พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials

บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email

สรุปรายละเอียดการโจมตี

แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ

ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย

แนวทางการป้องกัน

ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ

ที่มา : darkreading