เว็บไซต์ความปลอดภัย BleepingComputer รายงานว่าพบอาชญากรไซเบอร์นิยมใช้ไฟล์ SVG เพื่อทำ phishing ผ่านอีเมลมากขึ้น โดยอาศัยความสามารถของ SVG ที่สามารถฝังไฟล์ HTML อยู่ข้างในอีกทีด้วยแท็ก

ตัวอย่างการโจมตีคือแนบไฟล์ SVG มากับอีเมล ซึ่งตัวสแกนไวรัสมักไม่พบปัญหาอะไร เพราะมีแค่ข้อความกับรูปภาพ แต่เมื่อผู้ใช้เปิดไฟล์ SVG ขึ้นมาผ่านเว็บเบราว์เซอร์ จะเห็นภาพปลอมที่ทำเลียนแบบหน้าจอ Excel และช่องใส่รหัสผ่านของ Microsoft Account เพื่อเปิดไฟล์ หากผู้ใช้หลงเชื่อก็จะถูกขโมยรหัสผ่านไปทันที

อีกตัวอย่างหนึ่งที่ BleepingComputer นำมาโชว์เป็นการสร้างเอกสารปลอมของทางราชการ ขอให้ผู้ใช้กรอกข้อมูลเพิ่มเติม และมีปุ่มดาวน์โหลดไฟล์ PDF ซึ่งกดแล้วจะเป็นการดาวน์โหลดมัลแวร์แทน

เว็บข่าวความปลอดภัย Krebs on Security มีบทความในประเด็นเรื่องแพลตฟอร์มจองโรงแรมอย่าง Booking.com เจอปัญหา phishing ส่งข้อความในระบบของ Booking.com เองมาหลอกลวงผู้ใช้ให้กรอกข้อมูลส่วนตัว

ปัญหานี้ไม่ใช่เรื่องใหม่ของวงการจองโรงแรมออนไลน์ และมีรายงานใน social network ของไทยเองมานานพอสมควรแล้ว รูปแบบคือผู้จองโรงแรมจะได้รับข้อความจากผู้จัดการโรงแรมผ่านข้อความในระบบ มักบอกว่าการจ่ายเงินมีความผิดพลาด หรือต้องยืนยันตัวตนเพิ่มเติม พร้อมส่งลิงก์ URL เว็บปลอม phishing ที่หน้าตาเลียนแบบ Booking.com ของจริง เพื่อหลอกให้ผู้จองโรงแรมเข้าไปกรอกข้อมูลการเงินต่อไป

ธนาคารกลางสิงคโปร์ (MAS) เผยแพร่แนวทาง Shared Responsibility Framework กำหนดความรับผิดชอบของธนาคารและผู้ให้บริการโทรศัพท์มือถือในกรณีที่ลูกค้าถูกหลอกลวง โดยมุ่งเป้าการหลอกลวงในกลุ่มการปลอมตัวแบบ phishing และแอปดูดเงินก่อน แต่การหลอกลวงที่เหยื่อตกลงโอนเงินด้วยตัวเอง เช่น การหลอกลงทุน ยังไม่เข้าข่ายประกาศนี้

แม้ประกาศจะครอบคลุมถึงผู้ให้บริการโทรศัพท์มือถือ แต่ก็มีความรับผิดชอบเพียงแค่คัดกรอง SMS, ตรวจสอบและบล็อคข้อควาามเสี่ยงสูงเท่านั้น ความรับผิดชอบส่วนใหญ่อยู่กับธนาคาร โดยประกาศบังคับให้ธนาคารหรือสถาบันการเงินอื่น ต้องวางมาตรการเพิ่มเติม ได้แก่

ทีมความปลอดภัยของกูเกิล เขียนบทความลง Google Security Blog แนะนำให้ผู้ใช้โทรศัพท์มือถือปิดการทำงานของเครือข่าย 2G เพื่อป้องกันปัญหาสถานีฐานปลอม False Base Stations (FBS) หรือบางครั้งเรียกว่า Stingrays ที่กระจายข้อความ SMS ในพื้นที่นั้นๆ เพื่อหลอกให้คลิกลิงก์ (SMS phising) การโจมตีลักษณะนี้มีชื่อเรียกรวมๆ ว่า SMS Blaster

