อาชญากรไซเบอร์ในเว็บมืดพร้อมแล้วสำหรับโอลิมปิก แล้วคุณล่ะ พร้อมหรือยัง?

ในเวลาที่มีมหกรรมการแข่งขันกีฬาครั้งสำคัญเกิดขึ้น ไม่ว่าจะเป็น ฟุตบอลโลก ซูเปอร์โบวล์ หรือวิมเบิลดัน แต่ละมหกรรมต่างก็สามารถดึงดูดผู้ชมได้ตั้งแต่จำนวนนับล้านๆ ไปจนถึงนับพันล้านให้เข้ามาเฝ้าชมการแข่งขัน อย่างเช่น การยิงจุดโทษของอาร์เจนตินาที่มีชัยชนะเหนือฝรั่งเศสในนัดชิงชนะเลิศฟุตบอลโลก 2022 ที่ประเทศกาตาร์มีผู้ชมทั่วโลกถึง 1.5 พันล้านคน และการแข่งขันกีฬาโอลิมปิกที่กำลังจะเริ่มขึ้นในอีกไม่กี่วันนี้ที่กรุงปารีส ถือเป็นการแข่งขันกีฬาที่มีขนาดใหญ่ที่สุดของทั้งหมด ดูจากการแข่งขันกีฬาโอลิมปิก โตเกียว 2020 ที่สามารถดึงดูดผู้ชมทั่วโลกได้มากกว่า 3 พันล้านคน

มหกรรมการแข่งขันกีฬาเหล่านี้ก็เป็นโอกาสอันดีเช่นกันสำหรับเหล่าอาชญากรไซเบอร์ โดยในช่วงทศวรรษที่ผ่านมา จำนวนการโจมตีบนไซเบอร์ที่มุ่งเป้าไปยังงานใหญ่ๆ ได้เพิ่มขึ้นสูงขึ้นเป็นอย่างมาก จากจำนวน 212 ล้านครั้งในกีฬาโอลิมปิก ลอนดอน 2012 ที่มีการบันทึกไว้อย่างเป็นทางการ การโจมตีได้เพิ่มขึ้นอย่างมหาศาลถึง 4.4 พันล้านครั้งในกีฬาโอลิมปิกโตเกียว 2020 ซึ่งบ่อยครั้งที่การโจมตีเหล่านี้มีแรงจูงใจด้านการเงินโดยตรง เช่น การหลอกลวง (Scams) การฉ้อโกงทางดิจิทัล (Digital Fraud) หรือการได้มาซึ่งข้อมูลที่สำคัญจากผู้เข้าร่วมงาน ผู้ชม และผู้ที่เป็นสปอนเซอร์ภายในงาน และด้วยความที่กำลังตื่นเต้นกับการแข่งขัน แฟนๆ กีฬาทั้งหลายมักมองข้ามความเสี่ยงที่อาจเกิดขึ้นเมื่อซื้อบัตรเข้าชมการแข่งขัน จองที่พัก หรือซื้อของที่ระลึก ซึ่งทำให้พวกเขาตกเป็นเป้าหมายที่ง่ายต่อการโจมตีสำหรับอาชญากรไซเบอร์

ส่วนใครอีกหลายคนที่ร้อนใจอยากดูการแข่งขันเฉพาะในบางรายการ ก็อาจถูกล่อลวงด้วยเว็บอันตรายที่นำเสนอช่องทางการเข้าชมฟรี (Free Access) ก่อนจะพบว่าอุปกรณ์โดนแฮคและข้อมูลถูกขโมย และเมื่อสื่อทั่วโลกให้ความสนใจไปที่การแข่งขัน อาชญากรที่มีเป้าหมายที่ซ่อนเร้นทางการเมืองก็จะมองหากลุ่มผู้ชมขนาดใหญ่เพื่อสื่อสารข้อความที่ต้องการ ด้วยการขัดขวางการทำงานของเว็บไซต์ที่มีความสำคัญ หรือโจมตีจนทำให้บริการสำคัญต่างๆ หยุดทำงาน

