แพลตฟอร์มอาชญากรรมทางไซเบอร์ใหม่ที่มีชื่อว่า ATHR สามารถรวบรวมข้อมูล Credentials ผ่านการโจมตีแบบ Voice Phishing แบบอัตโนมัติเต็มรูปแบบ โดยใช้ทั้งผู้ปฏิบัติงานที่เป็นมนุษย์ และระบบ AI ในขั้นตอนของการทำ Social Engineering
ปฏิบัติการที่เป็นอันตรายนี้ มีการลงโฆษณาในฟอรัมใต้ดินในราคา 4,000 ดอลลาร์สหรัฐฯ พร้อมหักส่วนแบ่ง 10% จากผลกำไร และสามารถขโมยข้อมูลการเข้าสู่ระบบของบริการต่าง ๆ ได้มากมาย รวมถึง Google, Microsoft และ Coinbase
ระบบอัตโนมัตินี้ครอบคลุมทุกขั้นตอนของการโจมตีที่เน้นใช้โทรศัพท์ (Telephone-oriented attack delivery หรือ TOAD) ตั้งแต่การหลอกล่อเป้าหมายผ่านทางอีเมล ไปจนถึงการทำ Voice Social Engineering และการรวบรวมข้อมูล Credentials ของบัญชีเป้าหมาย
ขั้นตอนการโจมตีของ ATHR
ตามข้อมูลจากนักวิจัยของ Abnormal ซึ่งเป็นบริษัทด้านความปลอดภัยทางอีเมลบนคลาวด์ ระบุว่า ATHR คือเครื่องมือสร้างการโจมตีแบบ Phishing/Vishing แบบครบวงจร โดยมีทั้ง Email templates เฉพาะสำหรับแต่ละแบรนด์ การปรับแต่งเนื้อหาเฉพาะเจาะจงสำหรับเป้าหมายแต่ละราย และกลไกการปลอมแปลงที่ทำให้ดูเหมือนว่าข้อความนั้นถูกส่งมาจากผู้ส่งที่เชื่อถือได้
ในขณะที่ทำการวิเคราะห์ นักวิจัยพบว่า ATHR รองรับบริการออนไลน์ 8 แห่ง ได้แก่ Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo และ AOL
การโจมตีจะเริ่มต้นขึ้นเมื่อเหยื่อได้รับอีเมลที่ถูกสร้างขึ้นมาอย่างแนบเนียนจนสามารถผ่านการตรวจสอบด้วยสายตาแบบผิวเผิน หรือแม้กระทั่งการตรวจสอบการยืนยันตัวตนทางเทคนิคได้
Abnormal ระบุว่า "สิ่งที่ใช้ในการหลอกล่อ มักจะเป็นการแจ้งเตือนด้านความปลอดภัย หรือการแจ้งเตือนเกี่ยวกับบัญชีที่ถูกปลอมแปลงขึ้นมา ซึ่งดูเร่งด่วนมากพอที่จะกระตุ้นให้เหยื่อต้องโทรศัพท์ติดต่อ แต่ก็ดูเป็นข้อความทั่วไปมากพอที่จะหลบเลี่ยงระบบ Content filters ของอีเมลได้"
การโทรไปยังหมายเลขโทรศัพท์ที่ระบุในอีเมลจะทำการโอนสายของเหยื่อผ่านระบบ Asterisk และ WebRTC ไปยังระบบ AI voice ที่ทำงานด้วยชุดคำสั่งที่ถูกออกแบบมาอย่างแนบเนียน ซึ่งจะคอยหลอกล่อ และนำทางเหยื่อเข้าสู่ขั้นตอนการขโมยข้อมูล
ระบบ AI เหล่านี้จะทำงานตามสคริปต์ที่มีหลายขั้นตอนเพื่อจำลองสถานการณ์ว่าเกิดเหตุฉุกเฉินด้านความปลอดภัยขึ้น สำหรับบัญชี Google ระบบจะทำการจำลองขั้นตอนการกู้คืนบัญชี และการยืนยันตัวตน โดยใช้ชุดคำสั่งที่ตั้งค่าไว้ล่วงหน้าเพื่อกำหนดน้ำเสียง, แนวทางการเข้าหา, บุคลิก และพฤติกรรมให้ดูแนบเนียนเหมือนกับเป็นเจ้าหน้าที่ฝ่าย Support จริง ๆ
