นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญการฉ้อโกงทางด้านโทรคมนาคม (Telecommunications Fraud) ที่ใช้กลวิธีในการตรวจสอบ CAPTCHA ปลอม เพื่อหลอกลวงผู้ใช้ที่ไม่ระมัดระวังให้ส่งข้อความระหว่างประเทศ ซึ่งจะทำให้เกิดค่าใช้จ่ายในบิลค่าโทรศัพท์มือถือ และสร้างรายได้ที่ผิดกฎหมายให้กับผู้โจมตีที่เช่าหมายเลขโทรศัพท์เหล่านั้น
จากรายงานฉบับใหม่ที่เผยแพร่โดย Infoblox เชื่อว่า ปฏิบัติการนี้เริ่มขึ้นอย่างน้อยตั้งแต่เดือนมิถุนายน 2020 โดยใช้วิธีการต่าง ๆ เช่น Social Engineering และ Back Button Hijacking ในเว็บเบราว์เซอร์ จากการตรวจสอบพบว่ามีหมายเลขโทรศัพท์มากถึง 35 หมายเลข ครอบคลุมพื้นที่ 17 ประเทศ ที่ถูกนำมาใช้เป็นส่วนหนึ่งของแคมเปญฉ้อโกงส่วนแบ่งรายได้ระหว่างประเทศ (IRSF)
นักวิจัย David Brunsdon และ Darby Wise ระบุในบทวิเคราะห์ว่า "CAPTCHA ปลอมนี้มีหลายขั้นตอน และแต่ละข้อความที่ถูกสร้างขึ้นโดยหน้าเว็บดังกล่าวจะถูกกำหนดค่าไว้ล่วงหน้าด้วยหมายเลขโทรศัพท์มากกว่าสิบเบอร์ ซึ่งหมายความว่าเหยื่อไม่ได้ถูกเรียกเก็บเงินจากการส่งข้อความเพียงข้อความเดียว แต่ถูกเรียกเก็บเงินจากการส่ง SMS ไปยังปลายทางต่างประเทศมากกว่า 50 แห่ง"
กลโกงประเภทนี้ยังได้รับประโยชน์จากระบบการเรียกเก็บเงินที่ล่าช้า เนื่องจากค่าบริการ SMS ต่างประเทศมักจะไปปรากฏในใบแจ้งหนี้ของเหยื่อในอีกหลายสัปดาห์ต่อมา ซึ่งเมื่อถึงเวลานั้น การเจอ CAPTCHA ปลอมก็มักจะถูกลืมไปนานแล้ว
สิ่งที่ทำให้ภัยคุกคามนี้มีความโดดเด่นคือการมาบรรจบกันของการฉ้อโกงส่วนแบ่งรายได้ (Revenue Share Fraud) และระบบกระจายทราฟฟิกที่เป็นอันตราย (TDSs) โดยแคมเปญนี้ได้ไปใช้โครงสร้างพื้นฐาน ซึ่งโดยปกติแล้วมีหน้าที่ส่งต่อทราฟฟิกไปยังมัลแวร์ หรือหน้าฟิชชิงผ่านกระบวนการเปลี่ยนเส้นทางเพื่อหลบเลี่ยงการตรวจจับ แต่ถูกนำมาใช้เพื่อดำเนินการหลอกลวงผ่าน SMS ในสเกลขนาดใหญ่แทน
รูปแบบของกลโกง IRSF เกี่ยวข้องกับการที่มิจฉาชีพได้มาซึ่งหมายเลขโทรศัพท์ต่างประเทศแบบเก็บค่าธรรมเนียมพิเศษ (IPRN) หรือช่วงหมายเลขโทรศัพท์มาอย่างผิดกฎหมาย และทำการปั๊มยอดจำนวนการโทร หรือข้อความระหว่างประเทศไปยังหมายเลขเหล่านั้นให้สูงเกินจริง เพื่อรับส่วนแบ่งรายได้ที่เกิดขึ้นจากการเรียกเก็บเงินค่าเชื่อมต่อโครงข่าย (Termination Charges) ซึ่งผู้ถือครองช่วงหมายเลขดังกล่าวจะได้รับจากทราฟฟิกขาเข้าที่ส่งไปยังหมายเลขเหล่านั้น
ในบริบทนี้ ค่าธรรมเนียมการเชื่อมต่อโครงข่าย (Termination fee) หมายถึง ค่าธรรมเนียมระหว่างผู้ให้บริการที่ผู้ให้บริการต้นทางต้องจ่ายให้แก่ผู้ให้บริการปลายทางสำหรับการเชื่อมต่อสายโทรศัพท์ให้สำเร็จบนเครือข่ายของตน การหาประโยชน์จากข้อตกลงการแบ่งปันรายได้เหล่านี้เองที่เป็นตัวขับเคลื่อน IRSF เนื่องจากผู้ให้บริการต้นทางต้องจ่ายค่าธรรมเนียมการเชื่อมต่อให้กับเครือข่ายปลายทางสำหรับการโทรเข้าที่ส่งไปยังจุดหมายปลายทางที่มีค่าใช้จ่ายสูง ซึ่งรายได้ส่วนหนึ่งในนั้นจะถูกนำมาแบ่งให้กับกลุ่มมิจฉาชีพ
