Google Meet แพลตฟอร์มการประชุมออนไลน์แบบวิดีโอ ช่วยให้อาจารย์และนักศึกษาสามารถจัดการประชุมแบบวิดีโอคอลหรือเข้าร่วมการประชุมออนไลน์ได้ จากทุกที่ที่มีการเชื่อมต่ออินเทอร์เน็ต โดยรองรับการประชุมทั้งในรูปแบบส่วนตัวและกลุ่มใหญ่ ซึ่งมีการเข้าใช้งานที่สะดวกและรวดเร็ว ด้วยความนิยมนี้ จึงทำให้ตกเป็นเป้าหมายใช้ในแคมเปญการหลอกลวงที่เรียกว่า ClickFix ซึ่งมุ่งเป้าหมายไปที่การขโมยข้อมูลจากผู้ใช้งาน Windows และ macOS โดยใช้หน้า Google Meet ปลอม
รูปแบบการหลอกลวงและการขโมยข้อมูล
มิจฉาชีพจะส่งอีเมลปลอมถึงเหยื่อที่ดูเหมือนคำเชิญประชุมหรือการสัมนาจาก Google Meet โดยเน้นให้ดูเหมือนการประชุมที่สำคัญ อีเมลเหล่านี้มักจะมีลิงก์ที่ดูคล้ายกับลิงก์ของ Google Meet จริง เช่น
meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us
เมื่อเหยื่อคลิกลิงก์เหล่านี้ จะถูกนำไปยังหน้า Google Meet ปลอมที่แสดงข้อผิดพลาดการเชื่อมต่อ เช่น ปัญหาเกี่ยวกับไมโครโฟนหรือชุดหูฟัง จากนั้นหน้าปลอมนี้จะเสนอวิธีแก้ปัญหาโดยให้คลิกปุ่ม “Try Fix” ซึ่งเป็นจุดเริ่มต้นของกระบวนการติดมัลแวร์ที่เรียกว่า ClickFix ดังภาพด้านล่าง
เมื่อคลิก “Try Fix” โค้ด PowerShell จะถูกคัดลอกไปที่คลิปบอร์ดและรันบน Windows Command Prompt ซึ่งเครื่องจะติดมัลแวร์โดยมัลแวร์ที่ใช้ขโมยข้อมูลเช่น Stealc, Rhadamanthys สำหรับ Windows และ AMOS Stealer สำหรับ macOS จะถูกดึงมาจากโดเมนปลอม googiedrivers[.]com
มัลแวร์ที่เหยื่อติดตั้งลงในระบบมีหลายรูปแบบ ตัวอย่างเช่น
- DarkGate
- Matanbuchus
- NetSupport
- Amadey Loader
- XMRig
- มัลแวร์ยึดคลิปบอร์ด
- Lumma Stealer
มัลแวร์เหล่านี้สามารถขโมยข้อมูลที่สำคัญ เช่น ข้อมูลเข้าสู่ระบบ การทำธุรกรรมออนไลน์ หรือข้อมูลส่วนตัวอื่น ๆ ซึ่งอาจส่งผลเสียหายต่อความเป็นส่วนตัวและการทำงานในองค์กร
แนวทางการป้องกันและวิธีรับมือ
เพื่อปกป้องตนเองจากมัลแวร์ ClickFix และการหลอกลวงลักษณะนี้ ควรปฏิบัติตามคำแนะนำดังนี้
- ตรวจสอบลิงก์: ก่อนคลิกลิงก์ใด ๆ ควรตรวจสอบ URL ว่าเป็นของจริงหรือไม่ ลิงก์ปลอมมักจะมีลักษณะคล้ายคลึงกับลิงก์จริงของ Google Meet แต่มีการสะกดผิดเล็กน้อย เช่น googie แทนที่จะเป็น google
- ตรวจสอบอีเมลที่น่าสงสัย: อย่าไว้ใจอีเมลคำเชิญประชุมที่ดูเร่งด่วนหรือแปลก ๆ
- หลีกเลี่ยงการคลิกปุ่ม “Try Fix”: หากได้รับข้อความแจ้งข้อผิดพลาดจาก Google Meet ว่ามีปัญหาทางเทคนิค อย่าคลิกปุ่ม “Try Fix” หรือดำเนินการใด ๆ ที่เกี่ยวข้อง ควรปิดหน้าต่างนั้นทันที
- ระวังโดเมนปลอม: โดเมนเช่น googiedrivers[.]com เป็นโดเมนที่แอบอ้าง ควรตรวจสอบชื่อโดเมนก่อนทำธุรกรรมหรือดาวน์โหลดไฟล์ใด ๆ
- ใช้ซอฟต์แวร์ความปลอดภัย: ติดตั้งโปรแกรมแอนตี้ไวรัสที่เชื่อถือได้และสแกนหาไวรัสเป็นประจำ
การโจมตีเหล่านี้ไม่เพียงแค่ใช้ Google Meet เท่านั้น แต่ยังขยายไปยังแพลตฟอร์มอื่น ๆ ด้วย เช่น Zoom, โปรแกรมอ่าน PDF, เกมปลอม และแอปพลิเคชันต่าง ๆ ดังนั้นการมีสติและระมัดระวังทุกครั้งเมื่อใช้งานโปรแกรมออนไลน์ต่างๆเป็นสิ่งสำคัญ
ที่มา
[1] techtalkthai.com
[2] bleepingcomputer.com
update on 22 October 2024
