ใครที่ใช้ Windows เชื่อได้ว่าคงเคยเจอมัลแวร์ต่างๆ อย่างน้อยๆ ก็คนละ 1 ครั้งแน่ๆ ซึ่งมันก็มีช่องทางหลายๆ ทางที่เป็นตัวแพร่เชื้อมัลแวร์ หนึ่งในนั้นคือ มาจากอินเทอร์เน็ต หรือผ่านทางโปรแกรมพวกบราวน์เซอร์ที่เราใช้ๆ กันอยู่นี่แหละ
ปกติแล้วบราวน์เซอร์แต่ละตัวก็จะมีความสามารถในการป้องกันมัลแวร์อยู่บ้างแล้ว แต่เชื่อเถอะ ว่าคนทำมัลแวร์เขาฉลาด พยายามหาทุกวิธีที่จะทะลุออกมาติดเครื่องเราจนได้ วันนี้ก็ขอแสดงตัวอย่างความพยายามในการแพร่เชื้อมัลแวร์ลงในเครื่องเราในแบบที่กำลังฮิตๆ กัน ขอเรียกว่า Fake Alert Malware แล้วกัน
หลักการของมันก็ไม่ยากเย็นอะไร ด้วยการส่ง URL มาให้เราชุดหนึ่ง (จะทางเมล หรือทางสังคมเครือข่ายออนไลน์ ก็มีหมด) และเมื่อเราคลิก ก็จะเข้าสู่กระบวนการหลอกให้ติดตั้งมัลแวร์ทันที มาดูตัวอย่างกันเถอะ
ผมได้รับอีเมลที่มีแต่ลิงค์ไปยังเว็บไซต์แปลกๆ จากเพื่อนสนิท ซึ่งดูปุ๊ปก็เดาได้ปั๊ปว่าเพื่อนเราคงไม่ได้ส่งมาด้วยตนเองแน่ๆ ปกติผมจะลบทิ้งไปเลย แต่วันนี้ขอจับภาพมาประจานโชว์ออกสื่อกันหน่อย
เมื่อคลิก URL นั้นปุ๊ป มันก็เปิดตัว Internet Explorer ขึ้นมาทันที (ในกรณีที่เราตั้งค่าให้ Internet Explorer เป็นตัวปริยายในการเปิดเว็บไซต์) จากนั้นมันก็ส่งลิงค์ไปยังอีกเว็บไซต์หนึ่ง จากนั้นก็สร้างกล่องข้อความแจ้งเตือน (หลอกๆ) ว่าเครื่องเรามีโปรแกรมต้องสงสัย และสมควรจะรีบตรวจสอบเดี๋ยวนี้เลย และเราจะสแกนด้วยความเร็วและสแกนให้ฟรีๆ (โอ้โห)
อยู่ดีๆ ก็มีข้อความเตือนขึ้นมา
ถ้าเราคลิกปุ่ม OK ปุ๊ป ก็จะมีหน้าตาคล้ายกับโปรแกรมฆ่าไวรัสทั้งหลายที่เราคุ้นเคย โดยทำทีเป็นสแกนเครื่องพร้อมแจ้งว่าเครื่องมาไวรัสมากมาย ในส่วนนี้ก็ต้องยอมรับว่าทางเป็นระดับผู้ใช้ธรรมดาคงดูไม่ออกเพราะมันจะทำตัวหน้าต่างและสภาพแวดล้อมเช่น จำนวนไดร์ฟที่เรามี รุ่นของ Windows ที่เราใช้ ยอมรับว่าเข้าขั้นเนียนมาก และเมื่อสแกนไปสักครู่ มันก็ทำหน้าต่างแจ้งเตือนมา ว่าแนะนำให้ติดตั้งโปรแกรมชื่อ Windows Defender เพื่อจัดการกับสปายแวร์ในเครื่องของเรา
หลังทำทีเป็นสแกนเสร็จ ก็จะหลอกให้เราติดตั้งโปรแกรมของมัน
หลอกให้ดาวน์โหลดไฟล์ลงเครื่อง
หลังจากดาวน์โหลดเสร็จ ถ้าเราเผลอติดตั้งมัน (หรือคลิก Run) ตามภาพด้านบน) มันก็จะเริ่มกระบวนการติดตั้งในเครื่องทันที
มัลแวร์แจ้งว่าติดตั้งในเครื่องเรียบร้อยแล้ว (อย่างรวดเร็ว)
หลังการติดตั้ง หน้าตาตัวโปรแกรมจะยิ่งเนียนขึ้นเรื่อยๆ จนคล้ายๆ กับโปรแกรมพวกแอนตี้ไวรัสทั่วไป
ทำหน้าตาให้เหมือนกับโปรแกรมแอนตี้ไวรัสเท่าไป
ใช้เวลาสแกนไม่นานมันก็แจ้งว่าพบไวรัสเพียบ!
