สำรวจมัลแวร์, ฟิชชิ่ง และสแปม ภัยร้ายคอมพิวเตอร์รายวัน

รายงานผลการตรวจจับไวรัสในรอบเดือนกรกฎาคมนี้ พบว่ามีความแตกต่างกันระหว่างปี 2547 และ 2548 เพราะในปีนี้มีการตรวจพบโทรจันในรูปของสปายแวร์มากถึง 22% ขณะที่ในช่วงเวลาเดียวกันของปีก่อนหน้านี้ไม่พบ และจำนวนโทรจันทั่วไปของปีนี้ยังมีสัดส่วนที่เพิ่มสูงขึ้นด้วยจำนวน 36% ขณะที่หนอนพบเพียง 26% ทั้งที่ความจริงแล้วเมื่อปีที่แล้วหนอนครองแชมป์ด้วยจำนวน41% อย่างไรก็ตามจำนวนหนอนและโทรจันยังคงมีสัดส่วนมากกว่าครึ่งของการตรวจจับทั้งหมด

แนวโน้มมัลแวร์รายวัน
กลายเป็นเรื่องปกติไปแล้วสำหรับการได้รับอีเมล์ลวงจากผู้ที่ไม่ประสงค์ดี ซึ่งต้องการขโมยข้อมูลส่วนตัวของผู้ใช้ อาทิ รหัสผ่าน หมายเลขบัญชี และข้อมูลสำคัญอื่น ๆ ตลอดจนการมาถึงของเทคโนโลยีโทรศัพท์มือถือ
ยุคที่ 4 จึงไม่ใช่เรื่องยากอีกต่อไปที่คนแปลกหน้าจะสามารถขโมยไฟล์ข้อมูลผ่านบลูทูธ

ฟิชชิ่ง หัวขโมยข้อมูล
แม้ดูเหมือนว่า ฟิชชิ่ง (phishing) และ ฟาร์มมิ่ง (pharming) ดูไม่ใช่ภัยร้ายแรงด้านอาชญากรรมไอที แต่เชื่อหรือไม่ว่าทั้งสองกรณีถือเป็นตัวปัญหาที่กำลังมาแรงอย่างที่สุด ย้อนกลับไปเมื่อเดือนกรกฎาคม 2546 เอฟบีไอถึงกับประกาศเตือนว่าฟิชชิ่งเป็น “ภัยร้ายบนอินเทอร์เน็ตที่กำลังมาแรง และสร้างปัญหาอย่างมาก” จากข้อมูลของกลุ่มต้านฟิชชิ่ง (เอพีดับบลิวจี) คาดว่าในแต่ละวันมีอีเมล์ฟิชชิ่งส่งเข้าไปลวงผู้ใช้คอมพิเตอร์มากถึง 75-150 ล้านฉบับ

การโจมตีของฟิชชิ่งจะใช้เทคนิควิศวกรรมด้านสังคมหลอกให้เหยื่อหลงเชื่อ และป้อนข้อมูลส่วนตัวผ่านทางออนไลน์ ฟิชชิ่งจึงมักมาในรูปแบบของการปลอมแปลงอีเมล์คล้ายสแปมและส่งไปยังผู้ใช้คอมพิวเตอร์ รวมทั้งสร้างเว็บไซต์ปลอมขึ้นมา เพื่อหลอกลวงให้เหยื่อหรือผู้รับอี-เมล์เปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ และ รหัสผ่าน หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่นๆ โดยเทรนด์ ไมโครแจ้งว่า ในแต่ละวันบริษัทได้รับอีเมล์ฟิชชิ่งใหม่ราว 300-600 ฉบับ

อายุขัยแสนสั้น
ยูอาร์แอล หรือลิงค์ในอีเมล์ที่เชื่อมต่อไปยังเว็บไซต์ลวงของฟิชชิ่ง จะมีชีวิตอยู่เพียง 48-52 ชั่วโมง
เจมี ลินดอน ยาเนซ่า ที่ปรึกษาอาวุโสฝ่ายต้านไวรัสของเทรนด์ ไมโคร บอกว่าสาเหตุที่มีอายุขัยสั้นก็เพราะ “คนเขียนฟิชชิ่ง ไม่ต้องการให้ถูกตรวจจับและสังเกตได้โดยง่าย เพราะการปิดตัวเองในเวลาอันสั้น จะทำให้พวกเขาหลีกเหลี่ยงการติดตามได้” โดยเฉลี่ยแล้วอายุขัยของยูอาร์แอลฟิชชิ่งที่ยาวนานที่สุดจะอยู่ที่ราว 5.8 วัน

