การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง

Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare

การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ

Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"

“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"

เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น

Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%

นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น

Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้

Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ

มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง

ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%

เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

 

ที่มา : bleepingcomputer.

ตำรวจไทยพบรถตู้ และจับกุมคนขับที่ใช้เครื่อง SMS blaster ส่งข้อความฟิชชิงกว่า 100,000 ข้อความต่อชั่วโมงไปยังชาวไทยที่อยู่ในกรุงเทพฯ

อุปกรณ์ SMS blaster มีระยะการส่งข้อความประมาณ 3 กิโลเมตร (10,000 ฟุต) สามารถส่งข้อความได้ในอัตรา 100,000 ข้อความต่อชั่วโมง

ภายในระยะเวลา 3 วัน ผู้ไม่หวังดีส่งข้อความ SMS เกือบ 1 ล้านข้อความไปยังอุปกรณ์มือถือในระยะที่สามารถเข้าถึงได้ โดยข้อความระบุว่า "คะแนน 9,268 ของคุณกำลังจะหมดอายุ! รีบแลกของขวัญของคุณตอนนี้"

ข้อความ SMS ดังกล่าวมีลิงก์ไปยังเว็บไซต์ฟิชชิงชื่อ 'aisthailand' ซึ่งแอบอ้างเป็นผู้ให้บริการโทรศัพท์มือถือรายใหญ่ของประเทศไทย

ผู้ใช้งานที่คลิกลิงก์ฟิชชิงจะถูกนำไปยังหน้าเว็บไซต์ปลอมที่จะขอข้อมูลบัตรเครดิต ซึ่งข้อมูลเหล่านี้จะถูกส่งกลับไปยังผู้ไม่หวังดีเพื่อทำธุรกรรมที่ไม่ได้รับอนุญาตในต่างประเทศ

กลุ่มผู้ไม่หวังดีนี้มีสมาชิกอยู่ในประเทศไทย และต่างประเทศ ซึ่งมีการประสานงานกันผ่านช่องทาง Telegram ส่วนตัว ซึ่งเนื้อหาของข้อความ SMS จะถูกร่วมกันสร้างขึ้นในช่องทางเหล่านี้

ชายชาวจีนวัย 35 ปี ซึ่งขับรถตู้ที่บรรทุกอุปกรณ์ SMS blaster ถูกจับกุม และตำรวจกำลังตามหาสมาชิกกลุ่มคนอื่น ๆ อีกอย่างน้อยสองคน

Khaosod English รายงานว่า AIS ได้ดำเนินการช่วยเหลือตำรวจในการระบุตำแหน่งของอุปกรณ์ SMS blaster แต่ทาง AIS ยังไม่ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับวิธีการที่ใช้ เพื่อป้องกันไม่ให้ผู้ส่งข้อความฟิชชิ่งปรับเปลี่ยนกลยุทธ์ของพวกเขา

แม้ว่าข้อความฟิชชิงเหล่านี้ส่วนใหญ่มีอัตราความสำเร็จที่ค่อนข้างต่ำ เนื่องจากความตระหนักรู้ที่เพิ่มขึ้นของประชาชน แต่เมื่อถูกส่งในอัตราที่สูง และในพื้นที่ที่มีประชากรหนาแน่นก็สามารถสร้างผลกำไรอย่างมีนัยสำคัญให้กับผู้ไม่หวังดีได้

ที่มา : bleepingcomputer

ผู้ไม่หวังดีใช้ประโยชน์จากข่าวการเกิดขึ้นของไวรัสโควิด Omicron ที่กำลังได้รับความสนใจเป็นอย่างมาก ทำให้ตอนนี้ถูกนำมาใช้เป็นเหยื่อล่อในแคมเปญอีเมลที่เป็นอันตราย

โดยผู้ไม่หวังดีสามารถปรับตัวให้เข้ากับเทรนด์ล่าสุด และประเด็นร้อนแรงอย่างรวดเร็ว เนื่องจากการเพิ่มความกลัวให้กับผู้คนเป็นวิธีที่ดีที่สุดในการทำให้เหยื่อรีบเปิดอีเมลอ่านโดยไม่คิดให้รอบคอบก่อน

จากกรณีที่เป็นข่าวว่า "มีนักวิทยาศาสตร์กังวลเกี่ยวกับการแพร่เชื้อในระดับสูง และความไร้ประสิทธิผลของวัคซีนที่มีอยู่ต่อการกลายพันธุ์"

ทำให้มันเป็นหัวข้อที่เหมาะสำหรับฟิชชิ่งเป็นอย่างมาก เพราะแม้แต่ผู้ที่ได้รับวัคซีนไปแล้วก็ยังกังวลว่าพวกเขาก็อาจจะได้รับผลกระทบ

แคมเปญฟิชชิ่งนี้ ได้มุ่งเป้าไปที่สหราชอาณาจักร (UK)

องค์กรคุ้มครองผู้บริโภคของสหราชอาณาจักรได้มีการเผยแพร่ตัวอย่างอีเมลฟิชชิ่ง 2 ฉบับ ซึ่งอ้างว่าเป็นอีเมลจากองค์กรบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) เตือนเกี่ยวกับไวรัสโควิดสายพันธุ์ใหม่ Omicron

อีเมลเหล่านี้เสนอการตรวจ PCR test เพื่อตรวจหาเชื้อไวรัสโควิด Omicron ฟรี และใช้ชื่ออีเมล ‘contact-nhs@nhscontact.