ใครอยู่เบื้องหลังเพจปลอมสรยุทธ และเขาต้องการอะไรจากคนไทยอย่างเรา?

By: FatzQatz on 20 May 2024 - 22:33 Tags:
Topics: 
Cybersecurity
Facebook
Spam
In-Depth
Node Thumbnail

เชื่อว่าหลายคนน่าจะเคยพบเห็นเพจปลอมบน Facebook ซึ่งพยายามปลอมเป็นเพจชื่อดังในไทย หรือบางครั้งก็ปลอมเป็นบุคคลชื่อดัง เช่น สรุยุทธ สุทัศนะจินดา โดยดูเหมือนว่าช่วงหลังมานี้จะระบาดหนักมาก จนเจ้าตัวต้องเข้าไปคอมเม้นท์ด่าถึงในเพจปลอม แต่จะมีใครสงสัยบ้างไหมว่า จริง ๆ แล้วใครอยู่เบื้องหลังเพจปลอมเหล่านี้และเขาต้องการอะไรจากเรากันแน่?

alt="เพจปลอมสุดฮิตบน Facebook"

จากตัวอย่างของเพจปลอมที่พบล่าสุดในช่วงเดือน พ.ค.67 มีข้อความชักชวนให้คนเข้าไปซื้อนาฬิกาแบรนด์ดังในราคาสุดคุ้ม โดยจะทำการชักชวนให้คลิ๊กไปที่ URL คือ hxxp://www.centralworld-tha[.]online/applewatchs9 ซึ่งชื่อโดเมนดังกล่าวแสดงให้เห็นว่าผู้โจมตีต้องการทำให้คนหลงเชื่อว่าเว็บไซต์ปลายทางเป็นส่วนหนึ่งของห้างสรรพสินค้าชื่อดัง แต่ในความจริงแล้วเป็นเพียงการนำเอาชื่อมาแอบอ้างเท่านั้น

ถ้าเราลองตามเข้าไปที่เว็บไซต์ดังกล่าว จะพบว่ามีแบนเนอร์โฆษณาที่พยายามกระตุ้นให้เราอยากซื้อสินค้า แต่ภาษาไทยที่ใช้กลับมีความแปลกประหลาดและดูไม่เป็นธรรมชาติ พร้อมกันนั้นก็จะมีแบบฟอร์มให้เรากรอกข้อมูลเพื่อสั่งซื้อสินค้า ซึ่งจะต้องกรอกข้อมูลส่วนบบุคลของเรา ได้แก่ ชื่อ-นามสกุล เบอร์โทรศัพท์ และที่อยู่

alt="แบบฟอร์มสั่งซื้อสินค้าในหน้าเว็บไซต์ปลอม"

หากเรากรอกข้อมูลจนครบแล้วกดปุ่มเพื่อทำการสั่งซื้อ จะพบว่ามีกล่องข้อความยืนยันการสั่งซื้อแต่กลับไม่พาไปที่หน้าจอสำหรับชำระเงินแต่อย่างใด ซึ่งสิ่งที่เห็นนี้เป็นเพียงส่วนหน้าของเว็บไซต์เท่านั้น แต่ฝั่งหลังบ้านของเว็บไซต์นั้น ข้อมูลส่วนบบุคลที่เรากรอกไปก่อนหน้านี้ได้ถูกส่งไปยังเว็บไซต์ ldpform[.]com ซึ่งเป็นของผู้โจมตีเรียบร้อยแล้ว

alt="ข้อมูลส่ว่นบุคคลในแบบฟอร์มถูกส่งไปยังผู้โจมตี"

ดังนั้นคำถามที่ว่า เพจปลอมเหล่านี้ต้องการอะไรจากเรา?
คำตอบก็คือ ข้อมูลส่วนบุคคลของท่านคือสิ่งที่เขาต้องการ

ถ้าการโจมตีแบบนี้เกิดขึ้นในอดีตก่อนหน้านี้ซัก 3-4 ปี คนไทยเกือบทั้งหมดคงไม่แคร์และไม่ให้ความสำคัญกับเรื่องพวกนี้ แต่ในยุคปัจจุบันข้อมูลส่วนบุคคลเหล่านี้สามารถสร้างความเสียหายใหญ่หลวงได้หากมันตกไปอยู่ในมือของแก๊งคอลเซ็นเตอร์ซึ่งพร้อมที่จะซื้อข้อมูลเหล่านี้เพื่อนำไปใช้เป็นฐานข้อมูลในการโจมตีคนไทย

คำถามลำดับต่อมาคือ ใครกันแน่ที่อยู่เบื้องหลังเพจปลอมเหล่านี้? เราสามารถหาคำตอบได้จากการตรวจสอบข้อมูลจากเว็บไซต์ปลอมจากต้นเรื่องคือ centralworld-tha[.]online ซึ่งจะพบว่าชื่อโดเมนดังกล่าวพึ่งจะถูกจดทะเบียนเมื่อ 2 พ.ค.67 โดยมีการระบุข้อมูลผู้เป็นเจ้าของโดเมนในชื่อบริษัท Vũ Minh Hiếu และได้มีการดำเนินการจดทะเบียนผ่านบริษัทสัญชาติเวียดนามชื่อ Mat Bao Corporation

alt="ข้อมูลการจดทะเบียนชื่อเว็บไซต์"

นอกจากนี้เว็บไซต์ ldpform[.]net ซึ่งเป็นส่วนหนึ่งของระบบหลังบ้านที่ผู้โจมตีใช้งาน ยังพบว่ามีการใช้งานภาษาเวียดนามอีกด้วยเช่นกัน

alt="ภาษาเวียดนามถูกพบในระบบหลังบ้านของผู้โจมตี"

และถ้าหากเราลองไล่เช็คเว็บไซต์อื่น ๆ ซึ่งมีรูปแบบของชื่อโดเมนที่คล้ายกับ centralworld-tha[.]online จะพบว่ามีการสร้างเว็บไซต์ด้วยชื่อที่คล้ายกันนี้อีกประมาณ 5 รายการ ได้แก่ centralworld-th[.]site, centralworld-th[.]shop, centralworld-th[.]asia, centralworld-th[.]store, และ centralworld-th[.]com โดยที่เว็บไซต์เหล่านี้แม้จะยังไม่ถูกนำมาใช้งาน แต่จะสามารถพบข้อความในภาษาเวียดนามกำกับเอาไว้ในทุกเว็บไซต์

alt="เว็บไซต์อื่น ๆ ที่มีชื่อโดเมนคล้ายคลึงกัน"

จากข้อมูลในข้างต้นทำให้พอจะสามารถคาดการณ์ได้ว่า ผู้โจมตีที่อยู่เบื้องหลังเพจปลอมบน Facebook เหล่านี้ ซึ่งมุ่งเป้าโจมตีคนไทยเพื่อขโมยข้อมูลส่วนบุคคล เป็นผู้โจมตีที่ใช้ภาษาเวียดนามในการสื่อสาร

ดังนั้น เราจึงพอจะสรุปได้ว่า ผู้โจมตีที่ใช้ภาษาเวียดนามในการสื่อสาร กำลังโจมตีประเทศไทยโดยมุ่งเป้าในการเก็บรวบรวมข้อมูลส่วนบบุคลของคนไทย ด้วยการอาศัยช่องทางโฆษณาบนแพลตฟอร์มออนไลน์ เช่น Facebook และใช้การแอบอ้างขายสินค้าราคาถูกในการหลอกลวงเหยื่อ ร่วมกับการปลอมเพจหรือปลอมบัญชีผู้ใช้งานเป็นบุคคลที่มีชื่อเสียงในประเทศ รวมถึงปลอมชื่อโดเมนให้เหมือนกับห้างสรรพสินค้าชื่อดัง เพื่อเพิ่มความน่าเชื่อถือให้กับตัวเอง

ที่มา - Threat Actor Collects Personal Data from Thai Users via Facebook Spam Campaign

Get latest news from Blognone