โปรดระวังการขโมยข้อมูล ผ่าน Google Meets

     Google Meet แพลตฟอร์มการประชุมออนไลน์แบบวิดีโอ ช่วยให้อาจารย์และนักศึกษาสามารถจัดการประชุมแบบวิดีโอคอลหรือเข้าร่วมการประชุมออนไลน์ได้ จากทุกที่ที่มีการเชื่อมต่ออินเทอร์เน็ต โดยรองรับการประชุมทั้งในรูปแบบส่วนตัวและกลุ่มใหญ่ ซึ่งมีการเข้าใช้งานที่สะดวกและรวดเร็ว ด้วยความนิยมนี้ จึงทำให้ตกเป็นเป้าหมายใช้ในแคมเปญการหลอกลวงที่เรียกว่า ClickFix ซึ่งมุ่งเป้าหมายไปที่การขโมยข้อมูลจากผู้ใช้งาน Windows และ macOS โดยใช้หน้า Google Meet ปลอม

รูปแบบการหลอกลวงและการขโมยข้อมูล

      มิจฉาชีพจะส่งอีเมลปลอมถึงเหยื่อที่ดูเหมือนคำเชิญประชุมหรือการสัมนาจาก Google Meet โดยเน้นให้ดูเหมือนการประชุมที่สำคัญ อีเมลเหล่านี้มักจะมีลิงก์ที่ดูคล้ายกับลิงก์ของ Google Meet จริง เช่น

meet[.]google[.]us-join[.]com

meet[.]google[.]web-join[.]com

meet[.]googie[.]com-join[.]us

meet[.]google[.]cdm-join[.]us

เมื่อเหยื่อคลิกลิงก์เหล่านี้  จะถูกนำไปยังหน้า Google Meet ปลอมที่แสดงข้อผิดพลาดการเชื่อมต่อ เช่น ปัญหาเกี่ยวกับไมโครโฟนหรือชุดหูฟัง จากนั้นหน้าปลอมนี้จะเสนอวิธีแก้ปัญหาโดยให้คลิกปุ่ม “Try Fix” ซึ่งเป็นจุดเริ่มต้นของกระบวนการติดมัลแวร์ที่เรียกว่า ClickFix  ดังภาพด้านล่าง

ภาพจาก bleepingcomputer และ Sekoia

เมื่อคลิก “Try Fix”  โค้ด PowerShell จะถูกคัดลอกไปที่คลิปบอร์ดและรันบน Windows Command Prompt ซึ่งเครื่องจะติดมัลแวร์โดยมัลแวร์ที่ใช้ขโมยข้อมูลเช่น Stealc, Rhadamanthys สำหรับ Windows และ AMOS Stealer สำหรับ macOS จะถูกดึงมาจากโดเมนปลอม googiedrivers[.]com

มัลแวร์ที่เหยื่อติดตั้งลงในระบบมีหลายรูปแบบ ตัวอย่างเช่น

  • DarkGate
  • Matanbuchus
  • NetSupport
  • Amadey Loader
  • XMRig
  • มัลแวร์ยึดคลิปบอร์ด
  • Lumma Stealer

มัลแวร์เหล่านี้สามารถขโมยข้อมูลที่สำคัญ เช่น ข้อมูลเข้าสู่ระบบ การทำธุรกรรมออนไลน์ หรือข้อมูลส่วนตัวอื่น ๆ ซึ่งอาจส่งผลเสียหายต่อความเป็นส่วนตัวและการทำงานในองค์กร

แนวทางการป้องกันและวิธีรับมือ

เพื่อปกป้องตนเองจากมัลแวร์ ClickFix และการหลอกลวงลักษณะนี้ ควรปฏิบัติตามคำแนะนำดังนี้

  1. ตรวจสอบลิงก์: ก่อนคลิกลิงก์ใด ๆ ควรตรวจสอบ URL ว่าเป็นของจริงหรือไม่ ลิงก์ปลอมมักจะมีลักษณะคล้ายคลึงกับลิงก์จริงของ Google Meet แต่มีการสะกดผิดเล็กน้อย เช่น googie แทนที่จะเป็น google
  2. ตรวจสอบอีเมลที่น่าสงสัย: อย่าไว้ใจอีเมลคำเชิญประชุมที่ดูเร่งด่วนหรือแปลก ๆ
  3. หลีกเลี่ยงการคลิกปุ่ม “Try Fix”: หากได้รับข้อความแจ้งข้อผิดพลาดจาก Google Meet ว่ามีปัญหาทางเทคนิค อย่าคลิกปุ่ม “Try Fix” หรือดำเนินการใด ๆ ที่เกี่ยวข้อง ควรปิดหน้าต่างนั้นทันที
  4. ระวังโดเมนปลอม: โดเมนเช่น googiedrivers[.]com เป็นโดเมนที่แอบอ้าง ควรตรวจสอบชื่อโดเมนก่อนทำธุรกรรมหรือดาวน์โหลดไฟล์ใด ๆ
  5. ใช้ซอฟต์แวร์ความปลอดภัย: ติดตั้งโปรแกรมแอนตี้ไวรัสที่เชื่อถือได้และสแกนหาไวรัสเป็นประจำ

การโจมตีเหล่านี้ไม่เพียงแค่ใช้ Google Meet เท่านั้น แต่ยังขยายไปยังแพลตฟอร์มอื่น ๆ ด้วย เช่น Zoom, โปรแกรมอ่าน PDF, เกมปลอม และแอปพลิเคชันต่าง ๆ ดังนั้นการมีสติและระมัดระวังทุกครั้งเมื่อใช้งานโปรแกรมออนไลน์ต่างๆเป็นสิ่งสำคัญ

ที่มา
[1]  techtalkthai.com
[2] bleepingcomputer.com

update on  22  October  2024

Scroll to Top