แคมเปญการโจมตีแบบ Phishing ขนาดใหญ่ ที่มุ่งเป้าไปยังการแข่งขันฟุตบอลโลก 2026 (FIFA World Cup) ได้ขยายขนาดไปไกลเกินกว่าที่นักวิจัยด้านความปลอดภัยประเมินไว้ในเบื้องต้น จากเดิมที่มีการบันทึกข้อมูลชุดโดเมนที่เป็นอันตรายจำนวน 79 โดเมน ปัจจุบันได้ขยายตัวอย่างรวดเร็วจนกลายเป็นเครือข่ายที่มีโดเมนอย่างน้อย 222 โดเมน ซึ่งกระจายตัวอยู่บน IP Address ที่ไม่ซ้ำกันจำนวน 203 รายการ ส่งผลให้ขนาดของโครงสร้างเครือข่ายใหญ่ขึ้นกว่าที่ระบุไว้ในรายงานฉบับแรกเกือบ 3 เท่า
แคมเปญดังกล่าวถูกสร้างขึ้นมาเพื่อการฉ้อโกงโดยเฉพาะ โดยผู้ไม่หวังดีได้สร้างเว็บไซต์ที่เลียนแบบเป็นเว็บไซต์ Official ของ FIFA ได้อย่างแนบเนียน ซึ่งประกอบไปด้วยหน้าจำหน่ายบัตรเข้าชมปลอม, ร้านค้าลอกเลียนแบบ รวมไปถึงหน้าเว็บเข้าสู่ระบบปลอมที่ออกแบบมาเพื่อดักจับข้อมูล Credentials ใด ๆ ก็ตามที่ผู้ใช้งานป้อนเข้าสู่ระบบโดยไม่ให้รู้ตัว
เป้าหมายของผู้ไม่หวังดี คือ การขโมยเงิน และรวบรวมข้อมูลรายละเอียดบัญชีจากแฟนบอลที่ต้องการที่จะเข้าร่วมชมการแข่งขันฟุตบอล
นักวิจัยจาก Flare ระบุในรายงานที่เผยแพร่ร่วมกับ Cyber Security News (CSN) ว่า พวกเขาสามารถระบุขนาดที่แท้จริงของการโจมตีนี้ได้ หลังจากขยายขอบเขตการสืบสวนโดยใช้ passive DNS records, Certificate Transparency Logs และการตรวจสอบข้อมูล WHOIS แบบเชิงลึก
สิ่งที่ตรวจพบนั้นไม่ใช่การโจมตีที่มีการประสานงานร่วมกันเพียงจุดเดียว แต่เป็น Ecosystem การฉ้อโกงแบบ Distributed ซึ่งประกอบด้วยกลุ่ม Operator Clusters อย่างน้อย 4 กลุ่ม โดยทั้งหมดล้วนมุ่งเป้าการโจมตีไปที่กิจกรรมเดียวกัน
แคมเปญดังกล่าวยังไม่มีแนวโน้มที่จะชะลอตัวลง เพียงช่วง 17 วันแรกของเดือนเมษายน 2026 มีการจดทะเบียนโดเมนใหม่ถึง 52 โดเมน โดยมีการเพิ่มเติมโดเมนใหม่เข้าสู่ระบบแทบจะทุกวัน ข้อมูลเฉพาะวันที่ 27 มีนาคม, 28 มีนาคม และ 17 พฤศจิกายน 2025 เพียง 3 วันนี้ คิดเป็นสัดส่วนมากกว่าร้อยละ 36 ของการจดทะเบียนโดเมนทั้งหมดในชุดข้อมูล
ด้วยกำหนดการแข่งขันที่ใกล้เข้ามาอย่างรวดเร็ว โครงสร้างพื้นฐานของเครือข่ายจึงยังคงเติบโตอย่างต่อเนื่อง ทีมรักษาความปลอดภัย และแฟนบอลต่างได้รับการแจ้งเตือนให้เพิ่มความระมัดระวังอย่างใกล้ชิด เนื่องจากปฏิบัติการฉ้อโกงนี้แสดงให้เห็นถึงสัญญาณของการเร่งระดับความรุนแรงมากขึ้น แทนที่จะลดลงก่อนหน้ากำหนดการแข่งขันที่กำลังจะเริ่มต้นขึ้น
แคมเปญ World Cup Phishing
การสืบสวนเบื้องต้นพบโดเมนที่มีการสะกดชื่อคล้ายโดเมนที่ถูกต้องจำนวน 79 โดเมน ซึ่ง Hosted อยู่บน IP Address เพียง 14 รายการ แต่จากชุดข้อมูลที่ขยายขอบเขตเพิ่มเติมในปัจจุบันยืนยันว่ามีโดเมนจำนวน 222 โดเมน ซึ่งในจำนวนนี้ 206 โดเมนยังคงเปิดใช้งานอยู่ และมีการจำแนกไปยัง IP Address ที่ไม่ซ้ำกันถึง 203 รายการ
ตัวเลขดังกล่าวคิดเป็นประมาณ 2.8 เท่าของจำนวนโดเมน และมากกว่า 14 เท่าของ Hosting footprint จากรายงานฉบับแรก สิ่งที่น่าสังเกตคือ ร้อยละ 80.6 ของ IP Address เหล่านั้นถูกซ่อนอยู่เบื้องหลังระบบของ Cloudflare ซึ่งนักวิจัยระบุว่ากลุ่ม Operators กำลังใช้งานในลักษณะของ Reverse proxy เพื่อปกปิดที่อยู่เซิร์ฟเวอร์ที่แท้จริงของตนเอง
