Google ประกาศว่า Gmail จะยุติการสนับสนุนฟีเจอร์สำคัญ 2 อย่าง ที่เกี่ยวข้องกับบัญชีอีเมลจากThird-party
โดยเริ่มตั้งแต่เดือนมกราคม 2026 แพลตฟอร์มจะยกเลิกการสนับสนุนฟีเจอร์ "Gmailify" และฟีเจอร์ "Check mail from other accounts" ซึ่งเป็นฟีเจอร์ที่ได้รับความนิยมอย่างแพร่หลายในการ fetching ข้อมูลผ่านโปรโตคอล POP3
(more…)
Google เตรียมอนุญาตให้ผู้ใช้งานสามารถเปลี่ยนที่อยู่อีเมล @gmail.com เดิมของตน หรือสร้าง alias ใหม่ได้ ตามข้อมูลจากเอกสารสนับสนุนล่าสุดที่ได้เผยแพร่ออกมา
(more…)
โดยทั่วไปฟิชชิงมักเกี่ยวข้องกับการหลอกลวงผู้ใช้งานมาโดยตลอด แต่ในแคมเปญนี้ ผู้โจมตีไม่ได้มุ่งเป้าไปที่ผู้ใช้เท่านั้น หากแต่ยังพยายามโจมตีระบบป้องกันที่ใช้ AI ด้วย
(more…)
แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบชุดแพ็กเกจที่เป็นอันตรายจำนวน 3 ชุด ใน npm และ Python Package Index (PyPI) repository ซึ่งมีความสามารถในการขโมยข้อมูล และลบข้อมูลที่สำคัญออกจากระบบที่ติดมัลแวร์ (more…)
เหล่าอาชญากรไซเบอร์หันมาใช้แพลตฟอร์มฟิชชิ่งรูปแบบใหม่ที่ชื่อว่า "Tycoon 2FA" ซึ่งเป็นบริการฟิชชิ่งสำเร็จรูป (PhaaS) มากขึ้น เพื่อมุ่งเป้าโจมตีบัญชี Microsoft 365 และ Gmail โดยชุดเครื่องมือนี้สามารถ bypass การยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) ได้อีกด้วย
Tycoon 2FA ถูกพบโดยนักวิเคราะห์จาก Sekoia ในเดือนตุลาคม 2023 ระหว่างการตรวจสอบภัยคุกคามตามปกติ แต่ชุดเครื่องมือนี้มีการใช้งานมาตั้งแต่เดือนสิงหาคม 2023 เป็นอย่างน้อยโดยกลุ่ม Saad Tycoon ซึ่งให้บริการผ่านช่องทาง Telegram ส่วนตัว
ชุดเครื่องมือ PhaaS นี้ มีความคล้ายคลึงกับแพลตฟอร์ม AitM (Adversary-in-the-Middle) อื่น ๆ เช่น Dadsec OTT ซึ่งแสดงให้เห็นว่าอาจมีการนำโค้ดมาใช้ซ้ำ หรือเป็นการทำงานร่วมกันระหว่างนักพัฒนา
ในปี 2024 Tycoon 2FA ได้เปิดตัวเวอร์ชันใหม่ที่แอบแฝงได้แนบเนียนยิ่งขึ้น ซึ่งแสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการพัฒนาชุดเครื่องมือฟิชชิ่งนี้ให้มีประสิทธิภาพมากขึ้น ปัจจุบันบริการนี้มีโดเมนที่ใช้งานมากกว่า 1,100 โดเมน และถูกนำไปใช้ในการโจมตีฟิชชิ่งหลายพันครั้ง
การโจมตี Tycoon 2FA
การโจมตีด้วย Tycoon 2FA เป็นกระบวนการหลายขั้นตอนที่ผู้โจมตีทำการขโมยคุกกี้เซสชันโดยใช้เซิร์ฟเวอร์ reverse proxy ซึ่งทำหน้าที่เป็นโฮสต์เว็บฟิชชิ่ง เว็บฟิชชิ่งเหล่านี้จะดักจับข้อมูลที่ผู้เสียหายกรอกเข้าไป และส่งต่อข้อมูลนั้นไปยังบริการที่ถูกต้อง
บริษัท Sekoia อธิบายว่า "เมื่อผู้ใช้ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำเร็จ เซิร์ฟเวอร์ reverse proxy จะทำการขโมยคุกกี้เซสชันของผู้ใช้งานไป" ด้วยวิธีนี้ผู้โจมตีสามารถนำเซสชันของผู้ใช้ไปใช้ต่อได้อีกครั้ง ส่งผลให้สามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้
รายงานของ Sekoia แบ่งการโจมตีด้วย Tycoon 2FA ออกเป็น 7 ขั้นตอน ดังนี้:
Stage 0 : ผู้โจมตีจะกระจายลิงก์เว็บฟิชชิ่งไปยังเหยื่อผ่านทางอีเมลที่ฝัง URL หรือรหัส QR โดยปลอมแปลงเป็นองค์กรที่น่าเชื่อถือ
