นักแสดงคุกคาม Smishing Triad
นับตั้งแต่วันที่ 1 มกราคม 2567 เป็นต้นมา มีแคมเปญหลอกลวงขนาดใหญ่ที่เชื่อมโยงกับโดเมนอันตรายกว่า 194,000 โดเมน โดยมีเป้าหมายโจมตีบริการหลากหลายประเภททั่วโลก แคมเปญนี้ใช้ข้อความ SMS หลอกลวงเพื่อหลอกผู้ใช้ให้เปิดเผยข้อมูลสำคัญ ซึ่งมักปลอมแปลงเป็นการละเมิดค่าธรรมเนียมหรือพัสดุภัณฑ์ที่ส่งผิด
แม้ว่าโดเมนจะได้รับการจดทะเบียนผ่านผู้ให้บริการที่ตั้งอยู่ในฮ่องกงและใช้เซิร์ฟเวอร์ชื่อของจีน แต่โครงสร้างพื้นฐานการโจมตีจะดำเนินการจากบริการคลาวด์ที่โฮสต์ในสหรัฐอเมริกาเป็นหลัก ซึ่งสะท้อนถึงการตั้งค่าแบบกระจายไปทั่วโลก
สารบัญ
The Smishing Triad: ผู้ก่อภัยคุกคามที่เชื่อมโยงกับจีน
แคมเปญนี้มาจากกลุ่ม Smishing Triad ซึ่งเชื่อมโยงกับจีน มีชื่อเสียงจากการส่งการแจ้งเตือนปลอมๆ จำนวนมากไปยังอุปกรณ์มือถือ ในช่วงสามปีที่ผ่านมา แคมเปญเหล่านี้พิสูจน์แล้วว่าทำกำไรได้มหาศาล โดยสร้างรายได้มากกว่า 1 พันล้านดอลลาร์ให้กับผู้ก่อภัยคุกคาม
ผลการวิจัยล่าสุดชี้ให้เห็นถึงวิวัฒนาการที่สำคัญของกลยุทธ์ของพวกเขา ชุดฟิชชิ่งกำลังพุ่งเป้าไปที่บัญชีนายหน้าซื้อขายหลักทรัพย์เพื่อขโมยข้อมูลประจำตัวธนาคารและรหัสยืนยันตัวตน การโจมตีบัญชีเหล่านี้เพิ่มขึ้นห้าเท่าในไตรมาสที่ 2 ปี 2568 เมื่อเทียบกับช่วงเวลาเดียวกันของปี 2567 เมื่อถูกบุกรุก ผู้โจมตีจะควบคุมราคาหุ้นโดยใช้กลยุทธ์ 'ramp and dump' ทำให้เหลือร่องรอยเอกสารน้อยที่สุด
ฟิชชิ่งในรูปแบบบริการ: ระบบนิเวศอาชญากรที่มีเสถียรภาพ
Smishing Triad ได้เปลี่ยนจากผู้ให้บริการชุดฟิชชิ่งแบบธรรมดามาเป็นชุมชน Phishing-as-a-Service (PhaaS) ที่มีการใช้งานสูง ซึ่งประกอบด้วยผู้ปฏิบัติงานเฉพาะทางหลายราย:
- นักพัฒนาชุดฟิชชิ่ง – สร้างเครื่องมือ
- นายหน้าข้อมูล – จัดหาหมายเลขโทรศัพท์เป้าหมาย
- ผู้ขายโดเมน – จดทะเบียนโดเมนแบบใช้แล้วทิ้งสำหรับการโฮสต์เว็บไซต์ฟิชชิ่ง
- ผู้ให้บริการโฮสติ้ง – บำรุงรักษาเซิร์ฟเวอร์
- ผู้ส่งสแปม – เผยแพร่ข้อความหลอกลวงเป็นจำนวนมาก
- เครื่องสแกนชีวิต – ตรวจสอบหมายเลขโทรศัพท์ที่ใช้งานอยู่
- เครื่องสแกนรายการบล็อก – ตรวจสอบโดเมนกับรายการบล็อกเพื่อการหมุนเวียน
ระบบนิเวศนี้ช่วยให้สามารถปรับใช้ได้อย่างรวดเร็วและปรับตัวได้อย่างต่อเนื่อง ทำให้การตรวจจับและการหยุดชะงักเป็นเรื่องท้าทาย
กลยุทธ์การลงทะเบียนโดเมนและการเปลี่ยนแปลง
