ฟิชชิงมุ่งเป้าโจมตีผู้ใช้งาน ‘ไมโครซอฟท์ วันไดรฟ์’

การโจมตีจะเริ่มต้นจากอีเมลที่มีไฟล์ HTML ทำให้ผู้ใช้งานจำเป็นต้องแก้ไขปัญหา DNS troubleshooting เพื่อเข้าถึงไฟล์ OneDrive เมื่อเปิดไฟล์ HTML ผู้ใช้งานจะเห็นรูปภาพจำลองหน้า OneDrive ที่แสดงข้อผิดพลาดเกี่ยวกับปัญหา DNS และมี 2 ปุ่มแสดงขึ้นที่หน้าจอคือ“รายละเอียด” และ “วิธีการแก้ไข”

หากผู้ใช้งานเลือกคลิกปุ่ม “รายละเอียด” ก็จะนำไปยังหน้า Microsoft Learn ที่ถูกต้องเกี่ยวกับการแก้ไขปัญหา DNS แต่ถ้ากดปุ่ม “วิธีการแก้ไข” จะมีการเรียกใช้ฟังก์ชัน JavaScript ภายในไฟล์ HTML เพื่อแนะนำให้ผู้ใช้งานเปิด Windows PowerShell Terminal และเรียกใช้คำสั่งเฉพาะเพื่อล้างแคช DNS และสร้างโฟลเดอร์ชื่อ “ดาวน์โหลด” บนไดรฟ์ C

จากนั้นจะให้ดาวน์โหลดไฟล์เก็บไว้ถาวรที่แยกเนื้อหาและการรันสคริปต์ แฮกเกอร์ทำเช่นนี้เพื่อต้องการหลอกผู้ใช้งานว่านี่คือขั้นตอนปกติ นอกจากนี้ยังมีการใช้คำศัพท์ทางเทคนิคและข้อความแสดงข้อผิดพลาดฉุกเฉินเพื่อกระตุ้นอารมณ์ของผู้ใช้งานให้ดำเนินการอย่างเร่งด่วนโดยไม่ต้องพิจารณาอย่างรอบคอบ

จากการสำรวจพบว่า มากกว่า 9 ใน 10 หรือ 92% ขององค์กรได้รับผลกระทบจากการโจมตีทางวิศวกรรมสังคมและ Gmail เป็นโดเมนอีเมลที่ใช้มากที่สุดในการโจมตีซึ่งสามารถแยกรูปแบบการโจมตีหลักๆ ได้ดังนี้

Conversation hijacking แฮกเกอร์ใช้ฟิชชิงเจาะบัญชีขององค์กรเพื่อทำความเข้าใจการดำเนินธุรกิจ ขั้นตอนการชำระเงิน และรายละเอียดที่สำคัญอื่น ๆ โดยข้อมูลนี้จะถูกส่งออกจากโดเมนที่น่าเชื่อถือเพื่อใช้แอบอ้างหลอกให้เหยื่อโอนเงินหรืออัพเดทข้อมูลการชำระเงิน

การไฮแจ็กแบบนี้คิดเป็นสัดส่วนเพียง 0.5% ของการโจมตีทางวิศวกรรมสังคมในปี 2566 แต่เพิ่มขึ้นเกือบ 70% เมื่อเทียบกับปี 2565 Business Email Compromise (BEC) การโจมตีอีเมลโดยปลอมแปลงเพื่อหลอกพนักงานให้โอนเงินคิดเป็น 10.6% Extortion แฮกเกอร์ขู่กรรโชกเหยื่อว่าจะเปิดเผยข้อมูลหากไม่จ่ายเงินค่าไถ่ การโจมตีแบบกรรโชกคิดเป็น 2.7%

แฮกเกอร์ยังใช้ประโยชน์จาก URL shortening service หรือการย่อชื่อยาวๆของ URL ให้สั้นลงเพื่อฝังลิงก์ปลอมในอีเมลฟิชชิง โดยกลยุทธ์นี้สามารถช่วยปกปิดปลายทางที่แท้จริงของลิงก์ได้ และยังมีการโจมตีฟิชชิงด้วยรหัส QR เพิ่มขึ้นอย่างมากเพราะไม่มีลิงก์ฝังหรือไฟล์แนบที่เป็นอันตรายให้สแกนจึงตรวจพบได้ยากมากหากใช้วิธีการกรองอีเมลแบบเดิม

โดยแฮกเกอร์ฝังรหัส QR ในอีเมลฟิชชิง จากนั้นแจ้งเตือนให้ผู้ใช้งานสแกนรหัสและเยี่ยมชมเพจปลอมที่ดูเหมือนจะเป็นบริการหรือแอปพลิเคชันที่เชื่อถือและหลอกให้ผู้ใช้งานดาวน์โหลดมัลแวร์หรือป้อนข้อมูลรับรองการเข้าสู่ระบบ

รหัส QR ที่ส่งทางอีเมลยังนำผู้ใช้งานให้ออกจากเครื่องขององค์กรและบังคับให้ใช้อุปกรณ์ส่วนตัว เช่น โทรศัพท์หรือ iPad ซึ่งไม่ได้รับการปกป้องโดยซอฟต์แวร์รักษาความปลอดภัยขององค์กรนั่นเอง

จะเห็นได้ว่า ผลกระทบของการโจมตีด้วยวิธีการต่างๆ ข้างต้นอาจขยายไปไกลกว่าการละเมิดข้อมูลส่วนบุคคลแต่ลามไปยังเครือข่ายในวงกว้างทำให้เกิดการสูญเสียทางการเงินอย่างมีนัยสำคัญและสร้างความเสียหายต่อชื่อเสียงขององค์กรอย่างรุนแรง

ฉะนั้นองค์กรต่างๆ จะต้องระมัดระวัง ให้ความรู้แก่พนักงานอย่างต่อเนื่อง และเสริมมาตรการรักษาความปลอดภัยเพื่อป้องกันการโจมตีที่ซับซ้อนดังกล่าว

สิ่งที่สำคัญคือการแพร่กระจายของการโจมตีทั่วโลกนี้เน้นย้ำถึงความจำเป็นในการร่วมมือระหว่างประเทศและการแบ่งปันข่าวกรองเพื่อต่อสู้กับภัยคุกคามเหล่านี้อย่างมีประสิทธิภาพครับ

คำแถลงปฏิเสธความรับผิดชอบ: ลิขสิทธิ์ของบทความนี้เป็นของผู้เขียนต้นฉบับ การเผยแพร่ซ้ำบทความนี้มีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำในการลงทุน หากมีการละเมิดกรุณาติดต่อเราทันที เราจะทำการแก้ไขหรือลบตามความเหมาะสม ขอบคุณ