เครือข่าย 2G ที่ออกแบบมานานแล้ว ไม่ได้คิดถึงประเด็นเรื่องสถานีฐานปลอม ทำให้ตัวโปรโตคอลไม่มีวิธียืนยันได้ว่าเป็นสถานีฐานจริงหรือปลอม ทางออกจึงต้องแก้ที่ฝั่งอุปกรณ์โทรศัพท์ ให้ปิดการทำงานของโหมด 2G ไปเลย โดยฟีเจอร์นี้มีตั้งแต่ Android 12 แล้ว

ครั้งนี้เราจะใช้เทคนิคในการวิเคราะห์ข่าวกรองทางไซเบอร์ (Cyber Threat Intelligence: CTI) เพื่อขยายผลจาก phishing domain เพียงอันเดียว ไปสู่การตรวจพบอีก 8,500+ โดเมน ที่อยู่ในมือของแฮกเกอร์กลุ่มเดียวกัน ซึ่งกระบวนการนี้อาจจะเรียกได้ว่าเป็น proactive threat intelligence ก็ว่าได้ครับ

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (ศูนย์ TTC-CERT) ได้ติดตามและวิเคราะห์แคมเปญการหลอกลวงขนาดใหญ่ผ่านช่องทาง SMS หลอกลวง (Smishing) อีเมล์หลอกลวง (Phishing Email) และเว็บไซต์หลอกลวง เพื่อขโมยข้อมูลส่วนบุคคลและ/หรือข้อมูลทางการเงินของผู้ใช้บริการด้านไปรษณีย์และโทรคมนาคมทั่วโลก แคมเปญดังกล่าวเริ่มตั้งแต่เดือนพฤษภาคม 2566 โดยใช้โดเมนหลอกลวงมากกว่า 300 โดเมน ปลอมแปลงเป็นบริษัทภาคบริการไปรษณีย์ บริษัทโทรคมนาคม และองค์กรต่างๆ กว่า 50 แห่งทั่วโลก ซึ่งจากชื่อโดเมนหลอกลวงที่พบ ศูนย์ TTC-CERT มีความมั่นใจในระดับสูง (High Level of Confidence) ว่ากลุ่มมิจฉาชีพกลุ่มนี้มุ่งเป้าโจมตีไปที่บุคคลต่าง ๆ ทั่วโลก ไม่ใช่เป็นการมุ่งเป้าโจมตีคนไทยหรือองค์กรใดองค์กรหนึ่งเท่านั้น โดยโค

Akamai รายงานถึงสถานะการณ์คนร้ายหลอกลวงเหยื่อโดยอาศัยการปลอมตัวเป็นไปรษณีย์สหรัฐฯ (USPS) ว่ารุนแรงขึ้นเรื่อยๆ และโดเมนปลอมที่พยายามปลอมเป็น USPS นั้นมียอดการใช้งานสูงมาก

ทีมงาน Akamai พยายามสำรวจอัตราการเข้าเว็บปลอมเหล่านี้โดยค้นหาโดเมนที่มีชื่อ USPS ในชื่อ แต่กลับ resolve ได้ไอพีอื่นที่ไม่ใช่ของ USPS เอง เช่น usps-post[.]world, uspspost[.]me, usps-postoffices[.]top โดเมนเหล่านี้ resolve ได้ไอพีของคนร้าย ที่บางทีใช้ชื่อต่างกันเพียงไม่กี่โดเมน ขณะที่เซิร์ฟเวอร์บางตัวใช้โดเมนนับพันรายการ

Gmail เริ่มแสดงเครื่องหมายถูกสีฟ้าหลังชื่อผู้ส่งอีเมล เพื่อยืนยันว่าเป็นองค์กรนั้นจริงๆ ไม่ใช่อีเมลหลอกลวง

เมื่อปี 2021 Gmail เริ่มแสดงภาพโปรไฟล์ผู้ส่งอีเมล ตามมาตรฐาน Brand Indicators for Message Identification (BIMI) โดยหน่วยงานผู้ส่งอีเมลต้องยืนยันตัวตนว่าเป็นเจ้าของอีเมลจริงๆ จึงจะใช้โลโก้นั้นได้ (รายละเอียดวิธีการยืนยันตัวตน)

