สถาบันทางการเงินรายย่อยในสิงคโปร์มีเวลา 3 เดือนในการยกเลิกการใช้รหัสผ่านแบบใช้ครั้งเดียว (OTP) สำหรับการยืนยันตัวตนเมื่อเข้าสู่ระบบออนไลน์ เพื่อลดความเสี่ยงจากการโจมตีแบบฟิชชิ่ง
การตัดสินใจในครั้งนี้ถูกประกาศโดยธนาคารกลางสิงคโปร์ (MAS) และสมาคมธนาคารในสิงคโปร์ (ABS) เมื่อวันที่ 9 กรกฎาคม 2024
โดย MAS ระบุว่า ลูกค้าที่เปิดใช้งาน digital token บนอุปกรณ์เคลื่อนที่ของตน จะต้องใช้ digital token สำหรับการเข้าสู่ระบบบัญชีธนาคารผ่านเบราว์เซอร์ หรือแอปธนาคารบนมือถือ
Digital token จะยืนยันตัวตนของลูกค้าในการเข้าสู่ระบบโดยไม่ต้องใช้ OTP ที่ผู้โจมตีสามารถขโมย หรือหลอกลวงให้ลูกค้าเปิดเผยได้
ธนาคารกลางสิงคโปร์ยังแนะนำให้ลูกค้าเปิดใช้งาน digital token ของตนเพื่อป้องกันการโจมตีที่ออกแบบมาเพื่อขโมยข้อมูล credential และยึดบัญชีเพื่อดำเนินการทุจริตทางการเงิน
Ong-Ang Ai Boon, ผู้อำนวยการของ ABS ระบุว่า มาตรการนี้ออกมาเพื่อให้การป้องกันเพิ่มเติมแก่ลูกค้าจากการเข้าถึงบัญชีธนาคารโดยไม่ได้รับอนุญาต แม้ว่ามาตรการเหล่านี้อาจทำให้เกิดความไม่สะดวกบ้าง แต่ก็จำเป็นเพื่อช่วยป้องกันการฉ้อโกง และปกป้องลูกค้า
แม้ว่า OTP จะถูกนำมาใช้เป็นรูปแบบของ second-factor authentication (2FA) เพื่อเสริมความปลอดภัยของบัญชี แต่ผู้โจมตีทางไซเบอร์ได้คิดค้น trojan สำหรับขโมยข้อมูลธนาคาร, OTP bots และ phishing kits ที่สามารถเก็บรวบรวมรหัสเหล่านี้ได้โดยใช้เว็บไซต์ที่ดูคล้ายกัน
OTP bots สามารถเข้าถึงได้โดยผ่านทาง Telegram และถูกโฆษณาขายด้วยราคาที่อยู่ระหว่าง $100 ถึง $420 โดยยกระดับวิธีการ social engineering ไปอีกขั้น ด้วยการโทรหาผู้ใช้ และโน้มน้าวให้พวกเขาใส่รหัส 2FA บนโทรศัพท์เพื่อช่วยข้าม หรือหลีกเลี่ยงการป้องกันบัญชี
สิ่งสำคัญคือ bots เหล่านี้ได้รับการออกแบบมาเพื่อขโมยรหัส OTP ของเหยื่อ ซึ่งจำเป็นที่ผู้โจมตีจะต้องได้รับข้อมูล credential ที่ถูกต้องผ่านวิธีการอื่นก่อน เช่น การละเมิดข้อมูล, ข้อมูลที่มีขายใน Dark web และหน้าเว็บสำหรับหลอกเอาข้อมูล credential
Olga Svistunova นักวิจัยด้านภัยคุกคามของ Kaspersky ระบุในรายงานล่าสุดว่า หน้าที่หลักของ OTP bots คือการโทรหาเหยื่อ การโทรเป็นสิ่งที่ผู้โจมตีต้องการเป็นอย่างมาก เนื่องจากรหัสการยืนยันมีอายุการใช้งานเพียงช่วงเวลาจำกัด
ในขณะที่การใช้ข้อความอาจจะไม่มีการตอบกลับเป็นเวลานาน แต่การโทรหาผู้ใช้จะเพิ่มโอกาสในการได้รับรหัส การสื่อสารผ่านทางโทรศัพท์ยังเป็นโอกาสที่ผู้โจมตีจะพยายามสร้างผลกระทบที่ต้องการกับเหยื่อผ่านทางเสียง
