แคมเปญฟิชชิ่ง AccountDumpling

มีการค้นพบแคมเปญอาชญากรรมไซเบอร์ขนาดใหญ่ ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มผู้คุกคามที่เชื่อมโยงกับเวียดนาม และถูกตั้งชื่อว่า AccountDumpling โดยใช้ Google AppSheet เป็นกลไกส่งต่ออีเมลหลอกลวง การปฏิบัติการนี้ส่งอีเมลหลอกลวงโดยมีเป้าหมายหลักคือการเจาะบัญชี Facebook โดยเฉพาะบัญชีของผู้ใช้ในภาคธุรกิจ

แตกต่างจากแคมเปญฟิชชิ่งแบบเดิม นี่ไม่ใช่ชุดเครื่องมือคงที่ แต่เป็นระบบนิเวศที่มีพลวัตและพัฒนาอย่างต่อเนื่อง มันรวมเอาแดชบอร์ดของผู้ปฏิบัติงานแบบเรียลไทม์ เทคนิคการหลบเลี่ยงขั้นสูง และกระบวนการสร้างรายได้ที่มีโครงสร้าง บัญชีที่ถูกขโมยจะถูกส่งกลับไปยังตลาดใต้ดินที่ควบคุมโดยผู้โจมตี สร้างวงจรอาชญากรรมที่ยั่งยืน ประมาณ 30,000 บัญชี Facebook ถูกบุกรุกในแคมเปญนี้

การใช้ความไว้วางใจเป็นอาวุธ: การใช้ประโยชน์จาก Google AppSheet ในการส่งอีเมล

กระบวนการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถัน โดยแอบอ้างเป็นฝ่ายสนับสนุนของ Meta ข้อความเหล่านี้มุ่งเป้าไปที่ผู้ถือบัญชีธุรกิจของ Facebook โดยเตือนพวกเขาว่าบัญชีจะถูกลบในไม่ช้าหากไม่ดำเนินการใดๆ โดยทันที เหยื่อจะถูกกระตุ้นให้ส่งคำอุทธรณ์ผ่านลิงก์ที่ฝังอยู่ในข้อความ

ปัจจัยสำคัญที่ทำให้แคมเปญนี้ประสบความสำเร็จคือการใช้โครงสร้างพื้นฐานที่ถูกต้องตามกฎหมาย อีเมลถูกส่งจากที่อยู่ Google AppSheet ('noreply@appsheet.com') ซึ่งทำให้สามารถหลีกเลี่ยงตัวกรองสแปมและระบบรักษาความปลอดภัยแบบดั้งเดิมได้ กลยุทธ์นี้ช่วยเพิ่มความน่าเชื่อถือและเพิ่มโอกาสในการมีส่วนร่วมของผู้ใช้

ความเร่งด่วนที่สื่อออกมาในข้อความเหล่านี้ชักนำผู้รับไปยังเว็บไซต์หลอกลวงที่ออกแบบมาเพื่อขโมยข้อมูลส่วนตัวที่สำคัญ รูปแบบการโจมตีที่คล้ายกันนี้เคยพบในแคมเปญก่อนหน้านี้ ซึ่งบ่งชี้ถึงการปรับปรุงและนำเทคนิคที่ประสบความสำเร็จมาใช้ซ้ำอย่างต่อเนื่อง

การบงการทางจิตวิทยา: การสร้าง 'ความตื่นตระหนกเชิงเมตา'

ผู้โจมตีใช้กลอุบายทางสังคมหลากหลายรูปแบบเพื่อก่อให้เกิดความตื่นตระหนกและกระตุ้นให้ผู้ใช้ตอบสนองอย่างรวดเร็ว กลอุบายเหล่านี้ถูกออกแบบมาอย่างมีกลยุทธ์เพื่อเลียนแบบการสื่อสารของ Meta ที่ถูกต้องตามกฎหมาย และใช้ประโยชน์จากสถานการณ์ที่อิงกับความกลัว

ประเภทหลักของเหยื่อล่อ ได้แก่:

ภัยคุกคามที่เกี่ยวข้องกับบัญชี : การอ้างว่าบัญชีถูกระงับ การละเมิดลิขสิทธิ์ หรือความต้องการการยืนยันตัวตนอย่างเร่งด่วน
การแจ้งเตือนด้านความปลอดภัย : การแจ้งเตือนเกี่ยวกับการเข้าสู่ระบบที่น่าสงสัย หรือการตรวจสอบความปลอดภัยที่จำเป็น
แรงจูงใจทางธุรกิจและสถานะทางสังคม : ข้อเสนอการตรวจสอบบัตรประจำตัวสีฟ้า หรือโอกาสในการรับสมัครผู้บริหาร
การแอบอ้างเป็นองค์กร : การเสนอตำแหน่งงานปลอมจากแบรนด์ดังเพื่อสร้างความน่าเชื่อถือและกระตุ้นให้เกิดการร่วมงาน

เหยื่อล่อแต่ละชนิดได้รับการออกแบบมาเพื่อบิดเบือนพฤติกรรมของผู้ใช้ เพิ่มโอกาสในการเปิดเผยข้อมูลประจำตัว

โครงสร้างพื้นฐานการฟิชชิ่งแบบหลายช่องทาง: กลไกการส่งมอบที่หลากหลาย

ลักษณะเด่นของแคมเปญนี้คือการใช้แพลตฟอร์มโฮสติ้งและวิธีการส่งข้อมูลที่หลากหลาย โดยแต่ละวิธีมีบทบาทเฉพาะในการรวบรวมและส่งข้อมูลออกไป กลุ่มการโจมตีหลักทั้งสี่กลุ่มประกอบด้วย:

