ชุดเครื่องมือฟิชชิ่งแบบ Voice-based (Phishing Kit As-a-service) รุ่นใหม่ได้ถือกำเนิดขึ้นเป็นภัยคุกคามที่เพิ่มขึ้นต่อผู้ใช้งานองค์กรบนแพลตฟอร์มเทคโนโลยีหลักอย่าง Google, Microsoft และ Okta รวมถึงแพลตฟอร์มคริปโตเคอร์เรนซี ชุดเครื่องมือเหล่านี้ใช้กลยุทธ์ Social Engineering แบบเรียลไทม์ควบคู่กับการหลอกลวงทางเทคนิคเพื่อหลบเลี่ยงการป้องกันความปลอดภัยที่ทันสมัย โดยเฉพาะการหลีกเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) ผ่านการประสานงานกับการสั่งการด้วยเสียงของผู้โจมตี ซึ่ง Okta Threat Intelligence ได้ค้นพบและระบุว่าเป็นภัยคุกคามที่อันตรายและมีความแม่นยำสูง
Severity: สูง
System Impact:
- Microsoft
- Okta
- แพลตฟอร์มคริปโตเคอร์เรนซี
Technical Attack Steps:
- 1. การรวบรวมข้อมูล: ผู้โจมตีรวบรวมชื่อพนักงาน, แอปพลิเคชันที่ใช้งานบ่อย, และเบอร์โทรศัพท์ฝ่ายสนับสนุนด้านไอทีของบริษัทเป้าหมาย
- 2. การติดตั้งหน้าฟิชชิ่ง: ผู้โจมตีปรับใช้หน้าฟิชชิ่งที่ถูกปรับแต่งเฉพาะ
- 3. การติดต่อเริ่มต้น: ผู้โจมตีโทรหาเป้าหมายโดยปลอมแปลงเบอร์โทรศัพท์ของบริษัท
- 4. การขโมยข้อมูลรับรอง: เหยื่อป้อนรหัสผ่านในหน้าล็อกอินปลอม ซึ่งจะถูกส่งต่อไปยังผู้โจมตีผ่านช่องทาง Telegram ทันที
- 5. การตรวจสอบ MFA: ผู้โจมตีใช้ข้อมูลรับรองที่ถูกขโมยเพื่อตรวจสอบบริการจริงและระบุวิธีการยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่เหยื่อใช้
- 6. การอัปเดตหน้าฟิชชิ่งแบบไดนามิก: หน้าฟิชชิ่งจะอัปเดตแบบไดนามิกเพื่อแสดงหน้าจอการท้าทาย MFA ปลอมที่ตรงกับสิ่งที่เหยื่อคาดว่าจะเห็น
- 7. การใช้ Social Engineering เพื่อเลี่ยง MFA: ผู้โจมตีสั่งการด้วยวาจาให้เหยื่ออนุมัติการแจ้งเตือน (ซึ่งเหยื่อไม่ได้รับจริง) เพื่อหลีกเลี่ยงการยืนยันตัวตนแบบ Push Notification
Recommendations:
Short Term:
- บังคับใช้มาตรการยืนยันตัวตนที่ทนทานต่อการฟิชชิ่ง (Phishing-resistant authentication methods) เช่น Okta FastPass และ FIDO passkeys สำหรับทรัพยากรสำคัญทั้งหมด
- ใช้ข้อจำกัดของเครือข่ายเพื่อบล็อกการเข้าถึงจากบริการปกปิดตัวตน (anonymizing services) ที่ผู้โจมตีมักใช้
Long Term:
Source: https://cybersecuritynews.com/new-phishing-kit-as-a-service-attacking/
Share this content: