423/68 (IT) ประจำวันจันทร์ที่ 27 ตุลาคม 2568
ทีมนักวิจัยจาก Palo Alto Networks Unit 42 เปิดเผยผลการค้นพบปฏิบัติการ Smishing (การฟิชชิ่งผ่าน SMS) ขนาดใหญ่ที่กำลังดำเนินอยู่อย่างต่อเนื่อง โดยเชื่อมโยงไปที่กลุ่มผู้คุกคามสัญชาติจีนที่รู้จักกันในชื่อ “Smishing Triad” ว่าเป็นผู้อยู่เบื้องหลังโดเมนที่เป็นอันตรายมากกว่า 194,000 โดเมน ซึ่งนับตั้งแต่วันที่ 1 มกราคม 2024 พฤติกรรมของกลุ่มนี้คือการส่งข้อความหลอกลวงเกี่ยวกับการละเมิดค่าผ่านทาง (toll violation) และการแจ้งเตือนพัสดุจัดส่งไม่สำเร็จ (package misdelivery) ไปยังอุปกรณ์มือถือจำนวนมาก เพื่อหลอกให้เหยื่อเร่งดำเนินการและให้กรอกข้อมูลที่ละเอียดอ่อนโดยทันที จากรายงานล่าสุดของ The Wall Street Journal ระบุว่าแคมเปญเหล่านี้สร้างผลกำไรมหาศาลให้ผู้คุกคามไปแล้วกว่า 1 พันล้านดอลลาร์ในช่วงสามปีที่ผ่านมา
จากการวิเคราะห์โครงสร้างพื้นฐานพบว่า “Smishing Triad” ใช้กลยุทธ์ที่ซับซ้อน แม้ว่าโดเมนส่วนใหญ่ (68.06%) จะจดทะเบียนผ่านนายทะเบียนในฮ่องกง และใช้เนมเซิร์ฟเวอร์ของจีน แต่โครงสร้างพื้นฐานการโจมตีหลัก โฮสต์อยู่บนบริการคลาวด์ในสหรัฐฯ กลยุทธ์สำคัญของแคมเปญนี้คือการ “เปลี่ยนโดเมนอย่างรวดเร็ว” (rapid churn) เพื่อหลบเลี่ยงการตรวจจับ โดยพบว่า 71.3% ของโดเมนมีอายุการใช้งานน้อยกว่าหนึ่งสัปดาห์ บริการที่ถูกปลอมแปลงมากที่สุดคือ U.S. Postal Service (USPS) และหมวดหมู่ที่ถูกปลอมแปลงมากที่สุดคือบริการค่าผ่านทาง
“Smishing Triad” ได้พัฒนาจากผู้จำหน่ายชุดเครื่องมือฟิชชิ่ง (phishing kit) ธรรมดา ไปสู่ในรูปแบบ Phishing-as-a-Service (PhaaS) ที่ประกอบไปด้วยผู้มีส่วนได้ส่วนเสียหลายฝ่าย ตั้งแต่ผู้พัฒนาชุดฟิชชิ่ง, นายหน้าข้อมูล (ผู้ขายเบอร์โทรศัพท์เป้าหมาย), ผู้ขายโดเมน, ผู้ให้บริการโฮสติ้ง, ไปจนถึงสแปมเมอร์ นอกจากนี้ รายงานจาก Fortra ยังระบุว่า ชุดฟิชชิ่งของกลุ่มนี้ ถูกนำไปใช้โจมตีบัญชีนายหน้าซื้อขายหลักทรัพย์เพิ่มขึ้นถึง 5 เท่า เพื่อขโมยข้อมูลธนาคารและรหัสยืนยันตัวตน ก่อนจะใช้กลยุทธ์ “ramp and dump” (การปั่นราคาและเทขายหุ้น) ซึ่งสร้างความเสี่ยงทางการเงินอย่างสูง โดย Unit 42 สรุปว่านี่คือแคมเปญขนาดใหญ่มีเป้าหมายทั่วโลก โดยจะปลอมแปลงบริการหลากหลายภาคส่วน ไม่ใช่แค่ในสหรัฐฯ เท่านั้น แต่เป็นปฏิบัติการแบบกระจายไปในระดับโลก ที่หมุนโดเมนใหม่ทุกวัน และเลียนแบบบริการข้ามอุตสาหกรรม ทำให้ยากต่อการตรวจจับและสกัดกั้นในระยะยาว
แหล่งข่าว https://thehackernews.com/2025/10/smishing-triad-linked-to-194000.html
