คนร้ายส่งเมลปลอมตัวเป็นตลาดหลักทรัพย์ไทย, ธนาคารกรุงศรีอยุธยา, Bangkok Airways, บริษัทการเงิน ผ่านการตรวจสอบทั้ง DKIM และ SPF ผู้รับแยกไม่ได้ว่าเป็นเมลปลอม
Body
กลุ่มคนร้ายส่งอีเมลหลอกลวงหาเหยื่อจำนวนหนึ่งในประเทศไทยโดยส่งเมลจากตลาดหลักทรัพย์แห่งประเทศไทย, ธนาคารกรุงศรีอยุธยา, Bangkok Airways, บริษัทลงทุน Finansia Syrus Securities และบริษัทอื่นๆ อีกจำนวนหนึ่ง โดยตัวอย่างอีเมลที่ Blognone ได้รับ แสดงให้เห็นว่าอีเมลเหล่านี้ผ่านการตรวจสอบป้องกันการปลอมตัว ทั้ง SPF และ DKIM ทำให้บริการอีเมลต่างๆ เช่น Outlook หรือ Gmail ไม่แจ้งเตือนว่าเป็นอีเมลปลอม
โปรโตคอลการส่งอีเมลนั้นอนุญาตให้ผู้ส่งสามารถแก้ไขชื่อผู้ส่งได้ ทำให้มีบางครั้งที่คนร้ายปลอมที่อยู่ผู้ส่งเป็นผู้อื่น (sender spoofing) แต่ที่ผ่านมาก็มีการพัฒนาโปรโตคอลในการยืนยันตัวตนผู้ส่งได้ปลอดภัยขึ้นมาก ได้แก่ SPF (sender policy framework) ที่เจ้าของโดเมนจะประกาศได้ว่าอีเมลจากโดเมนของตนสามารถส่งจากที่ใดบ้าง เช่น หมายเลขไอพีหรือเซิร์ฟเวอร์อีเมลที่กำหนด, DKIM (DomainKeys Identified Mail) การยืนยันการส่งด้วยการประกาศกุญแจสาธารณะ แล้วเซ็นอีเมลด้วยกุญแจลับเพื่อให้ผู้รับตรวจสอบได้ โดยปกติแล้วบริการอีเมลใหม่ๆ เช่น Outlook หรือ Gmail หากอีเมลใดที่ส่งมาโดยไม่ผ่านการตรวจสอบอันใดอันหนึ่ง ก็อาจจะลบอีเมลทิ้งหรือจัดเป็นสแปมไป
แต่อีเมลในเหตุการณ์ครั้งนี้อ้างตัวว่ามาจาก [email protected] และ [email protected] ผ่านการตรวจสอบทั้ง DKIM และ SPF ทำให้บริิการอีเมลฝั่งรับแสดงอีเมลเหมือนอีเมลปกติ
ทางบริษัท Taximail ผู้ให้บริการส่งอีเมลที่องค์กรเหล่านี้ใช้งาน ออกมาประกาศว่ามีเหตุการณ์ด้านความปลอดภัย และตอนนี้ได้ระงับลิงก์ในอีเมลที่คนร้ายส่งไปแล้ว โดยลิงก์เหล่านี้เป็นโดเมนขององค์กรที่ตกเป็นเหยื่อในครั้งนี้เอง เช่น
ที่มา - Taximail, ตัวอย่างอีเมลชักชวนลงทุนคริปโต
lew Mon, 10/11/2025 - 01:12
Continue reading...
Body
กลุ่มคนร้ายส่งอีเมลหลอกลวงหาเหยื่อจำนวนหนึ่งในประเทศไทยโดยส่งเมลจากตลาดหลักทรัพย์แห่งประเทศไทย, ธนาคารกรุงศรีอยุธยา, Bangkok Airways, บริษัทลงทุน Finansia Syrus Securities และบริษัทอื่นๆ อีกจำนวนหนึ่ง โดยตัวอย่างอีเมลที่ Blognone ได้รับ แสดงให้เห็นว่าอีเมลเหล่านี้ผ่านการตรวจสอบป้องกันการปลอมตัว ทั้ง SPF และ DKIM ทำให้บริการอีเมลต่างๆ เช่น Outlook หรือ Gmail ไม่แจ้งเตือนว่าเป็นอีเมลปลอม
โปรโตคอลการส่งอีเมลนั้นอนุญาตให้ผู้ส่งสามารถแก้ไขชื่อผู้ส่งได้ ทำให้มีบางครั้งที่คนร้ายปลอมที่อยู่ผู้ส่งเป็นผู้อื่น (sender spoofing) แต่ที่ผ่านมาก็มีการพัฒนาโปรโตคอลในการยืนยันตัวตนผู้ส่งได้ปลอดภัยขึ้นมาก ได้แก่ SPF (sender policy framework) ที่เจ้าของโดเมนจะประกาศได้ว่าอีเมลจากโดเมนของตนสามารถส่งจากที่ใดบ้าง เช่น หมายเลขไอพีหรือเซิร์ฟเวอร์อีเมลที่กำหนด, DKIM (DomainKeys Identified Mail) การยืนยันการส่งด้วยการประกาศกุญแจสาธารณะ แล้วเซ็นอีเมลด้วยกุญแจลับเพื่อให้ผู้รับตรวจสอบได้ โดยปกติแล้วบริการอีเมลใหม่ๆ เช่น Outlook หรือ Gmail หากอีเมลใดที่ส่งมาโดยไม่ผ่านการตรวจสอบอันใดอันหนึ่ง ก็อาจจะลบอีเมลทิ้งหรือจัดเป็นสแปมไป
แต่อีเมลในเหตุการณ์ครั้งนี้อ้างตัวว่ามาจาก [email protected] และ [email protected] ผ่านการตรวจสอบทั้ง DKIM และ SPF ทำให้บริิการอีเมลฝั่งรับแสดงอีเมลเหมือนอีเมลปกติ
ทางบริษัท Taximail ผู้ให้บริการส่งอีเมลที่องค์กรเหล่านี้ใช้งาน ออกมาประกาศว่ามีเหตุการณ์ด้านความปลอดภัย และตอนนี้ได้ระงับลิงก์ในอีเมลที่คนร้ายส่งไปแล้ว โดยลิงก์เหล่านี้เป็นโดเมนขององค์กรที่ตกเป็นเหยื่อในครั้งนี้เอง เช่น
txmgo.set.or.th หรือ go.krungsri.com แสดงให้เห็นว่าคนร้ายไม่เพียงปลอมอีเมลแต่ยังสร้างลิงก์ย่อบนโดเมนขององค์กรเป้าหมายได้ด้วยที่มา - Taximail, ตัวอย่างอีเมลชักชวนลงทุนคริปโต
lew Mon, 10/11/2025 - 01:12
Continue reading...