ในปัจจุบันที่ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างรวดเร็ว ทำให้มีการใช้ QR Code เป็นช่องทางใหม่ในการล่อลวงเหยื่อ โดยเมื่อไม่นานมานี้ พบการเพิ่มขึ้นจำนวนมากของเอกสารที่ฝัง QR Code ที่เป็นอันตราย ซึ่งเมื่อทำการสแกน เหยื่อจะถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล
ในปี 2024 การโจมตีแบบฟิชชิ่งโดยใช้ QR Code กำลังเพิ่มมากขึ้น ซึ่งแสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของอาชญากรไซเบอร์ที่ใช้เทคโนโลยีที่ดูเหมือนไม่เป็นอันตรายนี้ในการนำผู้โช้ไปยังเว็บไซต์ที่เป็นอันตราย หรือเพื่อดาวน์โหลดมัลแวร์
Hoxhunt Challenge พบการโจมตีแบบฟิชชิ่งด้วย QR Code เพิ่มขึ้น 22% ในช่วงปลายปี 2023 และการวิจัยโดย Abnormal Security แสดงให้เห็นว่า 89.3% ของการโจมตีเหล่านี้มุ่งเป้าไปที่การขโมยข้อมูลที่สำคัญ
การเพิ่มขึ้นของการโจมตีแบบฟิชชิ่งโดยใช้ QR Code สามารถระบุสาเหตุได้จากหลายปัจจัย ปัจจัยแรกคือการใช้ QR Code อย่างแพร่หลายโดยเฉพาะในช่วงการระบาดของ COVID-19 ทำให้ QR Code ตกเป็นเป้าหมาย เนื่องจาก QR Code ได้รับความนิยมในการทำธุรกรรมแบบไม่ต้องสัมผัส, เมนู และการแชร์ข้อมูล ทำให้ผู้ใช้คุ้นเคยกับการสแกน QR Code ทำให้การถูกโจมตีเป็นเรื่องที่ง่ายขึ้น
ปัจจัยที่สองคือ QR Code สามารถซ่อน URL ปลายทางได้อย่างง่ายดาย ทำให้ผู้ใช้ตรวจสอบความถูกต้องของเว็บไซต์ได้ยาก (ต่างจากไฮเปอร์ลิงก์แบบดั้งเดิมที่แสดง URL) QR Code ไม่ได้ให้ข้อมูลทันทีเกี่ยวกับ URL ปลายทาง ซึ่งเพิ่มโอกาสในการโจมตีแบบฟิชชิ่งได้มากขึ้น
นอกจากนี้ การพัฒนาของเครื่องสแกน QR Code ในสมาร์ทโฟน และการเพิ่มขึ้นของระบบการชำระเงินผ่านมือถือได้ขยายขอบเขตการโจมตี ทำให้ผู้ไม่หวังดีสามารถฝัง QR Code ที่เป็นอันตรายในสถานที่จริง, อีเมล หรือเอกสารออนไลน์ ทำให้การเข้าถึงมีขอบเขตกว้างขึ้น และยากต่อการติดตาม และลดผลกระทบจากการโจมตี
เมื่อไม่นานมานี้ Cyble Research and Intelligence Labs (CRIL) พบแคมเปญที่ใช้เอกสาร Microsoft Word ในการโจมตีแบบฟิชชิ่งด้วย QR Code ซึ่งมีเป้าหมายเป็นผู้ใช้งานในประเทศจีน เอกสารเหล่านี้ถูกแพร่กระจายผ่านทางไฟล์แนบของอีเมลสแปมที่ปลอมเป็นเอกสารทางการจากกระทรวงทรัพยากรมนุษย์ และประกันสังคมของจีน
เอกสารดังกล่าวนำเสนอเกี่ยวกับการแจ้งการสมัครขอรับเงินอุดหนุนแรงงาน โดยอ้างว่าจะให้เงินอุดหนุนมากกว่า 1,000 หยวนสำหรับบัตรธนาคารที่ลงทะเบียน โดยจะกำหนดให้ผู้ใช้สแกน QR Code เพื่อยีนยันตัวตน และรับเงินอุดหนุน
