🛑 ด่วน! แจ้งเตือนมิจฉาชีพแอบอ้าง Microsoft ใช้ Azure Monitor ส่งอีเมลฟิชชิงแบบ Callback Phishing

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานและผู้ดูแลระบบเกี่ยวกับการนำบริการ Microsoft Azure Monitor เพื่อส่งอีเมลฟิชชิงแบบ Callback Phishing โดยอีเมลดังกล่าวปลอมเป็นการแจ้งเตือนจากทีมความปลอดภัยหรือฝ่ายเรียกเก็บเงินของ Microsoft เนื้อหาอีเมลอ้างพบบิลหรือรายการเรียกเก็บเงินผิดปกติในบัญชี และเร่งให้ผู้รับติดต่อไปยังหมายเลขโทรศัพท์ที่แนบมา ขอให้ผู้ใช้งานเพิ่มความระมัดระวัง ไม่ติดต่อกลับตามหมายเลขในอีเมล ตรวจสอบข้อเท็จจริงผ่านช่องทางที่เชื่อถือได้ และหลีกเลี่ยงการเปิดเผยข้อมูลสำคัญโดยเด็ดขาด

1. รายละเอียดเหตุการณ์ [1]
   การโจมตีดังกล่าวเป็นการโจมตีแบบ Callback Phishing โดยผู้โจมตีอาศัยฟังก์ชันการสร้าง Alert ใน Azure Monitor เพื่อกำหนดข้อความหลอกลวงลงในฟิลด์คำอธิบาย (description) ของการแจ้งเตือน จากนั้นตั้งค่าให้ระบบส่งอีเมลแจ้งเตือนไปยังเป้าหมายที่ต้องการ เนื้อหาอีเมลอ้างว่าพบธุรกรรมต้องสงสัย ใบแจ้งหนี้ หรือการเรียกเก็บเงินที่ไม่ได้รับอนุญาต และกดดันให้ผู้ใช้ติดต่อไปยังหมายเลขโทรศัพท์ที่ระบุในข้อความ
   ตัวอย่างข้อความที่พบในการหลอกลวงระบุลักษณะคล้าย “billing and account security notice” พร้อมแจ้งว่าพบการเรียกเก็บเงินผิดปกติ เช่น ค่าใช้จ่ายของ “Windows Defender” มูลค่า 389.90 ดอลลาร์สหรัฐ และอ้างว่าหากไม่รีบดำเนินการอาจถูกระงับบัญชีหรือมีค่าธรรมเนียมเพิ่มเติม เป้าหมายคือหลอกให้ผู้เสียหายติดต่อไปยังหมายเลขโทรศัพท์ของมิจฉาชีพเพื่อเข้าสู่ขั้นตอนหลอกลวงถัดไป

2. ลักษณะการโจมตีและผลกระทบ
   อีเมลเหล่านี้ไม่ได้ปลอมแปลงโดเมนผู้ส่งแบบทั่วไป แต่ถูกส่งออกจากแพลตฟอร์ม Microsoft Azure Monitor จริง จึงทำให้ส่วนหัวอีเมลและการยืนยันตัวตนดูถูกต้อง นอกจากนี้ผู้โจมตียังใช้ชื่อกฎแจ้งเตือนที่ทำให้ดูคล้ายการแจ้งเตือนอัตโนมัติด้านการชำระเงิน ใบแจ้งหนี้ หรือกิจกรรมในระบบ เพื่อเพิ่มความน่าเชื่อถือและลดความสงสัยของผู้รับ
   แม้รายงานดังกล่าวไม่ได้ยืนยันผลลัพธ์ของการติดต่อในเคสนี้โดยตรง แต่แคมเปญ Callback Phishing ในลักษณะเดียวกันที่ผ่านมาเคยนำไปสู่การขโมยข้อมูลรับรอง การหลอกให้ชำระเงิน หรือการติดตั้งซอฟต์แวร์ควบคุมบนเครื่องของเหยื่อได้ อีกทั้งด้วยธีมอีเมลที่เป็นทางการและเกี่ยวข้องกับองค์กร จึงมีความเป็นไปได้ว่าผู้โจมตีต้องการเข้าถึงเบื้องต้นในเครือข่ายองค์กรเพื่อใช้โจมตีต่อเนื่องในลำดับถัดไป

