แคมเปญ ClickFix ใหม่ขโมย Facebook Session โดยใช้หน้ายืนยันตัวตนปลอม

แคมเปญ ClickFix เป็นการโจมตีแบบ Social Engineering ที่แพร่หลายซึ่งมุ่งเป้าไปที่ผู้สร้างเนื้อหาและเจ้าของเพจธุรกิจบน Facebook เพื่อขโมยข้อมูลรับรองและ Session Token การโจมตีใช้วิธีหลอกลวงเหยื่อให้เชื่อว่ากำลังผ่านกระบวนการยืนยันตัวตนอย่างเป็นทางการของ Facebook โดยมีหน้าเว็บปลอมที่เลียนแบบหน้าช่วยเหลือหรือหน้ายืนยันตัวตนของ Facebook อย่างแนบเนียน และแนะนำให้เหยื่อเข้าถึง Developer Tools ของเบราว์เซอร์เพื่อคัดลอก Session Token (c_user และ xs) เมื่อได้ Session Token ไป ผู้โจมตีจะสามารถควบคุมบัญชีได้โดยสมบูรณ์ และมีขั้นตอนสำรองในการขโมยรหัสผ่านหาก Session Token ไม่สามารถใช้งานได้

Severity: วิกฤต

System Impact:

• บัญชี Facebook
• Session บน Facebook
• ผู้สร้างเนื้อหาบน Facebook
• เจ้าของเพจธุรกิจบน Facebook

Technical Attack Steps:

1. ผู้โจมตีส่งข้อความหลอกลวง (Social Engineering) เช่น ข้อเสนอ Verified Badge ฟรี หรือแจ้งเตือนการละเมิดนโยบายบัญชี
2. เหยื่อคลิกลิงก์ที่เป็นอันตราย ซึ่งนำไปสู่หน้าเว็บปลอมที่เลียนแบบหน้ายืนยันตัวตนของ Facebook
3. หน้าเว็บปลอมแสดงแอนิเมชันการยืนยันตัวตนพร้อมเสียงและเวลา เพื่อสร้างความน่าเชื่อถือและความเร่งด่วน
4. เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้าเว็บที่สอง ซึ่งเลียนแบบแบรนด์ของ Facebook อย่างสมบูรณ์ รวมถึงโลโก้ สี และภาษาที่ดูเป็นทางการ
5. หน้าเว็บแสดงคำเตือนสีแดงและข้อความเร่งด่วน กระตุ้นให้ผู้ใช้ดำเนินการทันที
6. วิดีโอสอนที่ฝังอยู่ในหน้าเว็บจะแนะนำเหยื่อให้เปิดเครื่องมือสำหรับนักพัฒนา (Developer Tools) ของเบราว์เซอร์
7. เหยื่อถูกแนะนำให้คัดลอกค่า Session Token ที่เฉพาะเจาะจง ได้แก่ ‘c_user’ และ ‘xs’ จากพื้นที่จัดเก็บของเบราว์เซอร์
8. โค้ด JavaScript บนหน้าเว็บปลอมจะตรวจสอบความถูกต้องของ Token ที่ขโมยมาแบบเรียลไทม์
9. ผู้โจมตีได้รับสิทธิ์ในการควบคุมบัญชีอย่างสมบูรณ์ทันทีที่ได้ Session Token ที่ถูกต้อง
10. หาก Session Token ไม่สามารถใช้งานได้ ผู้โจมตีจะขอรหัสสำรอง (Backup/Recovery Codes) และรหัสผ่าน Facebook จริง เพื่อเข้าควบคุมบัญชีเป็นขั้นตอนสำรอง

Recommendations:

Short Term:

• ระวังข้อความที่อ้างว่าเป็น Facebook และขอให้ดำเนินการยืนยันตัวตนหรือแก้ไขปัญหาบัญชีอย่างเร่งด่วน
• ตรวจสอบ URL ของเว็บไซต์อย่างละเอียดก่อนคลิกหรือป้อนข้อมูลใดๆ ตรวจสอบให้แน่ใจว่าเป็นโดเมน Facebook อย่างเป็นทางการ (เช่น facebook.com ไม่ใช่ facebook-verify.com)
• ไม่ควรเปิดหรือใช้เครื่องมือสำหรับนักพัฒนา (Developer Tools) ของเบราว์เซอร์ หากไม่เข้าใจวัตถุประสงค์หรือถูกร้องขอจากแหล่งที่ไม่น่าเชื่อถือ
• อย่าป้อนข้อมูล Session Token (เช่น c_user, xs) รหัสสำรอง หรือรหัสผ่านลงในหน้าเว็บที่ไม่ใช่ Facebook อย่างเป็นทางการ

Long Term:

• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชี Facebook และบัญชีออนไลน์อื่นๆ ทั้งหมด
• ให้ความรู้แก่พนักงานและผู้ใช้งาน โดยเฉพาะผู้สร้างเนื้อหาและเจ้าของเพจ เกี่ยวกับภัยคุกคาม Phishing และ Social Engineering
• รายงานข้อความหรือหน้าเว็บ Phishing ที่น่าสงสัยไปยัง Facebook และแพลตฟอร์มที่เกี่ยวข้องทันที
• ใช้โปรแกรมป้องกันไวรัสและเครื่องมือรักษาความปลอดภัย Endpoint ที่เชื่อถือได้เพื่อช่วยตรวจจับและบล็อกภัยคุกคาม
• ตรวจสอบกิจกรรมของบัญชี Facebook และหน้าเพจเป็นประจำเพื่อหาสัญญาณของการเข้าถึงโดยไม่ได้รับอนุญาต

Source: https://cybersecuritynews.com/new-clickfix-campaign-hijacks-facebook-sessions/