แคมเปญการหลอกลวงขายไม้ปลอมกำลังเพิ่มจำนวนขึ้น

โซเชียลมีเดียกลายเป็นช่องทางหลักสำหรับผู้ไม่หวังดี เนื่องจากความง่ายในการปลอมเป็นบริษัทต่าง ๆ ที่มีอยู่จริง, โพสต์โฆษณาสินค้า และบริการที่ไม่มีอยู่จริง และแฝงตัวเข้าไปในตลาดออนไลน์

เป็นเวลาหลายทศวรรษที่การหลอกลวงที่ดำเนินการโดยกลุ่ม Les brouteurs ซึ่งเป็นกลุ่มบุคคลอิสระที่ส่วนใหญ่มาจากโกตดิวัวร์ และประเทศใกล้เคียงอย่างแคเมอรูน และเบนิน ได้ปรากฏขึ้นบน Fackbook การหลอกลวงนี้มุ่งเป้าไปที่ผู้อยู่อาศัยในเมือง และหมู่บ้านทั่วฝรั่งเศส โดยใช้การโฆษณาที่ดูไม่มีอันตรายเกี่ยวกับฟืน เมื่ออากาศเริ่มเย็นลง เพจเหล่านี้จะโปรโมทข้อเสนอที่ดูน่าสนใจ ซึ่งทำให้ผู้คนในภูมิภาคนั้น ๆ สูญเสียเงินหลายพันยูโรทุกปี เนื่องจากพวกเขาพยายามเตรียมเชื้อเพลิงสำหรับฤดูหนาวที่กำลังจะมาถึง

ในรายงานฉบับนี้ นักวิเคราะห์จาก Group-IB ได้แทรกซึมเข้าไปในกลุ่มหลอกลวง เพื่อแสดงให้เห็นว่าผู้ไม่หวังดีสามารถปลอมแปลงเอกสาร และแอบอ้างเป็นธุรกิจที่ถูกกฏหมายได้อย่างง่ายดาย เพื่อโน้มน้าวเหยื่อที่ไม่ได้ระวังตัว

การทำงานของแคมเปญการหลอกลวงเหล่านี้

Les brouteurs เป็นชื่อที่ตั้งให้กับผู้ไม่หวังดีกลุ่มนี้ ซึ่งหมายถึง "the grazers" และหมายถึงสัตว์กินหญ้าที่ได้อาหารโดยไม่ต้องใช้ความพยายามมาก เนื่องจากการหลอกลวงดังกล่าวมีลักษณะที่ง่ายดาย

ปัจจุบันการหลอกลวงเหล่านี้มีเพิ่มขึ้นมากมาย และสามารถพบได้บ่อย ๆ แต่ผู้ใช้งานโซเชียลมีเดียยังคงตกเป็นเหยื่อ เนื่องจากวิธีการโน้มน้าวของผู้ไม่หวังดี และความสามารถในการปลอมแปลงเอกสารที่ดูเหมือนจริงได้อย่างรวดเร็วด้วยการใช้ AI ยังคงพัฒนาอย่างต่อเนื่อง

Group-IB ได้แทรกซึมเข้าไปในกลุ่มหลอกลวงเพื่อเปิดเผยวิธีการของผู้ไม่หวังดี และทดสอบว่าบุคคลจะถูกชักชวนให้ซื้อไม้ที่ไม่มีอยู่จริงได้ง่ายเพียงใด เมื่อโพสต์โฆษณาผลิตภัณฑ์บน Facebook ผู้ไม่หวังดีจะติดตามความสนใจของผู้ใช้งานโซเชียลมีเดีย โดยผู้คนจะโต้ตอบกับโพสต์โฆษณา สอบถามเกี่ยวกับการมีสินค้าในพื้นที่ของตน ซึ่งจะแสดงให้เห็นถึงสถานที่ตั้งของเหยื่อ จากนั้นผู้ไม่หวังดีจะปลอมเป็นพนักงานขายที่พร้อมช่วยเหลือ เริ่มต้นสนทนา และในที่สุดจะขอให้ติดต่อทางข้อความส่วนตัว เมื่อตั้งค่าการสนทนาส่วนตัวแล้ว ผู้ไม่หวังดีจะอ้างถึงคุณภาพของผลิตภัณฑ์, จัดเตรียมข้อมูลผลิตภัณฑ์, รูปภาพ และราคา

นักวิเคราะห์จาก Computer Emergency Response Team (CERT) ของ Group-IB ได้เริ่มติดต่อกับบุคคลหนึ่งในกลุ่มนี้ และในเวลาไม่ถึงหนึ่งชั่วโมง พวกเขาก็ได้รับภาพสินค้า, ราคา, สำเนาใบรับรองปลอม, หลักฐานความถูกต้องตามกฏหมายของธุรกิจ และใบแจ้งหนี้ รวมถึงข้อมูล IBAN สำหรับการชำระเงินตามคำสั่งซื้อ