แนวโน้มและเทคนิค
ฟิชชิ่งจะใช้ถ้อยคำในอีเมล์ที่ทำให้เหยื่อหลงเชื่อและป้อนข้อมูลออกมา อาทิ “หมายเลขบัตรเครดิตของคุณจะถูกยกเลิก” หรือ “เราพบความผิดปกติเกี่ยวกับบัญชีของคุณ” นอกจากนี้ ยังมีเทคนิคตบตาเหยื่อโดยที่ผู้ใช้ไม่ต้องใส่ข้อมูลเลขบัญชีใดๆ อีกต่อไป เพียงคลิกยูอาร์แอลที่ให้มาก็พอแล้ว เช่น “บริษัทไม่ต้องการให้คุณป้อนข้อมูลใดๆ แค่คลิกลิงค์ข้างล่างนี้ อีเมล์ของคุณก็จะถูกยืนยันโดยอัตโนมัติ” เมื่อข้อมูลไม่ได้ถูกให้ไป ผู้ใช้มักจะคิดว่าไม่น่าจะเสี่ยงอะไรนัก แต่การคลิกลิงค์ที่ ให้มา นั่นหมายความว่า มัลแวร์ทำงานแล้ว สามารถขโมยข้อมูลได้ในทันที

ตัวอย่างเช่น WORM_BROPIA และ TSPY_BANCOS เป็นมัลแวร์ในตระกูลฟิชชิ่ง โดย BROPIA เป็นหนอนที่แพร่ระบาดผ่านทางบริการสนทนาออนไลน์ โดยจะส่งลิงค์ไปยังบัญชีรายชื่อเพื่อนของเหยื่อ และลวงว่าลิงค์ที่ให้มานี้ เป็นเว็บไซต์ภาพลามก ขณะที่ BANCOS มาในรูปของสปายแวร์โทรจัน ซึ่งจะนอนรอในเครื่องของเหยื่อ จนกระทั่งเหยื่อเข้าไปใช้บริการธนาคารออนไลน์ จากนั้นโทรจันก็จะขโมยข้อมูลออกมา

ฟิชชิ่ง, ฟาร์มมิ่ง
ทั้งสองรูปแบบมีแนวคิดเหมือนกัน ต่างกันตรงที่ฟิชชิ่งจะตกเบ็ดเหยื่อรายบุคคล แต่ฟาร์มมิ่งจะโจมตีแบบหว่านแห โดยพุ่งเป้าไปที่แม่ข่ายดีเอ็นเอส ด้วยการเปลี่ยนลิงค์เว็บไซต์ไปยังเว็บไซต์ปลอมอย่างผิดกฎหมาย โดยมีเจตนาขโมยข้อมูลส่วนตัวของผู้ใช้ อาทิ รหัสผ่าน หมายเลขบัญชี และข้อมูลสำคัญอื่นๆ ทันทีที่ผู้ใช้พิมพ์ยูอาร์แอลของเว็บไซต์จริงลงไป ระบบจะลิงค์ไปที่เว็บไซต์ปลอมแทน และผู้ใช้อาจจะถูกหลอกให้เปิดเผยข้อมูลส่วนตัวได้อย่างง่ายดาย

สแปม: อีเมล์น่ารำคาญ
จากข้อมูลที่มีพบว่า สแปมเมล์ก่อความรำคาญใจให้กับพลเมืองชาวเน็ตกว่า 80% ผลกระทบโดยตรงที่เกิดขึ้นจาก สแปมก็คือมีการใช้ทรัพยากรจำนวนมหาศาล ไม่ว่าจะเป็นการแย่งช่องสัญญาณและพื้นที่จัดเก็บอีเมล์ ขณะที่ประสิทธิผลในการทำงานของคนก็ลดลงด้วย เพราะต้องคอยมานั่งรับมือกับสแปมที่ส่งตรงมายังตู้จดหมายอิเล็กทรอนิกส์ทุกเช้า การกำจัดอีเมล์ที่ไม่ต้องการถือเป็นเรื่องน่าเบื่อ และเสี่ยงอย่างมาก หากบางคนพยายามลบอีเมล์ในตู้ทั้งหมดในคราวเดียวเพื่อประหยัดเวลา

ในช่วงหลายเดือนที่ผ่านมา สแปมยังคงออกอาละวาดในหลากหลายรูปแบบและหลายภาษา มีทั้งเป็นภาพลามก การเงิน หรือการค้าขายผลิตภัณฑ์ต่างๆ และดูเหมือนว่าการแพร่ระบาดของสแปมใหม่ไปพุ่งเป้าไปที่จีนและสหรัฐเป็นเป้าหมายหลัก เพราะทั้งสองประเทศมีภาษาที่ได้รับการใช้งานมากที่สุดในโลก

