ស្ថាប័នសេវាធនាគារនិងហិរញ្ញវត្ថុកំពុងតែក្លាយជាគោលដៅវាយប្រហារបែប phishing adversary in the middle (AitM) និងការវាយប្រហារអុីម៉ែលអាជីវកម្ម (BEC) បើយោងតាមការបញ្ជាក់ពីក្រុមហ៊ុន Microsoft។ក្រុមហ៊ុនបង្ហាញកាលពីថ្ងៃព្រហស្បតិ៍ថា ការវាយប្រហារមានប្រភពចេញពីអ្នកផ្គត់ផ្គង់ដែលត្រូវសម្របសម្រួល និងចាប់យកការវាយប្រហារ AitM និងដើរតាមសកម្មភាព BEC។ ក្រុមហ៊ុនកំពុងតែតាមដានក្រុមហេគឃ័រ Storm-1167 ដែលប្រើ indirect proxy ដើម្បីធ្វើការវាយប្រហារ។
ការណ៍នេះធ្វើឱ្យហេគឃ័រអាចក្លែងបន្លំគេហទំព័រតាមគោលដៅរបស់ពួកគេ និងលួច cookie ដើម្បីបន្តការវាយប្រហារ AitM។ ការវាយប្រហារនេះមិនដូចការវាយប្រហារ AitM ផ្សេងដែលបន្លំគេហទំព័រធ្វើជា reverse proxy ដើម្បីប្រមូលអត្តសញ្ញាណ និងលេខសម្ងាត់ផ្អែកតាមពេលវេលា (TOTPs) ដែលបញ្ចូលដោយជនរងគ្រោះនោះទេ។ក្រុមហ៊ុនថ្លែងថា ហេគឃ័របង្ហាញគោលដៅជាមួយនឹងគេហទំព័រដែលត្រាប់តាមដូចជា sign-in page នៃកម្មវិធីគោលដៅ ដូចជានៅក្នុងការវាយប្រហារបែបប្រពៃណីដែរ និងត្រូវបង្ហោះនៅក្នុង cloud service។ ជាងនេះ sign-in page មានធនធានផ្ទុកចេញពីម៉ាសុីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ ដែលចាប់ផ្តើម session ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយនឹងអ្នកផ្តល់នូវការផ្ទៀងផ្ទាត់នៃកម្មវិធីគោលដៅដោយប្រើអត្តសញ្ញាណជនរងគ្រោះ។ ខ្សែច្រវាក់នៃការវាយប្រហារកើតមានជាមួយអុីម៉ែលបញ្ឆោតដែលមានភ្ជាប់លីង នៅពេលចុចលើលីង វានាំជនរងគ្រោះទៅកាន់ Microsoft sign-in page ក្លែងក្លាយ និងលួចអត្តសញ្ញាណដែលបញ្ចូល និង TOTPs។
លេខសម្ងាត់ និង session cookies ដែលប្រមូលត្រូវប្រើបន្លំជាអ្នកប្រើ និងអាចដំណើរការដោយគ្មានការអនុញ្ញាតដើម្បីមើលសារនៅក្នុងប្រអប់។ ការធ្វើដូច្នេះដើម្បីទទួលអុីម៉ែលសំខាន់ និងវាយប្រហារបែប BEC។ លើសពីនេះទៀត វិធីសាស្រ្តផ្ទៀងផ្ទាត់២កត្តាផ្អែកលើសារ SMS ត្រូវបន្ថែមឱ្យគណនីគោលដៅដើម្បី sign in និងប្រើអត្តសញ្ញាណលួចចម្លងដោយគ្មានអ្នកចាប់អារម្មណ៍។
ក្រុមហ៊ុនបន្ថែមថា ហេគឃ័រចាប់ផ្តើមយុទ្ធនាការវាយប្រហារដ៏ធំ ដែលផ្ញើទៅកាន់អុីមែ៉លជាង 16K ទៅកាន់អ្នកប្រើដែលសម្របសម្រួល ទាំងនៅក្នុងនិងក្រៅស្ថាប័ន ក៏ដូចជាទៅកាន់បញ្ជីឈ្មោះផងដែរ។ ហេគឃ័រក៏ត្រូវគេមើលឃើញថាប្រើវិធីសាស្រ្តកាត់បន្ថយការរកឃើញនិងឆ្លើយតបអុីមែ៉លដែលផ្ញើចូល និងលុបវាចេញពី mailbox ជាបន្តបន្ទាប់។ ចុងក្រោយ អ្នកទទួលអុីម៉ែលបញ្ឆោតក្លាយជាគោលដៅពីការវាយប្រហារ AitM លើកទី២ ដើម្បីលួចអត្តសញ្ញាណ និងជម្រុញសកម្មភាពបោកប្រាស់ផ្សេងទៀតពីអុីម៉ែលនៅក្នុង inbox របស់អ្នកប្រើដែលគណនីរបស់ពួកគេត្រូវហេគ AitM។
ក្រុមហ៊ុនបន្តថា ការវាយប្រហារនេះបង្ហាញពីការគំរាមកំហែងដ៏ស្មុគស្មាញនៃ AitM និង BEC ដែលប្រើទំនាក់ទំនងទុកចិត្តរវាងអ្នកលក់ ផ្គត់ផ្គង់ និងដៃគូស្ថាប័ននានាជាមួយនឹងការបោកប្រាស់ផ្នែកហិរញ្ញវត្ថុ។ រឿងនេះកើតមានជិត១ខែ បន្ទាប់ពីក្រុមហ៊ុន Microsoft ព្រមានពីការកើនឡើងនៃការវាយប្រហារ BEC និងពាក់ព័ន្ធនឹងការប្រើបច្ចេកទេសរបស់ឧក្រឹដ្ឋជនសាយប័ររួមមាន BulletProftLink សម្រាប់បង្កើតយុទ្ធនាការអុីម៉ែលព្យាបាទខ្នាតធំ។ បច្ចេកទេសផ្សេងទៀតមានការប្រើ residential internet protocol (IP) address ដើម្បីធ្វើការវាយប្រហារនៅក្នុងតំបន់។ Redmond ពន្យល់ថា ហេគឃ័រវាយប្រហារ BEC ទិញ IP addresses ពីសេវា residential IP មកផ្គូផ្គងទីតាំងបង្កើត residential IP proxies ជនរងគ្រោះដែលផ្តល់នូវឱកាសវាយប្រហារដល់ឧក្រឹដ្ឋជនបិទបាំងប្រភពរបស់ពួកគេ។ បន្ថែមពីលើ username និងលេខសម្ងាត់ ហេគឃ័រអាចប្រើអាសយដ្ឋាននៅក្នុងតំបន់ (localized address) ដែលធ្វើឱ្យការវាយប្រហារបែប BEC អាចបិទបាំងពីចលនារបស់ខ្លួន និងពង្រីកការវាយប្រហារបន្ថែម៕
