อีเมลหลอกลวงเรื่อง "เอกสารแจ้งยอดทางอิเล็กทรอนิกส์ของสำนักงานประกันสังคมพร้อมใช้งานแล้ว"
อาชญากรไซเบอร์มักใช้แคมเปญอีเมลที่น่าเชื่อถือเพื่อหลอกลวงผู้รับให้เปิดไฟล์ที่เป็นอันตราย เปิดเผยข้อมูลสำคัญ หรือติดตั้งมัลแวร์ ด้วยเหตุนี้ จึงจำเป็นอย่างยิ่งที่จะต้องระมัดระวังทุกครั้งที่ได้รับอีเมลที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งเมื่ออีเมลนั้นอ้างว่ามีเอกสารสำคัญหรือการแจ้งเตือนเร่งด่วน อีเมล "ใบแจ้งยอดทางอิเล็กทรอนิกส์ของสำนักงานประกันสังคมพร้อมใช้งานแล้ว" เป็นตัวอย่างสำคัญของกลยุทธ์นี้ ข้อความเหล่านี้เป็นข้อความหลอกลวงและไม่เกี่ยวข้องกับบริษัท องค์กร หน่วยงานรัฐบาล หรือหน่วยงานที่ถูกต้องตามกฎหมายใดๆ จุดประสงค์เดียวคือการแพร่เชื้อไปยังอุปกรณ์ของเหยื่อและให้ผู้โจมตีเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
สารบัญ
เจาะลึกกลโกงนี้ให้มากขึ้น
จากการวิเคราะห์อีเมลที่มีข้อความว่า "แบบฟอร์มแจ้งยอดเงินประกันสังคมออนไลน์พร้อมใช้งานแล้ว" พบว่าอีเมลเหล่านี้เป็นส่วนหนึ่งของแคมเปญสแปมที่เป็นอันตราย ซึ่งออกแบบมาเพื่อแอบอ้างเป็นสำนักงานประกันสังคม (SSA) โดยอีเมลเหล่านี้แจ้งข้อมูลเท็จแก่ผู้รับว่าแบบฟอร์มแจ้งยอดเงินประกันสังคมประจำปี 2026 พร้อมให้ดาวน์โหลดแล้ว
เพื่อให้ข้อความดูน่าเชื่อถือ มิจฉาชีพจะใส่รายละเอียดต่างๆ เช่น รหัสอ้างอิง วันที่ และปุ่ม "ดาวน์โหลดใบแจ้งยอดทางอิเล็กทรอนิกส์" ที่แสดงอย่างเด่นชัด องค์ประกอบเหล่านี้มีจุดประสงค์เพื่อสร้างความน่าเชื่อถือและกระตุ้นให้ผู้รับเชื่อถืออีเมล อย่างไรก็ตาม สำนักงานประกันสังคมแห่งสหรัฐอเมริกา (Social Security Administration) ตัวจริงไม่มีส่วนเกี่ยวข้องใดๆ กับข้อความเหล่านี้เลย
เป้าหมายของแคมเปญนี้คือการล่อลวงผู้รับให้คลิกปุ่มที่ให้มา ซึ่งจะเริ่มขั้นตอนต่อไปของการโจมตี
พอร์ทัลการตรวจสอบปลอม
ผู้รับที่คลิกปุ่มดาวน์โหลดจะถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาอย่างพิถีพิถันให้ดูเหมือนหน้าเว็บทางการของ SSA เมื่อเข้าไปแล้ว ผู้เข้าชมจะพบข้อความ "ต้องยืนยันตัวตน" และได้รับคำแนะนำให้เลือกแถบเลื่อนเพื่อเริ่มกระบวนการดาวน์โหลดเอกสาร
แทนที่จะแสดงใบแจ้งหมายเลขประกันสังคม เว็บไซต์ดังกล่าวจะส่งไฟล์ชื่อ 'ScreenConnect.ClientSetup.msi' ไปยังอุปกรณ์ของผู้เข้าชมโดยอัตโนมัติ นอกจากนี้ เว็บไซต์ยังแสดงข้อความแจ้งว่าเอกสารสามารถเข้าถึงได้เฉพาะผ่านคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows เท่านั้น ข้อจำกัดนี้เป็นไปโดยเจตนา เนื่องจากช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายผู้ใช้ Windows และเพิ่มโอกาสที่โปรแกรมติดตั้งที่เป็นอันตรายจะทำงานได้อย่างถูกต้อง
กระบวนการตรวจสอบยืนยันไม่มีจุดประสงค์ที่ถูกต้องตามกฎหมาย และมีอยู่เพียงเพื่อทำให้การดาวน์โหลดดูน่าเชื่อถือเท่านั้น
วิธีการทำงานของโปรแกรมติดตั้งที่เป็นอันตราย
ไฟล์ที่ดาวน์โหลดมานั้นมีเวอร์ชันที่แก้ไขแล้วของ ScreenConnect หรือที่รู้จักกันในชื่อ ConnectWise Control โดยปกติแล้ว ScreenConnect เป็นเครื่องมือควบคุมระยะไกลและให้การสนับสนุนที่ถูกต้องตามกฎหมาย ซึ่งใช้กันอย่างแพร่หลายโดยผู้เชี่ยวชาญด้านไอทีและองค์กรต่างๆ
อย่างไรก็ตาม ในแคมเปญนี้ ซอฟต์แวร์ได้รับการดัดแปลงและกำหนดค่าให้สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่โดยไม่ให้ผู้โจมตีรู้ตัว เมื่อติดตั้งและเรียกใช้งานแล้ว แอปพลิเคชันที่ติดมัลแวร์จะทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกจากระยะไกลได้โดยไม่ต้องมีการควบคุมดูแล