ผู้ก่อภัยคุกคามมุ่งเป้าไปที่การแข่งขันโอลิมปิก ปารีส 2024

จากการวิเคราะห์ล่าสุดของ FortiGuard Labs โดยอิงจากข้อมูลข่าวกรองภัยคุกคามจาก FortiRecon โอลิมปิกปีนี้ได้กลายเป็นเป้าหมายของอาชญากรไซเบอร์ที่ทวีจำนวนเพิ่มขึ้นตลอดช่วงเวลามากกว่าหนึ่งปี ด้วยการใช้ข้อมูลที่เปิดเผยต่อสาธารณะและการวิเคราะห์โดยเฉพาะ รายงานนี้ให้มุมมองที่ครอบคลุมเกี่ยวกับการโจมตีตามที่มีการวางแผน เช่น การละเมิดความปลอดภัยของบุคคลที่สาม การขโมยข้อมูล การทำฟิชชิ่ง และการใช้มัลแวร์ ตลอดจนถึงแรนซัมแวร์

ดาวน์โหลดรายงานฉบับเต็มของ FortiGuard Labs ได้ ที่นี่

FortiGuard Labs สังเกตเห็นการเพิ่มขึ้นเป็นอย่างมากของทรัพยากรที่ถูกรวบรวมในช่วงการเตรียมการแข่งขันโอลิมปิกปารีส โดยเฉพาะอย่างยิ่ง กลุ่มที่พุ่งเป้าไปยังผู้ใช้ภาษาฝรั่งเศส หน่วยงานทั้งภาครัฐและเอกชนของฝรั่งเศส และผู้ให้บริการโครงสร้างพื้นฐานของฝรั่งเศส

เห็นได้อย่างชัดเจนว่าตั้งแต่ช่วงครึ่งหลังของปี 2023 เราได้เห็นการเพิ่มขึ้นของกิจกรรมบนดาร์กเน็ตที่มุ่งเป้าไปยังประเทศฝรั่งเศสโดยการเพิ่มขึ้น 80% ถึง 90% นี้ยังคงเป็นไปอย่างสม่ำเสมอตลอดครึ่งหลังของปี 2023 มาจนถึงครึ่งแรกของปี 2024 ความถี่และความซับซ้อนของภัยคุกคามเหล่านี้เป็นหลักฐานแสดงถึงการวางแผนและการดำเนินการของอาชญากรไซเบอร์ โดยมีดาร์กเว็บเป็นศูนย์กลางในการดำเนินกิจกรรม

ตลาดค้าข้อมูลส่วนบุคคลที่ถูกโจรกรรม และกิจกรรมที่มีเจตนาร้ายกำลังเติบโต

เหตุการณ์ที่มีการบันทึกไว้ ตลอดจนการเพิ่มขึ้นของเครื่องมือและบริการต่างๆ ระดับแอดวานซ์ที่ออกแบบมาเพื่อทำให้การละเมิดข้อมูลทำได้เร็วขึ้น ไปจนถึงการรวบรวมข้อมูลที่ใช้ระบุตัวบุคคล (Personally Identifiable Information หรือ PII) เช่น ชื่อ-นามสุล วันเดือนปีเกิด หมายเลขประจำตัวประชาชน อีเมล หมายเลขโทรศัพท์ ที่อยู่ของบ้านที่อยู่อาศัย และอื่นๆ

ยกตัวอย่าง เราได้เห็นการขายฐานข้อมูลของชาวฝรั่งเศสที่รวมถึงข้อมูลส่วนบุคคลที่สำคัญ รวมทั้งการขายข้อมูลรับรอง (Credentials) ที่ถูกขโมยและการเชื่อมต่อ VPN ที่ถูกละเมิดเพื่อให้การเข้าสู่ไพรเวทเน็ตเวิร์กโดยไม่ได้รับอนุญาตเป็นไปได้ นอกจากนี้ เรายังได้เห็นการโฆษณาชุดเครื่องมือในการทำฟิชชิ่งที่เพิ่มจำนวนมากขึ้น รวมถึงเครื่องมือสำหรับการโจมตีที่ถูกปรับแต่งมาเพื่อการแข่งขันโอลิมปิกที่ปารีสโดยเฉพาะ รวมถึงรายการผสม หรือ Combo Lists (ชุดของชื่อผู้ใช้และรหัสผ่านที่ถูกละเมิด ซึ่งใช้ในการโจมตีแบบ Brute-Force หรือการโจมตีแบบลองผิดลองถูกโดยอัตโนมัติ) ซึ่งประกอบด้วยข้อมูลของพลเมืองชาวฝรั่งเศส

