แจ้งการแก้ไขข้อมูล(Phishing) เขตพื้นที่พิษณุโลก

วันพฤหัสบดีที่ 8 ตุลาคม 2552 ได้รับ e-mail แจ้งเตือน เกี่ยวกับการเกิด Phishing โดยอาศัยโฮสต์ของเขตพื้นที่พิษณุโลกเป็นเป้าหมาย จากการตรวจสอบพบว่า มีการแก้ไขข้อมูลให้เป็น Phishing จริง โดยหลอกล่อผู้ใช้งานให้กรอกข้อมูลหมายเลขบัตรเครดิตต่าง ๆ โดยมี url : ดังต่อไปนี้ http://ccucnorth.net/english/sermons/images/EggBanking.Update.php (ขณะนี้ url นี้ได้ถูกลบไปแล้ว)

การแก้ไขปัญหาเบื้องต้นคือ ให้ลบไฟล์ Phishing ทิ้ง และทำการแก้ไขค่าพารามิเตอร์ของ php.ini ดังต่อไปนี้

1. register_globals = Off

2. allow_url_fopen = Off

3. Safe_mode = On

ก็จะสามารถป้องกันการคุกคามเบื้องต้นได้ ทั้งนี้ควรอัพเดทระบบปฏิบัติการ รวมทั้ง apache,php ให้มีความทันสมัยอย่างต่อเนื่อง เพื่อป้องกันการเกิดเหตุขึ้นอีกในอนาคต

ใจความของ E-Mail แจ้งเตือน ดังต่อไปนี้

จาก: afcc@rsa.com [afcc@rsa.com]

ส่ง: 8 ตุลาคม 2009 11:36

ถึง: webmaster rmutl

เรื่อง: Fraudulent site – please shut down! [CITI 15448] IP: 203.158.175.14

Dear rmutl Team

It appears that your website http://fac.plc.rmutl.ac.th<http://fac.plc.rmutl.ac.th/> has been hacked by a fraudster. It is now hosting a phishing attack against Citibank.

Please remove the fraudulent folders/files as soon as possible and secure your website as it has been compromised.

http://fac.plc.rmutl.ac.th/plc/claroline/learnPath/include/.php

In addition, please send us any source files of the attack.

Please let us know if you have any questions or need further assistance. We appreciate your cooperation.

RSA Anti-Fraud Command Center

RSA, The Security Division of EMC

[cid:image003.gif@01C7D30E.E7EE5E70]

Dear Sir or Madam:

RSA, an anti-fraud and security company, is under contract to assist Citibank and its related entities in preventing or terminating online activity that targets Citibank’s clients as potential fraud victims. RSA has been made aware that you appear to be providing Internet Services to a fraudulent Web site being used as part of a “phishing scam”. This activity may violate the criminal laws of the United States and other nations.

E-mail messages have been broadly distributed to individuals by a person or entity pretending to be Citibank. These e-mails did not originate from Citibank and this site is not an authorized Citibank site. The e-mails request recipients to verify and submit sensitive details related to their Citibank accounts. Within the fraudulent e-mail message, there is a link that leads the recipients to a fraudulent website which is being hosted by your company. The fraudulent website is designed to improperly obtain personal information of Citibank customers in order to fraudulently access their bank accounts. Contained in the email is an embedded URL:

URL: http://fac.plc.rmutl.ac.th/plc/claroline/learnPath/include/.php

IP Address: 203.158.175.14

We understand that you may not be aware of this improper use of your services and we appreciate your cooperation. We specifically would ask that you also take the following actions directly to Citibank:

Please take all necessary steps to immediately shut down the fraudulent website, terminate its availability to the Internet and discontinue the transmission of any e-mails associated with this website.

In the event that you do not comply with the above, Citibank and its related entities reserve all rights to take any action now or at any point in the future.

PLEASE PROVIDE CITIBANK WITH THE FOLLOWING INFORMATION/DATA IF AVAILABLE:

– Content of the Phishing site and any available Logs (Access, FTP, Mail, and Web)

– Any customer data that has been captured and/or stored on your systems or equipment

– Any records you maintain that indicate the name, contact information, method of payment or similar information that may be useful in helping learn about the identity and location of the customer for whom the website has been operated.

Please send the above information to the following Citibank contacts:

Vishant Patel – Vishant.B.Patel@Citi.com<mailto:Vishant.B.Patel@Citi.com> (212) 657-2416

David Sun – David.C.Sun@citi.com<mailto:David.C.Sun@citi.com> (212) 657-3736

Thank you for your cooperation to prevent and terminate this fraudulent activity.

Sincerely,

RSA Anti Fraud Command Center

Tel: +44(0)800-032-7751 (UK)

Tel: +1-866-408-7525 (US)

Fax: +972-9-9566658 (EU)

Fax: +1-212-208-4644 (US)

E-mail: afcc@rsasecurity.com<mailto:afcc@rsasecurity.com>

http://www.rsa.com

For more information about RSA’s AFCC http://www.rsa.com/node.aspx?id=3348

Citi Security and Investigative Service

Name: John Pignataro

Address: 111 Wall St, 19th Floor/Zone 7, New York, 10005

Tel: 212-657-0721

E-mail: john.pignataro@citi.com