กระเป๋าเงินดิจิทัลไม่ใช่สถานที่ที่ปลอดภัยอีกต่อไป

หากในอดีตการสูญเสียกระเป๋าสตางค์ดิจิทัลมักเกิดจากการที่ผู้ใช้เปิดเผยคีย์ส่วนตัวโดยไม่ได้ตั้งใจ ปัจจุบันแฮกเกอร์ได้สร้างเครื่องมือเพื่อ "ช่วย" ให้ผู้ใช้บริจาคทรัพย์สินของตนโดยไม่รู้ตัว

เหตุการณ์สำคัญ 2 เหตุการณ์ล่าสุดที่แสดงให้เห็นถึงแนวโน้มนี้ ได้แก่ การเกิดขึ้นของส่วนขยายที่เป็นอันตรายและแคมเปญ APT ที่กำหนดเป้าหมายไปที่บุคลากรในอุตสาหกรรม Blockchain

TheHackerNews รายงานว่าในช่วงกลางเดือนพฤศจิกายน 2568 ชุมชนด้านความปลอดภัยต่างตกตะลึงกับการค้นพบส่วนขยายเบราว์เซอร์ Chrome ที่มีชื่อว่า "Safery: Ethereum Wallet" ซึ่งแฝงตัวอยู่ในกระเป๋าเงิน Ethereum ที่ปลอดภัยและยืดหยุ่น แต่แท้จริงแล้วส่วนขยายนี้กลับเป็น "เครื่องดูดเลือด" ที่ออกแบบมาอย่างซับซ้อน

นักวิจัยด้านความปลอดภัย "Safery" ระบุว่า ผู้โจมตีทางไซเบอร์ใช้เทคโนโลยีบล็อกเชนเพื่อปกปิดอาชญากรรม โดยเฉพาะอย่างยิ่ง เมื่อผู้ใช้ป้อนวลีกู้คืน (วลีเริ่มต้น) ลงในกระเป๋าเงินปลอมนี้ มัลแวร์จะเข้ารหัสวลีดังกล่าวลงในที่อยู่กระเป๋าเงินบนเครือข่าย Sui (บล็อกเชน Sui)

การค้นพบ จาก Kaspersky แสดงให้เห็นว่าพวกเขาไม่ได้โจมตีเฉพาะผู้ใช้ทั่วไปเท่านั้น กลุ่มอาชญากรทางไซเบอร์ชื่อดังอย่าง BlueNoroff (หรือที่รู้จักกันในชื่อ Sapphire Sleet หรือ APT38) ยังได้เผยแพร่แคมเปญโจมตีแบบเจาะจงใหม่ 2 แคมเปญ ได้แก่ GhostCall และ GhostHire ซึ่งมุ่งเป้าไปที่โปรแกรมเมอร์และผู้บริหารในสาขา Web3 โดยตรงอีกด้วย

ในแคมเปญ GhostCall แฮกเกอร์เข้าถึงเป้าหมายผ่าน Telegram โดยปลอมตัวเป็นนักลงทุนร่วมทุน (VCs) ส่วนที่น่ากลัวคือกลวิธีทางสังคมที่ซับซ้อน พวกเขาเชิญเหยื่อให้เข้าร่วมการประชุม ทางวิดีโอ บนเว็บไซต์ปลอมอย่าง Zoom หรือ Microsoft Teams

เมื่อเข้าร่วม เหยื่อจะเห็นวิดีโอของผู้เข้าร่วมคนอื่นๆ อันที่จริงแล้ว วิดีโอเหล่านี้ไม่ใช่ Deepfakes อย่างที่หลายคนเข้าใจผิด แต่เป็นไฟล์บันทึกเสียง/วิดีโอจริงของเหยื่อก่อนหน้าที่ถูกแฮ็กเกอร์ขโมยไป

