ในช่วงเทศกาลวันหยุด มีการโจมตีแบบฟิชชิงที่ซับซ้อนเพิ่มขึ้นอย่างมาก โดยรวมเอาสองกลยุทธ์อันตรายเข้าด้วยกัน: การเก็บเกี่ยวข้อมูลรับรองผ่านการปลอมแปลงการแจ้งเตือน Docusign และการโจรกรรมข้อมูลประจำตัวผ่านแบบฟอร์มขอสินเชื่อปลอม การโจมตีแบบประสานงานเหล่านี้อาศัยความวุ่นวายในช่วงเทศกาลที่กล่องจดหมายเต็มและความเครียดทางการเงินที่เพิ่มขึ้นในช่วงคริสต์มาสและปีใหม่ เพื่อประนีประนอมข้อมูลส่วนบุคคลและข้อมูลองค์กรในวงกว้างอย่างไม่เคยปรากฏมาก่อน
Severity: วิกฤต
System Impact:
- Docusign (ถูกปลอมแปลงเพื่อล่อเหยื่อ)
- ระบบอีเมลขององค์กร (เป้าหมายในการเก็บเกี่ยวข้อมูลรับรอง)
- ข้อมูลทางการเงินส่วนบุคคล/ระบบธนาคาร (เป้าหมายในการโจรกรรมข้อมูลประจำตัวผ่านการสมัครสินเชื่อปลอม)
- แพลตฟอร์มโฮสติ้ง (Fastly, Glitch, Surge.sh) ที่ใช้ในการเปลี่ยนเส้นทาง
Technical Attack Steps:
- กลุ่มผู้คุกคามส่งอีเมลฟิชชิงที่น่าเชื่อถือ ปลอมเป็นการแจ้งเตือนจาก Docusign โดยมักจะอ้างถึงเอกสารในธีมคริสต์มาสปลอม (เช่น คำสั่งซื้อไวน์)
- อีเมลเหล่านี้มาจากโดเมนที่น่าสงสัย (เช่น jritech.shop) ไม่ใช่จากเซิร์ฟเวอร์ Docusign ที่ถูกต้อง
- เมื่อผู้ใช้คลิกปุ่ม ‘Review Document’ จะถูกเปลี่ยนเส้นทางผ่านแพลตฟอร์มโฮสติ้งหลายแห่ง (Fastly, Glitch และ Surge.sh)
- เหยื่อจะถูกนำไปยังหน้าเว็บสำหรับเก็บเกี่ยวข้อมูลรับรองที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบอีเมลขององค์กร
- (ในคลื่นการโจมตีระลอกที่สอง): มีการส่งอีเมลสแปมข้อเสนอสินเชื่อวันหยุดที่สัญญาว่าจะได้เงินสดเร็วและอัตราดอกเบี้ยต่ำ
- การคลิกลิงก์เหล่านี้จะนำไปสู่แบบสอบถามการโจรกรรมข้อมูลประจำตัวแบบหลายขั้นตอนที่โฮสต์บนเว็บไซต์ฉ้อโกง (เช่น christmasscheercash.com)
- แบบสอบถามจะค่อยๆ ขอข้อมูลส่วนบุคคลพื้นฐาน (ชื่อ, อีเมล, หมายเลขโทรศัพท์) จากนั้นเป็นรายละเอียดการจ้างงาน/การเงิน และสุดท้ายคือข้อมูลธนาคารที่ละเอียดอ่อน (หมายเลขเส้นทาง, หมายเลขบัญชี)
- หลังจากการส่งข้อมูล เหยื่อจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฉ้อโกงอื่นๆ (เช่น thepersonalfinanceguide.com) ซึ่งจะมีการรวบรวมข้อมูลเพิ่มเติมและสแปม
Recommendations:
Short Term:
- ตรวจสอบที่อยู่อีเมลผู้ส่งและโดเมนอย่างระมัดระวังก่อนที่จะโต้ตอบกับอีเมลใดๆ โดยเฉพาะอีเมลที่ขอให้ตรวจสอบเอกสารหรือข้อมูลทางการเงิน
- หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยในอีเมล แต่ให้ไปที่เว็บไซต์บริการที่ถูกต้องโดยตรง (เช่น Docusign) เพื่อตรวจสอบเอกสาร
- ระมัดระวังอย่างมากต่อคำขอเร่งด่วน โดยเฉพาะในช่วงฤดูท่องเที่ยวที่กล่องจดหมายมีปริมาณมาก
- เปิดใช้งานและใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีองค์กรและบัญชีส่วนบุคคลทั้งหมด
- รายงานอีเมลที่น่าสงสัยไปยังแผนก IT/ความปลอดภัยของคุณ
Long Term:
- ติดตั้งโซลูชันความปลอดภัยอีเมลขั้นสูง รวมถึงการป้องกันฟิชชิง, DMARC, SPF และ DKIM เพื่อกรองอีเมลปลอมแปลง
- จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอและครอบคลุมสำหรับพนักงานทุกคน โดยเน้นย้ำถึงความเสี่ยงของฟิชชิงและการโจรกรรมข้อมูลประจำตัว
- ตรวจสอบการจดทะเบียนโดเมนที่น่าสงสัยซึ่งเลียนแบบบริการที่ถูกต้องหรือชื่อบริษัท
- กำหนดและบังคับใช้นโยบายรหัสผ่านที่รัดกุมและส่งเสริมการใช้โปรแกรมจัดการรหัสผ่าน
- ใช้กระบวนการยืนยันตัวตนที่แข็งแกร่งสำหรับการทำธุรกรรมทางการเงินและธุรกรรมสำคัญขององค์กร
Source: https://cybersecuritynews.com/christmas-phishing-surge-chains-docusign-spoofing/
Share this content: