[PR] ไอบีเอ็มเตือนภัยสแปมเจาะกลุ่มเป้าหมายช่วงวาเลนไทน์

IBM X-Force เปิดเผยถึงอีเมลสแปมนัดเดทโดย Necurs ที่มีการปล่อยออกมาจำนวนมากนับตั้งแต่ช่วงกลางเดือนมกราคมจนถึงวันวาเลนไทน์ โดยในเวลาเพียงสองสัปดาห์ ได้มีการส่งอีเมลสแปมนี้บนเครือข่ายคอมพิวเตอร์ทั่วโลกมากถึง 230 ล้านฉบับ

Necurs เป็นบ็อตเน็ตที่มักสร้างแคมเปญสแปมขนาดใหญ่ และเชื่อว่าควบคุมบ็อตซอมบี้อยู่กว่าหกล้านตัว โดยบ็อตเน็ต Necurs มีการเชื่อมต่อกับกลุ่มมัลแวร์ที่แพร่กระจายโทรจันในธุรกิจธนาคาร เช่น Dridex และ TrickBot รวมถึงแรนซัมแวร์อย่าง Locky, Scarab และ Jaff

Necurs ไม่ใช่มัลแวร์ชนิดที่เรามักได้ยิน แต่ผู้ที่ปล่อย Necurs ทำการแพร่กระจายสแปมนี้โดยมีเป้าหมายเพื่อก่อให้เกิดความพยายามในการฉ้อโกงรูปแบบอื่นๆ ด้วย เช่น แคมเปญการหลอกลวงด้วยคำพูดหวาน ๆ

ในปี 2017 X-Force ตั้งข้อสังเกตว่า Necurs ส่งการหลอกลวงเรื่องหุ้นแบบ “pump & dump” จำนวนมาก โดยออกแบบมาเพื่อให้ผู้รับเชื่อว่าหุ้นเพนนีกำลังจะมีมูลค่าสูงขึ้น เมื่อมีคนซื้อหุ้นมากพอและมูลค่าของหุ้นเพิ่มขึ้นจริง ผู้ที่ปล่อยสแปมจะขายหุ้นของตนเองทั้งหมดในจุดที่พวกเขาทำกำไรได้ หุ้นเพนนีจะราคาตกลงจนถึงมูลค่าที่แท้จริงของตลาด และผู้ที่ซื้อหุ้นไว้จะพ่ายแพ้โดยไม่ได้รับสิ่งใดตอบแทน ในช่วงต้นปี 2018 บ็อตเน็ตยังเป็นส่วนหนึ่งของกระบวนการหลอกลวงเกี่ยวกับ cryptocurrency และล่าสุดอีเมลสแปมนัดเดทก็เป็นแคมเปญหลักอีกตัวหนึ่งที่เชื่อมโยงกับ Necurs

 

ปล่อยสแปมจำนวนมากช่วงเทศกาล

การล่อเหยื่อตามช่วงเทศกาลอาจถือเป็นคุณลักษณะอันดับต้นๆ ของอีเมลสแปม โดยในช่วงไตรมาสแรกของปีมักเกิดการระบาดของอีเมลสแปมช่วงเทศกาลภาษี และการหลอกลวงด้วยคำพูดหวานๆ ที่เริ่มต้นขึ้นในเดือนมกราคมจนถึงวันวาเลนไทน์

ในแคมเปญปัจจุบันของ Necurs ได้มีการส่งอีเมลสแปมแล้วมากกว่า 230 ล้านข้อความภายในสองสัปดาห์ โดยบ็อตเน็ตได้กระจายข้อความนับสิบๆ ล้านข้อความในสองช่วงหลัก คือช่วง 16-18 มกราคม และช่วง 27 มกราคม-3 กุมภาพันธ์

 

 

