Mozilla ได้ออกประกาศเตือนความปลอดภัยอย่างเร่งด่วนถึงชุมชนนักพัฒนา หลังตรวจพบแคมเปญฟิชชิ่งที่ซับซ้อน ที่มุ่งเป้าโจมตีบัญชี AMO (addons.mozilla.org) โดยเฉพาะ
ทีมรักษาความปลอดภัยของบริษัท นำโดย Scott DeVaney รายงานเมื่อวันที่ 1 สิงหาคม 2025 ว่า มีกลุ่มอาชญากรไซเบอร์พยายามเข้าถึงข้อมูลบัญชีนักพัฒนา โดยส่งอีเมลหลอกลวงที่อ้างว่าจำเป็นต้องอัปเดตบัญชีเพื่อคงสิทธิ์ในการใช้งานฟีเจอร์สำหรับนักพัฒนา
แคมเปญการโจมตีที่มุ่งเป้าไปยังนักพัฒนา Add-on ของ Mozilla
แคมเปญฟิชชิ่งที่เป็นอันตรายนี้ ใช้วิธีส่งอีเมลที่ออกแบบมาอย่างแนบเนียน ให้ดูเหมือนการสื่อสารอย่างเป็นทางการจาก Mozilla โดยมักมีข้อความในรูปแบบว่า “บัญชี Mozilla Add-ons ของคุณจำเป็นต้องอัปเดตเพื่อคงสิทธิ์ในการเข้าถึงฟีเจอร์สำหรับนักพัฒนา”
ความพยายามฟิชชิ่งที่ซับซ้อนเหล่านี้อาศัยความกังวลของนักพัฒนาเกี่ยวกับการรักษาสิทธิ์ในการเผยแพร่บนแพลตฟอร์ม AMO ซึ่งเป็นช่องทางหลักในการจัดจำหน่าย Extensions และ Add-on ของ Firefox
นักวิจัยด้านความปลอดภัยได้ระบุ indicators หลายประการที่สามารถช่วยให้นักพัฒนาแยกแยะการสื่อสารที่ถูกต้องจากการสื่อสารที่หลอกลวงได้
อีเมลจาก Mozilla ที่แท้จริงจะถูกส่งจากโดเมนที่ได้รับการยืนยันเท่านั้น เช่น firefox.com, mozilla.org, mozilla.com และโดเมนย่อยที่เกี่ยวข้อง
นอกจากนี้ อีเมลที่ถูกต้องจะต้องผ่านการตรวจสอบตามโปรโตคอลรับรองอีเมล ซึ่งรวมถึง SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance)
จากหลักฐานของนักพัฒนาที่ได้รับผลกระทบ พบว่าอีเมลฟิชชิ่งบางฉบับมีข้อผิดพลาดชัดเจน เช่น การสะกดชื่อโดเมนผิดเป็น “mozila” แทนที่จะเป็น “mozilla” ซึ่งควรเป็นสัญญาณเตือนทันทีสำหรับผู้รับ
แม้จะมีข้อผิดพลาดที่สังเกตได้ แต่แคมเปญนี้ก็สามารถเข้าถึงบัญชีนักพัฒนาได้อย่างน้อยหนึ่งบัญชี โดยหนึ่งในเหยื่อระบุว่า “เขาตกเป็นเหยื่อของกลโกงฟิชชิ่ง” ก่อนจะรู้ตัว และรีบลบ Extensions ของตนออกจากระบบทันที
คำแนะนำจาก Mozilla
Mozilla ได้ออกคำแนะนำด้านความปลอดภัย โดยเน้นแนวทางการป้องกัน และกระตุ้นให้นักพัฒนาดำเนินมาตรการตรวจสอบอย่างเข้มงวดเมื่อได้รับการติดต่อที่น่าสงสัย
บริษัทแนะนำอย่างชัดเจนว่า อย่าคลิกลิงก์ที่แนบมาในอีเมลที่อ้างว่าเป็นของ Mozilla โดยให้ไปยังเว็บไซต์โดยตรงผ่านการพิมพ์ mozilla.org หรือ firefox.com ด้วยตนเองแทน
มาตรการความปลอดภัยที่สำคัญประกอบด้วยการตรวจสอบว่าลิงก์ในอีเมลทั้งหมดต้องชี้ไปยังโดเมนที่ได้รับการยืนยันจาก Mozilla เท่านั้น และการตรวจสอบให้แน่ใจว่าข้อมูล credentials ของ Mozilla ถูกกรอกเฉพาะบนเว็บไซต์อย่างเป็นทางการของ mozilla.org หรือ firefox.com เท่านั้น
บริษัทยังแนะนำให้นักพัฒนาเข้าไปศึกษาแหล่งข้อมูลเพิ่มเติมจาก U.S. Federal Trade Commission และ U.K. National Cyber Security Centre เพื่อรับคำแนะนำที่ครอบคลุมเกี่ยวกับการตรวจจับ และรายงานการหลอกลวงแบบฟิชชิ่ง
เหตุการณ์นี้สะท้อนให้เห็นถึงภัยคุกคามที่เพิ่มขึ้นต่อกลุ่มนักพัฒนา WebExtensions และระบบของ Mozilla โดยรวม เนื่องจากอาชญากรไซเบอร์เริ่มพุ่งเป้าไปที่บัญชีนักพัฒนา เพื่อใช้เป็นช่องทางในการเผยแพร่โค้ดที่เป็นอันตรายผ่านแพลตฟอร์ม Extensions ที่เชื่อถือได้
ที่มา : cybersecuritynews
You must be logged in to post a comment.