ส่วนที่ 1: แคมเปญฟิชชิ่งโดยใช้ Cloudflare Workers

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เตือนเกี่ยวกับแคมเปญฟิชชิ่งหลายรายการที่ใช้ Cloudflare Workers เพื่อขโมยข้อมูลประจำตัวผู้ใช้ ไซต์ฟิชชิ่งเหล่านี้มุ่งเป้าไปที่ผู้ใช้บริการเช่น Microsoft, Gmail, Yahoo! และ cPanel Webmail

ที่นี่ผู้โจมตีใช้เทคนิคที่เรียกว่า “ศัตรูตรงกลาง” ( AitM ) เพื่อดำเนินการโจมตี ผู้โจมตีใช้ Cloudflare Workers เป็นเซิร์ฟเวอร์ตัวกลางปลอม เมื่อผู้ใช้เยี่ยมชมหน้าเข้าสู่ระบบที่ถูกต้อง Cloudflare Workers จะดักจับและส่งต่อข้อมูลระหว่างผู้ใช้และหน้าเข้าสู่ระบบจริง

โดยพื้นฐานแล้วการโจมตีนี้จะเกิดขึ้นผ่าน 4 ขั้นตอนต่อไปนี้:

• ขั้นตอนที่ 1: แฮกเกอร์ส่งอีเมลฟิชชิ่งไปยังผู้ใช้

ผู้โจมตีส่งอีเมลฟิชชิ่งซึ่งมีลิงค์ไปยังเว็บไซต์ปลอม อีเมลนี้อาจแอบอ้างเป็นแหล่งที่เชื่อถือได้และมีข้อความที่ชักจูงให้ผู้ใช้คลิกลิงก์

• ขั้นตอนที่ 2: ผู้ใช้คลิกบนอีเมล จะถูกส่งต่อไปยังเว็บไซต์ฟิชชิ่งผ่าน Cloudflare

ผู้ใช้ได้รับอีเมลและคลิกลิงก์ในอีเมล ซึ่งจะนำไปยังเว็บไซต์ปลอม ไซต์นี้โฮสต์อยู่บน Cloudflare Workers ดังนั้นคำขอของผู้ใช้จะต้องผ่าน Cloudflare Workers

• ขั้นตอนที่ 3: Cloudflare ส่งต่อคำขอของผู้ใช้ไปยังเว็บไซต์ที่ถูกกฎหมาย

เมื่อผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบในไซต์ปลอม Cloudflare Workers จะรวบรวมข้อมูลการเข้าสู่ระบบ (รวมถึงชื่อผู้ใช้ รหัสผ่าน และรหัสการตรวจสอบสิทธิ์แบบสองขั้นตอน หากมี) จากนั้น Cloudflare Workers จะส่งคำขอนี้ไปยังเว็บไซต์ที่ถูกกฎหมาย ผู้ใช้ยังสามารถเข้าสู่ระบบเว็บไซต์ที่ถูกกฎหมายได้โดยไม่สังเกตเห็นความแตกต่าง

• ขั้นตอนที่ 4: Cloudflare บันทึกข้อมูลผู้ใช้และส่งให้แฮกเกอร์

Cloudflare Workers บันทึกข้อมูลการเข้าสู่ระบบของผู้ใช้และส่งให้กับผู้โจมตี จากนั้นผู้โจมตีสามารถใช้ข้อมูลนี้เพื่อเข้าถึงบัญชีผู้ใช้และดำเนินการอันเป็นอันตรายได้

ส่วนที่ 2: เทคนิคการลักลอบนำข้อมูล HTML เข้ามาและกลยุทธ์ในการรวบรวมข้อมูลประจำตัว

การลักลอบนำ HTML มาใช้เป็นวิธีโจมตีที่ซับซ้อนซึ่งผู้โจมตีใช้เพื่อสร้างหน้าปลอมขึ้นมาอย่างแอบๆ บนเว็บเบราว์เซอร์ของผู้ใช้

โดยพื้นฐานแล้วการโจมตีการลักลอบนำ HTML เกิดขึ้นใน 5 ขั้นตอนหลัก:

• ขั้นตอนที่ 1: ผู้โจมตีส่งอีเมลฟิชชิ่ง

ผู้โจมตีสร้างอีเมลฟิชชิ่ง โดยแอบอ้างว่ามาจากแหล่งที่น่าเชื่อถือ เช่น องค์กรหรือบริการที่เหยื่อใช้เป็นประจำ อีเมลนี้มีลิงก์ที่เป็นอันตรายหรือไฟล์แนบ HTML เนื้อหาอีเมลมักมีข้อความชักจูงหรือเร่งด่วนที่มุ่งหวังจะล่อลวงเหยื่อให้เปิดลิงก์หรือไฟล์แนบ เช่น การแจ้งเตือนเกี่ยวกับบัญชีที่ถูกล็อคหรือเอกสารสำคัญที่จำเป็นต้องดูทันที

• ขั้นตอนที่ 2: ผู้ใช้ได้รับอีเมลและเปิดลิงก์/ไฟล์แนบ

ผู้ใช้ได้รับอีเมลฟิชชิ่งและคลิกลิงก์หรือเปิดไฟล์แนบ HTML โดยไม่รู้ตัว การดำเนินการดังกล่าวทำให้เบราว์เซอร์ของผู้ใช้โหลดและดำเนินการโค้ด JavaScript ที่เป็นอันตรายซึ่งบรรจุอยู่ในไฟล์หรือลิงก์ HTML โค้ดนี้ได้รับการออกแบบมาให้ทำงานในเบราว์เซอร์ของผู้ใช้โดยไม่จำเป็นต้องดาวน์โหลดซอฟต์แวร์เพิ่มเติมใดๆ

