พี่มิจแอบอ้างเป็นค่ายเพลงไทยดังว่อนอีเมลทำทีเป็นขู่ฟ้องละเมิดลิขสิทธิ์ จนเพจ BT Buzz ก็โดน

เมื่อวันที่ 13 สิงหาคมที่ผ่านมา ทางค่ายเพลง What The Duck ระบุผ่านบัญชีทางการบนโซเชียลมีเดีย เตือนให้ระวังผู้แอบอ้างเป็นทางค่ายไปส่งคำเตือนการละเมิดลิขสิทธิ์ และเรียกเก็บค่าลิขสิทธิ์ต่าง ๆ

ทาง What The Duck ย้ำว่าทางค่ายไม่มีนโยบายการเรียกเก็บค่าลิขสิทธิ์ผ่านช่องทางออนไลน์และทางโทรศัพท์แต่อย่างใด และได้เตือนให้ระวังอย่าหลงเชื่อ และกดลิงก์ที่แนบมากับคำเตือนปลอม ๆ โดยทางค่ายจะดำเนินตามกฎหมายกับผู้กระทำผิดต่อไป

ในกรณีนี้ ทางแบไต๋ก็เพิ่งได้อีเมลตามที่ What The Duck ระบุในประกาศสด ๆ ร้อน ๆ ในอีเมลอ้างตัวว่าเป็นสำนักงานกฎหมายแห่งหนึ่ง ที่ได้รับมอบอำนาจจากทางค่ายให้มาดำเนินการตามกฎหมายในกรณีที่แบไต๋ได้ “ละเมิดลิขสิทธิ์” พร้อมขู่ว่าหากไม่ยอมลบเนื้อหาที่ละเมิดลิขสิทธิ์ภายใน 48 ชั่วโมง จะมีการฟ้องร้องดำเนินคดีแน่นอน

ข้อสังเกตของอีเมลฉบับนี้คือผู้ส่งอ้างตัวเป็นสำนักงานกฎหมายที่มีอยู่จริง ใช้โลโก้ ข้อมูลที่อยู่ และเบอร์โทรศัพท์ที่ตรงกับของจริง แต่ลักษณะข้อความมีการเว้นระยะตัวอักษรแบบผิดปกติเป็นระยะ ทำให้ดูไม่น่าเชื่อว่าจะมาจากสำนักงานกฎหมายที่มีชื่อเสียงจริง ๆ

ในอีเมลฉบับนี้ยังได้แนบไฟล์ที่อ้างว่าเป็น ‘หลักฐานการละเมิดลิขสิทธิ์’ ที่ดูเหมือนอยู่รูปแบบสกุลไฟล์ pdf มาด้วย แต่เมื่อดาวน์โหลดไฟล์ออกมา กลับกลายเป็นไฟล์ zip ที่ด้านในมีอยู่ 3 ไฟล์ ได้แก่ ไฟล์ executable (.exe) ไฟล์ที่ชื่อ renameme.renameme2 และไฟล์ msimg32.dll ซึ่งเป็นไฟล์ระบบใช้สำหรับเรนเดอร์ภาพใน Windows

หากดูจากไฟล์ที่แนบมาแล้วเป็นที่แน่นอนว่าไฟล์ที่ส่งมาแฝงมัลแวร์ไว้อย่างชัดเจน โดยเฉพาะไฟล์ .exe ที่มักทำหน้าที่ออกคำสั่งควบคุมไฟล์อื่น ๆ ที่อยู่ในชุดไฟล์หรือเพย์โหลดที่แนบมาด้วยกันไปทำการโจมตี

ซึ่งตัวไฟล์ .exe อาจไม่ใช่ตัวมัลแวร์เอง แต่เป็นตัวออกคำสั่งให้มัลแวร์ตัวจริงทำงานมากกว่า เช่น msimg32.dll ที่แนบมาด้วย ซึ่งแม้ชื่อจะดูเหมือนไฟล์ระบบ แต่ก็เคยมีการโจมตีที่ปลอมไฟล์ดังกล่าวขึ้นมา

