แฮกเกอร์กำลังใช้แคมเปญฟิชชิงแบบ ‘โฮโมกลิฟ’ (homoglyph) ที่ซับซ้อน โดยกำหนดเป้าหมายลูกค้าของ Marriott International และ Microsoft ผู้โจมตีได้ทำการลงทะเบียนโดเมนที่แทนที่ตัวอักษร ‘m’ ด้วยการรวมกันของ ‘rn’ (r + n) ซึ่งสร้างเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์จริงเกือบทุกประการ เทคนิคนี้เรียกว่า typosquatting หรือการโจมตีแบบ homoglyph อาศัยการหลอกลวงทางสายตาที่ทำให้สมองของผู้ใช้งานเข้าใจผิดพลาด โดยเฉพาะอย่างยิ่งเมื่อดูบนหน้าจอขนาดเล็กอย่างโทรศัพท์มือถือ
Severity: วิกฤต
System Impact:
- ลูกค้า Marriott International
- ลูกค้า Microsoft
Technical Attack Steps:
- แฮกเกอร์ลงทะเบียนโดเมนปลอมโดยใช้เทคนิค ‘homoglyph’ โดยแทนที่ตัวอักษร ‘m’ ด้วย ‘rn’ (เช่น rnarriottinternational.com, rnicrosoft.com) เพื่อหลอกตาผู้ใช้งาน
- สร้างเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ทางการของ Marriott และ Microsoft เกือบทุกประการ
- ส่งอีเมลฟิชชิงที่เลียนแบบการแจ้งเตือนความปลอดภัยหรือใบแจ้งหนี้จาก Microsoft หรือข้อมูลการจองโรงแรมจาก Marriott
- หลอกล่อให้ผู้ใช้งานคลิกลิงก์และกรอกข้อมูลรับรองบัญชีหรือข้อมูลส่วนบุคคลบนเว็บไซต์ปลอม
- เทคนิคนี้อันตรายเป็นพิเศษบนอุปกรณ์มือถือที่หน้าจอเล็กทำให้แยกแยะ ‘rn’ กับ ‘m’ ได้ยาก
Recommendations:
Short Term:
- **ขยายที่อยู่ผู้ส่ง:** บนแอปอีเมลมือถือ ให้แตะที่ชื่อผู้ส่งเพื่อดูที่อยู่อีเมลฉบับเต็ม และตรวจสอบหาเทคนิค ‘rn’ อย่างละเอียด
- **เลื่อนเมาส์ค้างไว้ก่อนคลิก:** บนคอมพิวเตอร์ ให้เลื่อนเคอร์เซอร์ของเมาส์เหนือลิงก์โดยไม่ต้องคลิก เพื่อดู URL ปลายทางที่แท้จริง
- **พิมพ์เอง:** หากได้รับอีเมลเร่งด่วนเกี่ยวกับการจองโรงแรมหรือการรีเซ็ตบัญชี อย่าคลิกลิงก์ ให้เปิดเบราว์เซอร์แล้วพิมพ์ mariott.com หรือ microsoft.com ด้วยตนเอง
Long Term:
- **ใช้เครื่องมือจัดการรหัสผ่าน (Password Managers):** เครื่องมือจัดการรหัสผ่านจะไม่กรอกข้อมูลรับรองของคุณโดยอัตโนมัติบนเว็บไซต์ปลอม (เช่น rnicrosoft.com) เนื่องจากมันจะจดจำว่าโดเมนนั้นแตกต่างจากโดเมนจริง
- **ทีมรักษาความปลอดภัย:** ควรบล็อกโดเมนที่ถูกระบุว่าเป็นอันตรายเหล่านี้ทันที (Indicators of Compromise: rnarriottinternational.com, rnarriotthotels.com, rnicrosoft.com, micros0ft.com, microsoft-support.com)
Source: https://cybersecuritynews.com/rn-typo-phishing-attack/
Share this content: