ข้ามไปที่เนื้อหาหลัก

ผลวิเคราะห์อีเมล DHL Phishing / QR Phishing นัดหมายการจัดส่งของ

 




สรุปแบบตรงเป้า: อีเมลนี้ควรจัดเป็น Phishing / QR Phishing แอบอ้าง DHL ความเสี่ยงสูงมาก ประมาณ 9.5/10 ครับ ไม่ควรกด ไม่ควรสแกน QR ไม่ควรจ่ายเงิน และไม่ควรอัปโหลดเอกสารใด ๆ

จากไฟล์อีเมล พบว่าอีเมลอ้างเป็น DHL เรื่อง “ตรวจสอบศุลกากร/อัปโหลดเอกสาร” มีเลขพัสดุ 5985920334 เรียกเก็บ ฿70 และเร่งให้สแกน QR ภายใน 48 ชั่วโมง แต่ผู้ส่งจริงคือ alert@mail.trimar.it ไม่ใช่โดเมน DHL และ QR Code ที่ฝังอยู่ถอดได้เป็นโดเมนปลายทาง hxxps://customssector-dhl[.]com/ ซึ่งไม่ใช่โดเมนทางการของ DHL

จุดแดงที่ชัดมากคือ DHL ระบุในหน้า Fraud Awareness ว่าอีเมลทางการควรมาจากโดเมนของ DHL เช่น @dhl.com, @dpdhl.com, @dhl-news.com หรือโดเมนประเทศของ DHL และไม่ควรลิงก์ไปเว็บนอกกลุ่มโดเมน DHL เช่น dhl.com, dpdhl.com, group.dhl.com, del.dhl.com หรือ dhl-news.com ดังนั้นโดเมน QR ที่เป็น customssector-dhl[.]com คือสัญญาณปลอมแรงมาก เรียกว่าทำตัวเป็น DHL แต่บัตรประชาชนไม่ใช่ DHL ครับ

สัญญาณน่าสงสัยหลัก ๆ

ประเด็นสิ่งที่พบ
Senderalert@mail.trimar.it ไม่ใช่ DHL
Return-Pathalert@mail.trimar.it
Server ต้นทางmail.trimar.it / IP 217.57.217.235
QR Codeชี้ไป hxxps://customssector-dhl[.]com/
เนื้อหาอ้างตรวจเอกสารศุลกากร + ให้จ่าย/อัปโหลดเอกสาร
เทคนิคหลอกใช้ QR แทนลิงก์ตรง เพื่อลดโอกาสถูกระบบกรองเมลจับ
ความเร่งด่วนบอกหมดอายุ 48 ชั่วโมง สร้างแรงกดดัน
ความผิดปกติHeader มี X-Mailer: Apple Mail และ User-Agent คล้าย iPhone ซึ่งไม่สมเหตุสมผลกับระบบแจ้งเตือนอัตโนมัติของบริษัทขนส่งขนาดใหญ่

IOCs สำหรับนำไปบล็อก/ตรวจย้อนหลัง หรือใช้แกะรอยหาหลักฐานทางดิจิทัลต่อไป

Sender: alert@mail.trimar.it
Return-Path: alert@mail.trimar.it
Reply-To: alert@mail.trimar.it
List-Unsubscribe: unsub@mail.trimar.it
Source mail server: mail.trimar.it
Source IP: 217.57.217.235
Suspicious QR URL: hxxps://customssector-dhl[.]com/
Subject: อัปเดตพัสดุ: ตรวจสอบศุลกากร 📄 499360
Message-ID: <178310899372.5428.1848034973960185911@mail.trimar.it>
SHA256: cb9d779c4f02510b3204c0cb1b5d0e5a57418077c8fa41e0413991ae974ecd5f
Fake tracking number shown: 5985920334
Amount shown: ฿70

แนะนำให้ทำทันที

  1. ลบหรือกักกันอีเมลนี้
  2. ห้ามสแกน QR / ห้ามจ่ายเงิน / ห้ามอัปโหลดเอกสาร
  3. ตรวจสอบในองค์กรว่ามีผู้รับคนอื่นได้เมลลักษณะนี้หรือไม่ โดยค้นหา mail.trimar.it, customssector-dhl, หัวข้อเมล หรือเลขพัสดุ 5985920334
  4. บล็อก URL customssector-dhl[.]com ที่ DNS/Firewall/Proxy
  5. ส่งอีเมลต้นฉบับเป็นไฟล์แนบไปที่ phishing@dhl.com เพราะ DHL ระบุว่าการรายงานควรส่งอีเมลต้องสงสัยแบบแนบไฟล์เพื่อให้มี complete mail headers สำหรับสืบสวน

ถ้ามีใครเผลอสแกน QR หรือกรอกข้อมูลไปแล้ว ให้ถือเป็น incident ทันที: เปลี่ยนรหัสผ่าน, ตรวจธุรกรรมบัตร/บัญชี, อายัดบัตรถ้ากรอกข้อมูลการเงิน, และเก็บหลักฐานหน้าจอ/เวลาที่เข้าถึงเว็บไว้ครับ.

ความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

ว่าด้วยประเภทของ Hacking และรูปแบบลักษณะพฤติการณ์

บทความนี้เป็นการแชร์และให้ความรู้สำหรับท่านที่ไม่ได้เรียนสายคอมพิวเตอร์โดยตรง ไกด์สำหรับน้องๆที่เรียนด้าน Security ที่ต้องมองบนกับกองหนังสือหนาๆที่ซื้อมาแล้วไม่ได้อ่านก็จะสรุปตรงนี้ทีเดียวเลย และข้อสุดท้ายเจอมาบ่อยๆ สำหรับท่านที่เข้าใจเรื่องการ Hack แบบผิดๆ เช่น โดนเพื่อนแกล้งโพสต์เฟสบุ๊คตัวเองขณะไปทำธุระแล้วก็สรุปว่า Hack หรือเหล่าคนดังที่โพสต์เองแต่มาบอกว่าไม่ได้โพสต์โดนคนอื่น Hack อะไรแบบนี้เป็นต้น นี่บ่นซะยาวเรามาเข้าเรื่องกันเลยดีกว่านะครับผม การ เจาะระบบ (Hacking) คือ การเจาะเข้าโปรแกรมคอมพิวเตอร์อย่างผิดกฎหมายแต่เดิม การเจาะเข้าใช้ระบบโดยไม่ได้รับอนุญาต จะใช้คำว่า Cracking (Cracker) ส่วนคำว่า Hacking (Hacker) จะหมายถึงผู้ที่ใช้คอมพิวเตอร์และ ซอฟต์แวร์อย่างเชี่ยวชาญแต่ในปัจจุบันกลับใช้คำว่า Hacking (Hacker) ในทางลบ ประเภทของ Hacker -  Hacker - Cracker - Script kiddy - Spy - Employee - Terrorist Hacker (แฮกเกอร์)  มีความหมาย 2 นัย - ด้านบวก คอยช่วยสำรวจเครือข่ายเพื่อหาช่องโหว่หรือสิ่งแปลกปลอม มีแรงจูงใจเพื่อการพัฒนาหรือปรับปรุงระ...

มาล่องหน ซ่อนตัวเอง และลบตัวตนบนโลกอินเทอร์เน็ต

ปกติแล้วการใช้อินเทอร์เน็ต มีการทิ้งร่อยรอย ฝากรอยเท้าของเราเอาไว้บนโลกไซเบอร์ อย่าคิดว่าเราจะทำอะไรก็ได้ ไม่มีใครรู้หรอกว่าเราเป็นใคร จับไม่ได้หรอก แต่ถ้าแกะรอยจริงๆ ไม่ใช่เรื่องยากเลย ไม่เชื่อลอง เอาชื่อ นามสกุลจริง หรือเอาชื่อ Username / Nickname, ฉายาส่วนตัวของเรา ไปค้นใน Google สิครับ เผลอๆ บางคน เจอใน Wikipedia อีกต่างหาก เพราะใครก็เขียนบน Wikipedia ได้ รวมไปถึง Copy บทความ หรือเรื่องราวเราไปลงตามเวบบอร์ดต่างๆ หรืออาจไปเจออะไรที่เราไม่อยากเปิดเผยก็เป็นได้การสร้างตัวตนบนโลกออนไลน์ บนอินเทอร์เน็ตนั้น เคยมีคำพูดว่า เราอยากจะเป็นอะไรก็ได้ บนโลกออนไลน์เป็นแบบนึง บนโลกออนไลน์เป็นอีกแบบ เคยเห็นข่าวไหมครับ มือเกรียนคีย์บอร์ด แรงมาก แต่พอโดนจับ หน้าจอซื่อๆ นิ่มๆ มีเทคโนโลยี ก็ต้องมีการกำกับ ทำให้มีการเก็บข้อมูลในทุกพฤติกรรมการใช้งาน โดยจะมีการผูกด้วยเลข IP (IP Address) สามารถสืบหาตัวคนโพสต์ได้ จนมาถึงยุคนี้คือ Social Network ลองคิดตามว่า ข่าวดาราที่โดนขุด ขุดมาจากอินเทอร์เน็ต มันมีการเชื่อมโยงกันทั้งนั้นแหล่ะครับ แม้เจ้าตัวจะไม่บอกว่า IG นี้เป็นของใคร หรือเป็น...

มารู้จัก CrowdStrike คืออะไร ต้นเหตุทำ Windows 8.5 ล้านเครื่อง ล่มทั่วโลก

  บทความนี้จะมานำเสนอเกี่ยวกับ CrowdStrike ต้นเหตุทำ Windows – Microsoft จอฟ้าล่มทั่วโลกกันนะคะ จากกรณีข่าวการอัปเดตซอฟต์แวร์ CrowdStrike Sensor ทำคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการวินโดว์ (Window) ระบบล่มทั่วโลก หรืออาการ จอฟ้า “Blue Screen” จนหลายอุตสาหกรรมในสายเทคฯเกิดความเสียหายทางธุรกิจ เกิดเป็นการส่งผลลูกโซ่ถึงหุ้นของ CrowdStrike ร่วงหนักกว่า 14% เหลือเพียงประมาณ 320 ดอลลาร์กันเลยทีเดียว CrowdStrike ได้สร้างชื่อเสียงในฐานะผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระดับโลก บริษัทมีส่วนร่วมในการสืบสวนเหตุการณ์โจมตีทางไซเบอร์ครั้งสำคัญหลายครั้ง เช่น กรณีบริษัท Sony Pictures ถูกแฮ็กในปี 2557 ซึ่ง CrowdStrike พบหลักฐานเชื่อมโยงรัฐบาลเกาหลีเหนือ หรือ กรณีอีเมลรั่วของคณะกรรมการแห่งชาติของพรรคเดโมแครต (DNC) ในปี 2558 ก็ได้บริษัทช่วยเปิดโปงว่าแฮคเกอร์รัสเซียอยู่เบื้องหลัง CrowdStrike เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ในสหรัฐฯ เป็นผู้ให้บริการ “จัดการความปลอดภัยด้านไอที” ให้กับบริษัทต่าง ๆ ซึ่งหมายความถึงทุกอย่างที่ต้องเชื่อมต่ออินเทอร์เน็ตในการเข้าถึงนั่นเองค่ะ การปล่อยอัปเดตของ CrowdStri...