ทั้งนี้ ในเพย์โหลดที่มิจฉาชีพรายนี้ส่งมานั้น renameme มีขนาดใหญ่ที่สุด โดยมีขนาดถึง 220 เมกะไบต์ และด้วยชื่อไฟล์ว่า renameme (เปลี่ยนชื่อฉัน) ซึ่งอาจแปลว่าเมื่อกดไฟล์ .exe ไปแล้ว มันอาจจะไปรันคำสั่งให้ไฟล์ renameme ไปเปลี่ยนชื่อเป็นอย่างอื่นและฝังอยู่ภายในที่ที่จะหาได้ยาก โดยมีหลายกรณีให้เห็นแล้วที่เพย์โหลดของมัลแวร์มีการเปลี่ยนชื่อไฟล์เพื่อให้มันค้นหาได้ยาก

กรณีของอีเมล What The Duck เป็นอีกหนึ่งตัวอย่างของการโจมตีในแบบที่เรียกว่าสเปียร์ฟิชชิง (Spear-Phishing) หรือหลอกให้ดาวน์โหลดมัลแวร์เข้าเครื่องผ่านการสื่อสารด้วยช่องทางต่าง ๆ ในแบบมุ่งเป้าหมาย โดยใช้ความกลัว (หรือความโลภ) มากดดันให้ดาวน์โหลดไฟล์หรือกรอกข้อมูลส่วนบุคคล

ซึ่งหลังจากผ่านไปไม่นาน เบราว์เซอร์ต่าง ๆ ก็เริ่มเตือนว่านี่คือไฟล์อันตราย และขึ้นป้ายแดงห้ามโหลดครับ

สิ่งที่จะสังเกตได้ง่ายที่สุดคือดูอีเมลผู้ส่งว่าน่าเชื่อถือหรือไม่ โดยหากเป็นอีเมลขององค์กรควรที่จะมีนามสกุลเป็นโดเมนที่มีชื่อขององค์กรนั้น ๆ (แต่ก็มีหลายองค์กรที่ใช้อีเมลฟรี) ชื่อของอีเมลก็สำคัญ ในบางกรณีอีเมลของมิจฉาชีพก็จะพิมพ์ให้คล้ายกับของจริงที่สุด แต่มักจะมีคำผิดเล็ก ๆ น้อย ๆ เช่น google เป็น gooogle เป็นต้น ข้อความในอีเมลก็ควรจะมีการเรียบเรียงที่น่าเชื่อถือ ไม่มีคำผิดเยอะ หรือรูปประโยคแปลกประหลาด

ที่สำคัญที่สุดคือไฟล์ที่แนบมาควรที่จะมีนามสกุลที่สอดคล้องกับเนื้อหาของไฟล์ เช่นในกรณีนี้ถ้าจะให้น่าเชื่อถือก็คือ ควรจะเป็น .pdf หรือไฟล์รูปภาพมากกว่า และดูว่าขนาดของไฟล์ใหญ่เกินไปหรือไม่ เมื่อเทียบกับจำนวนหน้า หรือรูปภาพที่อยู่ด้านในเอกสาร

อย่างไรก็ดี ถึงแม้ว่านามสกุลจะดูน่าเชื่อถือ แต่ก็ไม่ได้แปลว่าจะปลอดภัย 100% เพราะในปัจจุบันมีรูปแบบของมัลแวร์ในหลายตระกูลที่แนบมาในไฟล์ .doc .pdf หรือแม้แต่ฝังมาในรูปภาพด้วยเลย ดังนั้นจึงควรดูให้แน่ใจก่อนที่จะตัดสินใจเปิดไฟล์ที่ดาวน์โหลดมาจากอีเมลที่ไม่น่าไว้ใจ