ผู้เชี่ยวชาญจาก TrustWave ตรวจพบการโจมตีในรูปแบบของ Facebook Messenger Chatbots เพื่อขโมย Credentials ของเป้าหมายที่ใช้สำหรับจัดการ Page ต่างๆ ซึ่งปกติ Chatbots เป็นโปรแกรมที่ถูกพัฒนาสำหรับช่วยเหลือผู้ใช้งาน มักถูกใช้เพื่อตอบคำถามง่ายๆ หรือคัดแยกผู้ใช้งานก่อนที่จะถูกส่งไปยังพนักงานจริง
ลักษณะการทำงาน
การโจมตีแบบ Phishing เริ่มต้นด้วยผู้โจมตีทำการส่งอีเมลแจ้งผู้รับว่า Facebook Page ของพวกเขาละเมิดต่อมาตรฐานชุมชน โดยให้เวลา 48 ชั่วโมงในการอุทธรณ์คำตัดสิน มิฉะนั้นเพจของพวกเขาจะถูกลบ และทำการแนบลิงค์ "Appeal Now" ให้ผู้ใช้งานกดเพื่อเข้าไปหน้า Chatbots
เมื่อผู้ใช้งานเข้าลิงค์มา จะปรากฎหน้า Messenger ของ Chatbots ที่ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าของ Facebook แต่หน้า Page Facebook ที่เชื่อมโยงกับ Chatbots เป็นหน้าธุรกิจทั่วไปที่มีผู้ติดตามเป็นศูนย์และไม่มีโพสต์
ต่อมา Chatbots จะส่งปุ่ม "Appeal Now" ให้กับผู้ใช้งาน Messenger ซึ่งจะนำพาไปยังเว็บไซต์ที่ปลอมเป็น "Facebook Support Inbox" แต่ URL ไม่ใช่โดเมนของ Facebook
หน้า Facebook Support Inbox ปลอมจะเป็นกล่องข้อความให้ผู้ใช้งานกรอกที่อยู่อีเมล ชื่อเต็ม ชื่อเพจ และหมายเลขโทรศัพท์ หากกดปุ่ม Submit จะมีหน้าต่าง Pop-Up ขึ้นมาให้กรอกรหัสผ่านเพื่อเข้าสู่ขั้นตอนต่อไป
หลังจากใส่รหัสผ่านแล้ว ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังหน้า 2FA ปลอม ซึ่งมีหน้าให้กรอก OTP ที่ได้รับทาง SMS ตามหมายเลขโทรศัพท์ที่ระบุไว้ จากนั้นมันจะทำการเลี่ยนเส้นทางไปยังหน้า Facebook จริงที่เกี่ยวข้องกับการละเมิดของผู้ใช้งานด้านทรัพย์สินทางปัญญา และลิขสิทธิ์
เนื่องจากครั้งนี้เป็นการโจมตีแบบ Phishing จากระบบอัตโนมัติที่ส่งหาเป้าหมายจำนวนมาก และไม่ได้ระบุว่าเป้าหมายเป็นใคร ทำให้มีผู้หลงกลจำนวนมาก นอกจากนี้การตรวจจับก็เป็นไปได้ยาก เนื่องจากปัจจุบันไซต์จำนวนมากใช้ AI และ Chatbots เป็นส่วนหนึ่งของหน้าสนับสนุน ทำให้ดูเหมือนเป็นเรื่องปกติกับผู้ใช้งาน
แนวทางการป้องกัน
ไม่เปิดหรือคลิกลิงค์บนอีเมลจากผู้ส่งที่ไม่รู้จัก
ตรวจสอบ URL ทุกครั้งบนหน้าเว็บที่มีการร้องขอข้อมูลการเข้าสู่ระบบ
ติดตามข่าวสารอย่างสม่ำเสมอ
ที่มา : bleepingcomputer