กิจกรรมของแฮกติวิสต์ที่เพิ่มสูงขึ้น

เนื่องจากรัสเซียและเบลารุสไม่ได้รับเชิญให้เข้าร่วมการแข่งขันในปีนี้ เราจึงได้เห็นกิจกรรมแฮกติวิสต์เพิ่มสูงขึ้นอย่างรวดเร็วโดยกลุ่มที่สนับสนุนรัสเซีย เช่น กลุ่ม LulzSec กลุ่ม noname057(16) กลุ่ม Cyber Army Russia Reborn กลุ่ม Cyber Dragon และกลุ่ม Dragonforce ซึ่งแสดงออกอย่างชัดเจนว่าทุกกลุ่มต่างกำลังมุ่งเป้าไปที่การแข่งขันโอลิมปิก

ระวังการหลอกลวงด้วยฟิชชิ่งและกิจกรรมที่เจตนาหลอกลวง

·       ชุดเครื่องมือฟิชชิ่ง ฟิชชิ่งอาจเป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่อาชญากรไซเบอร์ที่มีระดับความซับซ้อนต่ำจำนวนมากไม่รู้วิธีสร้างหรือกระจายอีเมลฟิชชิ่ง ดังนั้น ชุดเครื่องมือฟิชชิ่งจึงเป็นตัวที่ช่วยส่งมอบยูสเซอร์อินเตอร์เฟซให้กับเหล่านักโจมตีมือใหม่ให้สามารถเขียนอีเมลที่น่าเชื่อถือ เสริมเติมโค้ดที่อันตรายเพื่อสร้างโดเมนฟิชชิ่ง และจัดหารายชื่อเหยื่อ การเพิ่มบริการที่ใช้ AI ในการสร้างข้อความโดยอัตโนมัติ ยังช่วยขจัดข้อผิดพลาดในการสะกดคำ การใช้ไวยากรณ์ และกราฟิกที่จะทำให้ผู้รับสามารถตรวจจับว่าอีเมลนั้นมีอันตราย

ทีม FortiGuard Labs ยังได้บันทึกจำนวนโดเมนแบบ typosquatting หรือชื่อโดเมนจดทะเบียนเกี่ยวกับโอลิปิกที่มีการสะกดผิดเป็นจำนวนมากที่สามารถนำมาใช้ในแคมเปญการทำฟิชชิ่ง รวมถึงการเปลี่ยนแปลงเล็กๆ น้อยๆ ในตัวสะกดของคำต่างๆ เช่น (oympics[.]com, olmpics[.]com, olimpics[.]com และอื่นๆ) ซึ่งทั้งหมดเหล่านี้ถูกนำมาใช้ร่วมกับเว็บไซต์ที่ถูกสร้างขึ้นเพื่อเลียนแบบเว็บไซต์ขายบัตรเข้าชมการแข่งขันอย่างเป็นทางการที่จะพาผู้ซื้อไปสู่ขั้นตอนการจ่ายเงิน โดยที่บัตรเข้าชมก็ไม่ได้แถมยังสูญเงินอีกต่างหาก ในการทำงานร่วมกับพันธมิตรโอลิมปิก หน่วยงานด้านความสงบเรียบร้อย French Gendarmerie Nationale ได้ระบุเว็บไซต์หลอกลวง 338 แห่งที่อ้างว่าขายบัตรเข้าชมการแข่งขันโอลิมปิก จากข้อมูล 51 เว็บไซต์ได้ถูกปิดไปแล้ว และอีก 140 แห่งได้รับคำเตือนอย่างเป็นทางการจากหน่วยงานด้านกฎหมาย