สแปมที่เลือกใช้คำได้เป็นอย่างดี

จากข้อความที่ได้ถูกส่งออกไปทางอีเมลแล้วมากกว่า 30 ล้านฉบับในแต่ละวัน พบว่าล้วนเป็นข้อความอีเมลสั้นๆ ซึ่งน่าจะมาจากหญิงชาวรัสเซียที่อาศัยอยู่ในสหรัฐอเมริกา โดยอีเมลเหล่านี้เลือกใช้ถ้อยคำได้เป็นอย่างดี ซึ่งต่างจากอีเมลสแปมทั่วไปที่มักมีการสะกดคำและไวยากรณ์ที่ไม่ถูกต้อง ทั้งนี้ อีเมลสแปมแต่ละฉบับจะมาจากอีเมลแอดเดรสแบบใช้แล้วทิ้งที่มีชื่อของผู้ส่งที่ถูกแอบอ้างอยู่ โดยจะขอให้ผู้รับติดต่อผู้เขียนกลับโดยใช้อีเมลแอดเดรสอีกอันที่มีชื่อของบุคคลอื่นอยู่

 

 

ข้อความจำนวนมากบ่งชี้ว่าผู้รับเหล่านี้มีโปรไฟล์อยู่บน Facebook หรือ “Badoo” ซึ่งเป็นแอพนัดเดทที่โด่งดังเป็นอันดับสามในรัสเซีย และเปิดให้ผู้ใช้จากทั่วโลกเข้าถึงได้

การหลอกลวงด้วยคำพูดหวานๆ และข้อความสแปมเชิญชวนจากสตรีถือเป็นรูปแบบเก่า โดยอีเมลเหล่านี้มักประกอบด้วยข้อความพื้นฐานซึ่งดูเหมือนไม่มีอะไรและไม่ได้ดึงดูดความสนใจนัก อย่างไรก็ตาม ปริมาณอีเมลที่ส่งออกจำนวนมากก็สามารถนำสู่เปอร์เซ็นต์การตอบกลับของผู้รับจำนวนมากด้วยเช่นกัน โดยแคมเปญนี้จะดึงดูดให้เหยื่อแชร์รูปภาพและข่มขู่พวกเขาเพื่อบังคับให้จ่ายเงินหรือจบลงด้วยการได้รับมัลแวร์

 

อิทธิพลของสแปม Necurs

X-Force สามารถบันทึกปริมาณอีเมลสแปมนี้ได้มากกว่า 230 อีเมลจากบ็อตเน็ต Necurs ซึ่งเป็นบ็อตเน็ตที่ทำให้เกิดความสามารถในการแพร่กระจายอีเมลขยะจำนวนมาก

สแปมถูกส่งจาก IP แอดเดรสที่แตกต่างกันประมาณ 950,000 IP แอดเดรส โดยผู้ส่งอันดับต้นๆ นั้นเป็นแอดเดรสที่โฮสต์ผ่าน ISP ของปากีสถาน IP และแอดเดรส (103.255.5.117) เหล่านี้ถูกรายงานว่าเป็นสแปมเมอร์ถึง 655 ครั้ง ณ เวลาที่เขียนบทความนี้ อีกทั้งยังถูกจัดอันดับว่ามีความเสี่ยงระดับ 10 จากคะแนนเต็ม 10 อ้างอิงตาม IBM X-Force Exchange

ผู้ส่งอีเมลเหล่านี้โฮสต์ IP ถึง 55% ที่เวียดนามและอินเดีย โดยการสับเปลี่ยนทรัพยากรที่ใช้ในแคมเปญและต้นทางของ IP ไม่ได้ก่อให้เกิดประโยชน์ใดๆ กับกลุ่มสแปมเมอร์ หรือช่วยหลีกเลี่ยงการขึ้นบัญชีดำและการบล็อก และคาดว่าวิธีการนี้จะไม่ถูกนำมาใช้ในครั้งถัดไป

 

 

Necurs อาจถือเป็นอาชญากรไซเบอร์ที่แพร่กระจายสแปมที่ใหญ่ที่สุด นับตั้งแต่ได้มีการกำจัดบ็อตเน็ต Andromeda และ Avalanche ลง โดยจากการเฝ้าติดตาม X-Force พบว่า Necurs สามารถดึงดูดทั้งสแปมเมอร์ระดับล่างและกลุ่มที่มีชื่อเสียงเป็นที่รู้จักเข้าร่วมกระบวนการ

