ช่วงนี้มีรายงานการโจมตีไซเบอร์รูปแบบใหม่ ที่อาจทำให้ผู้ใช้ iPhone, iPad และบริการ Apple iCloud ต้องเพิ่มความระมัดระวัง เนื่องจากมีการค้นพบว่า iCloud Calendar ถูกนำมาใช้เป็นช่องทางในการส่งอีเมลฟิชชิง (Phishing) โดยตรงจากเซิร์ฟเวอร์ของ Apple เอง ทำให้สามารถหลุดผ่านระบบกรองสแปมได้ง่ายขึ้น และสร้างความน่าเชื่อถือปลอม ๆ ให้กับอีเมลเหล่านี้
วิธีการโจมตีที่ใช้ iCloud Calendar
เหตุการณ์นี้ถูกเปิดเผยโดย BleepingComputer หลังจากมีผู้ใช้ส่งตัวอย่างอีเมลมาให้ตรวจสอบ ซึ่งอีเมลดังกล่าวถูกส่งจาก noreply@email.apple.com และผ่านการตรวจสอบมาตรฐานความปลอดภัยอีเมลครบถ้วน (SPF, DMARC, DKIM) นั่นหมายความว่ามันถูกส่งออกมาจริง ๆ จากเซิร์ฟเวอร์ของ Apple
อีเมลมีลักษณะเป็น Calendar Invite ที่ภายในช่อง Notes ถูกแทรกข้อความฟิชชิง ตัวอย่างที่พบคือข้อความที่อ้างว่าเป็นใบเสร็จการชำระเงินจาก PayPal จำนวน 599 ดอลลาร์สหรัฐ (ประมาณ 22,000 บาท) พร้อมเบอร์โทรศัพท์ที่ให้ติดต่อหากต้องการยกเลิกหรือแก้ไขรายการ
ข้อความในอีเมลระบุว่า:
“บัญชี PayPal ของคุณถูกเรียกเก็บเงิน $599 หากต้องการติดต่อเพื่อยกเลิก กรุณาโทร +1 (786) 902-8579”
เป้าหมายของแฮกเกอร์
เป้าหมายหลักของอีเมลลักษณะนี้คือการหลอกให้ผู้รับตกใจ คิดว่ามีการตัดเงินจากบัญชีจริง ๆ จึงรีบโทรไปยังเบอร์ที่ให้มา เมื่อโทรไป แฮกเกอร์จะอ้างว่าเพื่อยกเลิกหรือคืนเงิน จำเป็นต้อง เชื่อมต่อเข้ากับคอมพิวเตอร์ของเหยื่อผ่านซอฟต์แวร์ควบคุมระยะไกล
ซึ่งนี่คือจุดอันตรายที่สุด เพราะเมื่อผู้ใช้หลงเชื่อ แฮกเกอร์สามารถ:
- เข้าถึงบัญชีธนาคารและทำการโอนเงินออก
- ขโมยข้อมูลส่วนตัวหรือไฟล์ในเครื่อง
- ติดตั้งมัลแวร์เพื่อใช้ในอนาคต
ทำไมการโจมตีนี้ถึงน่ากลัวกว่าปกติ?
ปกติแล้วอีเมลฟิชชิงมักถูกกรองออกโดยระบบตรวจจับสแปม แต่ในกรณีนี้แฮกเกอร์ใช้ช่องโหว่ของ iCloud Calendar Invite ที่จะส่งอีเมลเชิญออกมาจาก Apple โดยตรง ทำให้:
- อีเมลมาจากโดเมน Apple จริง (
email.apple.com) - ผ่านการตรวจสอบ SPF, DKIM, DMARC
- ดูเหมือนเป็นอีเมลที่ถูกต้องและน่าเชื่อถือ
ยิ่งไปกว่านั้น หากอีเมลถูกส่งต่อผ่าน Microsoft 365 ที่ใช้ระบบ Sender Rewriting Scheme (SRS) เพื่อแก้ไข Return-Path อีเมลก็ยังสามารถผ่านการตรวจสอบได้อีก
วิธีป้องกันตัวจากการโจมตี
- อย่าหลงเชื่อข้อความตัดเงินทันที หากไม่มั่นใจ ให้ตรวจสอบบัญชีธนาคารหรือ PayPal ของคุณโดยตรง แต่อย่าโทรไปตามเบอร์ที่แนบมา
- ไม่กดตอบรับ Calendar Invite แปลก ๆ หากไม่รู้จักผู้ส่ง หรือมีข้อความที่ดูผิดปกติ
- เปิดการแจ้งเตือนความปลอดภัยของบัญชี Apple และ PayPal เพื่อยืนยันการทำธุรกรรม
- ใช้โปรแกรมป้องกันมัลแวร์ และอัปเดตซอฟต์แวร์ให้ทันสมัยเสมอ
- ตั้งค่าปฏิเสธคำเชิญ Calendar จากคนที่ไม่รู้จักอัตโนมัติ ใน iCloud หรือ Apple Calendar
บทสรุป
การโจมตีครั้งนี้ไม่ได้ใช้เทคนิคใหม่ซับซ้อน แต่ใช้ ช่องทางที่ผู้ใช้คุ้นเคยและไว้ใจอย่าง iCloud Calendar เพื่อเพิ่มความน่าเชื่อถือ การที่อีเมลถูกส่งจากเซิร์ฟเวอร์ของ Apple โดยตรง ทำให้ผู้ใช้ทั่วไปอาจหลงเชื่อได้ง่ายขึ้น
ดังนั้น หากคุณได้รับ อีเมลเชิญประชุม/นัดหมายจาก iCloud ที่มีข้อความเกี่ยวกับการเรียกเก็บเงิน ควรระวังเป็นพิเศษ และอย่ากดตอบรับหรือโทรตามหมายเลขที่ให้มาโดยเด็ดขาด
ที่มา: BleepingComputer