จุดประสงค์ของกระบวนการกู้คืนบัญชีปลอมนี้ คือการหลอกขอรหัส Verification code จำนวน 6 หลัก ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อได้
แม้ว่า ATHR จะมีตัวเลือกในการโอนสายไปยังผู้ปฏิบัติงานที่เป็นมนุษย์ แต่ความสามารถในการใช้ระบบ AI ในการจัดการนั้นถือเป็นสิ่งที่ทำให้แพลตฟอร์มนี้โดดเด่น และแตกต่างจากตัวอื่น ๆ
Dashboard ของ ATHR จะช่วยให้ผู้สั่งการสามารถควบคุมกระบวนการทั้งหมดได้ พร้อมทั้งแสดงข้อมูลแบบ Real-time สำหรับการโจมตีเป้าหมายในแต่ละราย
Control Panel ของ ATHR พวกเขาสามารถควบคุมการส่งอีเมล จัดการสายเรียกเข้า และบริหารจัดการการโจมตีแบบ Phishing ไปพร้อมกับการตรวจสอบผลลัพธ์แบบ Real-time และรับบันทึกข้อมูล Logs ที่ถูกขโมยมา
นักวิจัยจาก Abnormal เตือนว่า ATHR ช่วยลดภาระการทำงานด้วยคนของผู้สั่งการลงได้อย่างมหาศาล และยังมอบแพลตฟอร์มแบบครบวงจรให้กับกลุ่มผู้ไม่หวังดี ซึ่งสามารถจัดการได้กับทุกขั้นตอนของการโจมตีแบบ TOAD โดยไม่จำเป็นต้องมานั่งตั้งค่าองค์ประกอบแต่ละส่วนแยกกัน
สิ่งนี้อาจทำให้ผู้โจมตีที่มีทักษะทางเทคนิคไม่มากนัก และไม่มีโครงสร้างพื้นฐานเป็นของตนเอง สามารถทำการโจมตีแบบ Vishing อัตโนมัติได้ตั้งแต่ต้นจนจบ
Abnormal เตือนว่า การเปลี่ยนผ่านจากปฏิบัติการที่เคยกระจัดกระจาย และต้องใช้แรงงานคนอย่างหนัก ไปสู่รูปแบบผลิตภัณฑ์ที่ทำงานโดยอัตโนมัติเป็นส่วนใหญ่ หมายความว่าการโจมตีแบบ TOAD จะไม่จำเป็นต้องพึ่งพาทีมงานขนาดใหญ่ หรือโครงสร้างพื้นฐานเฉพาะทางอีกต่อไป
ด้วยการเพิ่มขึ้นของแพลตฟอร์มอาชญากรรมทางไซเบอร์ในลักษณะเดียวกับ ATHR นักวิจัยคาดการณ์ว่าการโจมตีแบบ Vishing จะเกิดขึ้นบ่อยครั้งยิ่งขึ้น และจะแยกแยะออกจากการติดต่อสื่อสารของจริงได้ยากขึ้นเรื่อย ๆ
การป้องกันการโจมตีในลักษณะนี้จำเป็นต้องใช้แนวทางที่แตกต่างออกไป เนื่องจากอีเมลหลอกลวงเหล่านี้ไม่มีจุดสังเกตที่สามารถระบุได้ชัดเจน แถมยังถูกปรับแต่งมาให้ผ่านการยืนยันตัวตนได้อย่างถูกต้อง และดูเหมือนเป็นการแจ้งเตือนของจริงทุกประการ
อย่างไรก็ตาม การตรวจจับยังคงสามารถทำได้โดยการตรวจสอบรูปแบบพฤติกรรมการสื่อสารระหว่างผู้ส่ง และผู้รับ และคอยสังเกตว่ามีอีเมลหลอกลวงในลักษณะคล้ายคลึงกันที่ระบุเบอร์โทรศัพท์เอาไว้ ถูกส่งเข้ามายังองค์กรในระยะเวลาสั้น ๆ หรือไม่
นักวิจัยจาก Abnormal ระบุเพิ่มเติมว่า การสร้างแบบจำลองพฤติกรรมการสื่อสารตามปกติทั่วทั้งองค์กร จะช่วยให้ระบบตรวจจับที่ขับเคลื่อนด้วย AI สามารถแจ้งเตือนความผิดปกติได้ตั้งแต่เนิ่น ๆ ก่อนที่เหยื่อจะทำการโทรออกไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.