‘Uncle Scam’ การโจมตีทางไซเบอร์ด้วยฟิชชิ่งแบบใหม่

‘Uncle Scam’ การโจมตีทางไซเบอร์ด้วยฟิชชิ่งแบบใหม่

มื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยตรวจพบฟิชชิ่งที่ขับเคลื่อนด้วย AI ชื่อว่า “Uncle Scam” ซึ่งเป็นการใช้เทคนิคขั้นสูงเชิงโต้ตอบและโมเดลภาษาขนาดใหญ่ LLM (Large Language Models) เพื่อสร้างอีเมลฟิชชิงที่น่าเชื่อ

กรณีที่พึ่งเกิดขึ้นในสหรัฐ แฮกเกอร์ปลอมตัวเป็นหน่วยงานรัฐบาลของสหรัฐฯ เพื่อส่งคำเชิญการประกวดราคาและทำการฉ้อโกงองค์กรในสหรัฐฯหลายแห่ง ซึ่งกระบวนการจะเริ่มจากการส่งอีเมลที่อ้างว่ามาจาก General Services Administration (GSA)

โดยเชิญผู้รับให้เข้าร่วมประมูลโครงการของรัฐบาลกลาง ในอีเมลจะแนบลิงก์ที่เปลี่ยนเส้นทางผู้ใช้งานไปยังเว็บไซต์ GSA ปลอมซึ่งมีการออกแบบมาอย่างแนบเนียนเพื่อเลียนแบบเว็บไซต์ที่ถูกต้องตามกฎหมาย

เว็บไซต์ปลอมนี้มีลิงก์และตัวเลือกการค้นหาที่นำไปสู่เพจจริงของ GSA เพื่อเป็นการเพิ่มความน่าเชื่อถือและทำให้ผู้ใช้งานตรวจพบได้ยาก จากนั้นเมื่อคลิกปุ่ม “ลงทะเบียนสำหรับ RFQ” ​​ผู้ใช้งานจะพบหน้า CAPTCHA ซึ่งเป็นกลยุทธ์ที่ผู้โจมตีใช้เพื่อหลบเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยอัตโนมัติ

เมื่อผู้ใช้งานส่งรายละเอียดเข้าสู่ระบบ แฮกเกอร์จะเก็บข้อมูลประจำตัวไว้ทั้งหมด นอกจากนี้แฮกเกอร์ยังแสดงข้อความป๊อปอัปต่างๆ ที่แนะนำผู้ใช้งานเกี่ยวกับวิธีการลงทะเบียนสำหรับ RFQ โดยต้องคลิกหลายครั้งเพื่อไปที่เว็บไซต์เข้าสู่ระบบปลอม

นอกจากนี้ แฮกเกอร์ยังใช้แพลตฟอร์ม Microsoft Dynamics 365 ในทางที่ผิดโดยใช้ประโยชน์จากโดเมน dyn365mktg.com เพื่อสร้างโดเมนย่อยและส่งอีเมลที่เป็นอันตราย

การเชื่อมโยงโดเมนนี้กับไมโครซอฟท์ช่วยให้อีเมลฟิชชิงสามารถข้ามตัวกรองสแปมและเข้าถึงกล่องจดหมายได้จึงเป็นการช่วยเพิ่มประสิทธิภาพของการโจมตีได้เป็นอย่างดี ซึ่งโดเมนนี้ได้รับการรับรองความถูกต้องแล้วจากไมโครซอฟท์ตามมาตรฐาน DKIM และ SPF ซึ่งช่วยให้มั่นใจได้ว่าอีเมลจากโดเมนนี้มีแนวโน้มที่จะข้ามตัวกรองสแปมและเข้าสู่กล่องจดหมายได้โดยตรง

เพราะการรับรองความถูกต้องล่วงหน้าและการเชื่อมโยงกับไมโครซอฟท์นี้ช่วยเพิ่มความสามารถในการจัดส่งที่สูงขึ้น ทำให้อีเมลฟิชชิงที่ส่งจาก dyn365mktg(.)com นั้น มีโอกาสน้อยมากที่จะถูกตั้งค่าสถานะว่าเป็นสแปม ยิ่งไปกว่านั้น ความน่าเชื่อถือของโดเมนที่สามารถลิงก์ไปยังแพลตฟอร์มการตลาดที่เชื่อถือได้ ทำให้อีเมลจากโดเมนนี้ได้รับการพิจารณาว่าถูกต้องตามกฎหมายและเป็นตัวช่วยเพิ่มประสิทธิภาพของการโจมตี

การโจมตีแบบฟิชชิงที่สร้างขึ้นด้วยการใช้ LLM ทั้ง 2 กรณีข้างต้น ช่วยให้แฮกเกอร์สามารถสร้างอีเมลที่ซับซ้อน มีการเลือกใช้ภาษา รายละเอียดเฉพาะของแต่ละฝ่ายในองค์กร และความถูกต้องตามบริบทต่างๆ ที่เอื้อต่อการโจมตีได้เป็นอย่างดี

สำหรับวิธีการรับมือจากการโจมตีแบบฟิชชิงที่ซับซ้อนควรเริ่มจาก

  • ตรวจสอบอีเมลของผู้ส่งทุกครั้งเพื่อยืนยันความถูกต้องตามกฎหมาย
  • โฮเวอร์ (Hover) ไปเหนือลิงก์เพื่อยืนยัน URL ที่ถูกต้องก่อนคลิก
  • มองหาข้อผิดพลาดในเนื้อหาของอีเมล ทั้งทางไวยากรณ์หรือการใช้ถ้อยคำที่ผิดปกติ
  • ใช้ประโยชน์จากเครื่องมือการตรวจจับขั้นสูงหรือโซลูชันความปลอดภัยที่มีประสิทธิภาพที่ขับเคลื่อนด้วย AI
  • ให้ความรู้และฝึกอบรมพนักงานให้รู้จักอีเมลฟิชชิงและภัยคุกคามในรูปแบบต่างๆ
  • ระมัดระวังข้อเสนอที่ดูดีเกินจริงและตรวจสอบความถูกต้องผ่านช่องทางที่เชื่อถือได้

เราจะเห็นได้ว่า แม้แต่สหรัฐที่มีเทคโนโลยีและโซลูชันที่ทันสมัยยังถูกโจมตีจากภัยไซเบอร์อย่างต่อเนื่อง องค์กรต่างๆ ในประเทศไทยทั้งภาครัฐและเอกชนควรเฝ้าระวัง มั่นตรวจสอบระบบภายในอย่างสม่ำเสมอและในความรู้ที่ถูกต้องกับพนักงานเพื่อเป็นการป้องกันองค์กรให้ปลอดภัยครับ