เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย

Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว

ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา

ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง

 

การโจมตี Tycoon 2FA

การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง

บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้

รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:

Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง

ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ

พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง

บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ

การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์

ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน

นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง

เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง

กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว

มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์

Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks

Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ

https://github.

Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)

สำนักงานปกป้องรัฐธรรมนูญแห่งสหพันธรัฐเยอรมัน (BfV) และหน่วยข่าวกรองแห่งชาติของสาธารณรัฐเกาหลี (NIS) แจ้งเตือนการพบการโจมตีของกลุ่ม Hacker ชาวเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky โดยการใช้ Chrome extension และแอปพลิเคชันใน Android เพื่อขโมยข้อมูล Gmail ของเป้าหมาย

Kimsuky (หรือที่รู้จักกันในชื่อ Thallium, Velvet Chollima) เป็นกลุ่ม Hacker จากเกาหลีเหนือที่มักใช้วิธีการ Phishing ในการโจมตีทางไซเบอร์ ซึ่งมีเป้าหมายการโจมตีไปยังนักการทูต นักข่าว หน่วยงานรัฐบาล อาจารย์มหาวิทยาลัย และนักการเมือง โดยเป้าหมายการโจมตีส่วนใหญ่อยู่ในเกาหลีใต้ แต่ต่อมาได้มีการกำหนดเป้าหมายเพิ่มเติมไปยังหน่วยงานในสหรัฐอเมริกา และยุโรป

การขโมยข้อมูล Gmail
การโจมตีจะเริ่มจากการส่ง Phishing Email เพื่อหลอกล่อให้เยื่อทำการติดตั้ง Chrome extension ที่เป็นอันตราย ซึ่งจะติดตั้งในเบราว์เซอร์ที่ใช้ Chromium base เช่น Microsoft Edge หรือ Brave ซึ่ง extension จะมีชื่อว่า 'AF' สามารถดูได้ในรายการ extension เมื่อทำการใส่ "(chrome|edge| Brave)://extensions" ในแถบของเบราว์เซอร์

ซึ่งเมื่อเหยื่อทำการเข้า Gmail ผ่านเบราว์เซอร์ extension จะเปิดใช้งานโดยอัตโนมัติเพื่อขโมยเนื้อหาอีเมลของเหยื่อ โดย extension บนเบราว์เซอร์นี้ถูกสร้างขึ้นด้วย devtools API (developer tools API) เพื่อส่งข้อมูลที่ถูกขโมยไปยัง relay server ของ Hacker โดยไม่จำเป็นต้องหลบหลีกการตรวจสอบ หรือการยืนยันตัวตน ซึ่งได้พบค่า hash จากไฟล์ที่เป็นอันตรายในการโจมตีครั้งล่าสุด คือ

012D5FFE697E33D81B9E7447F4AA338B (manifest.

นักต้มตุ๋น หรือสแกมเมอร์ ใช้วิธีการที่เรียกว่า "Vishing" (เป็นคำที่ถูกสร้างขึ้นจากรูปแบบหนึ่งของ Technique Phishing ผ่านทางการใช้ Voice) เพื่อหลอกลวงนักช้อปออนไลน์ โดยกลุ่มสแกมเมอร์จะแอบอ้างเป็นบุคคลจาก Amazon ด้วยวิธีการโทร หรือการส่งอีเมลพร้อมข้อมูลเบอร์โทรศัพท์และขอให้ผู้รับติดต่อกลับมา

เมื่อเร็ว ๆ นี้ Armorblox บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้พบแคมเปญอีเมลสองแคมเปญ ซึ่งอีเมลทั้งสองฉบับแอบอ้างเป็น Amazon โดยมีตราสินค้าและรูปแบบอีเมลคล้ายกับอีเมลยืนยันคำสั่งซื้อจริงจาก Amazon

แต่พบข้อสังเกตหลายอย่างที่ทำให้เรารู้ได้ว่าเป็นอีเมลหลอกลวง ได้แก่ อีเมลถูกส่งจากอีเมลของ Gmail หรืออีเมลที่ดูเหมือนว่าจะเป็นของ Amazon (no-reply @ amzeinfo [.] com) และไม่ได้มีการระบุชื่อของผู้รับลงไปในอีเมล

นักวิจัยของ Armorblox ตั้งข้อสังเกตว่าสแกมเมอร์ไม่ได้ใช้การโจมตีรูปแบบเก่า เช่น การส่งไฟล์แนบหรือลิงก์ที่เป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับของระบบได้ แต่เลือกใช้วิธีการอื่น เช่น ใช้ชื่อแบรนด์ปลอม (AMAZ0N - ใส่ศูนย์แทน “O”)

ป้องกันอย่างไร?

