ระวัง! การโจมตีแบบฟิชชิ่งจะฉลาดขึ้นด้วยการตรวจสอบอีเมลแบบเรียลไทม์
อาชญากรไซเบอร์กำลังยกระดับมาตรฐานใหม่ของการขโมยข้อมูลประจำตัวด้วยการใช้การตรวจสอบอีเมลแบบเรียลไทม์เพื่อให้ การโจมตีแบบฟิชชิง มีประสิทธิภาพมากขึ้นและตรวจจับได้ยากขึ้น นักวิจัยที่ Cofense ได้ระบุกลวิธีที่กำลังพัฒนานี้และเรียกมันว่า "การตรวจสอบฟิชชิงอย่างแม่นยำ" ซึ่งเป็นวิธีการที่จำกัดรายชื่อเป้าหมายให้เหลือเฉพาะที่อยู่อีเมลที่ได้รับการยืนยันว่าใช้งานอยู่และมีค่าเท่านั้น
ต่างจากแคมเปญฟิชชิ่งแบบเดิมที่ทอดแหกว้างและหวังว่าจะได้เหยื่อมาบ้าง แนวทางใหม่นี้มีความแม่นยำและจงใจ แทนที่จะส่งหน้าล็อกอินปลอมให้กับผู้ใช้แบบสุ่ม ผู้โจมตีจะตรวจสอบก่อนว่าที่อยู่อีเมลที่ป้อนในหน้าฟิชชิ่งมีอยู่ในฐานข้อมูลของเป้าหมายที่รวบรวมไว้ล่วงหน้าหรือไม่ หากตรวจสอบแล้ว เหยื่อจะเห็นหน้าจอล็อกอินปลอมที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว หากไม่เป็นเช่นนั้น เหยื่อจะถูกเปลี่ยนเส้นทางไปยังไซต์ที่ไม่เป็นอันตราย เช่น Wikipedia ซึ่งช่วยให้ไซต์ฟิชชิ่งหลีกเลี่ยงการตรวจจับโดยเครื่องสแกนความปลอดภัยอัตโนมัติ
การตรวจสอบแบบเรียลไทม์นี้เป็นไปได้ด้วยการฝังเครื่องมือตรวจสอบอีเมลที่ใช้ API หรือ JavaScript ลงในชุดฟิชชิ่ง ผลลัพธ์คือข้อมูลที่ถูกขโมยจะมีคุณภาพสูงขึ้น ความพยายามที่สูญเปล่าลดลง และแคมเปญฟิชชิ่งจะตรวจจับและปิดการทำงานได้ยากขึ้นสำหรับเครื่องมือด้านความปลอดภัยทางไซเบอร์
สารบัญ
การกรองเหยื่อเพื่อผลกระทบสูงสุด
Cofense เตือนว่าเทคนิคนี้ไม่เพียงแต่เพิ่มโอกาสในการขโมยข้อมูลประจำตัวจากบัญชีที่ใช้งานจริงเท่านั้น แต่ยังทำให้การทำงานของแซนด์บ็อกซ์อัตโนมัติและเครื่องมือรวบรวมข้อมูลที่ออกแบบมาเพื่อตรวจจับเว็บไซต์ที่เป็นอันตรายมีความซับซ้อนมากขึ้นด้วย ระบบเหล่านี้มักจะไม่ผ่านการตรวจสอบความถูกต้อง ทำให้หน้าฟิชชิ่งยังคงทำงานได้นานขึ้นและหลีกเลี่ยงการถูกระบุว่าน่าสงสัย
การกรองข้อมูลในระดับนี้ทำให้ผู้ก่อภัยคุกคามได้เปรียบอย่างมาก โดยการเน้นไปที่เป้าหมายที่ผ่านการตรวจสอบ จะช่วยลดความเสี่ยงในการเปิดเผยข้อมูลและเพิ่มผลตอบแทนจากการลงทุน นอกจากนี้ กลวิธีดังกล่าวยังช่วยยืดอายุแคมเปญฟิชชิ่ง ทำให้ผู้ป้องกันรับมือกับภัยคุกคามได้ยากขึ้น
กลอุบายฟิชชิ่งเพื่อลบไฟล์ใช้การโจมตีแบบสองทาง
นอกจากนี้ ผู้โจมตียังเพิ่มความเสี่ยงด้วยการใช้กลวิธีทางวิศวกรรมสังคมเพื่อหลอกล่อเหยื่อ โดยล่าสุดมีแคมเปญหนึ่งที่สังเกตเห็นว่าใช้การแจ้งเตือนการลบไฟล์เป็นเหยื่อล่อ โดยเหยื่อจะได้รับอีเมลที่ดูเหมือนลิงก์ไปยังไฟล์ PDF ที่กำลังจะถูกลบจากแพลตฟอร์มโฮสต์ไฟล์ที่ถูกกฎหมายอย่าง files.fm การคลิกลิงก์ดังกล่าวจะนำเหยื่อไปยังบริการโฮสต์ไฟล์จริง ซึ่งเหยื่อสามารถเข้าถึงไฟล์ที่ดูเหมือนเป็นไฟล์ PDF ได้