3. ผลิตภัณฑ์/บริการที่เกี่ยวข้อง
   กรณีนี้เกี่ยวข้องกับบริการ Microsoft Azure Monitor และ Action Groups/Email Notifications ของระบบแจ้งเตือน ซึ่ง Microsoft ระบุว่าอีเมลแจ้งเตือนจากระบบสามารถถูกส่งจากที่อยู่อีเมล [email protected] ได้ จึงอาจทำให้ผู้ใช้งานเข้าใจผิดว่าเป็นการแจ้งเตือนความปลอดภัยหรือการเงินที่ถูกต้องตามปกติ [2]

4. แนวทางการป้องกันและลดความเสี่ยง
   4.1 ผู้ใช้งานและเจ้าหน้าที่ Helpdesk ตรวจสอบอีเมลที่อ้างว่าเป็นการแจ้งเตือนจาก Microsoft หรือ Azure โดยเฉพาะกรณีที่แนบหมายเลขโทรศัพท์และเร่งให้ติดต่อเพื่อยืนยันบิล ยกเลิกรายการ หรือแก้ปัญหาบัญชีอย่างเร่งด่วน
   4.2 กำหนดนโยบายภายในองค์กร ไม่ควรติดต่อตามหมายเลขโทรศัพท์ที่ระบุในอีเมลแจ้งเตือน แต่ให้ตรวจสอบผ่านพอร์ทัล Microsoft อย่างเป็นทางการ หรือใช้ช่องทางติดต่อที่องค์กรยืนยันแล้วเท่านั้น
   4.3 ผู้ดูแลระบบอีเมลและ SOC ควรเพิ่มการเฝ้าระวังอีเมลจากผู้ส่งที่เป็นโดเมน Microsoft จริง แต่มีเนื้อหาเรียกเก็บเงินผิดปกติ การขอให้ติดต่อกลับ หรือการใช้ถ้อยคำเร่งด่วนผิดธรรมชาติ
   4.4 หากองค์กรใช้งาน Azure Monitor ควรตรวจสอบการสร้าง Alert Rules และ Action Groups ที่ผิดปกติ รวมถึงรายการอีเมลปลายทางที่ใช้รับการแจ้งเตือน เพื่อค้นหาการใช้งานในทางที่ผิดหรือการตั้งค่าที่ไม่สอดคล้องกับวัตถุประสงค์ของระบบ
   4.5 แจ้งเตือนผู้ใช้งาน “อีเมลจาก Microsoft จริง” ไม่ได้หมายความว่า “เนื้อหาภายในอีเมลนั้นปลอดภัยหรือเป็นของแท้ทั้งหมด” เพราะกรณีนี้อาศัยแพลตฟอร์มที่ถูกต้องในการส่งอีเมล

5. หากสงสัยว่าได้รับอีเมลลักษณะดังกล่าว
   5.1 ห้ามติดต่อตามหมายเลขโทรศัพท์ในอีเมล ห้ามกดลิงก์ หรือให้ข้อมูลส่วนบุคคล ข้อมูลบัตร หรือข้อมูลบัญชีผู้ใช้
   5.2 ตรวจสอบการเรียกเก็บเงินหรือสถานะบัญชีผ่าน Microsoft/Azure โดยตรง
   5.3 กรณีที่ผู้ใช้งานติดต่อกลับหรือให้ข้อมูลไปแล้ว ควรเปลี่ยนรหัสผ่าน ตรวจสอบบัญชีที่เกี่ยวข้อง และเฝ้าระวังการเข้าถึงหรือติดตั้งโปรแกรมที่ไม่ได้รับอนุญาต
   5.4 ส่งอีเมลที่ต้องสงสัยให้ทีมความมั่นคงปลอดภัยสารสนเทศขององค์กรเพื่อตรวจสอบ

อ้างอิง
[1] https://dg.th/e4xncphqrd
[2] https://dg.th/5uroh2sw7b