ข่าวนี้คือ Gmail จะเพิ่มเครื่องหมายถูก (checkmark) ท้ายชื่อผู้ส่งที่ยืนยันตัวตนผ่าน BIMI เพิ่มให้ด้วย โดยไม่ต้องจ่ายเพิ่ม 8 ดอลลาร์แต่อย่างใด

Reddit ยอมรับว่าถูกแฮ็กระบบภายใน ผ่านบัญชีของพนักงานที่ถูก phishing แต่ยังไม่พบข้อมูลของผู้ใช้รั่วไหล

Reddit ค้นพบการแฮ็กครั้งนี้เมื่อวันที่ 5 กุมภาพันธ์ 2023 โดยแฮ็กเกอร์พยายามส่งลิงก์ที่หน้าตาเหมือนเว็บไซต์ภายในให้พนักงาน เพื่อหลอกเอารหัสผ่านและ token จาก 2FA ซึ่งประสบความสำเร็จ ผลที่ได้คือแฮ็กเกอร์เข้าถึงเอกสารภายใน ข้อมูลของพนักงานจำนวนหนึ่ง โค้ด และแดชบอร์ดข้อมูลธุรกิจ แต่เข้าไม่ถึงระบบโปรดักชันที่รัน Reddit รวมถึงข้อมูลของลูกค้า

หลังจากค้นพบการแฮ็ก ทีมความปลอดภัยได้สอบสวนและปรับปรุงระบบ แต่ก็ย้ำเตือนว่าจุดอ่อนที่สุดย่อมเป็นมนุษย์ดังเช่นในเคสนี้

Mailchimp ผู้ให้บริการระบบอีเมลมาร์เก็ตติ้ง รายงานการถูกโจมตีเมื่อวันที่ 11 มกราคมที่ผ่านมา โดยใช้ Social Engineering เข้าถึงข้อมูลผ่านระบบของฝ่ายบริการลูกค้า โดยผู้โจมตีสามารถเข้าถึงบัญชีลูกค้า Mailchimp ได้ 133 บัญชี โดยไม่มีการโจมตีเข้ามาถึงระบบ หรือข้อมูลส่วนบุคคล

ทั้งนี้ Mailchimp ได้แจ้งไปยังลูกค้าทั้งหมดที่ได้รับผลกระทบภายใน 24 ชั่วโมง หลังจากพบการโจมตี โดย TechCrunch ระบุว่าลูกค้ารายใหญ่รายหนึ่งที่ได้รับผลกระทบคืออีคอมเมิร์ซ WooCommerce ซึ่งได้แจ้งไปยังลูกค้าที่รับอีเมลการตลาด ว่าระบบได้รับผลกระทบแต่ไม่มีข้อมูลลูกค้าหลุดออกไป

ก่อนหน้านี้ Mailchimp ก็เคยถูกโจมตีด้วยวิธีการคล้ายกัน

Dropbox เปิดเผยว่าถูกแฮ็กเข้าระบบจัดการซอร์สโค้ดภายใน (เป็น GitHub แบบบัญชีองค์กร) โดยแฮ็กเกอร์ใช้วิธี phishing หลอกเอาล็อกอิน สามารถเข้าถึงซอร์สโค้ดจำนวน 130 repositories และข้อมูลพนักงาน-คู่ค้าจำนวนหนึ่ง แต่เข้าไม่ถึงซอร์สโค้ดของแอพหลัก และข้อมูลทั้งหมดของลูกค้า

Dropbox บอกว่าได้รับแจ้งเตือนจาก GitHub ที่ตรวจพบความเคลื่อนไหวผิดปกติของบัญชีนักพัฒนา หลังสอบสวนแล้วพบว่าบัญชีถูกแฮ็ก โดยแฮ็กเกอร์ปลอมตัวเป็นอีเมลของระบบ CircleCI บริการ CI/CD ที่ Dropbox ใช้งาน หลอกเอา API key ของบัญชีพนักงานรายหนึ่งไปได้

หลังจากมีข่าวเจ้าของบัญชีถูกถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE จนกระทั่งเงินถูกโอนออกจากบัญชี 1.4 ล้านบาท ทางธนาคารไทยพาณิชย์ก็แถลงชี้แจงว่าการถอนเงินไม่ได้เกิดจากความผิดปกติของธนาคาร แต่ผู้ถูกหลอกให้ติดตั้งโปรแกรมซึ่งอยู่นอกเหนือความรับผิดชอบของธนาคาร