ไม่ควรเปิดไฟล์แนบและลิงก์จากอีเมลที่ไม่รู้จัก และไม่ควรโทรหาหมายเลขโทรศัพท์ที่ให้มาซึ่งอาจทำให้ถูกหลอกได้
หากมีความกังวล ว่าอาจถูกเรียกเก็บเงินสำหรับคำสั่งซื้อที่คุณไม่ได้ดำเนินการ ให้เข้าไปที่เว็บไซต์ของร้านค้าและค้นหาหมายเลขโทรศัพท์ที่ถูกต้อง
ไม่ควรเปิดเผยรายละเอียดส่วนบุคคลทางโทรศัพท์
เปิดการใช้งาน Multi-Factor Authentication (MFA) ในทุกบัญชีและทุกเว็บไซต์ ไม่ควรใช้รหัสผ่านเดียวกันในหลายบัญชี และใช้โปรแกรมจัดการรหัสผ่านเพื่อจัดเก็บรหัสผ่าน

ที่มา : ehackingnews

Google เเก้ไขช่องโหว่ที่จะทำให้ผู้โจมตีสามารถปลอมเเปลงอีเมลเป็นใครก็ได้ใน Gmail และ G Suite หลังจากนิ่งเฉยมานานจนนักวิจัยทำการเปิดเผย

Google แก้ไขช่องโหว่ที่ส่งผลกระทบต่อ Gmail และ G Suite ซึ่งอาจทำให้ผู้โจมตีสามารถส่งอีเมลที่เป็นอันตรายโดยการปลอมแปลงเป็นผู้ใช้ Google หรือลูกค้าขององค์กรรายอื่นๆ ได้

ช่องโหว่ที่ถูกเเก้ไขนี้ถูกเปิดเผยโดย Allison Husain นักวิจัยด้านความปลอดภัยซึ่งได้รายงานถึงช่องโหว่ในระบบการตรวจสอบ Email routing ใน SPF (Sender Policy Framework) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance) โดยช่องโหว่ทำให้ผู้โจมตีสามารถส่งอีเมลในฐานะผู้ใช้รายอื่นหรือลูกค้า G Suite ได้โดยผ่าน Policy การตรวจสอบจาก SPF และ DMARC ซึ้งเป็นมาตฐานการตรวจสอบสแปมและการโจมตีแบบฟิชชิ่ง

Husain อธิบายอีกว่าช่องโหว่นั้มีด้วยกันอยู่ 2 ส่วนคือ

ส่วนเเรกนั้นจะช่วยให้ผู้โจมตีสามารถปลอมเเปลงอีเมลไปยังเกตเวย์อีเมลบนแบ็กเอนด์ของ Gmail และ G Suite ผู้โจมตีสามารถใช้เซิร์ฟเวอร์อีเมลของผู้โจมตีเชื่อมต่อเข้ากับ Gmail หรือ G Suite Backend เพื่อที่จะสามารถส่งเมลออกเป็นโดเมนของเหยื่อได้
ส่วนที่สองผู้โจมตีสามารถกำหนด Email routing rules เพื่อรับอีเมลและสามารถ Forward ต่อได้ในขณะเดียวกันก็สามารถปลอมแปลงอีเมลเป็นลูกค้า Gmail หรือ G Suite โดยใช้ฟีเจอร์ “Change envelope recipient” เพื่อใช้ผ่านการตรวจสอบของ SPF และ DMARC ซึ่งช่วยให้ผู้โจมตีสามารถสวมสิทธิ์เป็นลูกค้าและทำการส่งข้อความที่ปลอมแปลงได้

หลังจาก Husain พบช่องโหว่เธอได้ส่งรายงานช่องโหว่ให้ Google เเก้ไขเมื่อวันที่ 3 เมษายนที่ผ่านมาเเต่ Google กลับนิ่งเฉยและไม่ได้รับการเเก้ไขจนวันที่ 19 สิงหาคมที่ผ่านมาเธอจึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะและไม่กี่ชั่วโมงต่อมา Google ได้ทำการเเก้ไขช่องโหว่โดยใช้เวลาในเเก้ไขไป 7 ชั่วโมง

