Search
Close this search box.

Pony botnet บ็อทเน็ตขโมยรหัสผ่าน

Pony Botnet ชื่อนี้ คนไทยอาจจะยังไม่ค่อยคุ้นหูเท่าใดนัก แต่ในต่างประเทศนั้น เป็นชื่อที่ชาวไอทีรู้จักกันอย่างแพร่หลาย สำหรับใครที่ยังไม่ทราบว่า Pony Botnet คืออะไร วันนี้ลองมาอัพเดทข้อมูลใหม่ ๆ ไปด้วยกัน

 

แฮกเกอร์ได้ขโมยชื่อผู้ใช้และรหัสผ่านเกือบสองล้านบัญชีของ Facebook, Google, Twitter, Yahoo และอื่น ๆ ตามรายงานที่เผยแพร่เมื่อไม่นานนี้ กลุ่มนักวิจัยสามารถเข้าถึงแผงควบคุมของผู้ดูแลระบบ (control panel) สำหรับเซิร์ฟเวอร์ที่เป็นส่วนหนึ่งของบ็อตเน็ตที่เรียกว่า “Pony” ที่เก็บรวบรวมข้อมูลที่สำคัญจากผู้ใช้มากถึง 102 ประเทศ รวมทั้งประเทศไทยของเราด้วย จึงจำเป็นต้องนำเสนอบทความนี้เพื่อเตือนผู้ใช้งานอินเทอร์เน็ตให้มีความระมัดระวังและเป็นข้อมูลไว้ศึกษาต่อไป

 

Pony botnet
ภาพประกอบที่ 1 แสดงจำนวนเหยื่อของ botnet Ponyจากประเทศต่าง ๆ 

 

จะเห็นได้ว่าประเทศไทยอยู่ในอันดับ 2 ของ Pony botnet ที่ได้รหัสผ่านไป บอทเน็ตนี้แอบดักจับข้อมูลล็อกอินของเว็บไซต์ที่สำคัญ ๆ ในช่วงเดือนที่ผ่านมา และส่งชื่อผู้ใช้และรหัสผ่านเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์ และติดตามเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศเนเธอร์แลนด์ พวกเขาค้นพบบัญชีผู้ใช้เว็บไซต์ต่าง ๆ รวมถึง

  • Facebook ประมาณ 318,000 บัญชี
  • Gmail, Google+ และ Youtube ประมาณ70,000 บัญชี
  • Yahoo ประมาณ60,000 บัญชี
  • Twitter ประมาณ22,000 บัญชี
  • Odnoklassniki (เครือข่ายสังคมของรัสเซีย) ประมาณ9,000 บัญชี
  • ADP (บริษัทชั้นนำ 500 อันดับในสหรัฐอเมริกา โดยนิตยสารฟอร์จูน 500) ประมาณ8,000 บัญชี
  • LinkedIn ประมาณ8,000 บัญชี

 

Pony botnet
ภาพประกอบที่ 2 แสดงจำนวนของบัญชีผู้ใช้ของเว็บไซต์ที่ถูกขโมยในจำนวนประมาณสองล้านบัญชีที่ถูกขโมย

 

เมื่อแบ่งตามประเภทของบริการแล้ว ประกอบด้วย

  • ประมาณ 1,580,000 เป็นบัญชีผู้ใช้เว็บไซต์
  • ประมาณ 320,000 เป็นบัญชีผู้ใช้อีเมล
  • ประมาณ 41,000 เป็นบัญชีผู้ใช้ FTP
  • ประมาณ 3,000 เป็นบัญชีผู้ใช้ Remote Desktop
  • ประมาณ 3,000 เป็นบัญชีผู้ใช้ Secure Shell

 

มีไวรัสแพร่บนเครื่องคอมพิวเตอร์ส่วนบุคคลจำนวนมากได้อย่างไร แฮกเกอร์อาจใช้ซอฟต์แวร์บันทึกการกดคีย์บอร์ดของผู้ใช้ที่ตกเป็นเหยื่อ (keylogger)

แล้วส่งข้อมูลผ่าน proxy server ดังนั้นจึงเป็นไปไม่ได้ที่จะติดตามหาเครื่องคอมพิวเตอร์ที่ติดเชื้อ ปฏิบัติการนี้แอบเก็บข้อมูลรหัสผ่านตั้งแต่ 21 ตุลาคมที่ผ่านมา และอาจจะทำงานอย่างต่อเนื่อง แม้ว่า จะค้นพบ proxy server ที่ตั้งอยู่ในเนเธอร์แลนด์ มิลเลอร์ จาก Trustwave กล่าวว่า มีเซิร์ฟเวอร์อื่นที่คล้ายคลึงกันหลายแห่ง ที่พวกเขายังไม่ได้ค้นพบยังเปิดเผยเกี่ยวกับการใช้รหัสผ่านของผู้ใช้ที่ตกเป็นเหยื่อว่า

เกือบ 16,000 บัญชีใช้รหัสผ่าน “123456” อีก 2,212 บัญชีใช้รหัสผ่าน “password” และ 1,991 บัญชีใช้รหัสผ่าน “admin” มีเพียงร้อยละ 5 ของรหัสผ่านเกือบสองล้านรหัสที่ถือว่าดีเยี่ยม ใช้อักขระทั้งสี่รูปแบบและยาวมากกว่า 8 ตัวอักษร อีกร้อยละ 17 อยู่ในขั้นดี ร้อยละ 44 อยู่ในระดับปานกลาง ร้อยละ 28 อยู่ในขั้นเลว และ ร้อยละ 6 อยู่ในขั้นแย่มาก

 

ภาพประกอบที่ 3 รหัสผ่านที่ใช้มากที่สุด สิบอันดับ

 

 

ภาพประกอบที่ 4 ความแข็งแกร่งของรหัสผ่านที่พบ

 

 

จะพบว่าบริษัทเหล่านี้ทราบถึงการถูกละเมิดข้อมูล หลังจากนั้น พวกเขาประกาศการค้นพบของพวกเขาต่อสาธารณชนADP, Facebook, LinkedIn, Twitter และ Yahoo บอกนักข่าวว่า พวกเขาได้รับการแจ้งเตือน และการรีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกบุกรุกแล้ว ส่วน Google ปฏิเสธที่จะแสดงความคิดเห็น

หากคุณอยากรู้ว่าคอมพิวเตอร์ของคุณติดเชื้อหรือไม่ การค้นหาโปรแกรมและไฟล์จะไม่เพียงพอ เพราะไวรัสทำงานซ่อนตัวอยู่เบื้องหลังทางออกที่ดีที่สุดของคุณคือ การปรับปรุงซอฟต์แวร์ป้องกันไวรัสของคุณ และดาวน์โหลดแพทช์ล่าสุดสำหรับเว็บเบราว์เซอร์ รวมถึงAdobe และ Java โปรแกรมในเครื่องของคุณให้ทันสมัย

 

29/11/56

SRAN Dev Team