posttoday

เตือนเว็บข่าวถูกฝังไวรัสหลอกโหลดแอนตี้ไวรัสปลอม

14 มิถุนายน 2556

ไทยเซิร์ตเตือนเว็บสำนักข่าวถูกเจาะระบบฝังโทรจัน หลอกดาวน์โหลดโปรแกรมป้องกันไวรัสปลอมขโมยรหัสเข้าธนาคารออนไลน์ "โพสต์ทูเดย์"ยืนยันเว็บไซต์มีความปลอดภัย

ไทยเซิร์ตเตือนเว็บสำนักข่าวถูกเจาะระบบฝังโทรจัน หลอกดาวน์โหลดโปรแกรมป้องกันไวรัสปลอมขโมยรหัสเข้าธนาคารออนไลน์ "โพสต์ทูเดย์"ยืนยันเว็บไซต์มีความปลอดภัย

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้แจ้งเตือนว่า  ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำนักข่าวหลายแห่งในประเทศไทยได้ถูกเจาะระบบเพื่อฝังไวรัสโทรจันที่โจมตีผ่านช่องโหว่ของโปรแกรม Java ที่อยู่ในเครื่องคอมพิวเตอร์ ซึ่งโทรจันนี้สามารถถูกติดตั้งลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันทีที่เข้าเว็บไซต์ดังกล่าว

เมื่อไวรัสโทรจันถูกติดตั้งลงเครื่องคอมพิวเตอร์ก็จะมีการตรวจสอบการใช้งานเบราว์เซอร์ เมื่อพบว่าเจ้าของเครื่องล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย โทรจันจะแทรกลิงค์สำหรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือโดยอ้างว่าเพื่อดาวน์โหลดซอฟต์แวร์ป้องกันไวรัส หากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำหรับดาวน์โหลดแอปพลิเคชันในระบบปฏิบติการแอนดรอยด์ส่งมาที่โทรศัพท์มือถือ โดยจุดประสงค์ของแอพพลิเคชันดังกล่าวนี้คือดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ธนาคาร

ทั้งนี้ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำงานของโทรจันจะเข้าไปแก้ไขข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำให้การเชื่อมต่อแบบ HTTPS และข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร

ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำนักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงานกับหน่วยงาน CERT ในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำนักพิมพ์ในตอนที่ถูกเจาะระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้

สำหรับผลกระทบที่เกิดขึ้น ผู้ใช้ที่เข้าเว็บไซต์ของสำนักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าว อาจถูกติดตั้งมัลแวร์ลงในเครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถขโมยเงินจากธนาคารได้

ขณะที่ระบบปฏิบัติการที่ได้รับผลกระทบและเสี่ยงต่อการติดไวรัสมีดังนี้

ระบบปฏิบัติการ Windows ที่ติดตั้ง Java Internet Explorer

โทรศัพท์มือถือหรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android

ผู้ที่เข้าใช้งานเว็บไซต์สำนักข่าวในประเทศไทยที่ถูกฝังโทรจัน ในวันที่ 12 - 13 มิ.ย. 2556  (หรืออาจรวมถึงช่วงก่อนหน้านั้น)  ทั้งนี้ ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ อาทิ โครม, ไฟร์ฟ็อกส์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัย รวมทั้งหากเครื่องของผู้ใช้ไม่มีความจำเป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำงานของ Java ในเว็บเบราว์เซอร์

อย่างไรก็ตามสำหรับ เว็บไซต์โพสต์ทูเดย์ ทีมงานได้มีการติดตาม ตรวจสอบรวมทั้งป้องกันการเจาะระบบ และการฝังไวรัสดังกล่าวในระบบของเว็บไซต์อย่างต่อเนื่อง และขณะนี้ยังไม่พบว่ามีการเจาะระบบและการฝังไวรัสแต่อย่างใด โดยโพสต์ทูเดย์ยืนยันว่าการเข้าใช้งานเว็บไซต์มีความปลอดภัย

สำหรับวิธีป้องกันและแก้ไขโดยละเอียดสามารถอ่านได้ที่ลิงคนี้

https://thaicert.or.th/alerts/user/2013/al2013us008.html