้ระเบิด ตัดสายไฟผิดเส้น ตูมเดียวจอด
 
เริ่มจาก Link ใน e-mail ... อย่ากด การกด link จะทำให้ Browser ของคุณตื่นขึ้นมาทำงานและ Browse ไปยัง website เป้าหมาย ซึ่งอาจมี Malware รอจะกระโดดเข้าเครื่องของคุณอยู่
 
ให้ Copy link ไปตรวจสอบก่อน ที่นี่ VirusTotal
 
 
ย้ำอีกที...อย่าคลิก link
 
ถ้าผลการ Scan ด้วย VirusTotal แสดงว่าเป็น Clean site ก็ยังห้ามคลิก link ที่ e-mail อยู่ดี
 
อย่างเช่น link ด้านล่างนี้ แม้จะเขียนว่า http://www.yahoo.com แต่ถ้าคุณคลิกที่ link ด้านล่างนี้ สิ่งที่จะถูกเปิดขึ้นมาคือ www.hotmail.com
 
http://www.yahoo.com
 
แปลว่า link ที่คุณเห็นใน e-mail อาจจะไม่ใช่ link ที่คุณกำลังจะเปิด แสดง link เป็นอย่างหนึ่งแต่เบื้องหลังกลับชี้ไปอีกทีหนึ่ง เป็นวิธีการล่อลวงที่ใช้กันประจำ แล้วก็หลงกลกันเป็นประจำเช่นกัน
 
 
วิธีการเปิดดู link ใน e-mail อย่างปลอดภัยคือ อย่าคลิก แต่ให้ Copy text ของ Link นั้นไปแปะที่ Address box ของ Browser หรือไม่ก็เปิด Browser แล้วก็พิมพ์ Address ตามใน e-mail ซะเลย
 
 
Attached file เอาไงดี
 
 
 
เห็นไฟล์...อยากเปิดดู ต้องรู้ความเสี่ยง
 
เราสามารถจะ Save  attached file จาก e-mail มาไว้บน Desktop ได้อย่างปลอดภัย เพราะการ Save file ไม่ทำให้เกิด Execution และหากเครื่องของคุณมี Antivirus ทำงานอยู่ การ Save attached file ให้เป็นไฟล์บน Desktop ไฟล์นั้นก็จะถูกสแกนด้วย Antivirus ในเครื่องของเราก่อน 1 ครั้ง
 
 
Save file บน Desktop แล้ว "อย่าเปิด​" ให้ส่งไปสแกนที่ VirusTotal ก่อน ซึ่งไฟล์นี้จะถูกสแกนด้วย Antivirus หลายสิบ engine
 
 
 
 
สแกนไม่เจออะไร...แต่
 
เพราะเดี๋ยวนี้ Malware ที่ได้ผลดีที่สุด คือ Malware ตัวไหนก็ได้ ที่แพร่ในเน็ตในเวลาไม่นานกว่า 24 ชั่วโมง นั่นคือช่วงเวลาสำหรับ Antivirus ทุก ๆ ค่าย กำลังตรวจสอบและอัพเดต Signature ของตนให้พร้อมที่จะตรวจจับ Malware ตัวใหม่นั้น ไม่ว่า Antivirus นั้น จะทำงานแบบ Local บนเครื่องของคุณ หรือทำงานร่วมกับ Cloud database ก็ตาม
 
Antirivus ทุก ๆ ค่ายพยายามทำตัวเลข 24 ชั่วโมงนี้ให้สั้นลงให้มากที่สุด แต่ดูเหมือนว่า 24 ชั่วโมงยังคงเป็น "ชั่วโมงอันตราย" ที่ยังเป็นจริงอยู่
 
แปลว่า ใน 24 ชั่วโมงแรก Malware ส่วนใหญ่จะไม่มีใครรู้จัก 24 ชั่วโมงแรกคือนาทีทองสำหรับ Malware ในการแพร่กระจาย ฝังตัว ก่อความเสียหาย ทำลายข้อมูล ฯลฯ
 
ดังนั้น หากคุณได้รับ e-mail แปลก ๆ และจำเป็นจะต้องเปิด Attached file ที่มากับ e-mail แม้ Antivirus ที่เครื่องของคุณจะสแกนไม่เจออะไรบนไฟล์นั้น และคุณได้ส่งไฟล์นั้นไปที่ VirusTotal แล้ว สแกนด้วย Antivirus หลายสิบค่าย ก็ไม่เจออะไร ให้ดูเวลาที่ e-mail นั้นถูกส่งออกมาครับ
 
