ผู้ไม่ประสงค์ดีใช้ DNS MX Records สร้างหน้าเข้าสู่ระบบปลอมกว่า 100 เว็บ
ผู้ไม่ประสงค์ดีใช้ DNS mail exchange (MX) records เพื่อสร้างหน้าเข้าสู่ระบบปลอมที่ถูกออกแบบให้เหมาะกับเหยื่อ โดยเป็นลักษณะการโจมตีด้วยอีเมลสแปมที่มีลิงก์อันตราย เพื่อนำพาเหยื่อเข้าสู่ระบบที่ถูกปลอมแปลงขึ้น อีเมลเหล่านี้มักใช้ข้อความเร่งด่วนเพื่อชวนให้สนใจ เช่น การปิดใช้งานบัญชี หรือการจัดส่งเอกสาร เพื่อกระตุ้นให้เหยื่อกดลิงก์ที่แนบมา โดยลิงก์อันตรายส่วนใหญ่มักถูกสร้างด้วย WordPress หรือใช้ช่องโหว่ของระบบโฆษณาออนไลน์ เพื่อหลีกเลี่ยงการตรวจจับระบบความปลอดภัยของอีเมล ซึ่ง Malware Phishing นี้ใช้ DNS MX record lookup ผ่าน DNS over HTTPS (DoH) จาก Google หรือ Cloudflare เพื่อระบุเหยื่อได้อย่างแม่นยำ โดยไม่ต้องใช้ฐานข้อมูลขนาดใหญ่ อาศัยเพียงโค้ด JavaScript ส่งคำขอไปยังเซิร์ฟเวอร์ DNS สาธารณะ เพื่อตรวจสอบข้อมูล MX Record และเลือกหน้าเข้าสู่ระบบปลอมที่ตรงกับเหยื่อ จากนั้นข้อมูล Credentials ของเหยื่อจะถูกส่งไปยังผู้ไม่ประสงค์ดีผ่านทางอีเมล, PHP Script, AJAX Requests หรือแพลตฟอร์มส่งข้อความอื่นๆ เช่น Telegram โดยใช้วิธีการทำให้โค้ดอ่านยาก (Obfuscation) เพื่อป้องกันการวิเคราะห์จากการตรวจสอบ, การติดตามการกดแป้นพิมพ์ (Keyboard Monitoring) เพื่อตรวจสอบการทำงาน หรือตรวจสอบว่าเหยื่อพยายามตรวจสอบโค้ดหรือไม่ และการเปลี่ยนเส้นทาง (Redirect) ไปยังเว็บไซต์จริง หลังจากขโมยข้อมูลเพื่อไม่ให้เหยื่อสงสัย การโจมตีครั้งนี้ถือเป็นพัฒนาการที่ซับซ้อนมากขึ้นทำให้ผู้ใช้ทั่วไป รวมถึงองค์กรต่างๆ ตกเป็นเป้าหมายได้ง่าย
คำแนะนำ
– ควรตรวจสอบลิงก์ก่อนคลิก
– ควรระวังอีเมลที่เร่งด่วน ควรตรวจสอบกับผู้ให้บริการโดยตรง
– ควรใช้การยืนยันตัวตนสองชั้น (2FA)
– ควรอัพเดตซอฟต์แวร์ และระบบรักษาความปลอดภัยสม่ำเสมอ