ក្រុមហ៊ុន Microsoft ព្រមានពីការបន្លំទ្រង់ទ្រាយធំដែលផ្ញើទៅកាន់អ៊ីម៉ែលរាប់លានជារៀងរាល់ថ្ងៃ

0

ហេគឃ័រភាគច្រើនចូលចិត្តប្រើឧបករណ៍បោកបញ្ឆោត open source adversary-in-the-middle (AiTM) បច្ចុប្បន្ននេះ។ភ្នាក់ងារ Microsoft Threat Intelligence កំពុងតែតាមដានហេគឃ័រនៅពីក្រោយការវិវត្តនៃឧបករណ៍ (kit) ដែលមានឈ្មោះថា moniker DEV-1101។ ការវាយប្រហារបែប AiTM phishing ជាការបោកបញ្ឆោតក្នុងបំណងលួច និងស្ទាក់ចាប់លេខសម្ងាត់និង session cookies របស់ជនរងគ្រោះ ដោយពង្រាយ proxy server រវាងអ្នកប្រើ និងគេហទំព័រ។ ការវាយប្រហារប្រភេទនេះមានប្រសិទ្ធភាពដោយសារវាមានសមត្ថភាពគេចចេញពីការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA)។

បើយោងតាមក្រុមហ៊ុនយក្ស ឱ្យដឹងថា ឧបករណ៍ DEV-1101 គឺជាផ្នែកមួយនៃឧបករណ៍វាយប្រហារជាច្រើនដែលអាចត្រូវទិញនិងជួលដោយក្រុមហេគឃ័រ ហើយក៏ផ្តល់នូវភាពងាយស្រួលនិងរហ័សដល់ក្រុមហេគឃ័រ ដើម្បីប្រតិបត្តិយុទ្ធនាការបន្លំ។ ជាងនេះ ក្រុមហ៊ុន Microsoft ថ្លែងថា ការបន្លំដែលអាចលក់ឱ្យក្រុមហេគឃ័រ ក៏ជាផ្នែកមួយនៃការធ្វើអាជីវកម្មឧក្រឹដ្ឋកម្មតាមអនឡាញនិងបើកទ្វារឧក្រឹដ្ឋកម្មអនឡាញផងដែរ។ ការផ្តល់ជូននូវអាជីវកម្មបែបសេវាកម្មនេះអាចជាកត្តាជម្រុញឱ្យមានការលួចកើនឡើងទ្វេដង នៅក្នុងនោះអត្តសញ្ញាណដែលលួចត្រូវផ្ញើទៅកាន់ទាំងអ្នកផ្តល់សេវាបោកបញ្ឆោត និងអតិថិជនរបស់ពួកគេ។ ឧបករណ៍ open source DEV-1101 អាចបង្កើតទំព័របន្លំត្រាប់តាម Microsoft Office និង Outlook និងប្រើ CAPTCHA checks ដើម្បីគេចចេញពីការរកឃើញ។

សេវានេះកើតមាននៅខែឧសភា ឆ្នាំ២០២២ ឆ្លងកាត់ការអភិវឌ្ឍជាច្រើន សំខាន់ជាងនេះគឺវាមានសមត្ថភាពគ្រប់គ្រងម៉ាស៊ីនមេដែលដំណើរការឧបករណ៍តាមរយៈ Telegram bot។ សព្វថ្ងៃនេះ វាមានតម្លៃ ៣០០$ សម្រាប់អាជ្ញាបណ្ណប្រចាំខែ ជាមួយនឹង VIP licenses មានតម្លៃ ១,០០០$។ ក្រុមហ៊ុន Microsoft ថ្លែងថា ក្រុមហ៊ុនរកឃើញយុទ្ធនាការបន្លំរាប់លានអ៊ីម៉ែលក្នុងមួយថ្ងៃពីហេគឃ័រផ្សេងៗដែលប្រើឧបករណ៍នេះ។ នេះរួមមានចង្កោមសកម្មភាពដែលមានឈ្មោះថា DEV-0928 ដែល Redmond ពណ៌នាថាជាអ្នកឧបត្ថម្ភរបស់ DEV-1101 និងលីងទៅសកម្មភាពសម្របសម្រួលជាង ១លានអ៊ីម៉ែលតាំងពីខែកញ្ញា ឆ្នាំ២០២២។

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអុីម៉ែលដែលមានផ្ទុកលីងទៅកាន់ឯកសារ PDF ហើយនៅពេលចុចវានាំជនរងគ្រោះទៅកាន់ login page ដែលបន្លំជាវេបសាយ sign-in របស់ Microsoft ប៉ុន្តែមិនបញ្ចុះបញ្ចូលឱ្យជនរងគ្រោះបំពេញ CAPTCHA step ទេ។ ក្រុមហ៊ុន Microsoft ថ្លែងថា ការបញ្ចូល CAPTCHA page ទៅក្នុងលំដាប់នៃការបន្លំអាចជាការលំបាកមួយសម្រាប់ប្រព័ន្ធស្វ័យប្រវត្តិ ដើម្បីឈានទៅទំព័របន្លំចុងក្រោយ ខណៈពេលដែលជនរងគ្រោះអាចនឹងចុចចូលទៅទំព័របន្ទាប់យ៉ាងងាយ។ ទោះបីជា ការវាយប្រហារ AiTM បែបនេះត្រូវបង្កើតឡើងដើម្បីឆ្លងដំណាក់កាល MFA វាចាំបាច់ថា អង្គភាពគួរតែទទួលយក phishing-resistant authentication methods ដូចជាការប្រើ FID02 security keys ដើម្បីបិទហេគឃ័រមិនឱ្យចូល (login) ៕

ប្រភពព័ត៌មាន៖ thehackernews ថ្ងៃទី១៤ ខែមីនា ឆ្នាំ២០២៣

LEAVE A REPLY

Please enter your comment!
Please enter your name here