นี่คือเงื่อนไข: ผู้ใช้จะพบกับตัวเลือกสองแบบ ได้แก่ ดูตัวอย่างหรือดาวน์โหลด การดูตัวอย่างจะเปิดหน้าเข้าสู่ระบบ Microsoft ปลอมที่ตั้งใจจะรวบรวมข้อมูลประจำตัว ในขณะที่การดาวน์โหลดจะทริกเกอร์การติดตั้งไฟล์ปฏิบัติการที่แอบอ้างว่าเป็น Microsoft OneDrive โปรแกรมดังกล่าวคือ ScreenConnect ซึ่งเป็นเครื่องมือเดสก์ท็อประยะไกลที่ถูกต้องตามกฎหมายจาก ConnectWise ซึ่งมักถูกผู้คุกคามใช้ในทางที่ไม่ได้รับอนุญาต
ตามข้อมูลของ Cofense การโจมตีนี้ได้รับการออกแบบมาอย่างชาญฉลาดเพื่อควบคุมพฤติกรรมของผู้ใช้ เหยื่อถูกบังคับให้เลือกระหว่างสองทางเลือกที่อันตรายพอๆ กัน ซึ่งแต่ละทางเลือกนำไปสู่การบุกรุกระบบในรูปแบบที่แตกต่างกัน การตั้งค่าแบบสองทางนี้ช่วยให้ผู้ก่อภัยคุกคามบรรลุเป้าหมายได้ ไม่ว่าจะเป็นการขโมยข้อมูลประจำตัวหรือการใช้มัลแวร์
ฟิชชิ่งผสมผสานกับการเข้าถึงระยะไกลและกลวิธีการฟิชชิ่ง
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโจมตีหลายขั้นตอนที่ผสมผสานการฟิชชิ่งเข้ากับการหลอกลวงทางโทรศัพท์ (vishing) เครื่องมือการเข้าถึงระยะไกล และเทคนิค "การใช้ชีวิตนอกสถานที่" การดำเนินการที่ซับซ้อนนี้สอดคล้องกับกลุ่มผู้ก่อภัยคุกคาม Storm-1811 (หรือที่รู้จักในชื่อ STAC5777)
การโจมตีเริ่มต้นด้วยข้อความ Microsoft Teams ที่มีเนื้อหา PowerShell ที่เป็นอันตราย เมื่อเข้าถึงได้ในเบื้องต้นแล้ว ผู้โจมตีจะใช้ฟีเจอร์ Quick Assist ของ Microsoft เพื่อควบคุมระบบจากระยะไกล จากนั้นจึงติดตั้งซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น TeamViewer ร่วมกับ DLL ที่เป็นอันตรายแบบไซด์โหลด และสุดท้ายใช้แบ็กดอร์คำสั่งและการควบคุมที่ใช้ JavaScript โดยใช้ Node.js
เหตุการณ์เหล่านี้แสดงให้เห็นถึงความซับซ้อนและความคิดสร้างสรรค์ที่เพิ่มมากขึ้นของภัยคุกคามฟิชชิ่งในปัจจุบัน โดยผู้โจมตีสามารถหลบเลี่ยงการป้องกันแบบดั้งเดิมและหลอกล่อผู้ใช้ที่ระมัดระวังได้สำเร็จด้วยการใช้กลวิธีที่ผสมผสานระหว่างความซับซ้อนทางเทคนิคและการจัดการทางจิตวิทยา
การป้องกันที่ดีที่สุดคือการเฝ้าระวัง องค์กรต่างๆ ต้องคอยติดตามข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นเหล่านี้ และผู้ใช้ต้องคิดให้ดีก่อนคลิกลิงก์ ป้อนข้อมูลรับรอง หรือดาวน์โหลดไฟล์ ไม่ว่าข้อมูลนั้นจะดูน่าเชื่อถือเพียงใดก็ตาม