Stage 1 : ผู้โจมตีใช้ระบบกรองความเป็นมนุษย์ (CAPTCHA) แบบพิเศษอย่าง Cloudflare Turnstile เพื่อกรองโปรแกรม Bot ออก ให้เหลือเฉพาะผู้ใช้งานจริงเท่านั้นที่จะเข้าถึงเว็บฟิชชิ่งได้
Stage 2 : สคริปต์เบื้องหลังของเว็บฟิชชิ่ง จะทำการดึงข้อมูลอีเมลของเหยื่อจาก URL เพื่อปรับแต่งสำหรับการโจมตีแบบฟิชชิ่ง
Stage 3 : เหยื่อจะถูกนำไปยังอีกส่วนหนึ่งของเว็บฟิชชิ่งโดยที่ไม่รู้ตัว ซึ่งการกระทำนี้จะพาเหยื่อเข้าใกล้หน้าเข้าสู่ระบบปลอมมากขึ้น
Stage 4 : ในขั้นตอนนี้จะแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft เพื่อขโมยข้อมูลรับรอง (credentials) โดยใช้ WebSockets ในการแอบส่งข้อมูลออกไป
Stage 5 : ชุดเครื่องมือนี้จะเลียนแบบการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยดักจับรหัสโทเค็น หรือการตอบสนองของ 2FA เพื่อ bypass การรักษาความปลอดภัย
Stage 6 : ในที่สุด เหยื่อจะถูกนำทางไปยังหน้าเว็บที่ดูเหมือนเป็นหน้าเว็บที่ถูกต้อง เพื่อซ่อนความสำเร็จของการโจมตีฟิชชิ่ง
ภาพรวมของการโจมตีอธิบายไว้ด้วยแผนภาพด้านล่างนี้ซึ่งรวมถึงขั้นตอนทั้งหมดของกระบวนการ
พัฒนาการ และขอบเขตของเว็บฟิชชิ่ง
บริษัท Sekoia รายงานว่า Tycoon 2FA ซึ่งเป็นชุดเครื่องมือฟิชชิ่งเวอร์ชันล่าสุดที่เปิดตัวในปีนี้ มีการปรับปรุงเปลี่ยนแปลงอย่างมาก ช่วยยกระดับประสิทธิภาพในการฟิชชิ่ง และหลีกเลี่ยงการตรวจจับ
การเปลี่ยนแปลงสำคัญประกอบด้วย การปรับปรุงโค้ด JavaScript และ HTML, การเปลี่ยนลำดับการดึงข้อมูล และการกรองข้อมูลที่เข้มงวดขึ้นเพื่อบล็อกการเข้าถึงเว็บไซต์จากบอท และเครื่องมือวิเคราะห์
ตัวชุดเครื่องมือตอนนี้เลื่อนการโหลดการเข้าถึงหน้าฟิชชิ่งไปจนกระทั่งหลังจากที่ผ่านการตรวจสอบจาก Cloudflare Turnstile โดยใช้ชื่อ URL ที่เป็นเลขสุ่มเพื่อปิดการทำงาน
นอกจากนี้ ระบบรักษาความปลอดภัยยังสามารถระบุ traffic จาก Tor network ที่เชื่อมโยงกับศูนย์ข้อมูลได้ดียิ่งขึ้น ในขณะเดียวกันก็มีการบล็อกการเข้าถึงเว็บไซต์จากโปรแกรมโดยอิงตาม user-agent strings ที่เฉพาะเจาะจง
เกี่ยวกับขอบเขตของการดำเนินการ Sekoia รายงานว่ามีขนาดใหญ่อย่างมากเนื่องจากมีหลักฐานแสดงถึงผู้ใช้งานหลากหลายที่มีพฤติกรรมในลักษณะที่กำลังใช้ Tycoon 2FA สำหรับการดำเนินการฟิชชิ่ง
กระเป๋า Bitcoin ที่เชื่อมโยงกับผู้ดำเนินการ มีธุรกรรมมากกว่า 1,800 รายการตั้งแต่ตุลาคม 2019 โดยมีจำนวนธุรกรรมเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่เดือนสิงหาคม 2023 ซึ่งเป็นช่วงเวลาที่เครื่องมือนี้เปิดตัว
มีธุรกรรมมากกว่า 530 รายการที่มีมูลค่าเกิน 120 ดอลลาร์ ซึ่งเป็นราคาเริ่มต้นสำหรับลิงก์การโจมตีฟิชชิ่งในระยะเวลา 10 วัน โดยถึงกลางเดือนมีนาคม 2024 กระเป๋าเงินของผู้โจมตีได้รับเงินสดรวมมูลค่า 394,015 ดอลลาร์
Tycoon 2FA เป็นเพียงการพัฒนาล่าสุดใน PhaaS ที่มีตัวเลือกมากมายสำหรับอาชญากรไซเบอร์ แพลตฟอร์มที่มีชื่อเสียงอื่นที่สามารถหลบหลีกการป้องกัน 2FA ได้ เช่น LabHost, Greatness, และ Robin Banks
Sekoia ให้ข้อมูลเกี่ยวกับ indicators of compromise (IoCs) ที่เชื่อมโยงกับการทำงานของ Tycoon 2FA ที่มีรายการมากกว่า 50 รายการ
https://github.
Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)
สำนักงานปกป้องรัฐธรรมนูญแห่งสหพันธรัฐเยอรมัน (BfV) และหน่วยข่าวกรองแห่งชาติของสาธารณรัฐเกาหลี (NIS) แจ้งเตือนการพบการโจมตีของกลุ่ม Hacker ชาวเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky โดยการใช้ Chrome extension และแอปพลิเคชันใน Android เพื่อขโมยข้อมูล Gmail ของเป้าหมาย
Kimsuky (หรือที่รู้จักกันในชื่อ Thallium, Velvet Chollima) เป็นกลุ่ม Hacker จากเกาหลีเหนือที่มักใช้วิธีการ Phishing ในการโจมตีทางไซเบอร์ ซึ่งมีเป้าหมายการโจมตีไปยังนักการทูต นักข่าว หน่วยงานรัฐบาล อาจารย์มหาวิทยาลัย และนักการเมือง โดยเป้าหมายการโจมตีส่วนใหญ่อยู่ในเกาหลีใต้ แต่ต่อมาได้มีการกำหนดเป้าหมายเพิ่มเติมไปยังหน่วยงานในสหรัฐอเมริกา และยุโรป
การขโมยข้อมูล Gmail
การโจมตีจะเริ่มจากการส่ง Phishing Email เพื่อหลอกล่อให้เยื่อทำการติดตั้ง Chrome extension ที่เป็นอันตราย ซึ่งจะติดตั้งในเบราว์เซอร์ที่ใช้ Chromium base เช่น Microsoft Edge หรือ Brave ซึ่ง extension จะมีชื่อว่า 'AF' สามารถดูได้ในรายการ extension เมื่อทำการใส่ "(chrome|edge| Brave)://extensions" ในแถบของเบราว์เซอร์
ซึ่งเมื่อเหยื่อทำการเข้า Gmail ผ่านเบราว์เซอร์ extension จะเปิดใช้งานโดยอัตโนมัติเพื่อขโมยเนื้อหาอีเมลของเหยื่อ โดย extension บนเบราว์เซอร์นี้ถูกสร้างขึ้นด้วย devtools API (developer tools API) เพื่อส่งข้อมูลที่ถูกขโมยไปยัง relay server ของ Hacker โดยไม่จำเป็นต้องหลบหลีกการตรวจสอบ หรือการยืนยันตัวตน ซึ่งได้พบค่า hash จากไฟล์ที่เป็นอันตรายในการโจมตีครั้งล่าสุด คือ
012D5FFE697E33D81B9E7447F4AA338B (manifest.
นักต้มตุ๋น หรือสแกมเมอร์ ใช้วิธีการที่เรียกว่า "Vishing" (เป็นคำที่ถูกสร้างขึ้นจากรูปแบบหนึ่งของ Technique Phishing ผ่านทางการใช้ Voice) เพื่อหลอกลวงนักช้อปออนไลน์ โดยกลุ่มสแกมเมอร์จะแอบอ้างเป็นบุคคลจาก Amazon ด้วยวิธีการโทร หรือการส่งอีเมลพร้อมข้อมูลเบอร์โทรศัพท์และขอให้ผู้รับติดต่อกลับมา
เมื่อเร็ว ๆ นี้ Armorblox บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้พบแคมเปญอีเมลสองแคมเปญ ซึ่งอีเมลทั้งสองฉบับแอบอ้างเป็น Amazon โดยมีตราสินค้าและรูปแบบอีเมลคล้ายกับอีเมลยืนยันคำสั่งซื้อจริงจาก Amazon
แต่พบข้อสังเกตหลายอย่างที่ทำให้เรารู้ได้ว่าเป็นอีเมลหลอกลวง ได้แก่ อีเมลถูกส่งจากอีเมลของ Gmail หรืออีเมลที่ดูเหมือนว่าจะเป็นของ Amazon (no-reply @ amzeinfo [.] com) และไม่ได้มีการระบุชื่อของผู้รับลงไปในอีเมล
นักวิจัยของ Armorblox ตั้งข้อสังเกตว่าสแกมเมอร์ไม่ได้ใช้การโจมตีรูปแบบเก่า เช่น การส่งไฟล์แนบหรือลิงก์ที่เป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับของระบบได้ แต่เลือกใช้วิธีการอื่น เช่น ใช้ชื่อแบรนด์ปลอม (AMAZ0N - ใส่ศูนย์แทน “O”)
ป้องกันอย่างไร?
