พบ ‘โทรจัน’ ขโมยข้อมูลไบโอเมตริก เพื่อเข้าถึงบัญชีธนาคารเหยื่อ (จบ)
จากสัปดาห์ที่แล้วที่ผมได้อธิบายถึงหลักการสำหรับการโจมตีทางไซเบอร์และเทคนิคการทำงานของแก๊ง “GoldFactory” กันในรูปแบบต่างๆ ในวันนี้เราจะมาเจาะลึกเหตุการณ์ที่เกิดขึ้นในประเทศไทยกันนะครับ
ตามรายงานของศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (Thailand Banking Sector CERT หรือ TB-CERT) พบว่า อาชญากรไซเบอร์มีข้อมูลส่วนบุคคลที่น่าเชื่อถือเกี่ยวกับเหยื่อจึงไม่น่าแปลกใจที่เหยื่อจะหลงเชื่อ
โดยมีการแอบอ้างเป็นหน่วยงานของรัฐและโน้มน้าวให้เหยื่อใช้ LINE ซึ่งเป็นหนึ่งในแอปพลิเคชันส่งข้อความที่ได้รับความนิยมมากที่สุดในประเทศไทยสำหรับการติดต่อและส่งลิงค์ปลอม
เมื่อเหยื่อโหลดแอพพลิเคชัน Digital Pension ของกรมบัญชีกลางเพื่อรับเงินบำนาญแบบดิจิทัล ก็จะมีการแสดงข้อความปลอมที่เสนอการขอคืนภาษีสำหรับค่าไฟฟ้าอีกด้วย
ผู้เชี่ยวชาญได้ค้นพบ GoldPickaxe หลายเวอร์ชัน ซึ่งทั้งหมดมีฟังก์ชันการทำงานที่เหมือนกัน แต่ปลอมตัวเป็นหน่วยงานราชการของไทยที่แตกต่างกัน ทำให้เราได้เห็นแนวโน้มแคมเปญหลอกลวงของ GoldFactory เกี่ยวข้องกับการเลียนแบบแอปพลิเคชันของรัฐบาลที่ถูกต้องตามกฎหมาย เช่น เงินบำนาญดิจิทัลสำหรับประเทศไทย บริการอื่นๆ ของรัฐบาลไทย
ขณะนี้ โทรจันแบบต่างๆ ของ GoldFactory กำลังแพร่กระจายผ่านเว็บไซต์ปลอมที่เป็นหน้า Google Play Store เพื่อติดตั้งมัลแวร์บนอุปกรณ์ของเหยื่อ
สำหรับ GoldPickaxe.iOS มีรูปแบบที่แตกต่างกันเพราะ Apple มีระบบที่ออกแบบมาเป็นอย่างดีเพื่อป้องกันไม่ให้แฮกเกอร์แพร่กระจายมัลแวร์ผ่านร้านค้า
อย่างไรก็ตาม อาชญากรไซเบอร์ได้ใช้ประโยชน์จากแพลตฟอร์ม TestFlight ของ Apple เพื่อเผยแพร่แอพพลิเคชันสกุลเงินดิจิทัลปลอม และหลอกลวงให้ติดตั้งโปรไฟล์ MDM โดยให้ทำตาม URL ที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์หลอกลวงเหล่านี้
จากนั้นแฮกเกอร์จะควบคุมและจัดการอุปกรณ์เคลื่อนที่ เช่น การล้างข้อมูลระยะไกล การติดตามอุปกรณ์ และการจัดการแอพพลิเคชัน ซึ่งอาชญากรไซเบอร์ใช้ประโยชน์จากการติดตั้งแอปพลิเคชันที่เป็นอันตรายและรับข้อมูลที่ต้องการซึ่งเหยื่อจะไม่มีทางรู้ตัวเลย
การจดจำใบหน้าถูกนำมาใช้อย่างจริงจังโดยเฉพาะองค์กรที่เกี่ยวข้องทางการเงินของไทยในการตรวจสอบธุรกรรมและการตรวจสอบการเข้าสู่ระบบ โดยในเดือน พ.ย. 2023 ตำรวจไซเบอร์ของไทย เปิดเผยว่า คนไทยตกเป็นเป้าหมายของการหลอกลวงโดยอาชญากรไซเบอร์สวมรอยเป็นเจ้าหน้าที่จากกระทรวงการคลัง
โดยอ้างการได้รับสิทธิ์ประโยชน์ทางการเงินต่างๆ จากนั้นหลอกให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์ของอาชญากรเพื่อดาวน์โหลดการตั้งค่าโปรไฟล์ MDMและให้เหยื่อบันทึกวิดีโอเป็นวิธีการยืนยันในแอปพลิเคชันปลอม
จากนั้นวิดีโอที่บันทึกไว้จะถูกนำมาใช้สร้างวิดีโอ Deepfake AI เพื่อสลับใบหน้า โดยโทรจัน GoldPickaxe ทั้งในแพลตฟอร์ม iOS และ Android และมีความสามารถเพิ่มเติม
เช่น การขอเอกสารประจำตัวของเหยื่อ การสกัดกั้น SMS และการรับส่งข้อมูลผ่านอุปกรณ์ที่ติดไวรัสและจะไม่ทำธุรกรรมโดยตรงจากโทรศัพท์ของเหยื่อ แต่จะรวบรวมข้อมูลที่จำเป็นทั้งหมดจากเหยื่อเพื่อเข้าถึงแอปพลิเคชันธนาคารของเหยื่อโดยอัตโนมัติ โดยสามารถข้ามการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ได้เลย
เราจะเห็นได้ว่า กลยุทธ์ของเหล่าอาชญากรทางไซเบอร์นั้น ได้พัฒนาอย่างก้าวกระโดดเพื่อเอาชนะกลยุทธ์การป้องกันต่างๆ ส่งผลให้ภาพรวมของมัลแวร์บนมือถือได้กลายเป็นตลาดที่ทำกำไรได้อย่างรวดเร็ว และเพื่อตอบสนองต่อภัยคุกคามที่ทวีความรุนแรงขึ้นนี้
สถาบันการเงินต้องดำเนินมาตรการป้องกันความปลอดภัยทางไซเบอร์แบบเชิงรุกรวมถึงการให้ความรู้แก่ผู้ใช้งานให้รู้จักวิธีการแยกเว็บไซต์จริงหรือปลอมและแอปที่เป็นอันตรายต่างๆ และการปกป้องรหัสผ่านและข้อมูลส่วนบุคคลของผู้ใช้งานให้ปลอดภัยครับ