บอกว่าเจอไวรัสเพียบ
ถ้าเรากดปุ่ม Remove all theats now ก็เข้าทาง เพราะหน้าต่างถัดไปคือ หน้าต่างที่จะให้ซื้อโปรแกรมนี้
หน้าต่างลงทะเบียนซื้อผลิตภัณฑ์
แต่ผมไม่ได้ซื้อนะครับ ในกรณีที่ได้ทำการซื้อจริงๆ มันก็คงทำทีเป็นลบไฟล์ไวรัสทิ้งให้ แต่ก็ไม่มีใครทราบได้ว่าข้อมูลหมายเลขบัตรเครติดหรืออะไรต่อมิอะไร จะถูกนำไปทำอะไรบ้าง และในกรณีที่เราไม่ยอมจ่าย ตัวมัลแวร์มันก็จะก่อกวนเครื่องเราไปเรื่อยๆ ตลอดเวลา เช่น แจ้งเตือนข้อความต่างๆ ทุกๆ 5-10 นาที เป็นต้น
ก่อกวนด้วยข้อความเตือนเสมอๆ
และจะก่อกวนหนักไปเรื่อยๆ จนอาจทำให้เครื่องเราไม่สามารถใช้งานได้เลยทีเดียว นอกจากนี้ รหัสผ่านในบัญชีต่างๆ ของเราในเครื่องอาจถูกขโมยไปด้วย
สำหรับตัวมัลแวร์ที่ผมเจองานนี้จัดว่าเป็นตัวใหม่ เนื่องจากมีโปรแกรมแอนตี้ไวรัสเพียง 4 ตัวเท่านั้นที่รู้จักมัน
แนวทางป้องกัน
วิธีิป้องกันจริงๆ ก็ไม่ยากครับ สามารถทำได้ด้วยตัวเองดังนี้
- อัพเดทโปรแกรมแอนตี้ไวรัสให้เป็นปัจจุบันอย่างสม่ำเสมอ
- ใช้บราวน์เซอร์อื่นเช่น Firefox หรือ Chrome ที่มีตัวแจ้งเตือนเว็บไซต์ที่ไม่ปลอดภัยที่ดีกว่า Internet Explorer
- หากเจอข้อความแจ้งเตือนผ่านหน้าเว็บไซต์ว่าเครื่องเรามีไวรัสก็อย่าเพิ่งหลงเชื่อง่ายๆ และถ้าไม่น่าใจแนะนำให้กด Alt+F4 เพื่อปิดหน้านั้นไปเลย
- ไม่คลิกเมลที่มีข้อความหรือลิงค์แปลกๆ
ฮาหลังฉาก
คนพัฒนามัลแวร์ตัวนี้คงลืมทำสคริปท์ตรวจสอบตัวระบบปฏิบัติการ ผมลองเอามาเปิดใน Ubuntu มันก็ยังพยายามจำลองหน้า Windows มาแล้วทำเป็นสแกนว่ามีไวรัสนับร้อย ปวดตับจริงๆ
Ubuntu ก็ไม่เว้น