มัลแวร์โจมตีอุปกรณ์บลูทูธมากขึ้น
ในรอบเดือนกรกฎาคม บริษัทตรวจพบมัลแวร์ใหม่ 3 ตระกูล และมี 5 สายพันธุ์ ซึ่งพุ่งเป้าโจมตีระบบปฎิบัติการ
ซิมเบียนผ่านบลูทูธโดยตรง ได้แก่ SYMBOS_SKUDOO.A และ B, SYMBOS_SKULLS.N, SYMBOS_DOOMED.A, และ SYMBOS_CADMESK.A. ทั้งหมดถูกจัดให้อยู่ในตระกูลใหม่ ได้แก่ SKUDOO, CADMESK, และ DOOMED

เริ่มจาก SYMBOS_DOOMED จะหลอกผู้ใช้ว่าเป็นตัวถอดรหัส (แคร็ก) เกมยอดนิยม Doom II เมื่อเหยื่อหลงเชื่อ และติดตั้งลงไปในเครื่อง กลับไม่พบว่าช่วยให้การเล่นเกมมีประสิทธิภาพขึ้นแต่อย่างใด กลายเป็นว่ามีไฟล์บางอย่างที่ถูกปล่อยไว้ในเครื่องแทน นั่นคือ SYMBOS_COMMWAR.B มีผลทำให้ช่องทางสื่อสารของบลูทูธในโทรศัพท์ที่ติดเชื้อติดขัด สิ่งที่น่าสนใจคือมัลแวร์เหล่านี้ ไม่ได้แสดงอาการใดๆ ให้เหยื่อรู้ตัวว่าติดเชื้อแล้ว ต่างจากมัลแวร์ซิมเบียนอื่นๆ ที่จะแสดงผลออกมาให้เห็นผ่านทางจอมือถือเลย

ขณะที่สายพันธุ์ SYMBOS_CADMESK จะเป็นตัวทิ้งโทรจันหรือมัลแวร์หลายๆ ตัวไว้ในเครื่อง แม้จะไม่กระทบต่อเครื่องโดยตรง แต่ถือเป็นบททดสอบด้านเทคนิคที่ SKUDOO ก็ใช้หลักการเดียวกัน

มัลแวร์ชนิดพิเศษ
บริษัทตรวจพบมัลแวร์ชนิดพิเศษที่ไม่ได้พุ่งเป้าโจมตีรายวันเหมือนมัลแวร์ชนิดอื่น แต่มาในรูปของการใช้ประโยชน์เหตุการณ์ร้ายแรงในโลกปัจจุบัน หรืออาศัยกระแสนิยมบางอย่าง ทำให้เหยื่อเข้าใจผิดได้ง่าย
TROJ_DONBOMB.A : อาศัยเหตุการณ์โศกสลด

ทันทีที่เกิดเหตุระเบิดในกรุงลอนดอนเมื่อวันที่ 7 กรกฎาคม 2548 ในวันต่อมามีหลายคนได้รับอีเมล์ที่จั่วหัวว่า “TERROR HITS LONDON” ซึ่งลวงว่ามาจากสำนักข่าวซีเอ็นเอ็น สิ่งนี้กระตุ้นความอยากรู้อยากเห็นของผู้คน ไม่ต้องมีรายละเอียดอะไรมากมาย เพียงแค่นี้เหยื่อก็หลงเชื่อเปิดอีเมล์ และไฟล์แนบท้ายกันแล้ว TROJ_DONBOMB.A เป็นโทรจันที่มาพร้อมกับอีเมล์กระตุ้นความอยากรู้ของคน ถือเป็นเทคนิควิศวกรรมด้านสังคมที่มีประสิทธิภาพสูงอย่างมาก

ไอทูนส์เพื่อคนรักเสียงเพลง
ข้อความจากโปรแกรมสนทนาออนไลน์ที่บอกให้ไปดาวน์โหลดไฟล์ ITUNES.EXE มาติดตั้งได้ฟรี ฟังดูแล้วน่าสนใจ แต่จริงๆ ไม่ได้มาจากบริษัท แอปเปิล คอมพิวเตอร์ อิงค์. เจ้าของเครื่องเล่นเพลงไอพ็อดยอดนิยม และสถานีเพลิงออนไลน์ไอทูนส์ แต่เป็นหนอน WORM_OPANKI.Y สายพันธุ์เดียวกับ OPANKI ที่แพร่ระบาดทางบริการสนทนาออนไลน์เช่นกัน ภัยครั้งนี้อาศัยโปรแกรมสนทนาออนไลน์ เอโอแอล อินสแตนท์ เมสเซ็นเจอร์ (เอไอเอ็ม) เป็นตัวกลางในการส่งข้อความไปทักทายเพื่อนในบัญชีรายชื่อว่า “this picture never gets old” พร้อมแนบยูอาร์แอลมาให้ด้วยสำหรับใช้ดาวน์โหลด ITUNES.EXE

