การโจมตีแบบฟิชชิ่งมีการพัฒนาอยู่ตลอดเวลาและมีความซับซ้อนมากขึ้น ล่าสุดซึ่งกำหนดเป้าหมายชื่อผู้ใช้และรหัสผ่าน เลือกที่จะไปโรงเรียนเก่าและ ใช้รหัสมอร์สเพื่อหลีกเลี่ยงระบบกรองอีเมลและมาตรการรักษาความปลอดภัยอื่นๆ
เมื่อเร็ว ๆ นี้ Microsoft ได้เปิดเผยการโจมตีแบบฟิชชิ่งซึ่งกล่าวว่าใช้เทคนิค “จิ๊กซอว์” ใน นอกเหนือจากมาตรการเช่นรหัสมอร์สและวิธีการเข้ารหัสอื่น ๆ เพื่อปิดบังการโจมตีและหลีกเลี่ยงการตรวจจับ กลุ่มผู้โจมตีใช้ใบแจ้งหนี้ใน Excel HTML หรือเอกสารบนเว็บเพื่อแจกจ่ายแบบฟอร์มที่ขัดขวางข้อมูลประจำตัวสำหรับความพยายามในการละเมิดในอนาคต
ใน บล็อกโพสต์ล่าสุด Microsoft Security Intelligence กล่าวว่า”ไฟล์แนบ HTML แบ่งออกเป็นหลายส่วน รวมถึงไฟล์ JavaScript ที่ใช้เพื่อขโมยรหัสผ่าน ซึ่งจากนั้นจะเข้ารหัสโดยใช้กลไกต่างๆ ผู้โจมตีเหล่านี้เปลี่ยนจากการใช้โค้ด HTML แบบธรรมดาไปเป็นการใช้เทคนิคการเข้ารหัสที่หลากหลาย รวมถึงวิธีการเข้ารหัสที่เก่าและผิดปกติ เช่น รหัสมอร์ส เพื่อซ่อนกลุ่มการโจมตีเหล่านี้”
“ผลที่ตามมา ไฟล์แนบนั้นเปรียบได้กับตัวต่อจิ๊กซอว์: ด้วยตัวของมันเอง แต่ละส่วนของไฟล์ HTML อาจไม่เป็นอันตรายที่ระดับโค้ด และอาจหลุดพ้นจากโซลูชันการรักษาความปลอดภัยทั่วไป เจตนาร้ายจะแสดงขึ้นเมื่อมีการรวมกลุ่มเหล่านี้และถอดรหัสอย่างถูกต้องเท่านั้น” บล็อกโพสต์ที่เพิ่มเข้ามา
Microsoft ใช้เวลากว่าหนึ่งปีในการตรวจสอบแคมเปญฟิชชิ่ง XLS.HTML นี้ ผู้โจมตีเปลี่ยนกลไกการทำให้งงงวยและการเข้ารหัสประมาณทุกๆ 37 วัน เป็นการพิสูจน์ทักษะและแรงจูงใจสูงเพื่อให้การดำเนินการทำงานต่อไปโดยที่ไม่ถูกตรวจพบ
“ในการทำซ้ำในเดือนกุมภาพันธ์ ลิงก์ไปยังไฟล์ JavaScript ถูกเข้ารหัส โดยใช้ ASCII ในรหัสมอร์ส ในขณะเดียวกันในเดือนพฤษภาคม ชื่อโดเมนของ URL ชุดฟิชชิ่งถูกเข้ารหัสใน Escape ก่อนที่โค้ด HTML ทั้งหมดจะถูกเข้ารหัสโดยใช้รหัสมอร์ส”
ในขณะที่เป้าหมายหลักของการโจมตีแบบฟิชชิงคือการรวบรวมข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้ นอกจากนี้ยังรวบรวมข้อมูลกำไร เช่น ตำแหน่งของผู้ใช้และที่อยู่ IP ซึ่งมีแนวโน้มว่าจะใช้ในการโจมตีในอนาคต Microsoft อ้างว่า”แคมเปญฟิชชิ่งนี้มีเอกลักษณ์เฉพาะตัวในด้านระยะเวลาที่ผู้โจมตีใช้ในการเข้ารหัสไฟล์ HTML เพื่อหลีกเลี่ยงการควบคุมความปลอดภัย”
“แคมเปญฟิชชิ่ง XLS.HTML ใช้วิศวกรรมสังคมเพื่อสร้างอีเมลที่เลียนแบบเกี่ยวกับการเงินทั่วไป การทำธุรกรรมทางธุรกิจ โดยเฉพาะอย่างยิ่งการส่งสิ่งที่ดูเหมือนจะเป็นคำแนะนำการชำระเงินของผู้ขาย” แคมเปญนี้จัดอยู่ในหมวดหมู่การโจมตี”อีเมลธุรกิจประนีประนอม”ซึ่งเป็นกลโกงที่ให้ผลกำไรมากกว่าแรนซัมแวร์
โดยใช้วิธีการที่ไม่ฉูดฉาด เช่น ไฟล์แนบสเปรดชีต Excel แล้วเปลี่ยนเส้นทางผู้ใช้ไปยัง Microsoft Office 365 ปลอม หน้าเข้าสู่ระบบข้อมูลประจำตัวที่มีโลโก้ของบริษัท (เช่น) ผู้ใช้จำนวนมากมีโอกาสน้อยที่จะติดธงแดงในการโจมตีและป้อนข้อมูลรับรองของตน
อย่าลังเลที่จะตรวจสอบ บล็อกโพสต์ของ Microsoft เพื่อดูการโจมตีในเชิงลึกยิ่งขึ้น รวมถึงไทม์ไลน์ของการเปลี่ยนแปลงของเทคนิคการเข้ารหัสในแต่ละเดือน p>
ผ่าน ZDNet
