เมื่อสัปดาห์ที่ผ่านมาพบกลุ่มมิจฉาชีพกำลังใช้เทคนิค Phishing ใหม่บน LinkedIn ด้วยวิธีการโพสต์ตอบกลับในช่องคอมเมนต์ ซึ่งทำหน้าตาเหมือนเป็นข้อความเตือนจากระบบของ LinkedIn เอง โดยอ้างว่าบัญชีของคุณทำผิดกฎนโยบายบางอย่าง และเร่งให้รีบกด Link ภายนอกที่แนบมาเพื่อตรวจสอบ
ความน่ากลัวคือ ข้อความเหล่านี้เลียนแบบรูปแบบของ LinkedIn ได้เหมือนจริงมาก ในบางกรณียังใช้ระบบ URL shortener ที่เป็น lnkd.in ของทาง LinkedIn จริง ๆ อีกด้วย ทำให้ผู้ใช้แทบแยกไม่ออกเลยว่าเป็น Link หลอกเพื่อดักขโมยข้อมูล หรือเป็น Link จากระบบจริง ๆ
"การเข้าถึงบัญชีของคุณถูกจำกัดชั่วคราว"
ในช่วงไม่กี่วันที่ผ่านมา ผู้ใช้งาน LinkedIn กำลังตกเป็นเป้าการโจมตีจากบัญชีที่มีลักษณะคล้าย Bot ซึ่งตกแต่งโปรไฟล์ให้ดูเหมือนเป็นระบบ หรือเจ้าหน้าที่ของ LinkedIn เข้ามาคอมเมนต์ในโพสต์ต่าง ๆ ของผู้ใช้
คอมเมนต์หลอกลวงเหล่านี้จะกล่าวหาว่า คุณได้ทำกิจกรรมที่ผิดกฎระเบียบของแพลตฟอร์ม และขู่ว่าบัญชีของคุณได้ถูกจำกัดการเข้าถึงชั่วคราวไปแล้ว โดยจะกลับมาใช้งานได้ก็ต่อเมื่อกดเข้าไปที่ Link ที่แนบมาในคอมเมนต์เท่านั้น
ข้อความตอบกลับปลอมเหล่านี้มักจะใช้รูปโปรไฟล์เป็นโลโก้ LinkedIn ทำให้ดูน่าเชื่อถือ และแนบเนียนมาก โดยเฉพาะอย่างยิ่งหากผู้ใช้เลื่อนดูผ่าน ๆ ในช่องคอมเมนต์ หรือเปิดดูผ่านหน้าจอโทรศัพท์มือถือ
ในตัว Link ที่มิจฉาชีพสร้างขึ้นมาหลอกนั้น ตรงส่วน Link Preview ยังมีการใส่ข้อความที่ดูเหมือนประกาศความปลอดภัยมาตรฐานว่า "เราได้ดำเนินการเพื่อปกป้องบัญชีของคุณ เนื่องจากตรวจพบสัญญาณการเข้าถึงที่อาจไม่ได้รับอนุญาต ซึ่งรวมถึงการล็อกอินจากสถานที่ที่ไม่คุ้นเคย..."
จากตัวอย่างที่เห็นก่อนหน้านี้ Link ที่แนบมาเป็น domain ".app" ที่ตั้งชื่อเป็นรหัสตัวเลขผสมตัวอักษร ซึ่งไม่ได้มีความเกี่ยวข้องกับ LinkedIn เลย จุดนี้อาจทำให้ผู้ใช้ที่ระมัดระวังตัวเริ่มเอะใจได้บ้าง
อย่างไรก็ตาม มิจฉาชีพกลุ่มอื่น ๆ ได้ยกระดับความเนียนขึ้นไปอีกขั้น ด้วยการอำพราง Link ปลายทางโดยใช้ URL shortener ของ LinkedIn (lnkd.in) ของจริง ทำให้เหยื่อแยกแยะได้ยากมากว่าเป็นเว็บหลอกลวงหรือไม่หากไม่ได้กดเข้าไปดู ซึ่งจุดนี้น่าเป็นห่วงมากโดยเฉพาะเมื่อดูผ่านอุปกรณ์บางประเภท (เช่น มือถือ) ที่หน้าจออาจแสดงผลตัวอย่าง Link ได้ไม่ครบถ้วน ทำให้เราไม่เห็นความผิดปกติ
ตัวอย่างเหตุการณ์ และการทำงานของเว็บไซต์ปลอม มีสมาชิก LinkedIn หลายท่าน ไม่ว่าจะเป็น Ratko Ivekovic, Jocelyn M., Candyce Edelen และ Adama Coulibaly ได้ออกมาแชร์ตัวอย่างข้อความตอบกลับ และคอมเมนต์หลอกลวงเหล่านี้
