วันนี้สดๆร้อน ประมาณบ่าย 2 มีเพื่อนใน Steam ทักมาแบบนี้
บอกให้ช่วยโหวดทีมใน CSGO หน่อย อีกแค่ 2 โหวด ก็เลยรับปากโอเค กดเข้าไปโหวดให้เค้าหน่อย.....
พอกดเข้าไปแล้ว มันจะให้ Login ด้วย Steam ก็เลย Login ไป
แต่ก็เริ่มสงสัยอย่างแรกแล้วว่า....ทำไมหน้า Steam เป็นภาษาอังกฤษ....ทั้งๆที่ถ้าเข้าตามปกติจะเป็นภาษาไทย
และพอ Login เสร็จ มันถามหารหัส Steam Guard และก็เริ่มสงสัยอีกครั้งที่ 2 คือ ทำไม Steam Mobile ถึงไม่ส่งรหัส Steam Guard มาทางแจ้งเตือน
ก็เลยไปกดดูจากในแอพ Steam Mobile อีกมากรอกอีกที
พอเข้าได้เสร็จ มันบอกคนเข้าเซิฟเยอะเกิน....ก็เลยเอะใจแล้วว่าโดนหลอกแล้ว!! เลยไปถามเจ้าตัวอีกทีบอกให้ลองอีกที แล้วก็ก็เงียบไปเลย
เลยลองอีกที พึ่งมานึกได้ว่าเมื่อปีก่อนมีข่าวว่านักวิจัยค้นพบวิธีการ phishing แบบใหม่...แต่คราวนี้คือลองลองลาก Popup ดู ปรากฏว่ามันไม่ยอมออก ก็เลยคิดว่า
เสร็จมันแล้ว!!
หลังจากนั้นก็เลยรีบเปลี่ยนรหัสผ่านเลยทันที! ถึงแม้ว่าจะเปิด Steam Guard ไว้แล้วก็เหอะ
ล้ำไปอีกขั้นคือ ปลอมเป็นหน้าต่าง
URL ทุกต้อง ✔
HTTPS ✔
Browser ไม่ฟ้องว่าเป็นเว็บ phishing ✔
ลองใส่รหัสมั่วแล้วไม่ผ่าน ✔
ที่น่าสงสัยคือหลักๆเลยก็คือ
1.ทำไมภาษามันยังเป็นอังกฤษ ทั้งๆที่ภาษาหลักเป็นภาษาไทย(ถ้าเปิด Steam จาก Browser ก็จะเป็นภาษาไทยตาม)
2.ลองลาก Popup ดู ทำไมมันไม่ยอมออก
3.ผมเปิด Dark mode ทำไม window ยังเป็นสีขาว?
พอหลังจากเปลี่ยนรหัสผ่านมาแล้ว ก็กลับมาค้นดูอีกที มันมีจริงๆด้วยเทคนิคนี้
https://www.blognone.com/node/108162
ไปอ่านกันได้เลย.....
Update : ชื่อเว็บปลอมนั้นไม่มีชื่อตายตัว ในที่นี้ที่โดนคือ Kicktop แต่มีอีกคนไปเจอหน้าเว็บแบบเดียวกันแต่ใช้ชื่อว่า facetop ส่วนข้อความแชทจะมาในรูปแบบเดียวกันเป๊ะเลย และคาวว่าเว็บปลอมน่าจะใช้ชื่อ ___top อยู่เสมอ
ส่วนนี่คือสรุปมาให้แล้วว่าหน้าตาจะเป็นยังไง
นี่คือ...หน้าจอของเว็บที่ว่า เป็น platform E-sport และถูกส่งมาโดยเพื่อนในแชท Steam
แหมพอเลื่อนลงมามีแนะนำตามสไตล์เว็บสมัยใหม่เลยเนาะ ราวกับเว็บจริง(แต่จริงๆคือปลอม)
พอกดเลือกเกม จะให้ Login ด้วย Steam ก่อน
นี่แหละครับ คือวายร้ายที่แท้จริง....
เป็นไง เหมือนเลยมั้ยล่ะ?
- URL ทุกต้อง
- HTTPS
- ใบรับรองฟ้องว่า Valve Corp
- Browser ไม่ฟ้องว่าเป็นเว็บ phishing
อย่างแรก ทำไม่เป็นภาษาอังกฤษ??? ทั้งๆที่ถ้าเปิดตามปกติจะเป็นภาษาไทยให้เลย
ถ้าพยายามจะเปลี่ยนภาษา...มันจะ error แบบนี้ ทั้งๆที่ไม่ควรจะเป็น
และด้วยความโชคดีที่เปิด Dark mode เลยสังเกตุได้ว่า ทำไม Title bar ถึงยังเป็นสีขาวอยู่??
ลองคลิ๊กขวาที่ Title bar ดู Title bar บ้าอะไรคลิ๊กขวาแล้วเป็นแบบนี้
นี่! Title bar ของแท้คลิ๊กขวาแล้วต้องเป็นแบบนี้!!
(อันนี้ของ Firefox นะครับ ถ้า Chrome จะเป็นอีกแบบ)
ทำไมลากแล้วไม่ยอมออก....ของแก๊ชัดๆ
นี่พยายามลากไปให้สุดจอแล้วนะ มันกลับสุดขอบ Browser แทน
ลองกด CTRL+A ดู ชัดเลย!!
(สีเขียวๆคือโดนคลุมอยู่นะครับ)
ถ้ากรอกรหัสมั่วๆ มันจะแจ้งว่าไม่ผ่าน
ถ้าถูกต้องแล้วติด Steam Guard มันจะถามหา(ไม่ส่งแจ้งเตือน ต้องกดดูรหัสในแอพเอง)
พอหลังจากผ่านมาหมดแล้ว จะแจ้งว่าคนเข้าเซิพเยอะเกิน แล้วก็ติดเบ็ดเรียบร้อย
วิธีการทดสอบว่าปลอมเป็นหน้า HTML
1.ลองลาก Popup ถ้าลากแล้วไม่ออกหรือหายไปเลย นั่นคือของปลอม 100%
2.กด CTRL+A ถ้ามันคลุมปุ่มย่อ-ขยายและปิดไปด้วย ปลอม 100%
3.ในกรณีเปิด Dark mode หน้าต่าง Popup ต้องเป็น Dark mode เหมือนกัน ถ้าไม่เป็นก็ปลอม 100%
4.กด F5 ในหน้านั้นๆ ถ้าหายไปเลยคือของปลอม 100%
5.Browser รุ่นใหม่ๆ เลิกแสดงแถบเขียว EV แล้ว ถ้ายังแสดงอยู่คือห้าต่างปลอม 100%
หากเผลอกรอกเข้าไปแล้ว
- รีบเปลี่ยนรหัสทันที
- เปิด 2FA (ในกรณีนี้คือ Steam Guard)
สำหรับ Steam
- Revoke Steam API Key ทันทีที่
https://steamcommunity.com/dev/apikey
- Revoke Steam Guard ออกให้หมดทุกเครื่อง
เลยอยากฝากจะมาเตือนนะครับ มันคือเทคนิค phishing แบบใหม่ ที่ปลอมหน้าเว็บได้อย่าง"แนบเนียน" มาก
และแน่นอนว่าไม่ได้มีแค่ Steam อย่างเดียวที่มีปลอมแบบนี้ Facebook Google ยังมีปลอมกันได้เลย หรือร้ายแรงสุดคืออาจจะเป็นธนาคารปลอมอาจจะยังมีเลยก็ได้
และนี่เป็นอีกเหตุผลที่ผมไม่ค่อย add เพื่อนใน steam เท่าไร(ถ้าคนไทยส่วนมากผมกดรับ แต่มีสกรีนนิดหน่อย) ส่วนฝรั่งถ้าไม่จำเป็นจริงๆผมจะไม่กดรับ เพราะช่วงหลังๆพอทำ mod ลง Workshop ก็มีฝรั่งแห่มากด add กันกระน่ำเลย ทั้งๆที่บอกว่าไม่รับ add สุ่มสีสุ่มห้าถ้าไม่มีเหตุผลจริงๆ
ระวัง! phishing รูปแบบใหม่ ล้ำไปอีกขั้น จากแชทใน Steam ที่หลอกให้โหวดทีม E-Sport
บอกให้ช่วยโหวดทีมใน CSGO หน่อย อีกแค่ 2 โหวด ก็เลยรับปากโอเค กดเข้าไปโหวดให้เค้าหน่อย.....
