แฮ็กเกอร์กำลังใช้ LinkedIn เพื่อมุ่งเป้าโจมตีผู้บริหารทางด้านการเงิน ด้วยการโจมตีแบบฟิชชิงผ่าน direct-message โดยปลอมแปลงเป็นคำเชิญให้เข้าร่วมคณะกรรมการบริหาร โดยมีเป้าหมายเพื่อขโมยข้อมูล credentials ของ Microsoft
แคมเปญนี้ถูกตรวจพบโดย Push Security ซึ่งระบุว่าเมื่อเร็ว ๆ นี้ บริษัทได้บล็อกหนึ่งในการโจมตีแบบฟิชชิงเหล่านี้ซึ่งเริ่มต้นจากข้อความ LinkedIn ที่มีลิงก์อันตราย
BleepingComputer ได้รับข้อมูลว่า ข้อความฟิชชิงเหล่านี้อ้างว่าเป็นคำเชิญให้ผู้บริหารเข้าร่วมคณะกรรมการบริหารของกองทุนรวม 'Common Wealth' ที่จัดตั้งขึ้นใหม่
ข้อความฟิชชิงบน LinkedIn ระบุว่า "ผมรู้สึกตื่นเต้นที่จะมอบคำเชิญสุดพิเศษให้คุณเข้าร่วมเป็นคณะกรรมการบริหารของกองทุนรวม Common Wealth ในอเมริกาใต้ โดยร่วมมือกับ AMCO สาขาการจัดการสินทรัพย์ของเรา ซึ่งเป็นกองทุนร่วมลงทุนใหม่ที่โดดเด่น ซึ่งกำลังเปิดตัวกองทุนเพื่อการลงทุนในอเมริกาใต้"
ข้อความฟิชชิงเหล่านี้จะจบลงด้วยการบอกให้ผู้รับคลิกลิงก์เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโอกาสดังกล่าว
อย่างไรก็ตาม Push Security ระบุว่า เมื่อผู้รับคลิกลิงก์ พวกเขาจะถูกเปลี่ยนเส้นทางหลายขั้นตอน การเปลี่ยนเส้นทางครั้งแรกจะผ่าน Google open redirect ซึ่งจะนำไปสู่เว็บไซต์ที่ผู้โจมตีควบคุม จากนั้นจะเปลี่ยนเส้นทางไปยังหน้า landing page ที่สร้างขึ้นเองซึ่งโฮสต์อยู่บน firebasestorage.googleapis[.]com
โดเมนที่เป็นอันตรายบางส่วนที่ใช้ในแคมเปญนี้ ซึ่ง Push Security และ BleepingComputer พบ ได้แก่ payrails-canaccord[.]icu, boardproposalmeet[.]com และ sqexclusiveboarddirect[.]icu
หน้า Firebase ดังกล่าวแอบอ้างว่าเป็นพอร์ทัล "LinkedIn Cloud Share" ซึ่งมีเอกสารต่าง ๆ ที่เกี่ยวข้องกับตำแหน่งสมาชิกคณะกรรมการ และความรับผิดชอบ
อย่างไรก็ตาม เมื่อพยายามคลิกเอกสารเหล่านี้ จะมีหน้าต่างแจ้งเตือนปรากฏขึ้น โดยระบุว่า หากต้องการเข้าถึงเอกสาร พวกเขาจะต้องคลิกปุ่ม "View with Microsoft"
จากข้อมูลของ Push การคลิกปุ่มนี้จะเปลี่ยนเส้นทางผู้ใช้อีกครั้งไปยัง login.kggpho[.]icu ซึ่งมีการแสดง Captcha ของ Cloudflare Turnstile นักวิจัยระบุว่า Captcha นี้ถูกใช้เพื่อบล็อกเครื่องมือสแกนอัตโนมัติ ก่อนที่จะโหลดหน้าเข้าสู่ระบบ Microsoft ปลอมขึ้นมา
Push Security อธิบายว่า "ผู้โจมตีกำลังใช้เทคโนโลยีป้องกันบอททั่วไป เช่น CAPTCHA และ Cloudflare Turnstile เพื่อป้องกันไม่ให้บอทด้านความปลอดภัย เข้าถึงหน้าเว็บของพวกเขาเพื่อทำการวิเคราะห์ได้ (และด้วยเหตุนี้จึงเป็นการบล็อกไม่ให้หน้าเว็บถูกตั้งค่าสถานะโดยอัตโนมัติ)"
"ขั้นตอนนี้กำหนดให้ทุกคนที่เข้าชมหน้านี้ต้องผ่านการตรวจสอบทดสอบบอท ก่อนที่หน้าเว็บจะถูกโหลด ซึ่งหมายความว่าเครื่องมืออัตโนมัติจะไม่สามารถวิเคราะห์หน้าเว็บทั้งหมดได้"
หลังจากผ่าน Cloudflare Turnstile ได้แล้ว ผู้เข้าชมจะเห็นสิ่งที่ดูเหมือนหน้ายืนยันตัวตนของ Microsoft แต่แท้จริงแล้วมันคือหน้าฟิชชิงแบบ Adversary-in-the-Middle (AitM) ที่ใช้ดักจับทั้งข้อมูลประจำตัว และคุกกี้เซสชัน
Push ระบุว่า การโจมตีแบบฟิชชิงกำลังเกิดขึ้นนอกช่องทางอีเมลมากขึ้นเรื่อย ๆ และปัจจุบันเกิดขึ้นผ่านบริการออนไลน์ ซึ่งทำให้มันกลายเป็นภัยคุกคามบนเบราว์เซอร์โดยตรง
Jacques Louw ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ ของ Push Security ระบุว่า "ฟิชชิงไม่ได้เกิดขึ้นแค่ในอีเมลอีกต่อไป" "ในช่วงเดือนที่ผ่านมา ประมาณ 34% ของความพยายามทำฟิชชิง มาจากช่องทางอื่นที่ไม่ใช่อีเมล เช่น LinkedIn เพิ่มขึ้นจากไม่ถึง 10% เมื่อสามเดือนก่อน ผู้โจมตีกำลังเปลี่ยนแปลงรูปแบบการสื่อสาร และกำหนดเป้าหมายไปยังผู้คนอย่างมีประสิทธิภาพ และผู้ป้องกันจำเป็นต้องติดตามให้ทัน"
นี่ถือเป็นแคมเปญฟิชชิงครั้งที่สองที่ Push Security สังเกตเห็นว่ามุ่งเป้าไปที่ผู้บริหารบน LinkedIn ในช่วงหกสัปดาห์ที่ผ่านมา โดยครั้งแรกเกิดขึ้นในเดือนกันยายนซึ่งมุ่งเป้าไปที่ผู้บริหารทางด้านเทคโนโลยี
ผู้ใช้ควรระมัดระวังข้อความบน LinkedIn ที่เสนอโอกาสทางธุรกิจ หรือคำเชิญเข้าร่วมคณะกรรมการ และหลีกเลี่ยงการคลิกลิงก์ที่แชร์มาใน direct messages
ผู้ที่ได้รับข้อความที่ไม่พึงประสงค์ ควรตรวจสอบตัวตนของผู้ส่ง และความน่าเชื่อถือของข้อเสนอก่อนที่จะดำเนินการใด ๆ นอกจากนี้ เนื่องจากแคมเปญฟิชชิงจำนวนมากใช้โดเมนที่พบได้ไม่บ่อย เช่น .top, .icu และ .xyz ลิงก์เหล่านี้จึงควรถูกตั้งข้อสงสัย และหลีกเลี่ยงให้มากที่สุดเท่าที่จะเป็นไปได้
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.