พบ โทรจัน ขโมยข้อมูลไบโอเมตริก เพื่อเข้าถึงบัญชีธนาคารเหยื่อ (จบ)

Last updated: 4 Apr 2024

82 Views

จากสัปดาห์ที่แล้วที่ผมได้อธิบายถึงหลักการสำหรับการโจมตีทางไซเบอร์และเทคนิคการทำงานของแก๊ง GoldFactory กันในรูปแบบต่างๆ ในวันนี้เราจะมาเจาะลึกเหตุการณ์ที่เกิดขึ้นในประเทศไทยกันนะครับ

ตามรายงานของศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (Thailand Banking Sector CERT หรือ TB-CERT) พบว่า อาชญากรไซเบอร์มีข้อมูลส่วนบุคคลที่น่าเชื่อถือเกี่ยวกับเหยื่อจึงไม่น่าแปลกใจที่เหยื่อจะหลงเชื่อ

โดยมีการแอบอ้างเป็นหน่วยงานของรัฐและโน้มน้าวให้เหยื่อใช้ LINE ซึ่งเป็นหนึ่งในแอปพลิเคชันส่งข้อความที่ได้รับความนิยมมากที่สุดในประเทศไทยสำหรับการติดต่อและส่งลิงค์ปลอม

เมื่อเหยื่อโหลดแอพพลิเคชัน Digital Pension ของกรมบัญชีกลางเพื่อรับเงินบำนาญแบบดิจิทัล ก็จะมีการแสดงข้อความปลอมที่เสนอการขอคืนภาษีสำหรับค่าไฟฟ้าอีกด้วย

ผู้เชี่ยวชาญได้ค้นพบ GoldPickaxe หลายเวอร์ชัน ซึ่งทั้งหมดมีฟังก์ชันการทำงานที่เหมือนกัน แต่ปลอมตัวเป็นหน่วยงานราชการของไทยที่แตกต่างกัน ทำให้เราได้เห็นแนวโน้มแคมเปญหลอกลวงของ GoldFactory เกี่ยวข้องกับการเลียนแบบแอปพลิเคชันของรัฐบาลที่ถูกต้องตามกฎหมาย เช่น เงินบำนาญดิจิทัลสำหรับประเทศไทย บริการอื่นๆ ของรัฐบาลไทย

ขณะนี้ โทรจันแบบต่างๆ ของ GoldFactory กำลังแพร่กระจายผ่านเว็บไซต์ปลอมที่เป็นหน้า Google Play Store เพื่อติดตั้งมัลแวร์บนอุปกรณ์ของเหยื่อ

สำหรับ GoldPickaxe.iOS มีรูปแบบที่แตกต่างกันเพราะ Apple มีระบบที่ออกแบบมาเป็นอย่างดีเพื่อป้องกันไม่ให้แฮกเกอร์แพร่กระจายมัลแวร์ผ่านร้านค้า

อย่างไรก็ตาม อาชญากรไซเบอร์ได้ใช้ประโยชน์จากแพลตฟอร์ม TestFlight ของ Apple เพื่อเผยแพร่แอพพลิเคชันสกุลเงินดิจิทัลปลอม และหลอกลวงให้ติดตั้งโปรไฟล์ MDM โดยให้ทำตาม URL ที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์หลอกลวงเหล่านี้

จากนั้นแฮกเกอร์จะควบคุมและจัดการอุปกรณ์เคลื่อนที่ เช่น การล้างข้อมูลระยะไกล การติดตามอุปกรณ์ และการจัดการแอพพลิเคชัน ซึ่งอาชญากรไซเบอร์ใช้ประโยชน์จากการติดตั้งแอปพลิเคชันที่เป็นอันตรายและรับข้อมูลที่ต้องการซึ่งเหยื่อจะไม่มีทางรู้ตัวเลย

การจดจำใบหน้าถูกนำมาใช้อย่างจริงจังโดยเฉพาะองค์กรที่เกี่ยวข้องทางการเงินของไทยในการตรวจสอบธุรกรรมและการตรวจสอบการเข้าสู่ระบบ โดยในเดือน พ.ย. 2023 ตำรวจไซเบอร์ของไทย เปิดเผยว่า คนไทยตกเป็นเป้าหมายของการหลอกลวงโดยอาชญากรไซเบอร์สวมรอยเป็นเจ้าหน้าที่จากกระทรวงการคลัง

โดยอ้างการได้รับสิทธิ์ประโยชน์ทางการเงินต่างๆ จากนั้นหลอกให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์ของอาชญากรเพื่อดาวน์โหลดการตั้งค่าโปรไฟล์ MDMและให้เหยื่อบันทึกวิดีโอเป็นวิธีการยืนยันในแอปพลิเคชันปลอม

จากนั้นวิดีโอที่บันทึกไว้จะถูกนำมาใช้สร้างวิดีโอ Deepfake AI เพื่อสลับใบหน้า โดยโทรจัน GoldPickaxe ทั้งในแพลตฟอร์ม iOS และ Android และมีความสามารถเพิ่มเติม

เช่น การขอเอกสารประจำตัวของเหยื่อ การสกัดกั้น SMS และการรับส่งข้อมูลผ่านอุปกรณ์ที่ติดไวรัสและจะไม่ทำธุรกรรมโดยตรงจากโทรศัพท์ของเหยื่อ แต่จะรวบรวมข้อมูลที่จำเป็นทั้งหมดจากเหยื่อเพื่อเข้าถึงแอปพลิเคชันธนาคารของเหยื่อโดยอัตโนมัติ โดยสามารถข้ามการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ได้เลย

เราจะเห็นได้ว่า กลยุทธ์ของเหล่าอาชญากรทางไซเบอร์นั้น ได้พัฒนาอย่างก้าวกระโดดเพื่อเอาชนะกลยุทธ์การป้องกันต่างๆ ส่งผลให้ภาพรวมของมัลแวร์บนมือถือได้กลายเป็นตลาดที่ทำกำไรได้อย่างรวดเร็ว และเพื่อตอบสนองต่อภัยคุกคามที่ทวีความรุนแรงขึ้นนี้

สถาบันการเงินต้องดำเนินมาตรการป้องกันความปลอดภัยทางไซเบอร์แบบเชิงรุกรวมถึงการให้ความรู้แก่ผู้ใช้งานให้รู้จักวิธีการแยกเว็บไซต์จริงหรือปลอมและแอปที่เป็นอันตรายต่างๆ และการปกป้องรหัสผ่านและข้อมูลส่วนบุคคลของผู้ใช้งานให้ปลอดภัยครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 11 มีนาคม 2567)
https://www.bangkokbiznews.com/tech/gadget/1117198