การแจ้งเตือนของ Microsoft Azure Monitor กำลังถูกนำไปใช้เป็นช่องทางในการส่งอีเมลฟิชชิ่งแบบหลอกให้โทรกลับ (Callback Phishing) ซึ่งอีเมลเหล่านี้จะแอบอ้างว่าเป็นคำเตือนจาก Microsoft Security Team เกี่ยวกับการเรียกเก็บค่าใช้จ่ายที่ไม่ได้รับอนุญาตในบัญชี
Azure Monitor คือบริการตรวจสอบบนระบบคลาวด์ของ Microsoft ที่ทำหน้าที่รวบรวม และวิเคราะห์ข้อมูลจากทรัพยากร, แอปพลิเคชัน และโครงสร้างพื้นฐานของ Azure โดยช่วยให้ผู้ใช้งานสามารถติดตามประสิทธิภาพการทำงาน แจ้งเตือนด้านการเงินเกี่ยวกับการเรียกเก็บค่าใช้จ่าย และตรวจสอบปัญหา รวมไปถึงตั้งค่าให้ส่งการแจ้งเตือนตามเงื่อนไขต่าง ๆ ที่กำหนดไว้ได้
ในช่วงเดือนที่ผ่านมา มีรายงานจากผู้ใช้จำนวนมากว่าได้รับข้อความแจ้งเตือนจาก Azure Monitor เกี่ยวกับการเรียกเก็บเงินที่น่าสงสัย หรือความผิดปกติในใบแจ้งหนี้ของบัญชี โดยในข้อความมีการให้ผู้รับโทรติดต่อไปยังหมายเลขโทรศัพท์ที่แนบมาในอีเมลดังกล่าว
ข้อความแจ้งเตือนการเรียกเก็บเงินปลอมระบุว่า "คำอธิบายการแจ้งเตือน: ประกาศเกี่ยวกับความปลอดภัยของบัญชี และการเรียกเก็บเงินของ MICROSOFT CORPORATION (อ้างอิง: MS-FRA-6673829-KP) ระบบตรวจพบการเรียกเก็บเงินที่อาจไม่ได้รับอนุญาตในบัญชีของคุณ รายละเอียดธุรกรรม: Merchant: Windows Defender, รหัสธุรกรรม: PP456-887A-22B, จำนวนเงิน: 389.90 USD, วันที่: 03/05/2026"
เพื่อความปลอดภัยของคุณ ธุรกรรมนี้ได้ถูกระงับไว้ชั่วคราวจากทีมตรวจสอบการทุจริต เพื่อป้องกันการถูกระงับบัญชี หรือมีค่าธรรมเนียมเพิ่มเติมที่อาจเกิดขึ้น โปรดตรวจสอบธุรกรรมนี้โดยทันที หากคุณไม่ได้เป็นผู้อนุมัติการชำระเงินนี้ โปรดติดต่อฝ่ายสนับสนุนความปลอดภัยบัญชีของ Microsoft ได้ตลอด 24 ชั่วโมงที่เบอร์ +1 (864) 347-2494 หรือ +1 (864) 347-4846
ขออภัยในความไม่สะดวกมา ณ ที่นี้ และขอขอบคุณสำหรับการตอบกลับอย่างรวดเร็ว จากทีมความปลอดภัยบัญชี Microsoft
โดยแตกต่างจากแคมเปญฟิชชิ่งอื่น ๆ ข้อความเหล่านี้ไม่ได้ถูกปลอมแปลง แต่ถูกส่งโดยตรงจากแพลตฟอร์ม Microsoft Azure Monitor ซึ่งใช้ email address ที่มีความน่าเชื่อถือคือ azure-noreply@microsoft.com
เนื่องจากอีเมลเหล่านี้ถูกส่งผ่านระบบอีเมลที่มีความน่าเชื่อถือของ Microsoft จึงทำให้สามารถผ่านการตรวจสอบด้านความปลอดภัยของอีเมล ทั้ง SPF, DKIM และ DMARC ได้สำเร็จ ส่งผลให้ข้อความหลอกลวงเหล่านี้ดูมีความน่าเชื่อถือมากขึ้น
แคมเปญนี้กลุ่มผู้โจมตีได้สร้างการแจ้งเตือนใน Azure Monitor ตามเงื่อนไขที่เกิดขึ้นได้ง่าย เช่น เมื่อมีการสั่งซื้อสินค้าใหม่, การชำระเงิน, การออกใบแจ้งหนี้ หรือเหตุการณ์อื่น ๆ ที่เกี่ยวข้องกับการเรียกเก็บเงิน