พอกดเข้าไปแล้ว มันจะให้ Login ด้วย Steam ก็เลย Login ไป
แต่ก็เริ่มสงสัยอย่างแรกแล้วว่า....ทำไมหน้า Steam เป็นภาษาอังกฤษ....ทั้งๆที่ถ้าเข้าตามปกติจะเป็นภาษาไทย
และพอ Login เสร็จ มันถามหารหัส Steam Guard และก็เริ่มสงสัยอีกครั้งที่ 2 คือ ทำไม Steam Mobile ถึงไม่ส่งรหัส Steam Guard มาทางแจ้งเตือน
ก็เลยไปกดดูจากในแอพ Steam Mobile อีกมากรอกอีกที
พอเข้าได้เสร็จ มันบอกคนเข้าเซิฟเยอะเกิน....ก็เลยเอะใจแล้วว่าโดนหลอกแล้ว!! เลยไปถามเจ้าตัวอีกทีบอกให้ลองอีกที แล้วก็ก็เงียบไปเลย
เลยลองอีกที พึ่งมานึกได้ว่าเมื่อปีก่อนมีข่าวว่านักวิจัยค้นพบวิธีการ phishing แบบใหม่...แต่คราวนี้คือลองลองลาก Popup ดู ปรากฏว่ามันไม่ยอมออก ก็เลยคิดว่าเสร็จมันแล้ว!!
หลังจากนั้นก็เลยรีบเปลี่ยนรหัสผ่านเลยทันที! ถึงแม้ว่าจะเปิด Steam Guard ไว้แล้วก็เหอะ
ล้ำไปอีกขั้นคือ ปลอมเป็นหน้าต่าง
URL ทุกต้อง ✔
HTTPS ✔
Browser ไม่ฟ้องว่าเป็นเว็บ phishing ✔
ลองใส่รหัสมั่วแล้วไม่ผ่าน ✔
ที่น่าสงสัยคือหลักๆเลยก็คือ
1.ทำไมภาษามันยังเป็นอังกฤษ ทั้งๆที่ภาษาหลักเป็นภาษาไทย(ถ้าเปิด Steam จาก Browser ก็จะเป็นภาษาไทยตาม)
2.ลองลาก Popup ดู ทำไมมันไม่ยอมออก
3.ผมเปิด Dark mode ทำไม window ยังเป็นสีขาว?
พอหลังจากเปลี่ยนรหัสผ่านมาแล้ว ก็กลับมาค้นดูอีกที มันมีจริงๆด้วยเทคนิคนี้
https://www.blognone.com/node/108162
ไปอ่านกันได้เลย.....
Update : ชื่อเว็บปลอมนั้นไม่มีชื่อตายตัว ในที่นี้ที่โดนคือ Kicktop แต่มีอีกคนไปเจอหน้าเว็บแบบเดียวกันแต่ใช้ชื่อว่า facetop ส่วนข้อความแชทจะมาในรูปแบบเดียวกันเป๊ะเลย และคาวว่าเว็บปลอมน่าจะใช้ชื่อ ___top อยู่เสมอ
ส่วนนี่คือสรุปมาให้แล้วว่าหน้าตาจะเป็นยังไง
นี่คือ...หน้าจอของเว็บที่ว่า เป็น platform E-sport และถูกส่งมาโดยเพื่อนในแชท Steam
แหมพอเลื่อนลงมามีแนะนำตามสไตล์เว็บสมัยใหม่เลยเนาะ ราวกับเว็บจริง(แต่จริงๆคือปลอม)
พอกดเลือกเกม จะให้ Login ด้วย Steam ก่อน
นี่แหละครับ คือวายร้ายที่แท้จริง....
เป็นไง เหมือนเลยมั้ยล่ะ?
