สิ่งที่ผมรู้ หากคุณอ่าน คุณจะรู้ตามผมไปด้วย

 เดินทาง 18-20  มกราคม 2551

เกาะหลีเป๊ะ ชื่อนี้ฟังแล้ว มันอยู่ตรงไหน แต่ถ้าบอกว่า ตะรุเตา ละ ทุกคนรู้จักดี เพราะฉะนั้น อย่ารอช้าไปกันเลย .. หลายคนชอบเดินทางด้วยรถยนต์ คือ ขับรถไปกันเอง ไปกันเป็นหมู่คณะ ขับตามๆ กันไป ผมก็ชอบแนวนั้นเหมือนกัน แต่ขับรถไกล ๆ กับผมดูไม่ค่อยถูกกันเท่าไหร่ .. เพราะคนขับอาจเที่ยวไม่สนุก เมื่อยเนื้อเมื่อยตัว เพราะฉะนั้น Trip นี้ ผมจึงเลือกการเดินทางด้วยทางอากาศ และแล้วก็หาตั๋วเครื่องบินราคาประหยัดกันดีกว่า ในปัจจุบันก็มี 2 เจ้าใหญ่ๆ คือ นกแอร์ และ Airasia ซึ่ง ช่วงที่ผมจองนั้น ก็เลือกช่วงที่เจ้าไหนมี Promotion ดีกว่ากัน .. และแล้วก็จองสำเร็จ ด้วยงบประมาณไม่มากนัก ว่าแล้วก็เริ่มต้นเดินทางกันเลย

เริ่มต้นแต่เช้าตรู่ เอาแบบเช้ากันสุด ๆ ไปเลย เพราะต้องกันเวลาสำหรับนั่งเรือ ไปยังเกาะ ซึ่งต้องใช้เวลาพอสมควร และเพื่อไม่ให้ถึงเกาะเย็นจนเกินไป

ถึงแล้ว ท่าอากาศยาน หาดใหญ่ มาถึงก็ฝนตก พรำ ๆ เฮ้อ แล้วที่เกาะจะเป็นอย่างไรเนี่ย …
มาถึง ก็รีบโทรตามรถตู้ที่ให้มารับ โดยรถตู้ กับ เรือ นั้น ได้ซื้อ Package จากงาน ท่องเที่ยวไทย (เนื่องจากมีให้เลือกหลายเจ้า และราคาไม่สูงนัก) บรรยากาศที่ท่าอากาศยาน ดูไม่น่ากลัวอย่างที่คิด แต่ก็ต้องระวังตัวพอควร เอาว่าตื่นเต้นเล็ก ๆ ประมาณนั้น เมื่อรถตู้มารับ ก็นั่งรถไปยังท่าเรือกันเลย (ในรถมีแต่ฝรั่งอีกแล้ว เลยต้องเป็นมะม่วงไปแทน 5 5)

บรรยากาศบริเวณท่าเรือปากบารา ซึ่งใช้เวลาเดินทางประมาณ 2 ชม. เพราะสตูล อยู่ห่างจากหาดใหญ่พอสมควร บรรยากาศจอแจ พอควร ส่วนใหญ่จะเป็นชาวต่างประเทศ มีหัวดำไม่กี่คน ฝรั่งก็ชอบกินกล้วยรองท้องเรื่อย เห็นประจำ ไม่ว่า Tripไหน ๆ

เรือที่จะพาเราไป เกาะหลีเป๊ะ ลำไม่เล็ก ไม่ใหญ่ไป มีที่นั่งพอสมควร มีแต่ชาวชาติ หลายภาษาอีกต่างหาก

ได้เวลาเดินทางแล้ว บรรยากาศในเรือ นั่น ก็เดิม ๆ มีแต่ท้องฟ้า กับคลื่น ยิ่งนั่งเรือออกจากฝั่งไกล ๆ แบบนี้ ก็เป็นชั่วโมงแน่ .. เพราะฉะนั้น พักสายตา ก็ดีไม่ใช่น้อย บังเอิญมีหนูน้อย เสื้อแดง มาช่วยไว้ โดยไม่ให้คนในเรือเหงา .. แต่สักพักหนูน้อย ก็ คร๊อกฟี่…….ๆ

บรรยากาศ สองข้างทาง โดยเรือวิ่งขนาน ไปกับเกาะเล็ก เกาะน้อย สักพัก็มาถึงเกาะตะรุเตา ที่เราๆ ท่าน ๆ ได้ยินชื่อกันมานาน …