• หน้าเว็บฟิชชิ่งที่โฮสต์โดย Netlify: พอร์ทัลศูนย์ช่วยเหลือ Facebook ปลอมที่ออกแบบมาเพื่อดักจับข้อมูลการเข้าสู่ระบบ ข้อมูลส่วนบุคคล และเอกสารระบุตัวตนที่ออกโดยรัฐบาล ข้อมูลที่รวบรวมได้จะถูกส่งไปยังช่อง Telegram ที่ผู้โจมตีควบคุมอยู่
• หน้าเว็บ "ตรวจสอบความปลอดภัย" ที่โฮสต์โดย Vercel: หน้าเว็บเหล่านี้จำลองพอร์ทัลความเป็นส่วนตัวหรือความปลอดภัยของ Meta และมีการตรวจสอบ CAPTCHA ปลอม เหยื่อจะถูกขอให้ป้อนข้อมูลประจำตัวอีกครั้งและระบุรหัสการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) ซึ่งข้อมูลทั้งหมดจะถูกส่งออกไปแบบเรียลไทม์
• เอกสาร PDF ที่จัดเก็บไว้ใน Google Drive ล่อลวง: เอกสารเหล่านี้ปลอมแปลงเป็นคำแนะนำการตรวจสอบอย่างเป็นทางการ แต่จะนำผู้ใช้ไปยังหน้าเว็บฟิชชิ่งที่เก็บรวบรวมรหัสผ่าน รหัส 2FA รูปถ่ายบัตรประจำตัว และแม้แต่ภาพหน้าจอเบราว์เซอร์โดยใช้สคริปต์ที่ฝังอยู่
• กระบวนการสรรหาบุคลากรปลอม: การแอบอ้างเป็นบริษัทใหญ่เพื่อสร้างความน่าเชื่อถือ จากนั้นจึงเปลี่ยนเส้นทางไปยังแพลตฟอร์มที่เป็นอันตรายเพื่อทำการโต้ตอบและเก็บรวบรวมข้อมูลเพิ่มเติม

โดยรวมแล้ว ช่อง Telegram ที่เชื่อมโยงกับกลุ่มเหล่านี้มีข้อมูลผู้เสียหายประมาณ 30,000 ราย ผู้ที่ได้รับผลกระทบส่วนใหญ่อยู่ในทวีปอเมริกาเหนือ ยุโรป เอเชีย และออสเตรเลีย ซึ่งหลายคนไม่สามารถเข้าถึงบัญชีของตนได้

ข้อมูลเชิงลึกเกี่ยวกับการระบุแหล่งที่มา: ติดตามผู้ที่อยู่เบื้องหลังแคมเปญ

หลักฐานสำคัญเกี่ยวกับการระบุตัวผู้สร้างไฟล์ปรากฏขึ้นจากข้อมูลเมตาที่ฝังอยู่ในไฟล์ PDF หลอกลวงที่สร้างขึ้นผ่านบัญชี Canva ฟรี ไฟล์เหล่านั้นระบุชื่อ 'PHẠM TÀI TÂN' เป็นผู้เขียน ซึ่งเชื่อมโยงโดยตรงกับบุคคลที่อาจรับผิดชอบในการดำเนินการดังกล่าว

ข้อมูลจากแหล่งข่าวเปิดเพิ่มเติมเผยให้เห็นเว็บไซต์ที่เกี่ยวข้องคือ 'phamtaitan.vn' ซึ่งให้บริการด้านการตลาดดิจิทัล คำแถลงสาธารณะที่เกี่ยวข้องกับหน่วยงานนี้บ่งชี้ว่ามุ่งเน้นไปที่ทรัพยากรทางการตลาดและการให้คำปรึกษาเชิงกลยุทธ์ ซึ่งชี้ให้เห็นถึงทักษะที่สามารถใช้ได้ทั้งเพื่อวัตถุประสงค์ที่ถูกต้องและเป็นอันตราย

เศรษฐกิจใต้ดิน: การสร้างรายได้จากข้อมูลประจำตัวดิจิทัลที่ถูกบุกรุก

แคมเปญนี้แสดงให้เห็นถึงแนวโน้มที่กว้างขึ้นในอาชญากรรมไซเบอร์ นั่นคือ การเปลี่ยนตัวตนดิจิทัลให้กลายเป็นสินค้า บัญชี Facebook ที่ถูกแฮ็กไม่ได้เป็นเพียงแค่จุดสิ้นสุดของการเชื่อมต่อ แต่เป็นสินทรัพย์ที่มีค่าในตลาดมืดที่เฟื่องฟู

ผู้โจมตีแลกเปลี่ยนสิทธิ์การเข้าถึงบัญชีโดยพิจารณาจากปัจจัยต่างๆ เช่น ความเกี่ยวข้องทางธุรกิจ ประวัติการโฆษณา และศักยภาพในการกู้คืน การปฏิบัติการนี้แสดงให้เห็นว่าแพลตฟอร์มที่น่าเชื่อถือ เช่น Google AppSheet, Netlify, Vercel และอื่นๆ กำลังถูกนำมาใช้ใหม่เป็นโครงสร้างพื้นฐานสำหรับการส่งมอบ การโฮสต์ และการสร้างรายได้

แคมเปญ AccountDumpling เป็นตัวอย่างที่ชัดเจนว่ากลุ่มผู้คุกคามทางไซเบอร์สมัยใหม่ผสานรวมวิศวกรรมสังคม บริการคลาวด์ และเศรษฐกิจใต้ดินเข้าด้วยกันอย่างไร เพื่อสร้างองค์กรอาชญากรรมไซเบอร์ที่สอดคล้องกันและขยายขนาดได้