ทางธนาคารไทยพาณิชย์ระบุว่าธนาคารไม่มีนโยบายส่งข้อความผ่านทาง SMS, อีเมล, LINE, หรือช่องทางออนไลน์ต่างๆ เพื่อขอข้อมูลส่วนตัวหรือรหัสผ่านลูกค้า

แถลงของธนาคารไม่ได้บอกรายละเอียดของเหตุการณ์ครั้งนี้โดยตรง แต่แนะนำ 3 ประเด็น ได้แก่

2K Games ประกาศแจ้งเตือนลูกค้าว่าพบการแฮ็กเข้ามายังระบบ help desk ของบริษัทภายนอกที่ 2K ใช้งาน (2K ไม่เปิดเผยชื่อ แต่จากภาพตัวอย่างคือ Zendesk) และพบการส่งข้อความ phishing ทางอีเมล หลอกให้ผู้ใช้กดลิงก์ประสงค์ร้าย

2K Games เตือนว่าหากพบอีเมลจากบัญชี 2K Games support ให้ไม่ต้องเปิดและคลิกลิงก์ใดๆ แต่หากกดไปแล้ว ก็ควรตรวจสอบรหัสผ่านของตัวเอง และพยายามเปิดใช้ระบบ MFA ของบัญชีต่างๆ เท่าที่ทำได้

ผู้ที่ได้รับอีเมลจาก 2K Support คือผู้ที่เคยเปิด ticket ผ่านระบบซัพพอร์ตของ 2K มาก่อน และอีเมลอยู่ในระบบของ 2K Support แม้เคยเปิด ticket มานานมากแล้วก็ตาม

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

Twilio บริษัทที่ให้บริการ API ส่งข้อความ SMS, โทรศัพท์อัตโนมัติ และแชท ประกาศข่าวว่าระบบถูกเจาะเมื่อวันที่ 4 สิงหาคมที่ผ่านมา และมีบัญชีของลูกค้าบางส่วนถูกเข้าถึงได้

Twilio อธิบายว่าถูกโจมตีด้วยการ phishing พนักงานของบริษัทอย่างจงใจ ทำให้ข้อมูลการล็อกอินเข้าระบบของพนักงานรั่วไหล และถูกแฮ็กเกอร์ใช้เป็นช่องทางเข้าระบบได้ รูปแบบการโจมตีที่พบคือการส่ง SMS ไปยังหมายเลขของพนักงานเพื่อหลอกให้คลิกลิงก์ (ปลอม) ตามภาพ

Twilio บอกว่าได้แจ้งไปยังลูกค้าที่ได้รับผลกระทบแล้ว และจะพยายามเข้มงวดกับพนักงานไม่ให้โดนหลอก phishing ได้ง่าย ซึ่งตอนนี้พบเจอการโจมตีแบบเดียวกันกับพนักงานของบริษัทใหญ่ๆ ในสหรัฐด้วย

บริษัทความปลอดภัย Trustwave ออกรายงานว่าแฮ็กเกอร์เริ่มมีแนวโน้มทำ phishing ผ่านการอ้างอิงที่อยู่แบบ IPFS (InterPlanetary File System) มากขึ้น เพราะซ่อนตัวได้แนบเนียนกว่า ตามจับได้ยากกว่าเดิม

IPFS หรือ InterPlanetary File System เป็นระบบไฟล์แบบกระจายศูนย์ที่เริ่มพัฒนาในปี 2015 แนวคิดคือการฝากไฟล์แบบ P2P กระจายสำเนาไปตามโหนดต่างๆ และเข้าถึงไฟล์นั้นด้วยการระบุตำแหน่งเป็นค่าแฮชของไฟล์แทน (content identifier หรือ CID) เมื่อผู้ใช้เรียกหาไฟล์นั้น ระบบเครือข่าย IPFS จะไล่ถามหาไฟล์ที่กระจายอยู่ในโหนดต่างๆ และส่งไฟล์กลับมาให้ผู้ใช้ (อธิบายแบบรวบรัดคือเป็น BitTorrent ที่มี universal URL)

Google Chat (บริการใหม่ที่มาแทน Hangouts) จะเริ่มแสดงแบนเนอร์เตือนผู้ใช้เกี่ยวกับฟิชชิ่งและมัลแวร์ เป็นอีกหนึ่งวิธีของ Google ที่จะป้องกันอันตรายต่อผู้ใช้ระบบ หลังจากที่ก่อนหน้านี้ที่ Google เพิ่มฟีเจอร์นี้ไว้แล้วทั้งใน Gmail และ Google Drive