เช่นเดียวกัน มีการตรวจพบการหลอกลวง (Scams) ในเกมการจับล็อตเตอรี่หลายรายการที่ใช้การแข่งขันกีฬาโอลิมปิกมาเป็นธีม โดยหลายแห่งเลียนแบบหรือปลอมแปลงเป็นแบรนด์ใหญ่ต่างๆ รวมถึง Coca-Cola Microsoft Google ตลอดจนหน่วยงานล็อตเตอรี่แห่งชาติตุรกี และกระทั่งเวิลด์แบงก์ โดยเป้าหมายหลักของการหลอกลวงล็อตเตอรี่เหล่านี้คือผู้ใช้ในสหรัฐอเมริกา ญี่ปุ่น เยอรมนี ฝรั่งเศส ออสเตรเลีย สหราชอาณาจักร และสโลวาเกีย

เราได้เห็นบริการเขียนโค้ดเพื่อการสร้างเว็บไซต์ฟิชชิ่งและระบบที่ใช้ควบคุมและติดตามกิจกรรมฟิชชิ่งแบบเรียลไทม์ที่เพิ่มมากขึ้น รวมไปถึงบริการส่งข้อความสั้น (SMS) จำนวนมากเพื่อสร้างการสื่อสารในวงกว้าง และบริการปลอมแปลงหมายเลขโทรศัพท์ บริการทั้งหมดเหล่านี้ให้ความช่วยเหลือในการโจมตีแบบฟิชชิ่ง ช่วยแพร่กระจายข้อมูลเท็จ และทำให้การสื่อสารล้มเหลวด้วยการสวมรอยเป็นแหล่งข่าวที่เชื่อถือได้ ซึ่งอาจส่งผลกระทบต่อการดำเนินงานและความปลอดภัยของการแข่งขัน

·       มัลแวร์ขโมยข้อมูล ถูกออกแบบมาเพื่อแฝงเข้ามาในคอมพิวเตอร์หรืออุปกรณ์ของเหยื่อแล้วเก็บรวบรวมข้อมูลที่ความสำคัญ เช่น ข้อมูลการล็อคเข้าสู่ระบบ รายละเอียดบัตรเครดิต และข้อมูลส่วนบุคคลอื่น ๆ เราพบว่าผู้โจมตีใช้มัลแวร์ขโมยข้อมูลในหลากหลายรูปแบบเพื่อติดตั้งมัลแวร์ลงในระบบของผู้ใช้และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยผู้โจมตีและโบรกเกอร์ที่ขายช่องทางเข้าการถึงระบบเบื้องต้น (Initial Access)สามารถใช้ข้อมูลเพื่อเปิดการโจมตีด้วยแรนซัมแวร์ ซึ่งอาจก่อให้เกิดอันตรายและการสูญเสียทางการเงินอย่างมากต่อทั้งบุคคลและองค์กร

ข้อมูลของเราบ่งชี้ว่า Raccoon คือมัลแวร์ขโมยข้อมูลที่กำลังมีการใช้งานมากที่สุดในฝรั่งเศส คิดเป็น 59% ของการตรวจพบทั้งหมด ทั้งนี้ Raccoon เป็น Malware-as-a-Service (MaaS) ที่มีประสิทธิภาพและมีราคาถูกที่มีการขายบนฟอรัมเว็บมืด (Dark Web Forum) ตัวมัลแวร์ขโมยรหัสผ่านที่กรอกโดยอัตโนมัติ (Autofill) บนเบราว์เซอร์ ประวัติการใช้งาน คุกกี้ ข้อมูลบัตรเครดิต ชื่อผู้ใช้ รหัสผ่าน กระเป๋าเงินสกุลเงินดิจิทัล(Cryptocurrency) และข้อมูลสำคัญอื่นๆ รองลงมาคือ Lumma (อีกหนึ่งบริการ MaaSแบบสมัครสมาชิก) ที่ 21% และ Vidar ที่ 9%

