04/69 (IT) ประจำวันอังคารที่ 6 มกราคม 2569
นักวิจัยด้านความปลอดภัยจาก Check Point ได้เปิดเผยถึงการตรวจพบแคมเปญ Phishing ระลอกใหม่ที่ใช้วิธีการซับซ้อน โดยผู้โจมตีได้อาศัยฟีเจอร์ “Google Cloud Application Integration” ซึ่งเป็นเครื่องมืออัตโนมัติของ Google ในการส่งอีเมลหลอกลวงไปยังเหยื่อ จุดที่น่ากังวลของการโจมตีครั้งนี้คือ อีเมลจะถูกส่งมาจากที่อยู่อีเมลจริงของ Google คือ noreply-application-integration@google[.]com ทำให้อีเมลการโจมตีนี้มีความน่าเชื่อถือสูงมาก และสามารถเล็ดลอดผ่านระบบกรองสแปม (Spam Filters) รวมถึงระบบตรวจสอบโดเมนของผู้ส่งแบบทั่วไปได้ เพราะระบบความปลอดภัยจะมองว่าเป็นอีเมลที่มาจาก Google โดยตรง
กลวิธีในการโจมตีเริ่มจากการส่งอีเมลที่เลียนแบบรูปแบบของ Google อย่างแนบเนียน เช่น การแจ้งเตือนไฟล์เสียง Voicemail หรือการแชร์เอกสารสำคัญ เพื่อกระตุ้นให้เหยื่อคลิกลิงก์ เมื่อมีการคลิก ระบบจะใช้เทคนิคการเปลี่ยนเส้นทาง (Redirection) แบบหลายขั้นตอน โดยเริ่มจากลิงก์ที่ดูปลอดภัยบน storage.cloud.google[.]com เพื่อสร้างความเชื่อใจ จากนั้นจะส่งต่อไปยังหน้าเว็บที่มี CAPTCHA ปลอม เพื่อหลบเลี่ยงการตรวจสอบของบอท และสุดท้ายจะนำพาเหยื่อไปยังหน้าล็อกอินปลอมของ Microsoft บนโดเมนอื่นที่ไม่ใช่ของจริง เพื่อทำการขโมยรหัสผ่าน ทั้งนี้ พบว่ามีอีเมลโจมตีกว่า 9,400 ฉบับถูกส่งออกไปในช่วงเวลาเพียง 2 สัปดาห์ โดยมีเป้าหมายหลักเป็นกลุ่มอุตสาหกรรมการผลิต กลุ่มด้านเทคโนโลยี และการเงิน
ทางด้าน Google ได้ออกแถลงการณ์ยืนยันว่าได้รับทราบและได้ดำเนินการบล็อกแคมเปญ Phishing กลุ่มนี้แล้ว พร้อมชี้แจงว่าเหตุการณ์นี้เกิดจากการที่ผู้ไม่หวังดีนำเครื่องมือ Workflow Automation ของ Google ไปใช้งานในทางที่ผิด มิใช่การที่โครงสร้างพื้นฐานหรือระบบของ Google ถูกเจาะระบบแต่อย่างใด ซึ่งกรณีศึกษานี้สะท้อนให้เห็นว่า แม้จะเป็นอีเมลที่ส่งมาจากผู้ให้บริการ Cloud ที่น่าเชื่อถือ ก็ยังมีความเสี่ยงที่จะถูกโจมตีอยู่ ดังนั้น ผู้ใช้งานและองค์กรจึงจำเป็นต้องเพิ่มความระมัดระวังในการตรวจสอบลิงก์และอีเมลแจ้งเตือนต่าง ๆ ให้รอบคอบยิ่งขึ้น แม้ว่าผู้ส่งจะดูเหมือนมาจากต้นทางที่ถูกต้องก็ตาม