ถึงแล้ว เกาะตะรุเตา .. ชายหาดยาว เงียบสงบ .. เรือไม่สามารถเข้าไปจอดได้ จึงต้องขนถ่ายไปยังเรือเล็กอีกลำ ที่วิ่งมารออยู่ข้าง ๆ ตั๋วโดยสารที่นี่จะแบ่งเป็น 2 ช่วง คือหากใครต้องการมาพักที่ตะรุเตา ก็จะฉีกบัตรเพียงครึ่งหนึ่ง ดูแล้ว ก็เป็นระบบดีพอสมควร หลังจากนั้น ก็เดินทางต่อ เพราะเดินทางมาได้ประมาณ ครึ่งเดียวเท่านั้น เฮ้อ … หลับกันต่อ

มาถึงแล้ว เกาะไข่ แต่วันนี้แสงไม่ค่อยเป็นใจ เท่าไหร่ แต่ภาพที่เห็นสวยงามมาก เสียดายที่เป็นเรือใหญ่เลย ไม่สามารถเข้าไปใกล้ ได้มากกว่านี้ เดี๋ยวเรือจะชนหินโสโครกได้ แต่หากใครมาสปีดโบ๊ต ล่ะก็ อาจได้แวะสัมผัสถ่ายรูปกันใกล้ ๆ อ่ะ

มาถึงแล้วเกาะหลีเป๊ะ มาถึงก็เหมือนเดิม มีเรือเล็กมารับ เนื่องจากเรือใหญ่ไม่สามารถเข้าไปเทียบยังหาดได้ เรือเล็กจะมาคอยกันเยอะมากที่ บริเวณหน้าหาดพัทยา (แหม ชื่อเหมือนหาดพัทยา จ.ชลบุรีเลย) หลังจากนั้น ก็ต่อเรือเล็ก สถานที่ที่เราจะเข้าพักใน Trip นี้ คือ Mountain View Resort  เป็นรีสอร์ทขนาดกลาง อยู่บนเชิงเขา เรือเล็กจะถามว่าเราพักที่ไหน ก็บอกไป ก็จะมีเรือที่จะพาเราไปยังรีสอร์ทมารับ โดยไม่คิดค่าใช้จ่าย แต่หากไปเอง ก็กะไปตายดาบหน้า คือเดินไปถามว่ามีที่พักว่างไหม ที่รีสอร์ทใด ๆ อย่างนี้ต้องเสียค่าเรือ 50 บาท ต่อคน ต่อเที่ยว

พี่คนเรือที่นี่ใจดีมาก อัธยาศัยก็ดี บังเอิญวันนั้น เรืออีกลำเสีย พี่เขาก็ขอโทษ เราและขออนุญาต ให้จูงเรืออีกลำ เราก็สบาย ๆ ไม่ซีเรียส เพราะมาถึงที่แล้ว คนเรือที่นี่ทันสมัยมาก เสื้อผ้านั้น ไม่ต้องพูดถึง พรีเมียร์ลีก ล้วน ๆ มีทุกสโมสรเลยทีเดียว …

ใกล้ถึงรีสอร์ทแล้ว เห็นแต่ไกล จริงๆ ภาพดีกว่านี้แต่ตั้งค่ากล้องผิดไปหน่อย เลยออกมาจืด ๆ ไปนิด …

ถึงแล้ว เกาะหลีเป๊ะ ทางขึ้น เป็นไม้ ให้บรรยากาศอบอุ่น มองเห็นทะเลเขียว สวยงามมาก

บรรยากาศ ภายในร้านอาหารของรีสอร์ท แค่นั่งมองทะเล ก็คุ้มแล้ว เหตุผลที่ผมไม่พักรีสอร์ที่หาด พัทยา เนื่องจากว่า ต้องการความเงียบสงบ เหมาะกับการมาพักผ่อนจริงๆ หลังจากพักผ่อนจากการเดินทางได้สักพัก ท้องก็เริ่มร้อง เอ ไปหาอะไรรองท้องกันดีกว่า ไปกินที่หาดพัทยากันเลย ซึ่งระหว่างรีสอร์ท มีทางเดินไปยังหาดพัทยา โดยต้องผ่านหมู่บ้านชาวประมง ระหว่างทางเจอโรงเรียน เป็นอาคารเก่า แต่ทาสีสวยสะดุดตา เลยต้องถ่ายภาพเก็บมาสักหน่อย

ระหว่างทาง มีทางหนีคลื่นยักษ์ ซึ่งทำให้มั่นใจได้ว่า ชายหาดนี้หันหน้าออกไปทาง เพื่อนบ้านเป็นแน่ เพราะฉะนั้น ระหว่างทางเดิน ต้องมองระดับน้ำทะเลอยู่ตลอดเวลา ..
หากน้ำทะเลลดระดับรวดเร็ว ก็วิ่งตามทางที่กำหนดไว้ เพื่อจะได้ปลอดภัย เป็นแล้วก็เป็นห่วงชาวบ้าน เพราะบ้านติดกับหาด แทบจะอยู่ในระดับน้ำทะเลเลยทีเดียว

ฃ

บรรยากาศร้านค้าระหว่างทาง ซึ่งดูไปดูมา ก็คล้าย ๆ กับถนนข้าวสารดี ๆ มีร้านค้ามากมาย ร้านซักผ้า ก็มี ร้านทำทัวร์ ก็เยอะ และที่สำคัญ ร้านโรตี มีเกือบทุกมุม ยิ่งกาแฟสด ยิ่งแล้วเลย

หลังจากนั้น ก็หาอะไรรับประทาน และเดินกลับมาพักยังรีสอร์ท ก็มือพอดี เอาล่ะ พักเอาแรงก่อน พรุ่งนี้ ยังต้องออกเรือไปเที่ยวตามเกาะต่างๆ เช่น ดาดัง ราวี และเกาะหินซ้อน กันต่อ

อย่าลืมติดตามตอน 2 นะครับ

ขอบพระคุณที่สนใจอ่าน

 

ฟิชชิ่ง ฟังดูเหมือนการตกปลา (Fishing)  แต่ความหมายในทางคอมพิวเตอร์แล้ว หมายถึง การหลอกหลวงเหยื่อ เพื่อให้เหยื่อคิดเข้าใจผิด และยอมมอบข้อมูลสำคัญให้ เช่น รหัสผ่าน, เลขที่บัตรเครดิต หรือแม้กระทั่งข้อมูลส่วนตัว โดยช่องทางอิเลคทรอนิกส์  ก็คือ Internet ที่เราใช้กันอยู่ทุกวัน

Phishing เป็นศาตร์ และศิลป์ แขนงหนึ่งเลยก็ได้ เนื่องจาก จะทำอย่างไรให้เหยื่อ เชื่อโดยสนิทใจว่า เป็นหน่วยงาน องค์กร หรือบริษัทฯ ต่าง ๆ จริงๆ   โดยการโจมตีแบบ Phishing นี้ส่วนใหญ่นิยมใช้ Email เป็นสื่อกลาง  เราคงเห็น Mail แปลกๆ  เอ ทำไมเราไม่เคยเป็นสมาชิกของ ธนาคารนี้ แต่กลับมีเมล์จากธนาคารนี้ว่า บัญชีของเรามีปัญหาให้เข้าไปตรวจสอบ อะไรทำนองนี้

    

ภาพบน Email ที่ส่งโดยหลอกหลวงมาจาก Citi Bank โดยล่อหลอกว่า บัญชีคุณมีปัญหาให้เข้าไปดู โดยให้คลิ๊กไปยัง Link ใน Mail ซึ่งแทนที่จะคลิ๊กเข้าสู่เว็บไซต์ของ Citi Bank กลับเข้าสู่เว็บไซต์ของ  Phisher แทน

เมื่อคลิ๊กเข้ามาสู่เว็บไซต์ของ Phisher ก็จะทำหน้าจอให้เหมือนกับ Citibank ของจริงๆ ซึ่งหน้าจอแบบนี้ใคร ๆ ก็ทำได้ไม่ยาก โดย Copy HTML มาจากเว็บไซต์จริงๆ แล้ว Save ใหม่ เท่านั้นเอง

แล้ว Phishing มันทำงานกันอย่างไร

1.  สร้าง Phishing Server  แน่นอนครับ ไม่มี Phisher คนไหน เอา Server ตัวเองมาทำเป็น Phishing Server เป็นแน่ เพราะว่า อาจโดนตามจับเอาง่าย วิธีคือไป Hack เครื่องที่มีช่องโหว่  ไม่ว่าด้านไหนก็ได้ ให้สามารถเอาไฟล์และ Script ต่างๆ ไปวางไว้ได้ก็พอ  โดย Phishing Server ทำหน้าที่เก็บไฟล์ และ Script โดยทำหน้าจอให้เหมือนกับ Bank หน่วยงานที่ต้องการจะหลอกเหยื่อ
2. เขียน Email หลอกลวง โดยใช้หลักการ Social Engineering  (วิศวกรรมสังคม) เช่น ท่านจะได้รับโชค, บัญชีของท่านมีปัญหา ,  ธนาคารมีการเพิ่มระบบป้องกันภัยใหม่ๆ,  เปิดเผยข้อมูลความลับส่วนบุคคล  หรืออะไรที่จะทำให้เหยื่อ เชื่อได้ว่า จดหมายนี้เป็นจดหมายมาจากหน่วยงานนั้นจริงๆ  เช่น เอา Logo มาแปะบน email เพื่อให้เกิดความน่าเชื่อถือ  ส่งไปให้เหยื่อ  
3. เหยื่อยหลงเชื่อ ตาม Email และเผลอคลิ๊ก โดยไม่ได้ทันสังเกตุว่า ไม่ใช่เว็บไซต์ จริงๆ เช่น หากเป็น ธนาคาร ไม่ทันได้ดู URL ว่าเป็น เว็บไซต์ธนาคารจริงหรือไม่?   และเหยื่อป้อน Username / Password หรือ เลขที่บัตรเครดิตลงใน Phising Server
4. Phisher ได้ข้อมูลที่ต้องการ โดยที่เหยื่อยยังไม่รู้ตัวด้วยซ้ำ  ว่าข้อมูลถูกขโมยไปเสียแล้ว

อีกตัวอย่างหนึ่ง   หน้าจอที่ Phishing Server สังเกตดี ๆ  ว่า เว็บไซต์ด้านหลัง เป็นเว็บไซต์ของ Citibank จริงๆ  แต่ ตรง Pop Up นั้น อยู่ที่ Phishing Server  (หลอกกันสุด ๆ )  ซึ่งหาก เหยื่อป้อนข้อมูล ก็ไม่ต้องพูดถึง  เรียบร้อย

วิธีการที่ Phisher ทำ Phishing Server ให้เหมือนจริงๆ หรือเทคนิคที่หลอกเหยื่อ ให้เชื่อ มีดังนี้

• ทำหน้าเว็บไซต์ให้เหมือน
  • www.aol.com   เปลี่ยนเป็นŠ
    • www.ao1.com  (เอ โอ หนึ่ง)
    • www.aoI.com (เอ โอ ไอ)
• เปลี่ยนเว็บไซต์ โดยทำให้คล้าย
  • www.mybank.com  เปลี่ยนไป
    • www.mybank.private.com   เว็บไซต์จริงๆ คือ private.com
    • www.mybank.com.ch     ไม่ใช่เว็บไซต์ mybank.com แต่เป็น mybank.com.ch แทน
• ทำ URL ให้อ่านไม่รู้เรื่อง  ตัวอย่างเช่น
  • www.google.com  เปลี่ยนเป็น
    • IP : http://64.233.167.99
      Dot-less address: http://1089054568
      Escape Encoding:  http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D
• ใช้  @  แทน
  • www.bank.com  เปลี่ยนเป็น
    • www.bank.com@www.bad.com  จริงๆ  เข้าที่เว็บไซต์ www.bad.com แทน
    • http://www.bank.com@%77%77%77%2E%62%61%64%2E%63%6F%6D  = http://www.bank.com@www.bad.com