ไม่ควรเปิดไฟล์แนบและลิงก์จากอีเมลที่ไม่รู้จัก และไม่ควรโทรหาหมายเลขโทรศัพท์ที่ให้มาซึ่งอาจทำให้ถูกหลอกได้
หากมีความกังวล ว่าอาจถูกเรียกเก็บเงินสำหรับคำสั่งซื้อที่คุณไม่ได้ดำเนินการ ให้เข้าไปที่เว็บไซต์ของร้านค้าและค้นหาหมายเลขโทรศัพท์ที่ถูกต้อง
ไม่ควรเปิดเผยรายละเอียดส่วนบุคคลทางโทรศัพท์
เปิดการใช้งาน Multi-Factor Authentication (MFA) ในทุกบัญชีและทุกเว็บไซต์ ไม่ควรใช้รหัสผ่านเดียวกันในหลายบัญชี และใช้โปรแกรมจัดการรหัสผ่านเพื่อจัดเก็บรหัสผ่าน
ที่มา : ehackingnews
Google เเก้ไขช่องโหว่ที่จะทำให้ผู้โจมตีสามารถปลอมเเปลงอีเมลเป็นใครก็ได้ใน Gmail และ G Suite หลังจากนิ่งเฉยมานานจนนักวิจัยทำการเปิดเผย
Google แก้ไขช่องโหว่ที่ส่งผลกระทบต่อ Gmail และ G Suite ซึ่งอาจทำให้ผู้โจมตีสามารถส่งอีเมลที่เป็นอันตรายโดยการปลอมแปลงเป็นผู้ใช้ Google หรือลูกค้าขององค์กรรายอื่นๆ ได้
ช่องโหว่ที่ถูกเเก้ไขนี้ถูกเปิดเผยโดย Allison Husain นักวิจัยด้านความปลอดภัยซึ่งได้รายงานถึงช่องโหว่ในระบบการตรวจสอบ Email routing ใน SPF (Sender Policy Framework) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance) โดยช่องโหว่ทำให้ผู้โจมตีสามารถส่งอีเมลในฐานะผู้ใช้รายอื่นหรือลูกค้า G Suite ได้โดยผ่าน Policy การตรวจสอบจาก SPF และ DMARC ซึ้งเป็นมาตฐานการตรวจสอบสแปมและการโจมตีแบบฟิชชิ่ง
Husain อธิบายอีกว่าช่องโหว่นั้มีด้วยกันอยู่ 2 ส่วนคือ
ส่วนเเรกนั้นจะช่วยให้ผู้โจมตีสามารถปลอมเเปลงอีเมลไปยังเกตเวย์อีเมลบนแบ็กเอนด์ของ Gmail และ G Suite ผู้โจมตีสามารถใช้เซิร์ฟเวอร์อีเมลของผู้โจมตีเชื่อมต่อเข้ากับ Gmail หรือ G Suite Backend เพื่อที่จะสามารถส่งเมลออกเป็นโดเมนของเหยื่อได้
ส่วนที่สองผู้โจมตีสามารถกำหนด Email routing rules เพื่อรับอีเมลและสามารถ Forward ต่อได้ในขณะเดียวกันก็สามารถปลอมแปลงอีเมลเป็นลูกค้า Gmail หรือ G Suite โดยใช้ฟีเจอร์ “Change envelope recipient” เพื่อใช้ผ่านการตรวจสอบของ SPF และ DMARC ซึ่งช่วยให้ผู้โจมตีสามารถสวมสิทธิ์เป็นลูกค้าและทำการส่งข้อความที่ปลอมแปลงได้
หลังจาก Husain พบช่องโหว่เธอได้ส่งรายงานช่องโหว่ให้ Google เเก้ไขเมื่อวันที่ 3 เมษายนที่ผ่านมาเเต่ Google กลับนิ่งเฉยและไม่ได้รับการเเก้ไขจนวันที่ 19 สิงหาคมที่ผ่านมาเธอจึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะและไม่กี่ชั่วโมงต่อมา Google ได้ทำการเเก้ไขช่องโหว่โดยใช้เวลาในเเก้ไขไป 7 ชั่วโมง
ที่มา: zdnet | bleepingcomputer