บทสรุป

การแข่งขันโอลิมปิก ปารีส 2024 คือเป้าหมายที่มีความเสี่ยงสูงสำหรับภัยคุกคามทางไซเบอร์ ซึ่งดึงดูดความสนใจจากอาชญากรไซเบอร์ นักเคลื่อนไหวทางไซเบอร์ รวมถึงผู้กระทำการที่ได้รับการสนับสนุนจากภาครัฐ อาชญากรไซเบอร์ใช้กลโกงฟิชชิ่งและการหลอกลวง โดยมุ่งเป้าไปยังผู้ที่อาจไม่ระมัดระวังหรือไม่ตระหนักถึงภัยคุกคามทางไซเบอร์

แพลตฟอร์มจำหน่ายบัตรเข้าชมปลอม สินค้าหลอกลวง และกลยุทธ์การขโมยข้อมูลส่วนบุคคลคือภัยคุกคามต่อการสูญเสียทางด้านการเงินและบั่นทอนความเชื่อมั่นของประชาชนในธุรกรรมที่เกี่ยวข้องกับงาน นอกจากนี้ เนื่องจากจุดยืนทางการเมืองและอิทธิพลระหว่างประเทศของฝรั่งเศส การแข่งขันโอลิมปิก ปารีส 2024 จึงเป็นเป้าหมายสำคัญสำหรับกลุ่มที่มีแรงจูงใจทางการเมือง

เราคาดว่ากลุ่มแฮกติวิสต์จะมุ่งให้ความสำคัญไปที่หน่วยงานที่เกี่ยวข้องกับโอลิมปิกปารีส เพื่อขัดขวางการจัดงาน รวมถึงโครงสร้างพื้นฐาน ช่องทางสื่อ และองค์กรที่เกี่ยวข้อง เพื่อขัดขวางความคืบหน้าของการดำเนินงาน ทำลายความน่าเชื่อถือและขยายข้อความของพวกเขาไปยังเวทีโลก

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ FortiRecon และการสร้างรายงานเช่นนี้สำหรับองค์กรของคุณ เยี่ยมชมที่นี่

คำแนะนำสำหรับนักท่องเที่ยว

องค์กรและบุคคลที่เข้าร่วมการแข่งขันโอลิมปิกต้องตระหนักถึงภัยคุกคามทางไซเบอร์ที่เพิ่มสูงขึ้นเกี่ยวกับการเดินทาง สิ่งเหล่านี้รวมถึงความเป็นไปได้ของการดักจับสัญญาณ Wi-Fiสาธารณะและกิจกรรมฉ้อโกงที่เชื่อมโยงกับกิจกรรมที่เกี่ยวข้องกับโอลิมปิก รวมถึงเว็บไซต์อันตรายและการหลอกลวงแบบฟิชชิ่ง เรายังคาดการณ์ว่าจะมีการโจมตีแบบเจาะจงเป้าหมายที่เพิ่มขึ้นต่อบุคคลสำคัญ รวมถึงเจ้าหน้าที่รัฐบาล ผู้บริหารระดับสูง และผู้มีอำนาจตัดสินใจที่สำคัญ และควรมีการใช้มาตรการป้องกันเพิ่มเติม

FortiGuard Labs แนะนำอย่างยิ่งให้ติดตั้งระบบป้องกันอุปกรณ์ปลายทาง หรือ EDR บนอุปกรณ์ทั้งหมด ใช้ความระมัดระวังเป็นพิเศษเมื่อเชื่อมต่อกับเครือข่ายไร้สายสาธารณะ และใช้บริการ SASE เพื่อเข้ารหัสการรับส่งข้อมูลของคุณ

คำแนะนำและกลยุทธ์การบรรเทาผลกระทบ

เหตุการณ์สำคัญอย่างโอลิมปิกเป็นการเตือนใจที่ดีว่าเราทุกคนต้องระมัดระวังภัยคุกคามทางไซเบอร์อยู่เสมอ FortiGuard Labs แนะนำแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดต่อไปนี้เพื่อปกป้องตัวคุณและองค์กรของคุณจากการโจมตีทางไซเบอร์