 

หยุดสแปม

กลุ่มผู้อยู่เบื้องหลัง Necurs และบ็อตเน็ต ทำงานโดยมีเป้าหมายเดียวคือการทำให้ข้อความสแปมไปอยู่ในเมลบ็อกซ์ของผู้คนโดยไม่ถูกกรองหรือบล็อก โดยบ็อตเน็ตเหล่านี้มักสับเปลี่ยนวิธีต่างๆ  เช่น เปลี่ยนประเภทของสแปมที่แพร่กระจาย ปกปิดสแปมเหล่านี้ในไฟล์หรืออีเมลรูปแบบต่างๆ เป็นต้น ทำให้สแปมจาก Necurs สามารถหาทางเข้าสู่เมลบ็อกซ์ของผู้บริโภคและพนักงานบริษัทได้ในที่สุด และวิธีการที่ดีที่สุดในการขัดขวางอีเมลเหล่านั้นคือการให้การศึกษาและทำให้พนักงานในองค์กรตระหนักเกี่ยวกับประเภทของอีเมลประสงค์ร้ายที่ไม่ควรเปิดหรือตอบกลับใด ๆ

เคล็ดลับสำหรับการจัดการกับอีเมลสแปมมีดังนี้

อย่าตอบอีเมลประเภทนี้ – นักวิจัยกล่าวว่า มีความเป็นไปได้ถึง 99.999% ที่อีเมลไม่พึงประสงค์ที่พยายามหลอกลวงคนที่มองหาความสัมพันธ์ด้านความรักนั้นจะเป็นอันตราย ฉะนั้นจึงห้ามตอบสนองใดๆ แฮ็กเกอร์เพียงต้องการหาวิธีการที่จะทำให้คุณติดมัลแวร์หรือเพื่อหลอกลวงคุณ

คงสถานภาพการบอกรับเป็นสมาชิกอีเมลไว้ – อย่ายกเลิกการรับอีเมลสแปม แต่ให้ตั้งค่าระบุว่าอีเมลเหล่านี้เป็นสแปมหรืออีเมลขยะแทน เพราะการแจ้งยกเลิกการรับสมาชิกอีเมลทำให้ผู้ปล่อยสแปมสามารถตรวจสอบได้ว่าอีเมลแอดเดรสนั้นๆ แอ็คทีฟอยู่

อัพเดตแพ็ตช์อย่างสม่ำเสม – อัพเดตระบบปฏิบัติของคุณในทันทีที่มีอัพเดตใหม่และแพ็ตช์ใหม่ มัลแวร์ส่วนใหญ่จะใช้ช่องโหว่จากซอฟต์แวร์เวอร์ชันเก่าเพื่อให้คุณติดไวรัส

การเชื่อมต่อที่เชื่อถือได้ – ดำเนินการกับข้อความและอีเมลที่ไม่พึงประสงค์ให้เหมือนเป็นสแปม ไม่ควรเปิดข้อความและอีเมลเหล่านั้น ไม่ควรคลิกลิงค์ เปิดไฟล์แนบ หรือปฏิบัติตามคำแนะนำในอีเมลนั้นๆ




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure เพิ่มการ Customize ใหม่ให้ฟังก์ชัน Migrate สนองความต้องการตามธุรกิจ

Azure ออกฟีเจอร์ใหม่ในการทำแผนการ Migration เพื่อสามารถตอบโจทย์ความต้องการให้เหมาะสมตามลักษณะของธุรกิจได้อย่างยืดหยุ่นมากขึ้น

พบช่องโหว่ของ Firmware บนมือถือ Android กว่า 25 รุ่นในหลายยี่ห้อ

นักวิจัยจาก Kryptowire บริษัทด้านความมั่นคงปลอดภัยบนมือถือและ IoT ของสหรัฐได้เผยถึงช่องโหว่กว่า 47 รายการใน Firmware และแอปพลิเคชันดั้งเดิม (ถูกติดตั้งมาก่อนจำหน่าย) บนมือถือ Android กว่า 25 โมเดลจากหลายค่าย …