ที่มา: zdnet | bleepingcomputer

อดีตวิศวกรของ Yahoo ถูกตัดสินให้ถูกคุมขังและถูกกักบริเวณในบ้านเป็นเวลาห้าปี หลังจากทำการแฮกเข้าสู่บัญชีส่วนตัวของผู้ใช้ Yahoo Mail กว่า 6,000 รายเพื่อทำการค้นหารูปภาพและวิดีโอส่วนตัวของเข้าของบัญชี โดย Reyes Daniel Ruiz วัย 34 ปีจาก Tracy รัฐ California ถูกศาลตัดสินให้จ่ายค่าปรับเป็นเงิน $ 5,000 (156,235 บาท) และอีก $118,456 (3,701,394 บาท) ให้กับ Yahoo เพื่อชดใช้ความเสียหายที่เกิดขึ้น

เอกสารประกอบคำตัดสินเปิดเผยว่า Ruiz ก่ออาชญากรรมของเขาในขณะที่ทำงานที่ Yahoo ในฐานะวิศวกร ระหว่างปี 2009 ถึงกรกฎาคม 2019 โดย Reyes ใช้สิทธ์ในการเข้าถึง backend ของ Yahoo เพื่อทำการเข้าถึงรหัสผ่านถูกเข้าด้วยฟังก์ชันแฮชแล้วจึงทำการถอดค้าหารหัสผ่านแบบ plaintext จากค่าแฮชดังกล่าวเพื่อเข้าถึงบัญชี Yahoo Mail ของแฟนสาว, เพื่อนและเพื่อนร่วมงานของเขา เมื่อเข้าถึงบัญชีได้เขาทำการค้นหารูปภาพและวีดีโอส่วนตัวของเจ้าของบัญชีจากนั้นทำการดาวน์โหลดและเก็บไว้ในฮาร์ดไดรฟ์ส่วนตัวที่บ้าน

นักวิจัยยังกล่าวด้วยว่า Ruiz ยังใช้บัญชีอีเมล Yahoo ที่ถูกแฮกทำการหลอกล่อหยื่อเพื่อเข้าถึงบัญชีและที่จัดเก็บไฟล์ส่วนบุคคล ในบริการต่างๆ เช่น Apple iCloud, Gmail, Hotmail, Dropbox และ Photobucket และคาดว่ามีผู้ที่ตกเป็นเหยื่อจำนวน 6,000 คน

การแฮกของ Ruiz ถูกตรวจพบโดยวิศวกรของ Yahoo คนอื่นในเดือนมิถุนายน 2018 และได้รายงานต่อเจ้าหน้าที่หลังจากตรวจพบ โดยหลังจากถูกตรวจพบ Ruiz ได้ทำการทำลายฮาร์ดไดรฟ์ที่ใช้เก็บข้อมูลที่เข้าทำการละเมิดข้อมูล ซึ้งมีข้อมูลอยู่ในนั้นเป็นจำนวน 2 TB ซึ่งเชื่อกันว่ามีภาพและวิดีโอส่วนตัวระหว่าง 1,000 ถึง 4,000 ภาพ

เนื่องจาก Ruiz ทำลายฮาร์ดไดรฟ์ส่วนตัวของเขาอัยการสหรัฐฯ กล่าวว่าพวกเขาสามารถระบุเหยื่อได้เพียง 3,137 คนจากเหยื่อทั้งหมด 6,000 คนเท่านั้น

ที่มา: zdnet

พบปัญหาใน Gmail ที่ส่งผลต่อผู้ใช้งานผ่านเว็บ ทำให้สามารถปกปิดอีเมลของผู้ส่งได้ ซึ่งอาจถูกใช้เป็นเครื่องมือจากผู้ไม่หวังดี

การปลอมแปลงข้อมูลในส่วนของ From ด้วยการแทรก Tag object, script หรือ img เข้าไปแทน ทำให้ข้อมูลอีเมลของผู้ส่งกลายเป็นค่าว่าง ส่งผลให้ผู้ใช้งานที่ได้รับอีเมลไม่สามารถระบุคนส่งได้ และสามารถถูกใช้โดยผู้ไม่หวังดีในการส่งอีเมลฟิชชิ่งได้

Tim Cotten เป็นผู้ค้นพบว่าปัญหาดังกล่าว จากการทดสอบโดยใช้เป็นวิธีการ reply email ก็ไม่สามารถช่วยให้เห็นข้อมูลของผู้ที่ส่งมาได้ รวมถึงการเปิดดูจากเมนู Show Original ก็ไม่สามารถแสดงอีเมลของผู้ส่งได้เช่นเดียวกัน แต่อย่างไรก็ตามจากการทดสอบโดยดูจาก raw data พบว่ามีข้อมูลอีเมลของผู้ส่งฝังอยู่ด้านหลัง Tag img

Tim Cotten ได้ทำการแจ้งเตือนข้อผิดพลาดดังกล่าวไปยัง Google เป็นที่เรียบร้อยแต่ยังไม่ได้รับการตอบกลับจาก Google

ที่มา :bleepingcomputer.