• ขั้นตอนที่ 3: โค้ด JavaScript สร้างหน้าฟิชชิ่งบนเบราว์เซอร์ของผู้ใช้

โค้ด JavaScript ที่เป็นอันตรายจะสร้างหน้าฟิชชิ่งโดยอัตโนมัติและแสดงบนเบราว์เซอร์ของผู้ใช้ หน้าฟิชชิ่งมักจะมีลักษณะคล้ายกับหน้าเข้าสู่ระบบที่ถูกกฎหมายของบริการออนไลน์เช่น Microsoft, Gmail หรือบริการอื่น ๆ ที่เหยื่อมักใช้ ทำให้เหยื่อไม่รู้ว่าตนอยู่ในเว็บไซต์ปลอม

• ขั้นตอนที่ 4: ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบในเว็บไซต์ฟิชชิ่ง

ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบลงในไซต์ฟิชชิ่งโดยไม่สงสัยสิ่งใด ซึ่งรวมถึงชื่อผู้ใช้ รหัสผ่าน และอาจรวมถึงรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (MFA) หากจำเป็น เว็บไซต์หลอกลวงถูกออกแบบมาเพื่อบันทึกข้อมูลทั้งหมดนี้ไว้เป็นความลับ

• ขั้นตอนที่ 5: ข้อมูลการเข้าสู่ระบบจะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์

เมื่อผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบบนหน้าฟิชชิ่ง โค้ด JavaScript ที่เป็นอันตรายจะส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์ของแฮกเกอร์ วิธีนี้จะช่วยให้ผู้โจมตีสามารถรวบรวมข้อมูลการเข้าสู่ระบบของเหยื่อได้ รวมถึงชื่อผู้ใช้ รหัสผ่าน และรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย ด้วยข้อมูลนี้ ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อได้โดยไม่ได้รับอนุญาต

ส่วนที่ 3: คำแนะนำผู้ใช้เกี่ยวกับข้อควรระวัง

เพื่อปกป้องตนเองจากการโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้นดังที่กล่าวไว้ข้างต้น ผู้ใช้จำเป็นต้องใช้ความระมัดระวังบางประการเพื่อลดความเสี่ยง คำแนะนำที่สำคัญบางประการมีดังนี้:

• การสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์

ในสภาพแวดล้อมดิจิทัลของปัจจุบัน วิธีการโจมตีทางไซเบอร์มีการพัฒนาอย่างต่อเนื่องและซับซ้อนมากขึ้นเรื่อยๆ ดังนั้นจึงมีความสำคัญอย่างยิ่งที่จะต้องอัปเดตความรู้เกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ล่าสุดเป็นประจำ ผู้ใช้ควรตรวจสอบแหล่งข้อมูลที่มีชื่อเสียงและอัปเดตอยู่เสมอเพื่อทำความเข้าใจความเสี่ยงและทราบวิธีป้องกันความเสี่ยง

• ใช้การตรวจสอบปัจจัยสองชั้น (2FA):

การตรวจสอบปัจจัยสองชั้นช่วยเพิ่มชั้นความปลอดภัยอีกชั้นหนึ่ง แม้ว่าผู้โจมตีจะได้รับข้อมูลการเข้าสู่ระบบของคุณ แต่พวกเขายังคงต้องใช้รหัสยืนยันตัวตนชุดที่สองเพื่อเข้าถึงบัญชีของคุณ

• ตรวจสอบและยืนยันเสมอทุกครั้งก่อนดำเนินการ

ตรวจสอบสิ่งที่แนบมาและลิงก์ทั้งหมดอีกครั้งก่อนคลิก

คิดให้ดีก่อนคลิก!!!

• ใช้ซอฟต์แวร์ป้องกันไวรัส

ซอฟต์แวร์ป้องกันไวรัสมีความสามารถในการสแกนและตรวจจับมัลแวร์ประเภทต่างๆ เช่น ไวรัส โทรจัน แรนซัมแวร์ สปายแวร์ และภัยคุกคามอื่นๆ เมื่อตรวจพบแล้วจะลบหรือกักกันมัลแวร์เพื่อปกป้องระบบของคุณ

ในยุคดิจิทัลทุกวันนี้ การโจมตีทางไซเบอร์มีความซับซ้อนและตรวจจับได้ยากยิ่งขึ้น สิ่งสำคัญคือต้องเข้าใจและป้องกันแคมเปญฟิชชิ่งที่ใช้ Cloudflare Workers และ HTML Smuggling เพื่อปกป้องตนเอง ผู้ใช้จะต้องอัปเดตความรู้ด้านความปลอดภัยทางไซเบอร์เป็นประจำ ใช้ตัวจัดการรหัสผ่าน ติดตั้งซอฟต์แวร์ป้องกันไวรัส และใช้การตรวจสอบสิทธิ์แบบสองปัจจัย มาตรการเหล่านี้ไม่เพียงช่วยปกป้องข้อมูลส่วนบุคคลเท่านั้น แต่ยังช่วยปรับปรุงความปลอดภัยทางไซเบอร์ให้กับชุมชนทั้งหมดอีกด้วย

— ฝ่ายความมั่นคงทั่วไป —