136/69 (IT) ประจำวันอังคารที่ 10 มีนาคม 2569
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Infoblox ตรวจพบแคมเปญฟิชชิงรูปแบบใหม่ที่แยบยลกว่าเดิม โดยแฮกเกอร์ได้ฉวยโอกาสจากโดเมนระดับบนสุด (TLD) อย่าง “.arpa” ซึ่งปกติแล้วสงวนไว้สำหรับโครงสร้างพื้นฐานของอินเทอร์เน็ตเท่านั้น เช่น การทำ Reverse DNS หรือการแปลงที่อยู่ไอพีกลับเป็นชื่อโฮสต์ มาใช้เป็นที่ตั้งของลิงก์อันตราย การใช้โดเมน .arpa และโปรโตคอล IPv6 นี้ช่วยให้กลุ่มผู้ไม่หวังดีสามารถหลบเลี่ยงการตรวจสอบจากระบบรักษาความปลอดภัยอีเมล (Email Gateway) และตัวกรองชื่อโดเมน (Domain Reputation) ได้อย่างมีประสิทธิภาพ เนื่องจากระบบส่วนใหญ่มักไว้วางใจโดเมนที่เป็นโครงสร้างพื้นฐานหลัก อีกทั้งโดเมนเหล่านี้ยังไม่มีข้อมูล WHOIS (เช่น วันจดทะเบียน หรือชื่อเจ้าของ) ให้ตรวจสอบเหมือนโดเมนทั่วไป ทำให้การระบุว่าเป็นเว็บไซต์อันตรายทำได้ยากขึ้นมาก
กลวิธีที่แฮกเกอร์ใช้เริ่มจากการลงทะเบียนสมัครบริการ IPv6 Tunneling ผ่านผู้ให้บริการอย่าง Hurricane Electric จากนั้นผูก Nameserver ของ Cloudflare เข้ากับโซน DNS ที่ตนควบคุม สร้าง SSL Certificate และสร้าง Subdomain แบบสุ่มที่ยากต่อการตรวจจับ เช่น “d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa” ทำให้ URL ฟิชชิงดูผิดสังเกตน้อยที่สุด แทนที่จะใช้ชื่อเว็บไซต์ปกติทั่วไป จากนั้นจะส่งอีเมลหลอกลวงที่มีเนื้อหาจูงใจ เช่น การแจ้งเตือนความปลอดภัยจาก Norton, รางวัลจาก Bath & Body Works หรือชุดเครื่องครัวจาก Macy’s โดยซ่อนลิงก์ไว้ในรูปภาพ เมื่อเหยื่อหลงเชื่อและคลิก ลิงก์จะนำไปสู่ระบบคัดกรอง (Traffic Distribution System – TDS) เพื่อตรวจสอบข้อมูลอุปกรณ์และไอพี หากเหยื่อตรงตามเงื่อนไขที่กำหนด ระบบจะส่งต่อไปยังหน้าฟิชชิงเพื่อขโมยข้อมูลทันที แต่หากไม่ใช่เป้าหมายที่ต้องการ ระบบจะส่งไปยังหน้าเว็บไซต์ที่ถูกต้องเพื่อตบตาและปกปิดร่องรอยการโจมตี
นอกจากนี้ แฮกเกอร์ยังมีการใช้เทคนิคขั้นสูงอย่างการเจาะช่องโหว่ระเบียน CNAME (CNAME Hijacking) ของหน่วยงานรัฐ มหาวิทยาลัย และบริษัทโทรคมนาคมชื่อดัง เพื่อสร้างความน่าเชื่อถือให้กับลิงก์ฟิชชิง โดยลิงก์เหล่านี้มักจะมีอายุการใช้งานสั้นเพียงไม่กี่วันเพื่อหลบเลี่ยงการสืบสวนจากนักวิจัย กรณีนี้สะท้อนให้เห็นว่าแฮกเกอร์กำลังเปลี่ยนจากการใช้โดเมนจดใหม่ที่น่าสงสัย มาเป็นการอาศัยฟีเจอร์ที่น่าเชื่อถือของระบบอินเทอร์เน็ตมาเป็นอาวุธ ดังนั้น ข้อควรระวังที่ดีที่สุดสำหรับผู้ใช้งานคือ หลีกเลี่ยงการคลิกลิงก์จากอีเมลที่ไม่รู้จัก แม้ภาพลักษณ์ของอีเมลจะดูน่าเชื่อถือเพียงใดก็ตาม และควรเข้าใช้งานบริการต่าง ๆ ผ่านทางเว็บไซต์อย่างเป็นทางการหรือแอปพลิเคชันโดยตรงเท่านั้น