การเข้าถึงในระดับนี้ทำให้ผู้โจมตีสามารถกระทำการที่เป็นอันตรายได้หลากหลายรูปแบบโดยที่เหยื่อไม่รู้ตัว
อันตรายจากการโจมตีระบบจากระยะไกล
เมื่อผู้โจมตีได้รับสิทธิ์การเข้าถึงระยะไกลผ่านซอฟต์แวร์ที่เป็นอันตราย ผลที่ตามมาอาจร้ายแรง พวกเขาอาจสามารถทำสิ่งต่อไปนี้ได้:
- เฝ้าติดตามกิจกรรมของเหยื่อและดูทุกอย่างที่ปรากฏบนหน้าจอ
- ขโมยเอกสาร ข้อมูลการเข้าสู่ระบบ ข้อมูลธนาคาร และข้อมูลสำคัญอื่นๆ
- ติดตั้งมัลแวร์เพิ่มเติม รวมถึงแรนซัมแวร์ สปายแวร์ หรือภัยคุกคามที่ขโมยข้อมูล
- แก้ไขไฟล์และตั้งค่าระบบ
- ดำเนินการธุรกรรมทางการเงินที่ไม่ได้รับอนุญาต หรือใช้บัญชีออนไลน์ที่ถูกแฮ็กในทางที่ผิด
คอมพิวเตอร์เครื่องใดก็ตามที่ติดตั้งโปรแกรมติดตั้ง ScreenConnect ที่เป็นอันตราย ควรพิจารณาว่าถูกบุกรุกอย่างสมบูรณ์แล้ว จำเป็นต้องดำเนินการตอบสนองต่อเหตุการณ์โดยทันทีเพื่อควบคุมภัยคุกคามและป้องกันความเสียหายเพิ่มเติม
อีเมลสแปมส่งมัลแวร์ได้อย่างไร
แคมเปญ 'ใบแจ้งยอดทางอิเล็กทรอนิกส์ของสำนักงานประกันสังคมพร้อมใช้งานแล้ว' แสดงให้เห็นถึงกลยุทธ์การแพร่กระจายมัลแวร์ทั่วไปที่อาชญากรไซเบอร์ใช้ โดยทั่วไปแล้วอีเมลสแปมที่เป็นอันตรายจะแพร่กระจายมัลแวร์ผ่านไฟล์แนบหรือลิงก์ที่ฝังอยู่
ไฟล์แนบอาจมาในรูปแบบต่างๆ รวมถึงเอกสาร Microsoft Office ไฟล์ PDF ไฟล์ ZIP ไฟล์ปฏิบัติการ และสคริปต์ การติดมัลแวร์บางชนิดเริ่มต้นทันทีที่เปิดไฟล์ ในขณะที่บางชนิดต้องการให้ผู้รับเปิดใช้งานมาโครหรือดำเนินการเพิ่มเติม
ในทำนองเดียวกัน ลิงก์ที่เป็นอันตรายมักจะนำผู้ใช้ไปยังเว็บไซต์ที่ปลอมตัวเป็นพอร์ทัลเอกสารที่ปลอดภัย บริการตรวจสอบ หรือหน้าดาวน์โหลด เว็บไซต์เหล่านี้ถูกออกแบบมาเพื่อชักจูงให้ผู้เข้าชมดาวน์โหลดและเรียกใช้ไฟล์ที่เป็นอันตราย ในบางกรณี การดาวน์โหลดจะเริ่มต้นโดยอัตโนมัติ ในขณะที่บางกรณีจะใช้วิธีการทางสังคมเพื่อโน้มน้าวให้เหยื่อเรียกใช้มัลแวร์ด้วยตนเอง
การสังเกตสัญญาณเตือนภัย
ลักษณะหลายประการสามารถช่วยระบุการหลอกลวงในลักษณะนี้ได้:
การรู้จักสังเกตตัวบ่งชี้เหล่านี้จะช่วยป้องกันการสัมผัสกับมัลแวร์และภัยคุกคามทางไซเบอร์อื่นๆ โดยไม่ตั้งใจได้
การประเมินขั้นสุดท้าย
แคมเปญอีเมล "ใบแจ้งยอดทางอิเล็กทรอนิกส์ของสำนักงานประกันสังคมพร้อมใช้งานแล้ว" เป็นแผนการแพร่กระจายมัลแวร์ที่เป็นอันตราย ซึ่งแอบอ้างเป็นสำนักงานประกันสังคมเพื่อสร้างความไว้วางใจให้กับเหยื่อ แทนที่จะส่งใบแจ้งยอดประจำปีให้ อีเมลหลอกลวงนี้จะเปลี่ยนเส้นทางผู้รับไปยังพอร์ทัลการตรวจสอบปลอม ซึ่งจะดาวน์โหลดโปรแกรมติดตั้ง ScreenConnect ที่มีมัลแวร์แฝงอยู่
เมื่อโปรแกรมที่เป็นอันตรายนี้ทำงานแล้ว ผู้โจมตีจะสามารถเข้าถึงระบบที่ได้รับผลกระทบจากระยะไกล ซึ่งอาจนำไปสู่การขโมยข้อมูล การถูกบุกรุกบัญชี การสูญเสียทางการเงิน และการติดมัลแวร์เพิ่มเติม ผู้รับที่ได้รับอีเมลเหล่านี้ควรลบอีเมลเหล่านั้นทันทีและหลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์ใด ๆ ที่อยู่ในข้อความ
System Messages
The following system messages may be associated with อีเมลหลอกลวงเรื่อง "เอกสารแจ้งยอดทางอิเล็กทรอนิกส์ของสำนักงานประกันสังคมพร้อมใช้งานแล้ว":
Subject: Your eStatement is here - Thank You for Choosing Online Access 53345763 5/29/2026 |
