มีการเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ถึงรูปแบบการโจมตีแบบฟิชชิงที่เพิ่มขึ้นโดยการใช้ Google Accelerated Mobile Pages (AMP) ในทางที่ผิดเพื่อหลบเลี่ยงการตรวจสอบจากมาตรการรักษาความปลอดภัยของอีเมล และเข้าถึงอีเมลของพนักงานในองค์กร
Google AMP เป็นเฟรมเวิร์ก HTML แบบโอเพ่นซอร์สที่ร่วมกันพัฒนาโดย Google และพาร์ทเนอร์กว่า 30 ราย เพื่อทำให้เนื้อหาเว็ปโหลดเร็วขึ้นบนอุปกรณ์มือถือ
โดยโฮสต์ AMP pages จะอยู่บนเซิร์ฟเวอร์ของ Google ซึ่งเนื้อหา และสื่อมีเดียบางส่วนจะถูกโหลดไว้ล่วงหน้าเพื่อให้ส่งข้อมูลได้เร็วขึ้น
แนวคิดการใช้ Google AMP URLs ที่ฝังอยู่ในอีเมลฟิชชิง คือการทำให้มาตรการรักษาความปลอดภัยของอีเมลไม่มองว่าอีเมลฟิชชิงดังกล่าวเป็นอันตราย หรือน่าสงสัย เนื่องจากมาจากระบบของ Google
โดย URLs ของ AMP จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิงที่เป็นอันตราย และขั้นตอนนี้ยังเพิ่มความซับซ้อนสำหรับการตรวจสอบอีกด้วย
ข้อมูลจาก Cosense ในช่วงกลางเดือนกรกฎาคม ซึ่งแสดงให้เห็นว่าผู้ไม่ประสงค์ดีอาจมีการปรับใช้วิธีการโจมตีดังกล่าว
Cofense ระบุในรายงานว่า ประมาณ 77 % URL ของ Google AMP ถูกพบอยู่ในโดเมน google.com และ 23% อยู่ในโดเมน google.co.uk
โดย path "google.com/amp/s/" จะเป็น URL ปกติ ทำให้การบล็อก URL นี้อาจส่งผลกระทบต่อการใช้งาน Google AMP อื่น ๆ ทั้งหมด อย่างไรก็ตามการตั้งค่าให้มีการตรวจสอบ URL เหล่านี้ก็ถือว่ามีความสำคัญ และอย่างน้อยก็เพื่อเตือนผู้รับให้ระวังการเปลี่ยนเส้นทางของ URL ที่อาจเป็นอันตราย
การโจมตีแบบพิเศษ
Cosense ระบุว่าผู้ไม่ประสงค์ดีที่ใช้ Google AMP ยังมีการใช้เทคโนโลยีเพิ่มเติมเพื่อช่วยหลีกเลี่ยงการตรวจจับที่ช่วยทำให้การโจมตีนั้นสำเร็จมากขึ้น
ในหลายกรณีที่พบโดย Cofense ตัวอย่าง เช่น ผู้ไม่ประสงค์ดีจะใช้อีเมล HTML แบบใช้รูปภาพแทนเนื้อหาข้อความแบบดั้งเดิมเป็นการสร้างความสับสนให้กับเครื่องมือที่ใช้สแกนข้อความที่ตรวจสอบข้อความฟิชชิงในเนื้อหาข้อความในอีเมล
อีกตัวอย่างหนึ่ง ผู้ไม่ประสงค์ดีใช้ขั้นตอนการเปลี่ยนเส้นทางโดยใช้ URL ของ Microsoft.com เพื่อหลอกเหยื่อไปยังโดเมน Google AMP และสุดท้ายไปยังไซต์ฟิชชิงจริง
สุดท้าย ผู้ไม่ประสงค์ดีใช้บริการ CAPTCHA ของ Cloudflare เพื่อขัดขวางการวิเคราะห์ฟิชชิงอัตโนมัติของ security bots เพื่อป้องกันไม่ให้ซอฟต์แวร์สามารถรวบรวมข้อมูลได้
โดยรวมแล้ว ในปัจจุบันผู้ไม่ประสงค์ดีด้วยรูปแบบฟิชชิงมักใช้วิธีหลบเลี่ยงการตรวจจับหลากหลายวิธี ซึ่งทำให้เครื่องมือรักษาความปลอดภัย (security tools) ตรวจจับภัยคุกคาม และบล็อกการโจมตีได้ยากขึ้น
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น