ทีมนักวิจัยของ Symantec ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เริ่มต้นโดยผู้ไม่ประสงค์ดีต้องทราบอีเมล์และเบอร์โทรศัพท์ของเหยื่อก่อน ซึ่งปัจจุบันนี้ข้อมูล 2 อันนี้หาได้ง่ายมากจาก Social Network ต่างๆ เช่น Facebook, LinkedIn หรือจากการสอบถามผู้อื่น จากนั้นผู้ไม่ประสงค์ดีจะระบุอีเมล์ของเหยื่อและใช้ฟีเจอร์ Password Recovery ที่ใช้สำหรับกรณีที่เจ้าของอีเมล์ลืมรหัสผ่านของตนเอง มาเป็นเครื่องมือในการแอบหลอกขโมยรหัสผ่าน

หลังจากที่เรียกใช้ฟีเจอร์ Password Recovery แล้ว ระบบอีเมล์จะทำการส่ง Verification Code ไปยังมือถือของเหยื่อตามเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้ ผู้ไม่ประสงค์ดีจะทำการส่งข้อความตามไปทันที ใจความประมาณว่า “Google has detected unusual activity on your account.

นักวิจัยจาก Trustwave บริษัทรักษาความปลอดภัยบนโลกไซเบอร์ได้ออกมาเปิดเผยข้อมูลว่ามีการแฮกข้อมูลครั้งใหญ่ อันเป็นผลมาจากซอฟท์แวร์ keylogging ที่ติดไปยังคอมพิวเตอร์ทั่วโลก ซึ่งตอนนี้ยังไม่มีข้อมูลที่แน่นอนว่ามีคอมพิวเตอร์ติดไปแล้วกี่เครื่อง โดยไวรัสตัวนี้จะทำการดักจับข้อมูลเวลาที่คุณล็อกอินใช้งานเว็บไซต์หรือบริการออนไลน์ต่างๆในช่วงตลอดหนึ่งเดือนที่ผ่านมา แล้วทำการส่งข้อมูลชื่อผู้ใช้และรหัสผ่านกับไปให้แฮกเกอร์ เมื่อวันที่ 24 พฤศจิกายนที่ผ่านมา ทางนักวิจัยของ Trustwave ได้ทำการติดตามข้อมูลบนเซิร์ฟเวอร์ที่ตั้งในประเทศเนเธอร์แลนด์ ซึ่งพบว่ามีการดักจับข้อมูลส่วนตัวมากกว่า 93,000 เว็บไซต์ดังนี้

เฟสบุ๊ค 318,000 บัญชีผู้ใช้
บัญชี Gmail, Google+ และ YouTube 70,000 บัญชี
Yahoo 60,000 บัญชี
ทวิตเตอร์ 22,000 บัญชี
Odnoklassniki สื่อสังคมออนไลน์ของรัสเซีย 9,000 บัญชี
ADP 8,000 บัญชี (แต่ทาง ADP อกมาบอกว่านับบัญชีที่ถูกแฮกได้นั้นมีแค่ 2,400 บัญชี)
LinkedIn 8,000 บัญชี

ปัจจุบันทางแฮกเกอร์เองได้ตั้งค่าให้โปรแกรม keylogging นี้ส่งข้อมูลผ่าน proxy server จึงยากที่จะรู้ว่าเครื่องไหนติดไวรัสนี้บ้าง เครื่องที่ติดไวรัสจำนวน 41,000 เครื่องเคยเชื่อมต่อ File Transfer Protocol (FTP) สำหรับส่งไฟล์ใหญ่ๆและอีก 6,000 เครื่องมีการ remote log-in แฮกเกอร์ได้ทำการแอบดูดข้อมูลอย่างลับๆตั้งแต่วันที่ 21 ตุลาคมจนกระทั่งถึงตอนนี้ แม้ว่า Trustwave จะพบว่าไวรัสนี้จาก proxy server ของเนเธอร์แลนด์ แต่เค้าเชื่อว่าเซิร์ฟเวอร์อื่นๆที่คล้ายกันก็อาจจะโดนด้วยเพราะยังไม่มีการสำรวจที่แน่ชัด

ที่มา : CNNMoney