• ปกป้องข้อมูลที่ละเอียดอ่อน ใช้เครื่องมือประสานงานด้านความปลอดภัย การทำงานอัตโนมัติ และการตอบสนอง เพื่อตรวจจับและตอบสนองต่อกิจกรรมที่ผิดปกติอย่างรวดเร็ว รักษาการสำรองข้อมูลสำคัญที่เข้ารหัสไว้อย่างปลอดภัยแบบออฟไลน์ เพื่อลดผลกระทบจากการโจมตีด้วยแรนซัมแวร์
• เฝ้าระวังพื้นผิวการโจมตีภายนอก ตรวจสอบและประเมินพื้นผิวการโจมตีภายนอกของโครงสร้างพื้นฐานด้านไอทีอย่างต่อเนื่อง เพื่อระบุจุดอ่อนและความเสี่ยงที่อาจเกิดขึ้น เยี่ยมชม Fortinet DRP สำหรับข้อมูลเกี่ยวกับวิธีที่ FortiRecon สามารถช่วยได้
• บังคับใช้การยืนยันตัวตนแบบ Multi-factor และนโยบายการใช้รหัสผ่านที่แข็งแกร่งนำการยืนยันตัวตนหลายปัจจัยมาใช้กับระบบทั้งหมดและบังคับใช้นโยบายรหัสผ่านที่แข็งแกร่ง องค์กรต่างๆ ควรเฝ้าระวังและมีการตรวจสอบดาร์กเน็ตอย่างสม่ำเสมอ เพื่อค้นหาข้อมูลประจำตัวขององค์กรที่อาจถูกขโมย นำไปขาย หรือเผยแพร่ การทำเช่นนี้จะช่วยให้องค์กรสามารถดำเนินการป้องกันได้ก่อนที่ข้อมูลเหล่านั้นในเชิงรุก
• การป้องกันอุปกรณ์ปลายทางของผู้ใช้ ติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์บนอุปกรณ์ทั้งหมดเพื่อตรวจจับและบรรเทาความพยายามในการฟิชชิ่งและการติดมัลแวร์ อัปเดตซอฟต์แวร์อย่างสม่ำเสมอเพื่อป้องกันจุดอ่อนที่รู้จักและไม่รู้จัก
• ดำเนินการจัดการแพตช์ รักษาซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยโดยการติดตั้งแพตช์ด้านความปลอดภัยอย่างรวดเร็ว ให้ความสำคัญกับจุดอ่อนที่วิกฤติซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลหรือการโจมตีแบบปฏิเสธการให้บริการ
• การป้องกัน DDoS ปกป้องโครงสร้างพื้นฐานด้วยโซลูชันป้องกัน DDoS แบบหลายชั้น รวมถึงไฟร์วอลล์ VPN และตัวกรองสแปม ตรวจสอบการรับส่งข้อมูลในเครือข่ายเพื่อหาความผิดปกติที่อาจบ่งชี้ถึงการโจมตีแบบ DDoS และดำเนินการป้องกันล่วงหน้า
• ป้องกันการโดนโจมตีด้วยแรนซัมแวร์ ด้วยการใช้มาตรการเชิงรุก เช่น การอัปเดตซอฟต์แวร์เป็นประจำ การสำรองข้อมูลแบบออฟไลน์ที่ปลอดภัย และการให้ความรู้แก่ผู้ใช้ เพื่อป้องกันเหตุการณ์แรนซัมแวร์ ใช้ข้อมูลข่าวกรองภัยคุกคามเพื่อตรวจสอบกิจกรรมในดาร์กเน็ตสำหรับภัยคุกคามที่อาจเกิดขึ้นและการรั่วไหลของข้อมูล
• การป้องกันการเปลี่ยนแปลงหน้าเว็บไซต์โดยไม่ได้รับอนุญาต ติดตั้งไฟร์วอลล์แอปพลิเคชันเว็บเพื่อกรองและบล็อกการรับส่งข้อมูลที่เป็นอันตราย ป้องกันการเปลี่ยนแปลงหน้าเว็บไซต์โดยไม่ได้รับอนุญาตและความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต

–ภัยคุกคามทางไซเบอร์ยังน่าห่วง แนะองค์กรรับมือให้ถูกจุด

• Facebook
• X
• Line