Blog

Pony botnet : บ็อทเน็ตขโมยรหัสผ่าน

แฮกเกอร์ได้ขโมยชื่อผู้ใช้และรหัสผ่านเกือบสองล้านบัญชีของ Facebook, Google, Twitter, Yahoo และอื่น ๆ ตามรายงานที่เผยแพร่เมื่อไม่นานนี้กลุ่มนักวิจัยสามารถเข้าถึงแผงควบคุมของผู้ดูแลระบบ (control panel) สำหรับเซิร์ฟเวอร์ที่เป็นส่วนหนึ่งของบ็อตเน็ตที่เรียกว่า "Pony" ที่เก็บรวบรวมข้อมูลที่สำคัญจากผู้ใช้มากถึง 102 ประเทศ รวมทั้งประเทศไทยของเราด้วย จึงจำเป็นต้องนำเสนอบทความนี้เพื่อเตือนผู้ใช้งานอินเทอร์เน็ตให้มีความระมัดระวังและเป็นข้อมูลไว้ศึกษาต่อไป
 

ภาพประกอบที่ 1 แสดงจำนวนเหยื่อของ botnet Ponyจากประเทศต่าง ๆ  จะเห็นได้ว่าประเทศไทยอยู่ในอันดับ 2 ของ Pony botnet ที่ได้รหัสผ่านไป

บอทเน็ตนี้แอบดักจับข้อมูลล็อกอินของเว็บไซต์ที่สำคัญ ๆ ในช่วงเดือนที่ผ่านมา และส่งชื่อผู้ใช้และรหัสผ่านเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์และติดตามเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศเนเธอร์แลนด์ พวกเขาค้นพบบัญชีผู้ใช้เว็บไซต์ต่าง ๆ รวมถึง

• Facebook ประมาณ 318,000 บัญชี
• Gmail, Google+ และ Youtube ประมาณ70,000 บัญชี
• Yahoo ประมาณ60,000 บัญชี
• Twitter ประมาณ22,000 บัญชี
• Odnoklassniki (เครือข่ายสังคมของรัสเซีย) ประมาณ9,000 บัญชี
• ADP (บริษัทชั้นนำ 500 อันดับในสหรัฐอเมริกา โดยนิตยสารฟอร์จูน 500) ประมาณ8,000 บัญชี
• LinkedIn ประมาณ8,000 บัญชี
 


ภาพประกอบที่ 2 แสดงจำนวนของบัญชีผู้ใช้ของเว็บไซต์ที่ถูกขโมยในจำนวนประมาณสองล้านบัญชีที่ถูกขโมย เมื่อแบ่งตามประเภทของบริการแล้ว ประกอบด้วย
• ประมาณ 1,580,000 เป็นบัญชีผู้ใช้เว็บไซต์
• ประมาณ 320,000 เป็นบัญชีผู้ใช้อีเมล
• ประมาณ 41,000 เป็นบัญชีผู้ใช้ FTP
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Remote Desktop
• ประมาณ 3,000 เป็นบัญชีผู้ใช้ Secure Shell
มีไวรัสแพร่บนเครื่องคอมพิวเตอร์ส่วนบุคคลจำนวนมากได้อย่างไร แฮกเกอร์อาจใช้ซอฟต์แวร์บันทึกการกดคีย์บอร์ดของผู้ใช้ที่ตกเป็นเหยื่อ (keylogger) แล้วส่งข้อมูลผ่าน proxy server ดังนั้นจึงเป็นไปไม่ได้ที่จะติดตามหาเครื่องคอมพิวเตอร์ที่ติดเชื้อ
ปฏิบัติการนี้แอบเก็บข้อมูลรหัสผ่านตั้งแต่ 21 ตุลาคมที่ผ่านมา และอาจจะทำงานอย่างต่อเนื่อง แม้ว่า จะค้นพบ proxy server ที่ตั้งอยู่ในเนเธอร์แลนด์ มิลเลอร์จาก Trustwaveกล่าวว่า มีเซิร์ฟเวอร์อื่นที่คล้ายคลึงกันหลายแห่ง ที่พวกเขายังไม่ได้ค้นพบยังเปิดเผยเกี่ยวกับการใช้รหัสผ่านของผู้ใช้ที่ตกเป็นเหยื่อว่า เกือบ 16,000 บัญชีใช้รหัสผ่าน “123456” อีก 2,212 บัญชีใช้รหัสผ่าน “password” และ 1,991 บัญชีใช้รหัสผ่าน “admin” มีเพียงร้อยละ 5 ของรหัสผ่านเกือบสองล้านรหัสที่ถือว่าดีเยี่ยม ใช้อักขระทั้งสี่รูปแบบและยาวมากกว่า 8 ตัวอักษร อีกร้อยละ 17 อยู่ในขั้นดี ร้อยละ 44 อยู่ในระดับปานกลาง ร้อยละ 28 อยู่ในขั้นเลว และ ร้อยละ 6 อยู่ในขั้นแย่มาก

 

ภาพประกอบที่ 3 รหัสผ่านที่ใช้มากที่สุด สิบอันดับ

 

ภาพประกอบที่ 4 ความแข็งแกร่งของรหัสผ่านที่พบ

 

จะพบว่าบริษัทเหล่านี้ทราบถึงการถูกละเมิดข้อมูล หลังจากนั้น พวกเขาประกาศการค้นพบของพวกเขาต่อสาธารณชนADP, Facebook, LinkedIn, Twitter และ Yahoo บอกนักข่าวว่า พวกเขาได้รับการแจ้งเตือน และการรีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกบุกรุกแล้ว ส่วน Google ปฏิเสธที่จะแสดงความคิดเห็น

หากคุณอยากรู้ว่าคอมพิวเตอร์ของคุณติดเชื้อหรือไม่ การค้นหาโปรแกรมและไฟล์จะไม่เพียงพอ เพราะไวรัสทำงานซ่อนตัวอยู่เบื้องหลัง ทางออกที่ดีที่สุดของคุณคือ การปรับปรุงซอฟต์แวร์ป้องกันไวรัสของคุณ และดาวน์โหลดแพทช์ล่าสุดสำหรับเว็บเบราว์เซอร์ รวมถึงAdobe  และ Java โปรแกรมในเครื่องของคุณให้ทันสมัย

 

 

29/11/56

 

SRAN Dev Team