Infoblox ระบุว่า แคมเปญที่ตรวจพบนี้มีการจดทะเบียนหมายเลขโทรศัพท์โดยเฉพาะเจาะจงในประเทศที่มีค่าธรรมเนียมการเชื่อมต่อโครงข่ายสูง หรือมีระเบียบข้อบังคับที่หละหลวม เช่น อาเซอร์ไบจาน, คาซัคสถาน หรือช่วงหมายเลขแบบเก็บค่าธรรมเนียมพิเศษบางแห่งในยุโรป และมีการสมรู้ร่วมคิดกับผู้ให้บริการโทรคมนาคมในท้องถิ่นเพื่อดำเนินกลโกงดังกล่าว
กระบวนการทั้งหมดของแคมเปญนี้ดำเนินไปดังนี้ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมโดยใช้ระบบ TDS Commercial ซึ่งจะแสดงหน้า CAPTCHA ที่สั่งให้ผู้ใช้ส่ง SMS เพื่อยืนยันว่าคือมนุษย์ สิ่งนี้จะไปทำให้เกิด multi-stage verification โดยในแต่ละขั้นตอนจะทำให้เกิดการส่งข้อความ SMS แยกกันไปยังหมายเลขที่เซิร์ฟเวอร์กำหนดไว้ ผ่านการเรียกเปิดแอปพลิเคชัน SMS โดยอัตโนมัติทั้งบนอุปกรณ์ Android และ iOS พร้อมกับมีการกรอกหมายเลขโทรศัพท์ และเนื้อหาข้อความไว้ให้ล่วงหน้าเรียบร้อยแล้ว
ในกระบวนการนี้ มีการส่งข้อความ SMS มากถึง 60 ข้อความไปยังหมายเลขที่ไม่ซ้ำกัน 15 หมายเลข หลังจากผ่านขั้นตอน CAPTCHA 4 ขั้นตอน ซึ่งอาจทำให้ผู้ใช้ต้องเสียค่าใช้จ่ายรวมถึง 30 ดอลลาร์ แม้ว่าจะเป็นจำนวนเงินที่ค่อนข้างน้อย แต่บริษัทข่าวกรองด้านภัยคุกคามทางด้าน DNS เตือนว่า รายได้เหล่านี้สามารถเพิ่มขึ้นอย่างรวดเร็วสำหรับผู้ไม่หวังดีเมื่อดำเนินการในวงกว้าง โดยรายชื่อหมายเลขโทรศัพท์ดังกล่าวครอบคลุมถึง 17 ประเทศ เช่น อาเซอร์ไบจาน, เนเธอร์แลนด์, เบลเยียม, โปแลนด์, สเปน และตุรกี
แคมเปญนี้พึ่งพาการใช้คุกกี้ (Cookies) อย่างมากในการติดตามความคืบหน้าผ่านขั้นตอน verification flow ปลอม โดยจะใช้ค่าที่จัดเก็บไว้ในคุกกี้บางตัว เช่น successRate เพื่อกำหนดการดำเนินการในขั้นตอนถัดไป หากผู้ใช้รายใดถูกพิจารณาว่าไม่เหมาะสมสำหรับแคมเปญนี้ หน้าเว็บจะถูกออกแบบให้เปลี่ยนเส้นทางผู้ใช้ไปยังหน้า CAPTCHA อื่นที่แตกต่างไปโดยสิ้นเชิง ซึ่งน่าจะเป็นส่วนหนึ่งของแคมเปญอื่นแยกต่างหาก หรือถูกควบคุมโดยกลุ่มมิจฉาชีพกลุ่มอื่น
อีกหนึ่งกลยุทธ์แปลกใหม่ที่กลุ่มมิจฉาชีพนำมาใช้คือ การลักลอบควบคุมปุ่มย้อนกลับ (Back Button Hijacking) ซึ่งอาศัยคำสั่ง JavaScript ในการเข้าไปแก้ไขประวัติการเข้าชมเว็บ (Browsing History) เพื่อให้ทุกครั้งที่ผู้เข้าชมพยายามจะกดปุ่มย้อนกลับบนเบราว์เซอร์เพื่อออกจากหน้า CAPTCHA ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้กลับมาที่หน้าปลอมดังเดิม ซึ่งเป็นการกักผู้ใช้ไว้ในลูปการเข้าเว็บอย่างมีประสิทธิภาพ เว้นแต่ว่าผู้ใช้จะเลือกปิดเบราว์เซอร์ออกไปทั้งหมด
ปฏิบัติการนี้ฉ้อโกงทั้งบุคคลธรรมดา และผู้ให้บริการโทรคมนาคมไปพร้อม ๆ กัน เหยื่อรายบุคคลต้องเผชิญกับค่าบริการ SMS อัตราพิเศษที่เกิดขึ้นอย่างไม่คาดคิดในใบแจ้งหนี้ และจะประสบความยากลำบากในการระบุตัวตน หรือรายงานการฉ้อโกงเมื่อมันมีต้นตอมาจากแหล่งที่คาดไม่ถึงเช่นนี้ ส่วนผู้ให้บริการโทรคมนาคมก็ต้องจ่ายส่วนแบ่งรายได้ให้กับกลุ่มมิจฉาชีพ ในขณะที่ต้องแบกรับความสูญเสียจากการโต้แย้งค่าบริการ หรือการเรียกเงินคืนจากลูกค้า