ข้อความเตือนของ Google Chat จะแจ้งเมื่อพบสิ่งผิดปกติ เช่น ผู้ที่ไม่เคยคุยมาก่อนและใช้บัญชี Google แบบบัญชีส่วนตัวส่งลิงก์มา โดยจะแจ้งว่าลิงก์นี้อาจมีฟิชชิ่งหรืออาจขโมยข้อมูลสำคัญได้เพื่อให้ผู้ใช้ตระหนักก่อน และมีตัวเลือกให้บล็อคหรือจะยอมรับก็ได้

Google จะเริ่มทยอยปล่อยฟีเจอร์นี้ในอีก 2 สัปดาห์ข้างหน้า ซึ่งฟีเจอร์นี้ใช้งานได้ทั้งบัญชี Google ส่วนตัว และบัญชี Google Workspace

เมื่อวันศุกร์ที่ผ่านมา Discord แชนแนลทางการของ OpenSea แพลตฟอร์มซื้อขายแลกเปลี่ยน NFT ขนาดใหญ่โดนฟิชชิ่ง​ โดยมีบอทอันตรายโพสต์ข้อความปลอมบนแชนแนลพร้อมลิงก์ไปยังเว็บฟิชชิ่งหลอกให้คนคลิกเพื่อขโมย NFT

เหตุการณ์ที่เกิดบน Discord ของ OpenSea คือมีบอทโพสต์ข้อความประกาศ OpenSea ปลอมว่า OpenSea ร่วมมือกับ YouTube พร้อมลิงก์ให้ผู้ใช้คลิก YouTube Genesis Mint Pass เพื่อรับ NFT ฟรี 100 รายการ พร้อมแปะลิงก์ youtubenft[dot]art ซึ่งเป็นเว็บไซต์ฟิชชิ่ง และในเวลาไม่นานนัก ทาง OpenSea ก็จัดการลบลิงก์นี้ออก

เมื่อต้นเดือนนี้ (1 เมษายน) Jay Chou นักร้อง-นักแสดงชื่อดังจากไต้หวัน ประกาศว่า NFT ภาพ Bored Ape Yacht Club (BAYC) ที่เขาซื้อเก็บสะสมไว้ถูกขโมยไป โดยคาดว่าเป็นการโจมตีแบบ phishing

หลังจากนั้น บริษัทความปลอดภัย Check Point Research เข้าไปตรวจสอบและพบว่าช่องทางการขโมย NFT ของ Jay Chou เกิดจากช่องโหว่ของตลาดซื้อขาย Rarible ที่ Chou ใช้บริการ ทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้หลอกทำ phishing แล้วขโมย token สิทธิความเป็นเจ้าของได้

Mailchimp ผู้ให้บริการอีเมลมาร์เก็ตติ้ง เผยว่าข้อมูลของลูกค้าประมาณ 300 บัญชี ถูกเข้าถึงอย่างไม่ถูกต้อง ด้วยวิธีการ Social Engineering ทำให้เข้าถึงข้อมูลได้ ผ่านเครื่องมือของฝ่ายบริการลูกค้า ซึ่งตอนนี้บัญชีที่เกี่ยวข้องถูกระงับไปทั้งหมดแล้ว

บริษัทบอกว่าผู้โจมตีได้นำข้อมูลรายชื่อผู้สมัครรับอีเมลออกไปได้จาก 102 บัญชีของลูกค้า โดยเน้นไปที่บริษัทด้านการเงินและคริปโต นอกจากนี้ผู้โจมตียังเข้าถึงกุญแจ API อีกจำนวนหนึ่งด้วย ทำให้อาจสามารถสร้างอีเมลปลอมขึ้นมา และส่งไปลูกค้าในรายชื่อเพื่อทำอีเมลล่อลวงได้

ผู้ใช้กระเป๋าเงินคริปโตแบบฮาร์ดแวร์ยี่ห้อ Trezor ได้รับรายงานว่าถูกอีเมลฟิชชิ่งจากคนร้ายแจ้งว่ามีเหตุข้อมูลรั่วไหล และขอให้ดาวน์โหลดซอฟต์แวร์เวอร์ชั่นล่าสุดลงในเครื่อง