นอกจากนี้ ยังพบ IP Address 5 รายการที่ทำหน้าที่ Hosting หลายโดเมนจากแคมเปญดังกล่าว โดย IP Address ที่มีปริมาณสูงสุดเพียงรายการเดียวมีความเชื่อมโยงกับเว็บไซต์ฉ้อโกงที่แตกต่างกันถึง 8 เว็บไซต์ ทางด้าน Cloudflare เองก็ได้ทำการตั้งค่าสถานะ 3 โดเมนในชุดข้อมูลดังกล่าวว่าเป็นหน้าเว็บที่ต้องสงสัยว่าจะเป็นการทำ Phishing ซึ่งถือเป็นการยืนยันจากหน่วยงานอิสระว่ากิจกรรมดังกล่าวเป็นภัยคุกคามจริง
ภาพรวมของฝั่งผู้ให้บริการจดทะเบียนโดเมนก็มีการขยายตัวเช่นเดียวกัน GNAME.COM ยังคงเป็นผู้ให้บริการจดทะเบียนรายใหญ่ที่สุด โดยครองสัดส่วนโดเมนประมาณ 94 โดเมน หรือคิดเป็นประมาณร้อยละ 42 ของโครงสร้างพื้นฐานที่ตรวจพบทั้งหมด
ตามมาด้วย GoDaddy ที่มี 42 โดเมน ซึ่งหมายความว่าผู้ให้บริการจดทะเบียนโดเมนเพียง 2 รายนี้ ครอบครองสัดส่วนถึงประมาณร้อยละ 61 ของโดเมนทั้งหมด นักวิจัยจึงแนะนำให้ Brand protection teams ให้ความสำคัญกับการจัดส่งรายงานการละเมิดแบบกลุ่มไปยังผู้ให้บริการทั้ง 2 รายนี้เป็นอันดับแรก เนื่องจากเป็นแนวทางที่รวดเร็วที่สุดในการกำจัดเครือข่ายขนาดใหญ่ที่สุดของการโจมตีดังกล่าวออกไป
4 กลุ่ม Operator Clusters ที่อยู่เบื้องหลังการฉ้อโกง
หนึ่งในการค้นพบที่เผยให้เห็นข้อมูลที่ชัดเจนที่สุดคือ การโจมตีนี้ไม่ใช่การดำเนินงานแบบเดี่ยวที่สั่งการจากศูนย์กลาง การวิเคราะห์แสดงให้เห็นถึงกลุ่ม Operator clusters อย่างน้อย 4 กลุ่ม ซึ่งมีรูปแบบการจดทะเบียน, การเลือกใช้งาน Hosting และ Digital fingerprints ที่แตกต่างกัน
Cluster A เป็นกลุ่มที่สังเกตเห็นได้ชัดเจนที่สุด โดยควบคุมโดเมนประมาณ 86 โดเมนที่เลียนแบบที่อยู่เว็บไซต์ของ fifa.com โดยตรง ในขณะที่ Cluster B ตรวจจับได้ยากกว่า โดยดำเนินการผ่านโดเมน .shop จำนวน 14 โดเมนที่ใช้ชื่อแบบทั่วไป ซึ่งไม่แสดงความเกี่ยวข้องใดๆ กับ FIFA แต่กลับนำไปสู่หน้าเว็บไซต์เพื่อการฉ้อโกงในรูปแบบเดียวกัน
Cluster C เป็นกลุ่มที่มีขนาดเล็กกว่า ประกอบด้วยโดเมน .cn จำนวน 3 โดเมนที่จดทะเบียนผ่านที่อยู่อีเมลของ Gmail เพียงบัญชีเดียว ซึ่งชี้ให้เห็นถึงผู้ไม่หวังดีที่มีฐานปฏิบัติการอยู่ในประเทศจีน และดำเนินงานอย่างเป็นอิสระ ส่วน Cluster D ใช้ข้อมูลระบุตัวตนของผู้จดทะเบียนปลอมในชื่อ “888 World Cup Management Co Ltd” โดยอ้างอิงถึงการแข่งขันอย่างเปิดเผยเพื่อใช้เป็นฉากบังหน้า
ทั้ง 4 กลุ่มนี้ใช้ Page templates เดียวกัน และมุ่งเป้าการโจมตีไปที่เหยื่อกลุ่มเดียวกัน แต่ร่องรอยที่ปรากฏแสดงให้เห็นว่าเป็นผู้ไม่หวังดีที่ดำเนินงานอย่างเป็นอิสระโดยอาศัยการใช้ชุดเครื่องมือสำหรับการฉ้อโกง (Scam kit) ร่วมกัน มากกว่าที่จะเป็นกลุ่มเดียวกันที่มีการประสานงานร่วมกัน
ดังนั้น การตรวจจับในปัจจุบันจะต้องดำเนินการในระดับแคมเปญ ไม่ใช่การตรวจสอบทีละโดเมนอีกต่อไป ทีมงานต่าง ๆ ได้รับคำแนะนำให้วิเคราะห์เจาะลึกเกินกว่าแค่รูปแบบการตั้งชื่อ โดยให้นำประเด็นเรื่องการนำ TLS certificate กลับมาใช้ซ้ำ และการระบุร่องรอย Template หน้าเว็บเข้าไว้ใน Detection rules รวมถึงให้ถือว่าโดเมนที่จดทะเบียนใหม่ใด ๆ ก็ตามที่มีข้อมูลตรงกับ IOC ของ WHOIS ที่เคยตรวจพบ ถือว่าเป็นส่วนหนึ่งของแคมเปญที่กำลังดำเนินการอยู่ในขณะนี้
Indicators of Compromise (IoCs)
ที่มา : cybersecuritynews
You must be logged in to post a comment.