เมื่อสร้างการแจ้งเตือนเหล่านี้ ผู้ใช้งานสามารถใส่ข้อความอะไรก็ได้ลงในช่องคำอธิบาย ซึ่งผู้โจมตีจะนำไปใช้เพื่อใส่ข้อความหลอกลวงเพื่อให้โทรกลับ
จากนั้นระบบจะตั้งค่าการแจ้งเตือนเหล่านี้ให้ส่งอีเมลไปยังรายชื่อผู้รับอีเมลที่อยู่ภายใต้การควบคุมของผู้โจมตี ซึ่งจะส่งต่ออีเมลไปยังบุคคลเป้าหมายทั้งหมดในการโจมตี
นอกจากนี้ ระบบยังเก็บ Header และผลการตรวจสอบสิทธิ์เดิมของ Microsoft ไว้ ทำให้สามารถหลีกเลี่ยงระบบตรวจสอบสแปม และความสงสัยของผู้ใช้ได้
BleepingComputer พบว่า มีการใช้หมวดหมู่การแจ้งเตือนหลายประเภทในแคมเปญนี้ โดยส่วนใหญ่ใช้ Rules ที่เกี่ยวข้องกับใบแจ้งหนี้ และการชำระเงิน ซึ่งออกแบบมาให้คล้ายกับการแจ้งเตือนการเรียกเก็บเงินอัตโนมัติ ดังนี้
- การแจ้งเตือนของ Azure Monitor: order-22455340 ได้รับการแก้ไขแล้วสำหรับใบแจ้งหนี้ invoice22455340
- การแจ้งเตือนของ Azure Monitor: Invoice Paid INV-d39f76ef94 (ชำระใบแจ้งหนี้แล้ว) ได้รับการแก้ไขแล้วสำหรับ invd39f76ef94
- การแจ้งเตือนของ Azure Monitor: Payment Reference INV-22073494 (ข้อมูลอ้างอิงการชำระเงิน) ได้รับการแก้ไขแล้วสำหรับ purchase22073494
- การแจ้งเตือนของ Azure Monitor: Funds Successfully Received-ec5c7acb41 (ได้รับเงินเรียบร้อยแล้ว) ถูกเปิดช้งานสำหรับ subec5c7acb41
- การแจ้งเตือนของ Azure Monitor: MemorySpike-9242403-A4 (หน่วยความจำสูงผิดปกติ) ถูกเปิดใช้งาน
- การแจ้งเตือนของ Azure Monitor: DiskFull-3426456-A6 (พื้นที่ดิสก์เต็ม) ถูกเปิดใช้งานสำหรับ locker3426456
แคมเปญนี้อาศัยสร้างความรู้สึกเร่งด่วน ซึ่งในกรณีนี้คือค่าบริการ Windows Defender ที่สูงผิดปกติถึง 389 ดอลลาร์ เพื่อหลอกให้ผู้ใช้โทรไปยังหมายเลขโทรศัพท์ที่ระบุไว้
แม้ว่า BleepingComputer จะไม่ได้โทรไปยังหมายเลขดังกล่าวในแคมเปญหลอกลวงนี้ แต่แคมเปญฟิชชิ่งแบบหลอกให้โทรกลับก่อนหน้านี้เคยนำไปสู่การขโมยข้อมูล Credentials และการหลอกลวงการชำระเงิน รวมไปถึงการติดตั้งซอฟต์แวร์ควบคุมเครื่องจากระยะไกล
เนื่องจากอีเมลเหล่านี้ใช้รูปแบบที่เกี่ยวข้องกับองค์กร หรือบริษัท จึงอาจมีจุดประสงค์เพื่อหาช่องทางเข้าถึงเครือข่ายของบริษัทในเบื้องต้น เพื่อเตรียมการโจมตีในภายหลัง
ผู้ใช้ควรระมัดระวังเป็นพิเศษกับข้อความแจ้งเตือนจาก Azure หรือ Microsoft ที่มีหมายเลขโทรศัพท์ หรือคำขอเร่งด่วนให้แก้ไขปัญหาการเรียกเก็บเงิน
ที่มา : bleepingcomputer
You must be logged in to post a comment.