Microsoft เผยบริการ Phishing-as-a-Service เกี่ยวพันกับหลายเหตุการโจมตี

Microsoft ได้ออกมาจับตาเกี่ยวกับขบวนการที่ให้บริการ Phishing-as-a-Service โดยมีความน่ากังวลในหลายประเด็น

Phishing-as-a-Service คือการที่คนร้ายได้ขายหน้าเพจล็อกอินปลอมของบริการยอดนิยมเช่น OneDrive, LinkedIn, Adobe, Alibaba, Dropbox และอีกมากมาย ไอเดียคือคนร้ายจะโฮสต์หน้าเว็บของลิงก์หรือเพจดังกล่าวให้ และผู้ซื้อจะได้รับ Credentials ที่ขโมยมาได้ภายหลัง ซึ่งแตกต่างกับการขาย Phishing Kit ที่คนใช้ต้องนำไป Customize และจัดการเองอีกที แต่ Phishing-as-a-Service ทำให้กระบวนการทำ Phishing ง่ายขึ้นกว่าที่แล้วมา เพราะนำเสนอครบเครื่องทั้ง Template ของอีเมลและเว้บไซต์ รวมถึงโฮสต์ให้เสร็จสรรพ พร้อมบริการส่งเมล สำหรับผู้สนใจที่ไม่เก่งการเรื่องเทคนิคมากก็ทำได้ ขนาดว่ามีวีดีโอสาธิตบน Youtube และ Vimeo ดูจบทำเป็น ทั้งนี้มีการซื้อขาย Subscription เป็นรายสัปดาห์ สองสัปดาห์ เดือนหรือปี

อีกประเด็นคือต้องบอกก่อนว่า Phishing-as-a-Service ไม่ได้หมายถึงการเข้าถึงอุปกรณ์โดยตรงเหมือนพวกแรนซัมแวร์ เพียงแต่รอรับ Credentials ที่ขโมยมาได้เท่านั้น ซึ่งก็เป็นไปได้ว่าผู้ให้บริการอาจนำ Credentials ที่ลูกค้าจ้างไปขายต่ออีกทีหนึ่ง

Microsoft ได้ก้าวเข้ามาสังเกตการณ์ Phishing-as-a-Service หลังจากเข้าช่วยเหลือลูกค้าหลายรายเพื่อช่วยปรับแต่งฟังก์ชัน email-filtering โดยทีมงานพบว่าคนร้ายมีการใช้เทคนิคที่เรียกว่า ‘infinite subdomain abuse’ ที่มีการแทรกแซงเซิร์ฟเวอร์ DNS ของเว็บไซต์หรือไซต์ที่ตั้งอนุญาต Subdomain แบบ Wildcard ทำให้คนร้ายสามารถใช้ URL ที่แตกต่างกันสำหรับแต่ละผู้รับได้ หรือกล่าวได้ว่าคนร้ายสามารถสร้าง URLs ได้มากมายเพื่อให้บริการนี้และตรวจจับได้ยากด้วย

ที่มา : https://www.zdnet.com/article/this-phishing-as-a-service-operation-is-responsible-for-many-attacks-against-businesses-says-microsoft/