Phishing-as-a-Service มุ่งเป้าโจมตีผู้ใช้งาน ‘ไมโครซอฟท์’

วันนี้ผมอยากให้ผู้อ่านได้ทำความรู้จักกับ “Greatness” Phishing-as-a-Service (PhaaS) แพลตฟอร์มใหม่ที่สามารถสร้างไฟล์แนบลิ้งค์และทำเพจปลอมเพื่อเชื่อมต่อไปยังระบบ login ของ Microsoft 365

โดยมีการออกแบบเพจให้เหมาะกับธุรกิจของผู้ใช้งานที่เป็นกลุ่มเป้าหมาย และตั้งแต่ช่วงกลางปี 2565 มีการตรวจพบแคมเปญฟิชชิ่งหลายรายการที่ใช้ PhaaS ซึ่งมีอัตราที่เพิ่มสูงขึ้นอย่างรวดเร็วในเดือน ธ.ค. 2565 และ เดือน มี.ค. ที่ผ่านมา

กลุ่มเป้าหมายหลักๆ คือ โรงงาน ธุรกิจด้านสุขภาพ และบริษัทด้านเทคโนโลยีในแถบสหรัฐ สหราชอาณาจักร แอฟริกาใต้ และแคนาดา แต่ที่น่าสนใจคือ มากกว่า 50% ของเป้าหมายทั้งหมดอยู่ที่สหรัฐ

มีการเปิดเผยจากนักวิจัยเกี่ยวกับ PhaaS ว่าต้องมีการปรับใช้และกำหนดค่า phishing kit ด้วยคีย์ API ที่ช่วยให้แฮกเกอร์สามารถใช้ประโยชน์จากฟีเจอร์ขั้นสูงของเซอร์วิสได้ง่ายขึ้น

โดยฟิชชิ่งคิตและ API จะทำงานเป็น proxy ไปยังระบบตรวจสอบความถูกต้องของ Microsoft 365 จากนั้นทำการโจมตีแบบ man-in-the-middle กล่าวคือ การดักจับการรับส่งข้อมูลบนเครือข่ายและสามารถขโมยข้อมูลประจำตัวหรือคุกกี้ที่ใช้สำหรับการยืนยันตัวตนของเหยื่อได้

สำหรับ Phishing-as-a-Service หลักๆ ประกอบไปด้วย phishing kit (ภายในมี admin panel) API Service และ Telegram bot หรือ อีเมล โดยการโจมตีจะเริ่มเมื่อเหยื่อได้รับฟิชชิ่งอีเมลพร้อมไฟล์แนบ HTML

เมื่อทำการคลิกเปิดไฟล์แนบ โค้ด JavaScript จะรันบนเว็บเบราว์เซอร์เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ Greatness ซึ่งจะแสดงผลเป็นภาพเบลอ หมุนๆ เพื่อหลอกว่ากำลังโหลดไฟล์เอกสารอยู่

จากนั้นเหยื่อจะถูกเปลี่ยนเส้นทางไปยังเพจเข้าสู่ระบบ Microsoft 365 ของบริษัทโดยฟิชชิงจะแทรกโลโก้และพื้นหลังของบริษัทเป้าหมายให้อย่างอัตโนมัติ 

เหยื่อเพียงป้อนแค่รหัสผ่านเท่านั้นเพราะอีเมลของเหยื่อจะขึ้นรอไว้ล่วงหน้าอยู่แล้วเพื่อทำให้ดูเสมือนว่าเป็นระบบจริง หลังจากนั้นฟิชชิงจะแจ้งให้เหยื่อทำการยืนยันตัวตนแบบหลายปัจจัยตามที่ Microsoft 365 จริงร้องขอ เช่น รหัสผ่านแบบใช้ครั้งเดียว, คุกกี้ เป็นต้น

โดย PaaS kit จะจัดเก็บข้อมูลประจำตัวไว้ในเครื่องเพื่อให้สามารถเข้าผ่านแผงควบคุมระบบและเชื่อมต่อไปยังช่องทางเทเลแกรม หรือ พาแนลเว็บเซอร์วิส และเมื่อขั้นตอนการยืนยันตัวตนหมดเวลาลง แฮกเกอร์จะได้รับเทเลแกรมบอตว่าได้รับคุกกี้ที่ถูกตรรวจสอบความถูกต้องของเหยื่อแล้ว และจุดนี้เองที่ทำให้แฮกเกอร์สามารถใช้ช่องทางคุกกี้เพื่อเข้าถึงข้อมูล อีเมล ไฟล์ต่างๆ ใน Microsoft 365 ได้

ในหลายๆ กรณี การขโมยข้อมูล credential ถูกใช้เพื่อการละเมิดระบบเครือข่ายขององค์กร และนำไปสู่การโจมตีที่อันตรายมากมายอย่างแรนซัมแวร์ที่เป็นข่าวอยู่เรื่อยๆ

ผมจึงมองว่า Phishing-as-a-Service เป็นเซอร์วิสที่ถือได้ว่าโหดเหี้ยมมากตัวหนึ่งเลยก็ว่าได้ เพราะยากต่อการป้องกันโดยเฉพาะอย่างยิ่ง Perimeterไซเบอร์ซีเคียวริตี้ทั้งหลายก็ไม่สามารถที่จะจัดการหยุดพวกฟิชชิ่งเหล่านี้ได้

เนื่องจากมีการปลอมมาในรูปแบบลิ้งค์ บางครั้งก็อาจเป็นอีเมลของหน่วยงานหรือองค์กรที่เรามีการติดต่ออยู่เป็นประจำและจะได้รับ credential มาเพื่อส่งอีเมลต่อๆ กันไป ดังนั้นเป็นเรื่องยากมากที่จะดักจับฟิชชิ่งเหล่านี้

สิ่งที่จำเป็นอย่างยิ่งคือ บุคลากรในองค์กรต้องเรียนรู้ให้เข้าใจว่าฟิชชิ่งเป็นแบบไหน และ cybersecurity awareness เท่านั้นที่จะปกป้องคนในองค์กรให้รอดจาก PhaaS เหล่านี้ครับ