ข่าวจากเว็บไซต์ 

“นายสาโมทย์ วีรานุวัตติ์ ผู้อำนวยการฝ่ายบริหารเงินฝากและค่าธรรมเนียมลูกค้าบุคคล ธนาคารกสิกรไทย เปิดเผยว่า ในขณะนี้มีกลุ่มมิจฉาชีพได้ปลอมแปลงอีเมล์ให้เสมือนว่าเป็นอีเมล์จากธนาคาร แล้วส่งไปยังผู้ใช้งานอินเทอร์เน็ตทั่วไป โดยไม่เจาะจงว่าจะเป็นลูกค้าของธนาคารกสิกรไทยหรือไม่ โดยอีเมล์อ้างว่า ธนาคารกสิกรไทยกำลังเสนอเรื่องการป้องกันเกี่ยวกับบัญชีของลูกค้าจากการกระทำของผู้ไม่หวังดี ด้วยระบบ K-S Debit และให้คลิกเพื่อเข้าไปยังเวบไซต์ปลอม เพื่อลงทะเบียน VISA Registration ซึ่งเวบไซต์ดังกล่าวจะตั้งชื่อปลอม คล้ายกับชื่อเวบไซต์ของธนาคารกสิกรไทย เช่น http://www.kasikornbank.cd หรือ http://www.kasikornbank.cd /enroll/enroll.aspx และรายละเอียดเวบไซต์จะคล้ายกับของธนาคารกสิกรไทย (หากไม่สังเกตุ) พร้อมให้ลูกค้าใส่ข้อมูลหมายเลขบัตรเดบิต/บัตรเครดิต รหัสประจำบัตร (Pin Code) วันหมดอายุ เลข CVV2 Code ซึ่งเป็นเลข 3 ตัวหลังบัตร และเบอร์โทรศัพท์ หากผู้ได้รับอีเมล์เข้าไปกรอกข้อมูล ก็จะทำให้ผู้ร้ายขโมยข้อมูลบัตรเดบิตหรือบัตรเครดิตของลูกค้าไปเพื่อกระทำการทุจริต อันอาจจะก่อให้เกิดความเสียหายกับเจ้าของบัตรได้
          ทั้งนี้ ลักษณะการหลอกลวงด้วยอีเมล์หรือทางเวบไซต์แบบนี้ได้เกิดขึ้นมาก่อนที่อเมริกา ยุโรป และเอเซีย แต่ในปัจจุบันได้เข้ามาในเมืองไทยแล้ว ธนาคารกสิกรไทย จึงขอเตือนให้ลูกค้าและประชาชนให้ความระมัดระวังอีเมล์ปลอม และการล่อลวงในลักษณะใกล้เคียงก ันนี้ โดยขอให้สังเกตชื่อเวบไซต์ว่า เป็นเวบไซต์จริงของธนาคารทุกครั้ง (www.kasikornbank.com) และอย่าได้หลงเชื่อกรอกรายละเอียดใดผ่านทางเวบไซต์ เนื่องจากธนาคารไม่มีนโยบายที่จะถามหรือให้ลูกค้ากรอกรหัสผ่าน(Password) ใด ๆ ผ่า นทางอีเมล์ อินเทอร์เน็ต หรือช่องทางอื่น
          ธนาคารกสิกรไทย มีความมั่นใจว่า ระบบรักษาความปลอดภัยในการทำธุรกรรมการเงินของธนาคารมีมาตรฐานสูงเทียบเท่าธนาคารชั้นนำในระดับสากล ดังนั้นถ้าลูกค้าเก็บบัตรไว้กับตัว และเก็บรหัสของบัตรไว้เป็นความลับส่วนบุคคล โดยไม่แจ้งให้บุคคลอื่นทราบ กลุ่มมิจฉาชีพก็จะไม่สามารถดำเนินการทุจริต และสร้างความเสียหายใด ๆ ได้ ซึ่งหากลูกค้ามีข้อสงสัยสามารถสอบถามรายละเอียดได้ที่ K-Contact Center 0 2888 8888 กด 01 ได้ตลอด 24 ชั่วโมง “

สังเกตุดี ๆ นะครับ Phisher รายนี้ฉลาด  เพราะรู้ว่า คนถือบัตรของ Kbank อาจพอมีความรู้เรื่องระบบ Verify by Visa  เลยให้เทคนิคบอกว่า Kbank มีระบบใหม่ในการป้องกันการถูกลักลอบใช้บัตรเครดิต (ซึ่งเป็นการใช้ Social Engineering อย่างหนึ่ง)  ซึ่งทำให้เหยื่อ หลงคลิ๊ก และป้อนข้อมูลเลขที่บัตรเครดิต วันหมดอายุ

 

จากภาพ เป็น  WebPage การสมัครใช้งาน ระบบ Verify by Visa ของธนาคารกสิกรไทย  แต่ Phisher ตั้ง Phishing Server ใหม่ เป็น  http://www.kasikornbank.cd/enroll/enroll.aspx แทน  ซึ่งหากเหยื่อไม่ทันได้สังเกตุ  และป้อน เลขที่บัตรเครดิต ก็จบข่าว

วิธีป้องกันเบื้องต้น

• อย่าคลิ๊ก Link ใดที่มาจาก Email  ให้เปิด Browser ใหม่ และพิมพ์ เข้าสู่เว็บไซต์เอง
• หากเป็นไปได้ มีเบอร์ติดต่อกลับ ให้โทรไปเพื่อยืนยัน ว่าผู้ส่ง ส่งจดหมายมาจริงๆ  เช่น โทรกลับไปยังธนาคารเพื่อถามว่า ได้ส่งจดหมายนี้จริงๆ
• ตรวจสอบ เว็บไซต์ อย่างรอบคอบ

 

ขอบพระคุณที่สนใจอ่าน

• Reference
  • Wiki :  http://en.wikipedia.org/wiki/Phishing
  • Anti Phishing Group : http://www.antiphishing.org
  • Ohio-State.edu Slide PPT : www.cse.ohio-state.edu/~xuan/courses/551/551_2006_5_tuty.ppt