431/68 (IT) ประจำวันพุธที่ 29 ตุลาคม 2568
บริษัท Palo Alto Networks เตือนพบแคมเปญหลอกลวงผ่านข้อความ SMS (Smishing) ขนาดใหญ่ที่มีความเชื่อมโยงกับกลุ่มผู้โจมตีที่ใช้ภาษาจีน โดยเริ่มดำเนินการตั้งแต่เดือนเมษายน 2024 และยังคงดำเนินอยู่จนถึงปัจจุบัน การโจมตีใช้โดเมนปลอมกว่า 194,000 โดเมน เพื่อแอบอ้างเป็นหน่วยงานและบริการต่าง ๆ เช่น ระบบชำระค่าทางด่วน บริการจัดส่งพัสดุ หน่วยงานสาธารณสุข ธนาคาร แพลตฟอร์มคริปโทเคอร์เรนซี อีคอมเมิร์ซ หน่วยงานบังคับใช้กฎหมาย และโซเชียลมีเดียต่าง ๆ เพื่อหลอกให้เหยื่อคลิกลิงก์และกรอกข้อมูลส่วนบุคคล เช่น หมายเลขประกันสังคมหรือข้อมูลทางการเงิน
แคมเปญดังกล่าวมีลักษณะ กระจายตัวสูง (Highly Decentralized) ไม่มีจุดควบคุมกลาง และมีการหมุนเวียนโดเมนใหม่จำนวนมากทุกสัปดาห์ ทำให้ยากต่อการตรวจจับ Palo Alto Networks ระบุว่าผู้โจมตีใช้โครงสร้างพื้นฐานที่หลากหลาย ทั้งผู้ให้บริการโฮสต์หลายรายและระบบจัดการโดเมนแบบกระจายตัว โดยมีเหยื่อกระจายอยู่ทั่วโลก รวมถึงในสหรัฐฯ แคนาดา ออสเตรเลีย เยอรมนี ฝรั่งเศส สหราชอาณาจักร เม็กซิโก รัสเซีย มาเลเซีย และอีกหลายประเทศ กลุ่มที่อยู่เบื้องหลังคือ Smishing Triad ซึ่งเป็นกลุ่มผู้ใช้ภาษาจีนที่เริ่มกิจกรรมตั้งแต่ปี 2023 และเคยโจมตีผู้ใช้ iPhone ผ่าน iMessage โดยแอบอ้างเป็น “India Post” รวมถึงโปรโมตชุดเครื่องมือฟิชชิง (Phishing Kit) ที่ชื่อ “Lighthouse” สำหรับเจาะธนาคารในภูมิภาคเอเชียแปซิฟิก
Palo Alto Networks เชื่อว่าแคมเปญนี้ดำเนินงานในรูปแบบ Phishing-as-a-Service (PhaaS) โดยมีผู้เชี่ยวชาญหลายฝ่ายร่วมมือกัน เช่น ผู้ขายโดเมน ผู้ให้บริการโฮสติ้ง นักพัฒนา phishing kit ผู้ส่งสแปม SMS และทีมสนับสนุนที่ตรวจสอบหมายเลขโทรศัพท์และโดเมนที่ยังใช้งานได้ โดยกว่า 82.6% ของโดเมนมีอายุไม่เกินสองสัปดาห์ และเกือบ 30% หายไปภายในสองวัน ส่วนใหญ่กว่า 90,000 โดเมนแอบอ้างเป็นบริการเก็บค่าทางด่วน และอีกกว่า 28,000 โดเมนปลอมเป็นเว็บไซต์ของไปรษณีย์สหรัฐฯ (USPS) สะท้อนถึงขนาดและความซับซ้อนของเครือข่ายหลอกลวงที่ยังคงดำเนินการอยู่ในปัจจุบัน
แหล่งข่าว https://www.securityweek.com/massive-china-linked-smishing-campaign-leveraged-194000-domains/