ทาง BleepingComputer ได้เข้าไปตรวจสอบเว็บไซต์ phishing โดยเฉพาะเว็บที่ชื่อ very1929412.netlify[.]app พบว่าหน้าเว็บจะแสดงข้อความขยายความเรื่อง "การถูกจำกัดการใช้งานชั่วคราว" และแจ้งให้ผู้ใช้ต้องทำการ "ยืนยันตัวตน" (Verify identity) เพื่อปลดล็อกบัญชี
แต่เมื่อกดปุ่ม "Verify your identity" แล้ว เว็บไซต์จะส่งผู้ใช้ต่อไปยัง domain อันตรายอีกแห่งคือ [https://very128918[.]site|https://very128918[.]site/] ซึ่งเป็นจุดที่คนร้ายใช้ ดักขโมยข้อมูล credential ของผู้ใช้จริง
การใช้ LinkedIn Company Page เป็นเครื่องมือหลอกลวง
คอมเมนต์เหล่านี้ถูกโพสต์มาจากหน้าเพจบริษัทปลอมที่มิจฉาชีพสร้างขึ้น โดยจงใจใช้โลโก้อย่างเป็นทางการของ LinkedIn และตั้งชื่อเพจให้ดูคล้าย หรือดัดแปลงมาจากชื่อแพลตฟอร์ม เช่นตั้งชื่อว่า "Linked Very"
คุณ Edelen ได้แชร์ข้อมูลให้เห็นว่า ในช่วงสัปดาห์ที่ผ่านมามีบัญชีชื่อ "Linked Very" ลักษณะนี้โผล่ขึ้นมาบนแพลตฟอร์มอยู่หลายบัญชี
อย่างไรก็ตาม ในขณะที่เขียนข่าวนี้ เพจตัวอย่างที่แสดงอยู่ในภาพได้ถูกทาง LinkedIn สั่งลบ และระงับการใช้งานไปเรียบร้อยแล้ว
LinkedIn รับทราบถึงปัญหา และกำลังดำเนินการจัดการ
โฆษกของ LinkedIn ได้ออกมาชี้แจงว่า "ขอยืนยันว่าทางเรารับทราบถึงความเคลื่อนไหวนี้แล้ว และทีมงานกำลังเร่งดำเนินการจัดการอยู่"
พร้อมทั้งย้ำเตือนจุดสังเกตสำคัญว่า "สิ่งสำคัญที่ผู้ใช้ต้องทราบคือ LinkedIn ไม่มีนโยบาย และจะไม่มีวัน แจ้งเตือนเรื่องการละเมิดกฎต่าง ๆ กับสมาชิกผ่านทางคอมเมนต์สาธารณะโดยเด็ดขาด ทางเราขอความร่วมมือให้สมาชิกช่วยกันกด Report หากพบเห็นพฤติกรรมน่าสงสัย เพื่อให้เราสามารถตรวจสอบ และดำเนินการจัดการได้อย่างเหมาะสม"
ย้อนกลับไปเมื่อปี 2023 ทาง BleepingComputer ก็เคยรายงานถึงเทคนิคลักษณะนี้บน X มาแล้ว โดยครั้งนั้นมิจฉาชีพจะปลอมตัวเป็นบัญชีของธนาคารใหญ่ ๆ เข้าไปเนียนตอบกลับลูกค้าที่กำลังทวีตแจ้งปัญหากับธนาคารตัวจริง แล้วหลอกให้ลูกค้าโทรไปหาเบอร์ Call Center ปลอมที่แก๊งมิจฉาชีพเตรียมไว้
ผู้ใช้งานต้องมีสติ และระมัดระวังตัวอยู่เสมอ ขอให้หลีกเลี่ยงการโต้ตอบ กับคอมเมนต์, การตอบกลับ หรือข้อความส่วนตัว (DM) ใด ๆ ที่ดูเหมือนแอบอ้างว่าเป็นทีมงาน LinkedIn โดยเฉพาะอย่างยิ่งหากข้อความเหล่านั้นพยายามเร่งรัดให้คุณกด Link ออกไปทำรายการที่เว็บไซต์ภายนอก
ที่มา : bleepingcomputer
You must be logged in to post a comment.