เมื่อ WORM_OPANKI.Y ทำงาน จะทำการดาวน์โหลดโปรแกรมแอดแวร์ มาติดตั้งในเครื่องคอมพิวเตอร์ ถือเป็นการใช้ความไว้เนื้อเชื่อใจของโปรแกรมสนทนาออนไลน์ และความนิยมในเครื่องเล่นไอพ็อด มาทำให้เกิดเทคนิควิศวกรรมด้านสังคมขึ้นมา

JAVAPRXY.DLL: ช่องโหว่ไออีใหม่
JAVAPRXY.DLL เป็นช่องโหว่หมายเลข MS05-037 ในโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ (ไออี) ของไมโครซอฟท์ ทำให้ผู้โจมตีสามารถเข้ามาควบคุมเครื่องที่ติดเชื้อได้โดยตรง และ JS_JAPROXY.A เป็นมัลแวร์ตัวแรกที่ใช้ประโยชน์ช่องโหว่นี้ ซึ่งการใช้ประโยชน์จากช่องโหว่ดังกล่าว มักจะเป็นการนำพาไปยังหน้าเวบพิเศษที่ส่วนใหญ่จะเป็นเว็บไซต์ลามกซะมาก

Rootkits: ชุดมัลแวร์อรรถประโยชน์
คำจำกัดความของ rootkit น่าจะเป็นชุดเครื่องมือ (โปรแกรม) ที่ผู้ประสงค์ร้ายใช้กำบังกายยามบุกรุก เพื่อให้ได้มาซึ่งการเข้าถึงคอมพิวเตอร์หรือเระบบครือข่ายคอมพิวเตอร์เทียบเท่ากับระดับผู้ดูแล ชุดเครื่องมือดังกล่าวสามารถถูกใช้ได้ในหลายวัตถุประสงค์ อาทิตรวจจับการจราจรข้อมูล การสร้างประตูหลังในระบบ และโจมตีเครื่องอื่นๆ ที่อยู่ในเครือข่ายเดียวกัน รวมทั้งแก้ไขล็อกไฟล์ และเครื่องมือป้องกันของระบบเพื่อหลีกเลี่ยงการตรวจจับ

มัลแวร์สามอันดับแรก
WORM_NETSKY.P มาแรงเป็นที่หนึ่ง ตรวจพบเมื่อเดือนตุลาคม 2547 ขณะที่ HTML_NETSKY.P และ JAVA_BYTEVER.A ครองอันดับ 2 และ 3 ตามลำดับ พบเมื่อเดือนมกราคม 2548 และในเดือนกรกฎาคม 2548 ทั้งสามยังอยู่ในข่ายมัลแวร์ยอดนิยมสามอันดับแรกอยู่

ความสงบที่กำลังก่อหวอด
อีกครั้งแล้วที่บริษัท เทรนด์ ไมโคร พบว่าความเงียบสงบของไวรัสในรอบเดือน ไม่ได้หมายความว่าสถานการณ์จริงจะเป็นเช่นนั้น เพราะภัยครั้งใหญ่ที่ไม่คาดคิดกำลังจะเกิดขึ้นตามมา

แม้ในรอบเดือนกรกฎาคมที่ผ่านมาจะไม่มีการประกาศเตือนภัยไวรัส แต่ใช่ว่าสถานการณ์จะเงียบสงบ จากการสังเกตในช่วงหลายปีก่อนหน้านี้ พบว่าการไม่มีสัญญาณเตือนภัยไวรัสนานหลายเดือน มักหมายถึงการแพร่ระบาดชุดใหญ่กำลังจะเกิดขึ้น

เมื่อไตรมาสที่แล้ว มีการประกาศเตือนไวรัส 6 ครั้งในเดือนพฤษภาคม หลังจากไม่มีการเตือนภัยเลยเมื่อเดือนเมษายน เช่นเดียวกับปี 2546 ที่ไม่มีการกล่าวเตือนใดๆ แต่ในเดือนต่อมาก็ตรวจพบไวรัสในจำนวนมาก ทำให้พิสูจน์ได้ว่าทฤษฎีก่อหวอดนี้เป็นเรื่องจริง
แม้การตรวจพบไวรัสในเดือนมิถุนายน 2548 จะลดลงไปอยู่ที่ 893 ครั้ง แต่แนวโน้มของการตรวจพบกำลังจะเพิ่มขึ้นแน่นอน เห็นได้จากข้อมูลของปี 2547 อย่างไรก็ตาม สัดส่วนของไวรัสที่ตรวจพบมากขึ้นนี้ ส่วนหนึ่งเป็นผลมาจากการเข้าถึงอินเทอร์เน็ตของประชากรโลกที่เพิ่มขึ้น