ภัยไซเบอร์รูปแบบใหม่! แฮกเกอร์ใช้เทคนิคซ้อนลิงก์หลายชั้น ขโมยรหัสผ่าน Microsoft 365

Published:

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญฟิชชิ่ง (Phishing) รูปแบบใหม่ ที่แฮกเกอร์ใช้เทคนิคซ้อนลิงก์หลายชั้นเพื่อหลบเลี่ยงระบบป้องกัน และขโมยข้อมูลล็อกอิน Microsoft 365 ของเหยื่อ โดยอาศัยช่องโหว่จากบริการ "Link Wrapping" ของผู้ให้บริการด้านความปลอดภัยอย่าง Proofpoint และ Intermedia1

"Link Wrapping" ดาบสองคมที่แฮกเกอร์ใช้เป็นอาวุธ

โดยปกติแล้ว บริการ Link Wrapping ถูกออกแบบมาเพื่อความปลอดภัย ทีมงาน Cloudflare Email Security อธิบายว่า "ผู้ให้บริการอย่าง Proofpoint สร้างฟีเจอร์นี้ขึ้นมาเพื่อปกป้องผู้ใช้ โดยจะนำลิงก์ที่ถูกคลิกทั้งหมดไปผ่านระบบสแกนของตนก่อน เพื่อตรวจสอบและบล็อกเว็บไซต์ที่เป็นอันตรายในจังหวะที่ผู้ใช้คลิก"

แม้ว่าวิธีนี้จะได้ผลกับภัยคุกคามที่รู้จักอยู่แล้ว แต่การโจมตีก็ยังสามารถเกิดขึ้นได้ หากลิงก์ที่ถูกแปลงนั้นยังไม่ถูกตรวจจับว่าเป็นอันตรายในขณะที่คลิก

ในช่วงสองเดือนที่ผ่านมา พบว่าผู้ไม่หวังดีได้หาวิธีใช้ประโยชน์จากเครื่องมือและฟีเจอร์ที่น่าเชื่อถือเหล่านี้เพื่อเปลี่ยนเส้นทาง (Redirect) เหยื่อไปยังหน้าล็อกอินปลอมของ Microsoft 365

เทคนิคการซ้อนลิงก์หลายชั้นทำงานอย่างไร?

การโจมตีลักษณะนี้มีความซับซ้อนกว่าที่เคย โดยแฮกเกอร์จะเริ่มจากการเข้าควบคุมบัญชีอีเมลขององค์กรที่เปิดใช้งานบริการ Link Wrapping อยู่แล้ว จากนั้น:

  1. ชั้นที่ 1 (ซ่อนลิงก์): แฮกเกอร์จะนำลิงก์ของเว็บไซต์ฟิชชิ่งไปย่อให้สั้นลงก่อนผ่านบริการอย่าง Bitly เพื่ออำพราง URL จริง

  2. ชั้นที่ 2 (แปลงลิงก์): จากนั้น แฮกเกอร์จะส่งอีเมลที่มีลิงก์ย่อนี้ผ่านบัญชีที่ถูกแฮก ซึ่งระบบของ Proofpoint จะทำการ "ห่อ" หรือแปลงลิงก์นั้นโดยอัตโนมัติ ทำให้ลิงก์ที่เหยื่อเห็นกลายเป็นลิงก์ที่ดูน่าเชื่อถือ เช่น urldefense.proofpoint[.]com/v2/url?u=<malicious_website>

พฤติกรรมนี้ทำให้เกิด "ห่วงโซ่การเปลี่ยนเส้นทาง" (Redirection Chain) ที่ URL จะต้องผ่านการซ่อนตัวถึงสองชั้น คือจาก Bitly และจาก Proofpoint URL Defense ก่อนที่จะพาเหยื่อไปยังหน้าฟิชชิ่งเป้าหมายในที่สุด

รูปแบบอีเมลหลอกลวงที่พบบ่อย

แฮกเกอร์มักใช้วิธีการทางจิตวิทยาเพื่อหลอกให้เหยื่อคลิก โดยปลอมอีเมลเป็น:

  • การแจ้งเตือนข้อความเสียง (Voicemail): หลอกว่ามีข้อความเสียงใหม่รออยู่ และกระตุ้นให้คลิกลิงก์เพื่อฟัง

  • การแจ้งเตือนเอกสารจาก Microsoft Teams: อ้างว่ามีคนส่งเอกสารมาให้ และให้คลิกเพื่อเปิดดู

  • การแจ้งเตือนข้อความที่ยังไม่ได้อ่านใน Teams: ปลอมอีเมลเป็น Teams โดยตรง อ้างว่ามีข้อความที่ยังไม่ได้อ่าน และมีปุ่ม "Reply in Teams" ให้กด ซึ่งจะนำไปสู่หน้าขโมยรหัสผ่าน

Cloudflare กล่าวว่า "การที่แฮกเกอร์ใช้ URL ที่ดูน่าเชื่อถือของ urldefense[.]proofpoint[.]com และ url[.]emailprotection มาบังหน้าลิงก์ที่เป็นอันตราย ทำให้โอกาสที่การโจมตีแบบฟิชชิ่งจะสำเร็จนั้นสูงขึ้นอย่างมีนัยสำคัญ"2

ภัยคุกคามฟิชชิ่งอื่นๆ ที่กำลังระบาด

นอกเหนือจากเทคนิคนี้ ยังมีภัยคุกคามฟิชชิ่งอื่นๆ ที่กำลังระบาดในช่วงนี้ เช่น:

  • การใช้ไฟล์ SVG: แฮกเกอร์เริ่มหันมาใช้ไฟล์ภาพแบบ Scalable Vector Graphics (SVG) เพื่อหลบเลี่ยงระบบตรวจจับสแปม เนื่องจากไฟล์ SVG นั้นเขียนด้วยโค้ด XML ซึ่งสามารถฝัง JavaScript และโค้ดอันตรายอื่นๆ เพื่อเริ่มการโจมตีแบบหลายขั้นตอนได้

  • ลิงก์ Zoom ปลอม: แฮกเกอร์ส่งอีเมลพร้อมลิงก์เข้าร่วมประชุม Zoom ปลอม เมื่อเหยื่อคลิก จะถูกพาไปยังหน้าเว็บที่ดูเหมือนจริง ก่อนจะขึ้นข้อความว่า "การเชื่อมต่อหมดเวลา" (meeting connection timed out) และแจ้งให้เหยื่อกรอกรหัสผ่านอีกครั้งเพื่อ "เข้าร่วมใหม่" ซึ่งแท้จริงแล้วข้อมูลประจำตัวทั้งหมดจะถูกขโมยและส่งไปยังผู้ไม่หวังดีผ่านแอปพลิเคชัน Telegram ทันที

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์