สรุปแบบตรงเป้า: อีเมลนี้ควรจัดเป็น Phishing / QR Phishing แอบอ้าง DHL ความเสี่ยงสูงมาก ประมาณ 9.5/10 ครับ ไม่ควรกด ไม่ควรสแกน QR ไม่ควรจ่ายเงิน และไม่ควรอัปโหลดเอกสารใด ๆ
จากไฟล์อีเมล พบว่าอีเมลอ้างเป็น DHL เรื่อง “ตรวจสอบศุลกากร/อัปโหลดเอกสาร” มีเลขพัสดุ 5985920334 เรียกเก็บ ฿70 และเร่งให้สแกน QR ภายใน 48 ชั่วโมง แต่ผู้ส่งจริงคือ alert@mail.trimar.it ไม่ใช่โดเมน DHL และ QR Code ที่ฝังอยู่ถอดได้เป็นโดเมนปลายทาง hxxps://customssector-dhl[.]com/ ซึ่งไม่ใช่โดเมนทางการของ DHL
จุดแดงที่ชัดมากคือ DHL ระบุในหน้า Fraud Awareness ว่าอีเมลทางการควรมาจากโดเมนของ DHL เช่น @dhl.com, @dpdhl.com, @dhl-news.com หรือโดเมนประเทศของ DHL และไม่ควรลิงก์ไปเว็บนอกกลุ่มโดเมน DHL เช่น dhl.com, dpdhl.com, group.dhl.com, del.dhl.com หรือ dhl-news.com ดังนั้นโดเมน QR ที่เป็น customssector-dhl[.]com คือสัญญาณปลอมแรงมาก เรียกว่าทำตัวเป็น DHL แต่บัตรประชาชนไม่ใช่ DHL ครับ
สัญญาณน่าสงสัยหลัก ๆ
| ประเด็น | สิ่งที่พบ |
|---|---|
| Sender | alert@mail.trimar.it ไม่ใช่ DHL |
| Return-Path | alert@mail.trimar.it |
| Server ต้นทาง | mail.trimar.it / IP 217.57.217.235 |
| QR Code | ชี้ไป hxxps://customssector-dhl[.]com/ |
| เนื้อหา | อ้างตรวจเอกสารศุลกากร + ให้จ่าย/อัปโหลดเอกสาร |
| เทคนิคหลอก | ใช้ QR แทนลิงก์ตรง เพื่อลดโอกาสถูกระบบกรองเมลจับ |
| ความเร่งด่วน | บอกหมดอายุ 48 ชั่วโมง สร้างแรงกดดัน |
| ความผิดปกติ | Header มี X-Mailer: Apple Mail และ User-Agent คล้าย iPhone ซึ่งไม่สมเหตุสมผลกับระบบแจ้งเตือนอัตโนมัติของบริษัทขนส่งขนาดใหญ่ |
IOCs สำหรับนำไปบล็อก/ตรวจย้อนหลัง หรือใช้แกะรอยหาหลักฐานทางดิจิทัลต่อไป
Sender: alert@mail.trimar.itReturn-Path: alert@mail.trimar.itReply-To: alert@mail.trimar.itList-Unsubscribe: unsub@mail.trimar.itSource mail server: mail.trimar.itSource IP: 217.57.217.235Suspicious QR URL: hxxps://customssector-dhl[.]com/Subject: อัปเดตพัสดุ: ตรวจสอบศุลกากร 📄 499360Message-ID: <178310899372.5428.1848034973960185911@mail.trimar.it>SHA256: cb9d779c4f02510b3204c0cb1b5d0e5a57418077c8fa41e0413991ae974ecd5fFake tracking number shown: 5985920334Amount shown: ฿70
แนะนำให้ทำทันที
- ลบหรือกักกันอีเมลนี้
- ห้ามสแกน QR / ห้ามจ่ายเงิน / ห้ามอัปโหลดเอกสาร
-
ตรวจสอบในองค์กรว่ามีผู้รับคนอื่นได้เมลลักษณะนี้หรือไม่ โดยค้นหา
mail.trimar.it,customssector-dhl, หัวข้อเมล หรือเลขพัสดุ5985920334 -
บล็อก URL
customssector-dhl[.]comที่ DNS/Firewall/Proxy -
ส่งอีเมลต้นฉบับเป็นไฟล์แนบไปที่
phishing@dhl.comเพราะ DHL ระบุว่าการรายงานควรส่งอีเมลต้องสงสัยแบบแนบไฟล์เพื่อให้มี complete mail headers สำหรับสืบสวน
ถ้ามีใครเผลอสแกน QR หรือกรอกข้อมูลไปแล้ว ให้ถือเป็น incident ทันที: เปลี่ยนรหัสผ่าน, ตรวจธุรกรรมบัตร/บัญชี, อายัดบัตรถ้ากรอกข้อมูลการเงิน, และเก็บหลักฐานหน้าจอ/เวลาที่เข้าถึงเว็บไว้ครับ.

ความคิดเห็น
แสดงความคิดเห็น