เมื่อสัปดาห์ที่แล้ว SlashNext เปิดเผยรายละเอียดของ "end-to-end" phishing toolkit ที่ชื่อว่า FishXProxy ซึ่งแม้จะถูกระบุว่านำไปใช้เพื่อวัตถุประสงค์ทางการศึกษาเท่านั้น แต่กลับลดระดับความยากทางเทคนิคลงสำหรับกลุ่มผู้โจมตีที่ต้องการทำแคมเปญฟิชชิ่งขนาดใหญ่ ซึ่งต้องหาวิธีหลีกเลี่ยงการป้องกันด้วย
FishXProxy จัดเตรียมเครื่องมือให้แก่ผู้โจมตีสำหรับการโจมตีด้วยอีเมลฟิชชิ่ง โดยเริ่มต้นด้วยลิงก์ที่สร้างขึ้นโดยเฉพาะ หรือไฟล์แนบที่เป็นแบบไดนามิก ซึ่งสามารถ Bypass การตรวจสอบในเบื้องต้นได้
ผู้ที่ตกเป็นเหยื่อจะต้องเจอกับระบบ antibot ที่ใช้ CAPTCHA ของ Cloudflare ซึ่งมีสามารถในการตรวจสอบเครื่องมือด้านความปลอดภัย และมีระบบการเปลี่ยนเส้นทางที่สามารถซ่อนปลายทางที่แท้จริงได้ ในขณะที่การตั้งค่าการหมดอายุของหน้าเว็บไซต์จะเป็นอุปสรรคต่อการวิเคราะห์ และช่วยในการจัดการแคมเปญนี้ได้
สิ่งที่น่าสนใจเพิ่มเติมอีกอย่างของ FishXProxy คือการใช้ระบบติดตามด้วยคุกกี้ที่ช่วยให้ผู้โจมตีสามารถระบุ และติดตามผู้ใช้ในแคมเปญฟิชชิ่งต่าง ๆ ได้ นอกจากนี้ยังสามารถสร้างไฟล์แนบที่เป็นอันตรายโดยใช้เทคนิคการ HTML smuggling ที่ทำให้สามารถหลีกเลี่ยงการตรวจจับได้
Cisco Talos ระบุว่า การใช้ HTML smuggling ค่อนข้างมีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัย เช่น email gateway และ web proxy
เมื่อเดือนที่ผ่านมา บริษัทรักษาความปลอดภัยทางไซเบอร์ Resecurity รายงานว่า อาชญากรไซเบอร์กำลังมีการโปรโมต phishing kit ใหม่ชื่อ V3B บน Telegram และ dark web ที่สามารถโจมตีลูกค้าของธนาคารรายใหญ่ในไอร์แลนด์, เนเธอร์แลนด์, ฟินแลนด์, ออสเตรีย, เยอรมนี, ฝรั่งเศส, เบลเยียม, กรีซ, ลักเซมเบิร์ก และอิตาลี
ในรายงานยังระบุอีกว่า phishing kit (V3B) ได้รับการสนับสนุนจากสถาบันทางการเงินมากกว่า 54 แห่ง โดยใช้ template ที่สามารถกำหนดเองเพื่อเลียนแบบกระบวนการยืนยันตัวตน และการตรวจสอบของระบบธนาคารออนไลน์ และอีคอมเมิร์ซในสหภาพยุโรป โดยราคาของ phishing kit นี้แตกต่างกันระหว่าง $130-$450 ต่อเดือน
การเพิ่มขึ้นของมัลแวร์บนมือถือในช่วงหลายปีที่ผ่านมาได้กระตุ้นให้ทาง Google เปิดตัวแอปใหม่ในสิงคโปร์ที่มีเป้าหมายเพื่อป้องกันไม่ให้ผู้ใช้ติดตั้งแอปบางตัวที่สามารถละเมิดสิทธิ์การใช้งานแอป Android เพื่ออ่าน OTP และรวบรวมข้อมูลที่มีความสำคัญได้
ที่มา : THEHACKERNEWS
