Xiū gǒu Phishing Kit

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยชุดฟิชชิ่งชนิดใหม่ที่เรียกว่า Xiū gǒu ซึ่งถูกใช้เป็นประจำตั้งแต่เดือนกันยายน 2024 เป็นอย่างน้อยในแคมเปญที่กำหนดเป้าหมายไปที่ออสเตรเลีย ญี่ปุ่น สเปน สหราชอาณาจักร และสหรัฐอเมริกา

จนถึงปัจจุบัน มีการระบุเว็บไซต์ฟิชชิ่งที่ใช้ชุดเครื่องมือนี้แล้วมากกว่า 2,000 เว็บไซต์ โดยชุดเครื่องมือนี้ถูกนำไปใช้งานในหลายภาคส่วน รวมถึงบริการสาธารณะ ไปรษณีย์ ดิจิทัล และอุตสาหกรรมการธนาคาร ผู้ก่อภัยคุกคามที่อยู่เบื้องหลังชุดเครื่องมือนี้มักจะใช้ประโยชน์จากคุณสมบัติป้องกันบอทของ Cloudflare และเทคนิคการทำให้สับสนเพื่อหลีกเลี่ยงการตรวจจับ ทำให้ยากต่อการติดตามการโจมตี

ชุดฟิชชิ่งคืออะไร?

ชุดฟิชชิ่งเช่น Xiū gǒu นำเสนอความเสี่ยงโดยลดอุปสรรคในการเข้าถึงสำหรับแฮกเกอร์ที่มีประสบการณ์น้อยกว่า ซึ่งอาจทำให้เกิดแคมเปญอันตรายที่มีจุดมุ่งหมายเพื่อขโมยข้อมูลที่ละเอียดอ่อนเพิ่มมากขึ้น

Xiū gǒu ถูกสร้างโดยผู้ก่อภัยคุกคามที่พูดภาษาจีน โดยมาพร้อมกับแผงควบคุมสำหรับผู้ดูแลระบบและสร้างขึ้นโดยใช้เทคโนโลยีเช่น Golang และ Vue.js นอกจากนี้ ชุดดังกล่าวยังได้รับการกำหนดค่าให้ขโมยข้อมูลประจำตัวและข้อมูลอื่นๆ จากหน้าฟิชชิ่งที่โฮสต์บนโดเมน '.top' ผ่าน Telegram อีกด้วย

การโจมตี Xiū gǒu ดำเนินการอย่างไร?

การโจมตีแบบฟิชชิ่งนั้นส่งผ่านข้อความ Rich Communications Services (RCS) แทนที่จะเป็น SMS แบบดั้งเดิม โดยแจ้งเตือนผู้รับเกี่ยวกับค่าปรับที่จอดรถและการจัดส่งพัสดุที่ล้มเหลว ข้อความเหล่านี้กระตุ้นให้ผู้รับคลิกลิงก์ย่อที่สร้างขึ้นโดยใช้บริการย่อ URL เพื่อชำระค่าปรับหรืออัปเดตที่อยู่จัดส่ง

กลโกงเหล่านี้มักจะหลอกเหยื่อให้ให้ข้อมูลส่วนตัวและชำระเงิน เช่น ค่าธรรมเนียมในการส่งพัสดุหรือชำระค่าปรับ

RCS ซึ่งใช้งานได้ผ่าน Apple Messages เป็นหลัก (เริ่มตั้งแต่ iOS 18) และ Google Messages บน Android ช่วยเพิ่มประสบการณ์การส่งข้อความด้วยการเสนอคุณสมบัติเช่น การแบ่งปันไฟล์ ตัวบ่งชี้การพิมพ์ และการเข้ารหัสแบบ End-to-End (E2EE) ที่เป็นทางเลือก

Google กำลังดำเนินการตามมาตรการรักษาความปลอดภัยเพิ่มเติม

Google ได้ประกาศมาตรการใหม่เพื่อเพิ่มการป้องกันกลวิธีฟิชชิ่ง รวมไปถึงการใช้การตรวจจับการหลอกลวงที่ได้รับการปรับปรุงใหม่ ซึ่งใช้โมเดลการเรียนรู้ของเครื่องบนอุปกรณ์เพื่อกรองข้อความหลอกลวงที่เกี่ยวข้องกับการจัดส่งพัสดุและข้อเสนองานออกไปโดยเฉพาะ

นอกจากนี้ บริษัทกำลังทดสอบคำเตือนด้านความปลอดภัยสำหรับผู้ใช้ในอินเดีย ไทย มาเลเซีย และสิงคโปร์ ที่ได้รับข้อความจากผู้ส่งที่ไม่รู้จักซึ่งมีลิงก์ที่อาจเป็นอันตราย มาตรการป้องกันใหม่เหล่านี้ซึ่งเตรียมเปิดตัวทั่วโลกในช่วงปลายปีนี้ จะบล็อกข้อความที่มีลิงก์จากแหล่งที่น่าสงสัยด้วยเช่นกัน

นอกจากนี้ Google กำลังเปิดตัวฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถ "ซ่อนข้อความจากผู้ส่งต่างประเทศที่ไม่ใช่ผู้ติดต่อปัจจุบัน" โดยอัตโนมัติ โดยย้ายข้อความเหล่านั้นไปยังโฟลเดอร์ "สแปมและถูกบล็อก" โดยฟีเจอร์นี้เริ่มทดลองใช้ในสิงคโปร์แล้ว