นักวิจัยพบไฟล์ Word เพิ่มเติมหลายไฟล์ที่เชื่อมโยงกับการโจมตีแบบฟิชชิ่งด้วย QR Code ซึ่งปลอมเป็นหน่วยงานรัฐบาลจีน โดยไฟล์เหล่านี้ส่วนใหญ่ยังไม่เคยถูกตรวจพบ ซึ่งเป้าหมายของการโจมตีคือเพื่อรวบรวมข้อมูลทางการเงิน รวมถึงรายละเอียดบัตรเครดิต และรหัสผ่าน
ในเดือนมกราคม 2023 มีการพบแคมเปญที่ลักษณะคล้ายกัน และได้รับการรายงานโดย Fortinet โดยการโจมตีแบบฟิชชิ่งด้วย QR Code ที่ปลอมเป็นหน่วยงานรัฐบาลจีนอีกหนึ่งแห่งเพื่อมุ่งเป้าไปที่ผู้ใช้งานในประเทศจีนเพื่อรวบรวมข้อมูลทางการเงิน
รายละเอียดการโจมตีแบบฟิชชิ่ง
เมื่อผู้ใช้สแกน QR Code ในเอกสาร Word จะถูกนำไปยังลิงก์ “hxxp://wj[.]zhvsp[.]com” เมื่อเข้าไปยังลิงก์นี้ ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยัง URL ที่มีซับโดเมน “tiozl[.]cn” ซึ่งถูกสร้างขึ้นโดยใช้ Domain Generation Algorithm (DGA) ซึ่งโฮสต์เว็บไซต์ฟิชชิ่งที่ปลอมเป็นกระทรวงทรัพยากรมนุษย์ และประกันสังคมของสาธารณรัฐประชาชนจีน
โดเมน “tiozl[.]cn” โฮสต์อยู่บน IP “20.2.161[.]134” ซึ่งเชื่อมโยงกับโดเมนเพิ่มเติมอีกห้าโดเมนโดยในจำนวนนี้มีสี่โดเมนที่เป็นซับโดเมนของ “tiozl[.]cn” และอีกหนึ่งเป็นซับโดเมนของ “zcyyl[.]com” ซึ่งโดเมนทั้งหมดนี้เชื่อมโยงกับแคมเปญเดียวกัน โฮสต์เว็บไซต์ฟิชชิ่งที่คล้ายกัน แสดงให้เห็นถึงความพยายามในการแพร่กระจายอย่างกว้างขวาง โดยมีโดเมนดังต่อไปนี้
- 2wxlrl.tiozl[.]cn
- op18bw[.]tiozl.cn
- gzha31.tiozl[.]cn
- i5xydb[.]tiozl.cn
- hzrz7c.zcyyl[.]com
จากการตรวจสอบเพิ่มเติมของเว็บไซต์ฟิชชิ่ง พบ SHA-256 fingerprint ของ SSH server host key (bc5d98c0bfaaf36f9a264feefa572e97607eadff6ab70251ddaf59df486d7787) ที่เกี่ยวข้องกับ IP “20.2.161[.]134” ได้ถูกใช้โดย IP อื่นอีก 18 รายการ ซึ่ง IP เหล่านี้ใช้ ASN เดียวกัน คือ AS8075 และตั้งอยู่ในฮ่องกง
ด้านล่างคือรายการของ IP ที่โฮสต์ URL ที่มีรูปแบบคล้ายกันซึ่งเชื่อมโยงกับแคมเปญฟิชชิ่งนี้
- 52[.]229[.]166[.]225
- 20[.]2[.]16[.]132
- 52[.]184[.]66[.]142
- 52[.]175[.]13[.]206
- 20[.]2[.]200[.]161
- 20[.]255[.]100[.]54
- 52[.]229[.]190[.]40
- 20[.]255[.]73[.]44
หน้าเว็บที่ผู้ใช้เข้าถึงได้จะหลอกล่อผู้ใช้โดยการแสดงกล่องข้อความเสนอเงินอุดหนุนแรงงาน เมื่อผู้ใช้ดำเนินการเพื่อรับเงินอุดหนุน พวกเขาจะถูกนำไปยังหน้าอื่นที่ขอให้ป้อนข้อมูลส่วนบุคคล รวมถึงชื่อ และหมายเลขประจำตัวประชาชน ดังภาพด้านล่าง
หลังจากที่ผู้ใช้ป้อนชื่อเป็นภาษาจีน และหมายเลขประจำตัวประชาชนแล้ว เว็บไซต์จะแสดงหน้าที่มีข้อมูลเกี่ยวกับการผูกบัตร ซึ่งจำเป็นสำหรับการดำเนินการชำระเงินต่อไปหลังจากที่การสมัครเสร็จสิ้น
ในขั้นตอนต่อไป ผู้ใช้จะถูกขอให้กรอกรายละเอียดของบัตรเครดิต รวมถึงหมายเลขบัตรธนาคาร, หมายเลขโทรศัพท์ และยอดคงเหลือในบัตร ข้อมูลนี้ถูกขอเพื่อเป็นการยืนยันตัวตน แต่ผู้โจมตีจะรวบรวมข้อมูลนี้เพื่อทำธุรกรรมที่ไม่ได้รับอนุญาต
หลังจากรวบรวมรายละเอียดบัตรที่กรอกไว้แล้ว เว็บไซต์ฟิชชิ่งจะแสดงกล่องข้อความระบุว่าข้อมูลกำลังถูกตรวจสอบ และขอให้ผู้ใช้รอเป็นเวลา 2-3 นาทีก่อนดำเนินการในขั้นตอนถัดไป
เว็บไซต์ฟิชชิ่งจะแสดงกล่องข้อความพร้อมคำแนะนำว่าในกระบวนการตรวจสอบ ผู้ใช้จะต้องกรอกรหัสผ่านบัตรธนาคารเพื่อการยืนยันตัวตน จากนั้นจะโหลดหน้าเว็บไซต์ฟิชชิ่งที่ขอให้ผู้ใช้กรอกรหัสผ่านสำหรับการถอนเงิน
นักวิจัยคาดว่าการขอรหัสผ่านการถอนเงินนี้ เพื่อให้ได้รหัสผ่านเดียวกับที่ผู้ใช้ธนาคารใช้สำหรับการทำธุรกรรมบัตรเครดิตภายในประเทศ ด้วยการใช้รายละเอียดบัตรธนาคารที่เก็บรวบรวมพร้อมกับรหัสผ่านการถอนเงินที่ได้มา ผู้โจมตีสามารถทำธุรกรรมที่ไม่ได้รับอนุญาต ส่งผลให้ผู้ใช้สูญเสียเงินได้
แนวทางการป้องกันการโจมตีแบบฟิชชิ่งด้วย QR Code
- สแกน QR Code จากแหล่งที่เชื่อถือได้เท่านั้น และหลีกเลี่ยงการสแกน QR Code จากอีเมล, ข้อความ หรือเอกสารที่ไม่รู้จัก โดยเฉพาะที่เสนอสิ่งจูงใจทางการเงิน หรือการกระทำที่เร่งด่วน
- ตรวจสอบความถูกต้อง เช่น โดเมนทางการ และการเชื่อมต่อที่ปลอดภัย (https://) ก่อนดำเนินการต่อ
- ติดตั้งซอฟต์แวร์ป้องกันไวรัส และป้องกันฟิชชิ่งที่เชื่อถือได้ เพื่อช่วยตรวจจับ และบล็อกเว็บไซต์ที่เป็นอันตราย และการดาวน์โหลดไฟล์ที่เป้นอันตรายได้
- ใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) สำหรับบัญชีออนไลน์
- อัปเดตระบบปฏิบัติการ เบราว์เซอร์ และแอปพลิเคชันให้เป็นเวอร์ชันล่าสุด
- พิจารณาการใช้แอปสแกน QR Code ที่มีคุณสมบัติด้านความปลอดภัย เช่น การตรวจสอบ URL กับฐานข้อมูลของเว็บไซต์ที่เป็นอันตรายที่รู้จักก่อนเปิด
- ตรวจสอบใบแจ้งยอดบัญชีธนาคาร และบัตรเครดิตเป็นประจำเพื่อตรวจสอบธุรกรรมที่ไม่ได้รับอนุญาต
Indicators of Compromise (IOCs)
ที่มา : cyble
You must be logged in to post a comment.