คนร้ายส่งอีเมลจากโดเมน trezor.us ขณะที่เว็บจริงของ Trezor คือ trezor.io แต่อีเมลเป็นอีเมลของลูกค้าจริง โดยพบว่ารายชื่ออีเมลหลุดไปจากบริการ MailChimp ที่ให้บริการส่งจดหมายข่าวสาร

ทาง Trezor ขอให้ผู้ใช้อย่าเปิดอีเมลที่มาจาก trezor.us

ที่มา - Coin Telegraph

OpenSea เว็บไซต์แพลตฟอร์มซื้อขาย NFT รายใหญ่บนเครือข่าย Ethereum ทำการตรวจสอบหลังได้รับข้อมูลว่าเว็บไซต์อาจถูกแฮก ก่อนจะพบว่าจริงๆ แล้วผู้ใช้งานถูกโจมตีด้วยอีเมล phishing หลอกว่าเป็น OpenSea และขโมย NFT ไปกว่า 254 โทเคนจากผู้ใช้ 32 คน ก่อนจะขายงานบางส่วนได้เงินเป็น ETH มูลค่ารวมราว 1.7 ล้านดอลลาร์ หรือราว 54 ล้านบาท ภายใน 3 ชั่วโมง

Monetary Authority of Singapore (MAS) หรือธนาคารกลางสิงคโปร์ ประกาศเพิ่มมาตรการความปลอดภัยหลังจากสองสามเดือนที่ผ่านมา มีผู้ใช้ธนาคารออนไลน์ในสิงคโปร์ตกเป็นเหยื่อ SMS หลอกลวง (phishing) จำนวนมาก และชาวสิงคโปร์เรียกร้องให้เพิ่มมาตรการความปลอดภัยเพิ่มเติม

เหตุ SMS หลอกลวงในสิงคโปร์นั้นคนร้ายอาศัยการตั้งค่า sender ID ให้ตรงกับที่ธนาคารเคยส่งข้อความหาผู้ใช้มาก่อน โปรแกรมอ่าน SMS จึงจัดให้อยู่ในหน้าเดียวกับข้อความที่ธนาคารเคยส่งมา ผู้ใช้จึงหลงเชื่อกันเป็นจำนวนมาก

มาตรการที่ประกาศออกมาร่วมกับสมาคมธนาคารสิงคโปร์ ให้เวลาธนาคารอิมพลีเมนต์มาตรการเพิ่มเติมสองสัปดาห์ เช่น

จากกรณี SMS Phishing หลอกเข้าบัญชีของ SCB และ ธนาคารกรุงศรีอยุธยา ทำให้สัปดาห์นี้ ธนาคารไทยหลายแห่งออกประกาศเตือนภัยเรื่อง SMS Phishing รวมถึงการหลอกผ่าน social media หรือแชทด้วยเช่นกัน

ตัวอย่างธนาคารอื่นที่เตือนภัยเรื่อง SMS Phishing ได้แก่ KBank, Krungthai, TMB/Thanachart, LH Bank เป็นต้น

ตัวแทนฝ่ายประชาสัมพันธ์ของธนาคารกสิกรไทย แจ้งกับ Blognone ว่ายังไม่พบความเสียหายเกิดขึ้นกับลูกค้าของ KBank โดยตรง จึงประกาศแจ้งเตือนล่วงหน้าเพื่อให้ลูกค้าตื่นตัวและระมัดระวังกันมากขึ้น

ธนาคารกรุงศรีอยุธยาเปลี่ยนแนวทางการลงแอป KMA ในโทรศัพท์ใหม่ให้ลูกค้าต้องเดินทางไปยืนยันตัวตนที่สาขาเท่านั้น จากเดิมที่สามารถติดตั้งแอปด้วยตัวเองได้ แต่กลับทำให้คนร้ายส่ง SMS ฟิชชิ่งหลอกเอาบัญชีจากเหยื่ออย่างต่อเนื่อง

แนวทางนี้ตรงกับแนวทางของธนาคารไทยพาณิชย์ที่ก่อนหน้านี้ก็ประกาศให้ลูกค้าที่ติดตั้งแอปบนโทรศัพท์เครื่องใหม่ต้องไปแสดงตัวที่สาขาเช่นกัน