- URL ทุกต้อง
- HTTPS
- ใบรับรองฟ้องว่า Valve Corp
- Browser ไม่ฟ้องว่าเป็นเว็บ phishing
อย่างแรก ทำไม่เป็นภาษาอังกฤษ??? ทั้งๆที่ถ้าเปิดตามปกติจะเป็นภาษาไทยให้เลย
ถ้าพยายามจะเปลี่ยนภาษา...มันจะ error แบบนี้ ทั้งๆที่ไม่ควรจะเป็น
และด้วยความโชคดีที่เปิด Dark mode เลยสังเกตุได้ว่า ทำไม Title bar ถึงยังเป็นสีขาวอยู่??
ลองคลิ๊กขวาที่ Title bar ดู Title bar บ้าอะไรคลิ๊กขวาแล้วเป็นแบบนี้
นี่! Title bar ของแท้คลิ๊กขวาแล้วต้องเป็นแบบนี้!!
(อันนี้ของ Firefox นะครับ ถ้า Chrome จะเป็นอีกแบบ)
ทำไมลากแล้วไม่ยอมออก....ของแก๊ชัดๆ
นี่พยายามลากไปให้สุดจอแล้วนะ มันกลับสุดขอบ Browser แทน
ลองกด CTRL+A ดู ชัดเลย!!
(สีเขียวๆคือโดนคลุมอยู่นะครับ)
ถ้ากรอกรหัสมั่วๆ มันจะแจ้งว่าไม่ผ่าน
ถ้าถูกต้องแล้วติด Steam Guard มันจะถามหา(ไม่ส่งแจ้งเตือน ต้องกดดูรหัสในแอพเอง)
พอหลังจากผ่านมาหมดแล้ว จะแจ้งว่าคนเข้าเซิพเยอะเกิน แล้วก็ติดเบ็ดเรียบร้อย
วิธีการทดสอบว่าปลอมเป็นหน้า HTML
1.ลองลาก Popup ถ้าลากแล้วไม่ออกหรือหายไปเลย นั่นคือของปลอม 100%
2.กด CTRL+A ถ้ามันคลุมปุ่มย่อ-ขยายและปิดไปด้วย ปลอม 100%
3.ในกรณีเปิด Dark mode หน้าต่าง Popup ต้องเป็น Dark mode เหมือนกัน ถ้าไม่เป็นก็ปลอม 100%
4.กด F5 ในหน้านั้นๆ ถ้าหายไปเลยคือของปลอม 100%
5.Browser รุ่นใหม่ๆ เลิกแสดงแถบเขียว EV แล้ว ถ้ายังแสดงอยู่คือห้าต่างปลอม 100%
หากเผลอกรอกเข้าไปแล้ว
- รีบเปลี่ยนรหัสทันที
- เปิด 2FA (ในกรณีนี้คือ Steam Guard)
สำหรับ Steam
- Revoke Steam API Key ทันทีที่ https://steamcommunity.com/dev/apikey
- Revoke Steam Guard ออกให้หมดทุกเครื่อง
เลยอยากฝากจะมาเตือนนะครับ มันคือเทคนิค phishing แบบใหม่ ที่ปลอมหน้าเว็บได้อย่าง"แนบเนียน" มาก
และแน่นอนว่าไม่ได้มีแค่ Steam อย่างเดียวที่มีปลอมแบบนี้ Facebook Google ยังมีปลอมกันได้เลย หรือร้ายแรงสุดคืออาจจะเป็นธนาคารปลอมอาจจะยังมีเลยก็ได้
และนี่เป็นอีกเหตุผลที่ผมไม่ค่อย add เพื่อนใน steam เท่าไร(ถ้าคนไทยส่วนมากผมกดรับ แต่มีสกรีนนิดหน่อย) ส่วนฝรั่งถ้าไม่จำเป็นจริงๆผมจะไม่กดรับ เพราะช่วงหลังๆพอทำ mod ลง Workshop ก็มีฝรั่งแห่มากด add กันกระน่ำเลย ทั้งๆที่บอกว่าไม่รับ add สุ่มสีสุ่มห้าถ้าไม่มีเหตุผลจริงๆ