เมื่อมีข้อเสนอออนไลน์ ผู้ไม่หวังดีจะรอให้ผู้คนแสดงความคิดเห็น และแสดงความสนใจ ในภาพด้านบน จะเห็นผู้คนสอบถามเกี่ยวกับสินค้าคงคลังที่มีอยู่, แสดงความสนใจ และแม้กระทั่งสอบถามว่าสามารถจัดส่งฟืนให้ถึงเมืองที่ตนอาศัยอยู่ได้หรือไม่

ผู้ไม่หวังดีจะตอบกลับการสนทนากับเหยื่อที่มีแนวโน้มภายในโพสต์ Facebook หรือขอให้ติดต่อผ่านข้อความส่วนตัว สำหรับวัตถุประสงค์ของการวิเคราะห์นี้ นักวิเคราะห์ CERT ได้ติดต่อกับผู้ไม่หวังดีคนหนึ่ง เพื่อเปิดเผยว่าการหลอกลวงนี้ดำเนินการได้อย่างไร ต่อไปนี้จะเป็นการสนทนากับผู้ไม่หวังดีผ่าน Facebook

หลังจากการสนทนานี้ ผู้ไม่หวังดีจะส่งสำเนาเอกสารที่ดูเหมือนเป็นใบรับรองเพื่อสร้างความมั่นใจให้กับเหยื่อเกี่ยวกับคุณภาพของไม้

ผู้ไม่หวังดีจะขอให้เหยื่อระบุชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์ และที่อยู่อาศัย

เมื่อเหยื่อให้ข้อมูลส่วนตัว ผู้ไม่หวังดีจะสร้างใบแจ้งหนี้สำหรับคำสั่งซื้อของพวกเขา ที่น่าสนใจคือราคาที่ระบุไม่ได้ตรงกับจำนวนเงินทั้งหมดที่ควรจะเป็นตามที่เหยื่อสั่งซื้อไว้ซึ่งมีการชี้แจงไว้ในรูปภาพด้านบน

ตามที่ได้ระบุไว้ในบทสนทนาก่อนหน้านี้ ผู้ไม่หวังดีจะส่งสำเนาใบรับรอง Patro ปลอมให้กับนักวิเคราะห์ CERT ของ Group-IB ในที่สุด

สุดท้าย หากเหยื่อยอมรับใบแจ้งหนี้ ผู้ไม่หวังดีจะให้หมายเลขบัญชีธนาคารระหว่างประเทศ (IBAN) แก่เหยื่อเพื่อให้โอนเงินไปยังบัญชีนั้น

เมื่อเหยื่อชำระเงินเข้าบัญชีธนาคารแล้ว จะไม่สามารถติดต่อกับผู้ไม่หวังดีได้อีกต่อไป และเงินของเหยื่อจะสูญหายไปตลอดกาล การเรียกคืนเงินที่สูญเสียไปให้กับผู้ไม่หวังดีนั้นทำได้ยากมาก เพราะเหยื่อเป็นผู้เริ่มการชำระเงิน หรือการโอนเงินเอง

การเปิดเผยต้นทางของการหลอกลวง

เมื่อมองย้อนกลับไปดู จะพบความคิดเห็นจากผู้ใช้งานอื่น ๆ บน Facebook ที่ชี้ให้เห็นว่านี่เป็นการหลอกลวงจริง ๆ

ตามหมายเลข SIRET (Système d’identification du répertoire des établissements) ซึ่งใช้ในการระบุสถานประกอบการ หรือธุรกิจในฝรั่งเศส จะสามารถเห็นได้ว่าหมายเลขดังกล่าวจดทะเบียนกับบริษัทอีกแห่งชื่อ Sivalbp ซึ่งเป็นผู้ผลิตผนังไม้สำหรับใช้ภายใน และภายนอกของฝรั่งเศส ผู้ไม่หวังดีเพียงแค่ใช้หมายเลข SIRET ของธุรกิจที่ถูกต้องตามกฏหมายแล้วอ้างว่าเป็นบริษัทของตน

คำแนะนำ

ควรตรวจสอบหมายเลขการจดทะเบียนธุรกิจของสถานประกอบการกับบริการทะเบียนธุรกิจที่เชื่อถือได้ เพื่อยืนยันความถูกต้องของข้อมูล
โดยทั่วไปแล้ว ไม่ควรให้ความไว้ใจกับคนแปลกหน้าบนโซเชียลเน็ตเวิร์กที่พร้อมจะขายสินค้าให้ และขอให้ชำระเงินโดยตรง
ตรวจสอบในส่วนแสดงความคิดเห็นของโพสต์เพื่อดูว่าผู้ใช้งานอื่น ๆ มีความคิดเห็นว่าเหตุการณ์นี้เป็นการหลอกลวงหรือไม่

ที่มา : group-ib.

แฮ็กเกอร์ชาวจีนถูกคาดว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งที่สองของแอร์อินเดีย

แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41

Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised

โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน

Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน

กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน

ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา

ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย

Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด

การโจมตีครั้งใหม่กับสายการบินอินเดีย

ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020

หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ

ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย

สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด

โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.