“ความถูกต้อง” นี้ทำให้เหยื่อลดความระมัดระวังลงและดาวน์โหลด “การอัพเดต” ปลอมที่ประกอบด้วย AppleScript ที่เป็นอันตราย (สำหรับ macOS) หรือไฟล์ปฏิบัติการที่เป็นอันตราย (สำหรับ Windows) ได้อย่างง่ายดาย

นอกจากนี้ การใช้รหัส QR ยังมีรูปแบบใหม่ คือการฝังรหัส QR ไว้ในไฟล์แนบ PDF บางครั้ง PDF เหล่านี้จะได้รับการปกป้องด้วยรหัสผ่าน (รหัสผ่านจะถูกส่งไปในอีเมลหรืออีเมลแยกต่างหาก) เพื่อเลี่ยงเครื่องมือสแกนไวรัสอัตโนมัติ

การสแกนรหัส QR บังคับให้ผู้ใช้ต้องใช้โทรศัพท์มือถือส่วนตัว ซึ่งมักขาดการป้องกันความปลอดภัยที่เข้มงวดเช่นเดียวกับคอมพิวเตอร์ขององค์กร เพื่อเข้าถึงไซต์ฟิชชิ่งปลอม

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้แสดงให้เห็นเทคนิคที่น่าทึ่งที่แฮกเกอร์สร้างหน้าเข้าสู่ระบบปลอม (เช่น แอบอ้างเป็นบริการจัดเก็บข้อมูล pCloud) ที่สามารถโต้ตอบแบบเรียลไทม์กับบริการจริงผ่านทาง API ได้

เมื่อผู้ใช้ป้อนข้อมูลเข้าสู่ระบบและรหัส OTP ลงในเว็บไซต์ปลอม เว็บไซต์จะส่งต่อข้อมูลดังกล่าวไปยังบริการจริงทันที หากข้อมูลถูกต้อง แฮกเกอร์จะเข้าควบคุมเซสชันการเข้าสู่ระบบก่อนที่ผู้ใช้จะรู้ตัวด้วยซ้ำ

นอกจากนี้ เพื่อหลีกเลี่ยงการถูกตรวจจับและวิเคราะห์โดยตัวกรองความปลอดภัยสำหรับเว็บไซต์ฟิชชิ่ง แฮกเกอร์ได้ตั้ง "ห่วงโซ่การยืนยันตัวตน" ขึ้น เมื่อผู้ใช้คลิกลิงก์ พวกเขาจะต้องผ่านรหัสยืนยัน CAPTCHA หลายชั้นหรือหน้ายืนยันตัวตนปลอมก่อนที่จะไปถึงหน้าปลายทาง (หน้าเข้าสู่ระบบปลอมของ Google/Microsoft) วิธีนี้จะช่วยกรองบอทยืนยันตัวตนอัตโนมัติออกไป และสร้างความเชื่อมั่นแบบผิดๆ ให้กับผู้ใช้ว่าเว็บไซต์นั้นปลอดภัยอย่างแท้จริง

อันตรายจากการฟิชชิ่งถูกขยายให้รุนแรงขึ้นด้วยรูปแบบ "Phishing-as-a-Service" ดังที่เห็นได้จากคดีฟ้องร้องล่าสุดของ Google ต่อแฮกเกอร์ที่อยู่เบื้องหลังแพลตฟอร์ม Lighthouse

สำหรับนักลงทุน คำแนะนำที่ว่า "อย่าแชร์คีย์ส่วนตัวของคุณ" ไม่เพียงพออีกต่อไป ผู้เชี่ยวชาญของ Kaspersky ระบุว่าการตรวจสอบแหล่งที่มาของส่วนขยายอย่างรอบคอบ การระมัดระวังคำเชิญประชุมออนไลน์หรือข้อเสนองานที่ไม่คาดคิด และการระมัดระวังคำขอเข้าสู่ระบบจากอีเมล (แม้จะใช้การป้องกันด้วย PDF หรือ CAPTCHA) ล้วนเป็นทักษะเอาตัวรอดที่จำเป็นในยุคดิจิทัลที่เต็มไปด้วยกับดัก

ที่มา: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html