พบผู้ไม่หวังดีพยายามขโมยข้อมูลบน Microsoft 365 และ Outlook โดยการส่งอีเมลฟิชชิงที่เป็นการแจ้งเตือนด้วยข้อความเสียง

ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน

ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้

นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.zscaler.briccorp[.]com
อย่างไรก็ตาม หากอีเมลไม่ Support base64-encoded สคริป HTML จะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Wikipedia ของ MS Office หรือ office.com" แทน

แนวทางการป้องกัน

  • อย่าเปิดไฟล์แนบอีเมลที่ส่งจากแหล่งที่ไม่น่าเชื่อถือหรือไม่รู้จัก
  • ตรวจสอบ URL ในแถบที่อยู่ก่อนใส่ข้อมูลทุกครั้ง

ที่มา : theregister.