จากการวิเคราะห์พบว่าโดเมนหลักเกือบ 93,200 โดเมน จากทั้งหมด 136,933 โดเมน (68.06%) ได้รับการจดทะเบียนภายใต้ Dominet (HK) Limited โดยส่วนใหญ่ใช้คำนำหน้า .com แม้ว่าในช่วงไม่กี่เดือนที่ผ่านมาจะมีจำนวนการจดทะเบียนโดเมน .gov เพิ่มขึ้นก็ตาม
แคมเปญนี้ต้องอาศัยการหมุนเวียนโดเมนอย่างรวดเร็ว:
- 29.19% ของโดเมนมีการใช้งานเป็นเวลาสองวันหรือน้อยกว่า
- 71.3% มีการใช้งานน้อยกว่าหนึ่งสัปดาห์
- 82.6% มีการใช้งานเป็นเวลาสองสัปดาห์หรือน้อยกว่า
- น้อยกว่า 6% ที่รอดชีวิตเกินสามเดือน
การเปลี่ยนแปลงนี้ เมื่อรวมกับ FQDN จำนวน 194,345 รายการที่แปลงเป็น IP ที่ไม่ซ้ำกัน 43,494 รายการ (ส่วนใหญ่อยู่ในสหรัฐอเมริกาบน Cloudflare) ทำให้ผู้ก่อภัยคุกคามสามารถหลบเลี่ยงการตรวจจับได้อย่างต่อเนื่อง
ข้อมูลเชิงลึกด้านโครงสร้างพื้นฐานและการเข้าถึงทั่วโลก
ผลการค้นพบที่สำคัญจากการวิเคราะห์โครงสร้างพื้นฐานของแคมเปญ ได้แก่:
- บริการไปรษณีย์ของสหรัฐอเมริกาเป็นบริการที่มีการปลอมแปลงมากที่สุด โดยมี FQDN จำนวน 28,045 รายการ
- บริการเก็บเงินปลายทางมีอิทธิพลอย่างมาก โดยมี FQDN ฟิชชิ่งประมาณ 90,000 รายการ
- โดเมนที่สร้างปริมาณการเข้าชมสูงสุดนั้นโฮสต์อยู่ในสหรัฐอเมริกาเป็นหลัก รองลงมาคือจีนและสิงคโปร์
เหยื่อตกเป็นเป้าหมายในหลายภาคส่วน รวมถึงธนาคาร การแลกเปลี่ยนสกุลเงินดิจิทัล บริการจัดส่ง กองกำลังตำรวจ รัฐวิสาหกิจ บริการเก็บค่าผ่านทาง แอปพลิเคชันเรียกรถร่วม บริการต้อนรับ โซเชียลมีเดีย และแพลตฟอร์มอีคอมเมิร์ซในประเทศต่างๆ เช่น รัสเซีย โปแลนด์ และลิทัวเนีย
แคมเปญแอบอ้างตนเป็นรัฐบาลมักจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing page ที่อ้างว่าไม่ได้ชำระค่าผ่านทางหรือค่าบริการ บางครั้งใช้เหยื่อล่อ ClickFix เพื่อหลอกให้ผู้ใช้รันโค้ดอันตรายที่ปลอมตัวมาเป็นการตรวจสอบ CAPTCHA
ภัยคุกคามแบบกระจายอำนาจที่มีผลกระทบระดับโลก
แคมเปญ Smishing Triad แสดงให้เห็นถึงการเข้าถึงและการกระจายอำนาจในระดับโลก ผู้โจมตีลงทะเบียนและวนเวียนผ่านโดเมนนับพันโดเมนทุกวัน เลียนแบบบริการที่หลากหลายเพื่อสร้างผลกระทบสูงสุด แคมเปญ Smishing ที่มุ่งเป้าไปที่บริการเก็บค่าผ่านทางในสหรัฐอเมริกาเป็นเพียงแง่มุมหนึ่งขององค์กรอาชญากรรมขนาดใหญ่ที่ปรับตัวได้สูงและสร้างผลกำไร ซึ่งยังคงพัฒนาอย่างต่อเนื่อง
