ผู้เชี่ยวชาญจาก TrustWave ตรวจพบการโจมตีในรูปแบบของ Facebook Messenger Chatbots เพื่อขโมย Credentials ของเป้าหมายที่ใช้สำหรับจัดการ Page ต่างๆ ซึ่งปกติ Chatbots เป็นโปรแกรมที่ถูกพัฒนาสำหรับช่วยเหลือผู้ใช้งาน มักถูกใช้เพื่อตอบคำถามง่ายๆ หรือคัดแยกผู้ใช้งานก่อนที่จะถูกส่งไปยังพนักงานจริง
ลักษณะการทำงาน
- การโจมตีแบบ Phishing เริ่มต้นด้วยผู้โจมตีทำการส่งอีเมลแจ้งผู้รับว่า Facebook Page ของพวกเขาละเมิดต่อมาตรฐานชุมชน โดยให้เวลา 48 ชั่วโมงในการอุทธรณ์คำตัดสิน มิฉะนั้นเพจของพวกเขาจะถูกลบ และทำการแนบลิงค์ "Appeal Now" ให้ผู้ใช้งานกดเพื่อเข้าไปหน้า Chatbots
- เมื่อผู้ใช้งานเข้าลิงค์มา จะปรากฎหน้า Messenger ของ Chatbots ที่ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าของ Facebook แต่หน้า Page Facebook ที่เชื่อมโยงกับ Chatbots เป็นหน้าธุรกิจทั่วไปที่มีผู้ติดตามเป็นศูนย์และไม่มีโพสต์
- ต่อมา Chatbots จะส่งปุ่ม "Appeal Now" ให้กับผู้ใช้งาน Messenger ซึ่งจะนำพาไปยังเว็บไซต์ที่ปลอมเป็น "Facebook Support Inbox" แต่ URL ไม่ใช่โดเมนของ Facebook
หน้า Facebook Support Inbox ปลอมจะเป็นกล่องข้อความให้ผู้ใช้งานกรอกที่อยู่อีเมล ชื่อเต็ม ชื่อเพจ และหมายเลขโทรศัพท์ หากกดปุ่ม Submit จะมีหน้าต่าง Pop-Up ขึ้นมาให้กรอกรหัสผ่านเพื่อเข้าสู่ขั้นตอนต่อไป
- หลังจากใส่รหัสผ่านแล้ว ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังหน้า 2FA ปลอม ซึ่งมีหน้าให้กรอก OTP ที่ได้รับทาง SMS ตามหมายเลขโทรศัพท์ที่ระบุไว้ จากนั้นมันจะทำการเลี่ยนเส้นทางไปยังหน้า Facebook จริงที่เกี่ยวข้องกับการละเมิดของผู้ใช้งานด้านทรัพย์สินทางปัญญา และลิขสิทธิ์
เนื่องจากครั้งนี้เป็นการโจมตีแบบ Phishing จากระบบอัตโนมัติที่ส่งหาเป้าหมายจำนวนมาก และไม่ได้ระบุว่าเป้าหมายเป็นใคร ทำให้มีผู้หลงกลจำนวนมาก นอกจากนี้การตรวจจับก็เป็นไปได้ยาก เนื่องจากปัจจุบันไซต์จำนวนมากใช้ AI และ Chatbots เป็นส่วนหนึ่งของหน้าสนับสนุน ทำให้ดูเหมือนเป็นเรื่องปกติกับผู้ใช้งาน
แนวทางการป้องกัน
- ไม่เปิดหรือคลิกลิงค์บนอีเมลจากผู้ส่งที่ไม่รู้จัก
- ตรวจสอบ URL ทุกครั้งบนหน้าเว็บที่มีการร้องขอข้อมูลการเข้าสู่ระบบ
- ติดตามข่าวสารอย่างสม่ำเสมอ
ที่มา : bleepingcomputer
You must be logged in to post a comment.