ผมแนะนำให้สแกน e-mail นั้นอีกทีหลัง 24 ชั่วโมงได้ผ่านไปแล้ว
 
ถ้าหลัง 24 ชั่วโมงไปแล้ว สแกนซ้ำก็ยังไม่พบอะไร ความเสี่ยงที่คุณจะเปิดเจอระเบิดก็น้อยลงไปมาก ความเสี่ยงลดลงไม่ได้แปลว่าปลอดภัย 100%
 
 
วิธีการเปิด e-mail ต้องสงสัย อย่างปลอดภัยที่สุด และเป็นวิธีที่มืออาชีพแนะนำ คือ "ถาม" ถามผู้ส่งเลยครับ คุณส่ง e-mail นี้มาหาผมใช่มั้ย คุณได้ส่ง Attached file ชื่อนี้มาให้ด้วยใช่มั้ย ที่เขียนใน e-mail ว่าจะให้โอนเงินเข้าบัญชีนี้ ผมขอทวนเลขบัญชีกับชื่อธนาคารกับคุณอีกที ฯลฯ ท้ายที่สุด การคุยกัน ตอบโต้กันด้วยวาจา หรือเจอหน้ากัน ยังคงเป็นวิธีที่ไว้วางใจได้มากกว่าวิธีทางอิเล็คทรอนิคส์
 
Spam ยุคใหม่ Malware สมัยใหม่ ต้องใช้เครื่องมือใหม่ ๆ
 
จะเห็นว่า ที่ Subject ของ e-mail อาบยาพิษที่ถูกยกขึ้นมาเป็นตัวอย่างในเรื่องนี้ มี Subject ว่า "SPAM: ***wgBULK*** RE: PO-847563/CARABINNS" ซึ่งคำว่า WgBULK แปลว่า e-mail นี้ ได้ผ่านการสแกนด้วย SpamBlocker ของ WatchGuard XTM และถูกตีตราที่ Subject ว่าเป็น Bulk sender (คือ e-mail ที่อาจจะยังไม่ถือว่าเป็น Spam แต่พบว่ามีการส่ง e-mail หน้าตาแบบนี้ออกมาเยอะมาก เยอะจนน่าสงสัย) และ Mail server เมื่อเห็น Subject มีคำว่า wgBULK จึงโยน e-mail นี้เข้าไปใน Junk box
 
การอ่าน e-mail แปลกปลอมที่อยู่ใน Junk box ก็ช่วยเพิ่มความระมัดระวังให้กับผู้ใช้มากยิ่งขึ้น
 
WatchGuard XTM ใช้ e-mail security engine สิทธิบัตรของ Cyren ที่เรียกว่า RPD - Recurrent Pattern Detection โดยอาศัยการวิเคราะห์ Internet transaction ที่วิ่งผ่าน Global View Cloud ของ Cyren กว่าพันล้าน transaction ต่อวัน e-mail หรือ Attached file ที่ถูกส่งออกมาจากหลาย Domain แต่หน้าตากลับเหมือนกัน นั่นคือความผิดปกติที่สามารถชี้ชัดได้โดยไม่ต้องอาศัย Signature หรือ Heuristic detection ว่า นั่นคือการระบาดของ Spam mail หรือ Malware
 
ทุก ๆ e-mail ที่วิ่งผ่าน XTM ไม่ว่าจะเป็นขาเข้าหรือขาออก Header ของ e-mail จะถูกส่งไปที่ Cyren cloud เพื่อตรวจสอบกับ RPD เปรียบเทียบความเหมือนกับ e-mail และ Attached file ที่กำลังแพร่ระบาดบนเน็ต ในขณะที่ RPD มีข้อมูลของการแพร่ระบาด (Recurrent Pattern) ที่เกิดขึ้นแทบจะ Real time 24 ชั่วโมงแรกที่เป็นนาทีทองของ Malware และ Spam e-mail ก็ทำไม่ได้แล้ว
 
 
แม้ Mail server ของคุณจะมี Spam engine อยู่แล้ว ลองตั้งคำถามว่า Spam engine หรือ Antivirus บน Mail server ของคุณ พร้อมจะรับมือกับ 24 ชั่วโมงแรกของ Spam mail หรือ Malware หรือไม่ และถ้าคุณคิดจะอัพเกรดระบบ WatchGuard XTM ถือเป็นการลงทุนที่คุ้มค่าที่สุด
 
 

ดาวน์โหลดเอกสาร

สินค้าที่เกี่ยวข้อง

For more information, feel free to contact us at 0-22479898 Ext 87,
E-Mail: marketing@optimus.co.th; Twitter: @optimus_th; Facebook: optimusthailand