วิธีที่กลุ่มมิจฉาชีพใช้ Keitaro TDS ในทางที่ผิด
การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่บริษัทได้ร่วมมือกับ Confiant เผยแพร่บทวิเคราะห์ 3 ตอน ซึ่งระบุรายละเอียดว่าระบบ Keitaro TDS (หรือที่เรียกว่า Keitaro Tracker) ถูกนำไปใช้ในทางที่ผิดโดยกลุ่มมิจฉาชีพในวงกว้างได้อย่างไร ในบางกรณีมีการใช้ใบอนุญาต (License) ที่ถูกขโมยมา หรือถูกแฮ็ก เช่นในกรณีของกลุ่ม TA2726 เพื่อดำเนินกิจกรรมที่เป็นอันตราย ซึ่งรวมถึงการแพร่กระจายมัลแวร์, การขโมยสกุลเงินดิจิทัล (Cryptocurrency), และกลโกงการลงทุนที่อ้างว่าใช้ปัญญาประดิษฐ์ (AI) ในการเทรดอัตโนมัติพร้อมคำสัญญาว่าจะให้ผลตอบแทนมหาศาล
กลโกงนี้ใช้โฆษณาบน Facebook เพื่อล่อลวงเหยื่อให้ไปยังแพลตฟอร์มที่อ้างว่าขับเคลื่อนด้วย AI ปลอม โดยในบางกรณีถึงขั้นสร้างการรับรองจากคนดังแบบปลอม ๆ ผ่านบทความข่าวปลอม และวิดีโอ Deepfake เพื่อโปรโมตแผนการลงทุนดังกล่าว ซึ่งการใช้วิดีโอที่สร้างขึ้นด้วย AI นี้ถูกระบุว่าเป็นฝีมือของกลุ่มมิจฉาชีพที่ชื่อว่า FaiKast
Keitaro เป็นเครื่องมือติดตามประสิทธิภาพการโฆษณาแบบ Self-hosted ที่ถูกออกแบบมาเพื่อส่งต่อผู้เข้าชมตามเงื่อนไขที่กำหนดโดยใช้ระบบ Flow กลุ่มมิจฉาชีพได้นำกลไกนี้มาปรับปรุงใหม่ โดยเปลี่ยนเซิร์ฟเวอร์ Keitaro ให้กลายเป็นเครื่องมือแบบครบวงจรที่ทำหน้าที่เป็นทั้งระบบกระจายทราฟฟิก (TDS), เครื่องมือติดตาม และเลเยอร์สำหรับพรางตัว (Cloaking layer)
โดยรวมแล้ว มีแคมเปญที่แตกต่างกันมากกว่า 120 แคมเปญที่นำระบบ TDS ของ Keitaro ไปใช้ในทางที่ผิดเพื่อส่งต่อลิงก์ ในช่วงระยะเวลา 4 เดือนระหว่างเดือนตุลาคม 2025 ถึงมกราคม 2026 โดย Infoblox ตั้งข้อสังเกตว่าลูกค้าของบริษัทมีการบันทึกการสอบถามข้อมูล DNS (DNS queries) ประมาณ 226,000 ครั้ง ซึ่งครอบคลุมโดเมน 13,500 แห่งที่เกี่ยวข้องกับกิจกรรมของ Keitaro ในช่วงเวลาดังกล่าว และภายหลังจากการแจ้งข้อมูลตามขั้นตอน Keitaro ก็ได้เข้าดำเนินการยกเลิกบัญชีผู้ใช้งานมากกว่าสิบรายที่มีความเชื่อมโยงกับกิจกรรมเหล่านี้
ด้วยการผสมผสานวิธีการฉ้อโกงการลงทุนแบบดั้งเดิมที่ยังคงได้ผลดีเยี่ยม เข้ากับเทคโนโลยี AI สมัยใหม่ ทำให้กลุ่มมิจฉาชีพสามารถเปิดฉากแคมเปญไซเบอร์ขนาดใหญ่ที่มีความน่าเชื่อถือสูงได้ โดยประมาณ 96% ของทราฟฟิกสแปมที่เชื่อมโยงกับ Keitaro นั้น เป็นการโปรโมตแผนการดูดเงินจากวอลเล็ตคริปโต (Wallet-drainer) โดยหลัก ๆ จะใช้การล่อลวงด้วยกิจกรรมแจกเหรียญฟรี (Airdrop/Giveaway) ปลอม ที่เน้นไปที่เหรียญ AURA, SOL (โทเคน Solana), Phantom (วอลเล็ต) และ Jupiter (DEX/aggregator)
ที่มา : thehackernews
You must be logged in to post a comment.