สรุปสั้น
INTERPOL นำปฏิบัติการ Operation Ramz ร่วมกับหน่วยงานบังคับใช้กฎหมายจาก 13 ประเทศในภูมิภาคตะวันออกกลางและแอฟริกาเหนือ (MENA) ทลายแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ชื่อ Sniper Dz ที่เปิดให้อาชญากรไซเบอร์ใช้งานฟรีมาตั้งแต่ปี 2015 ปฏิบัติการดำเนินการระหว่างเดือนตุลาคม 2568 ถึงกุมภาพันธ์ 2569 จับกุมผู้ต้องหารวม 201 ราย รวมถึงนาย Guedz ผู้พัฒนาและดูแลระบบหลักของแพลตฟอร์ม ซึ่งถูกจับโดยตำรวจแห่งชาติแอลจีเรีย
Sniper Dz โดดเด่นจากคู่แข่งในตลาด PhaaS ตรงที่ให้บริการโครงสร้างพื้นฐานทั้งหมดฟรี ทำให้อาชญากรมือใหม่สามารถเปิดแคมเปญฟิชชิงขนาดใหญ่ได้อย่างง่ายดาย แพลตฟอร์มนี้มีเทมเพลตฟิชชิง 80 แบบใน 5 ภาษา กำหนดเป้าหมายไปยังองค์กรใหญ่ 30 แห่ง อาทิ PayPal, Facebook, Instagram, Yahoo, Netflix และ Steam โดยบริษัท Group-IB ระบุว่าตลอดระยะเวลาดำเนินการพบโดเมนที่เชื่อมโยงกว่า 20,000 โดเมน และบันทึกเหยื่อมากกว่า 45,000 ราย
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่าบริษัท Group-IB เปิดเผยรายละเอียดปฏิบัติการ Operation Ramz ที่นำโดย INTERPOL ซึ่งสำเร็จในการทลายแพลตฟอร์ม Sniper Dz แพลตฟอร์มนี้พัฒนามาอย่างต่อเนื่องตั้งแต่ปี 2015 จนกลายเป็นระบบอาชญากรรมที่ซับซ้อน มีชุดเครื่องมือฟิชชิงสำเร็จรูป โครงสร้างพื้นฐานสำหรับโฮสต์ และการสนับสนุนด้านปฏิบัติการให้อาชญากรไซเบอร์ ตลอดระยะเวลาดำเนินงานแพลตฟอร์มได้เปลี่ยนชื่อหลายครั้ง ได้แก่ Joker Dz, Storm Dz และ Spam Dz
แคมเปญฟิชชิงที่ใช้ Sniper Dz เน้นกำหนดเป้าหมายผู้ใช้งานแพลตฟอร์มเทคโนโลยี โซเชียลมีเดีย และบริการสตรีมมิงในหลายภูมิภาค โดยปลอมตัวเป็นแบรนด์ดังและหน่วยงานรัฐบาลด้วยเว็บไซต์เลียนแบบที่น่าเชื่อถือ เพื่อเก็บเกี่ยว credential ข้อมูลส่วนบุคคล และข้อมูลสำคัญอื่น ๆ นอกจากนี้ยังใช้เทคนิค social engineering โดยสร้างบัญชีโซเชียลมีเดียปลอมแอบอ้างเป็นบุคคลสาธารณะที่มีชื่อเสียงในภูมิภาค MENA เพื่อโปรโมตลิงก์ฟิชชิงที่แฝงมาในรูปโปรโมชันหรือการเข้าถึงอินเทอร์เน็ตฟรี
จุดเด่นของ Sniper Dz คือโมเดลธุรกิจที่ให้บริการฟรีทั้งหมด โดยมีรายได้จากการเก็บเกี่ยว credential ที่ขโมยได้ และการเปลี่ยนเส้นทางเหยื่อที่ไม่ได้กรอกข้อมูลไปยังแคมเปญหลอกลวงอื่น เช่น carrier billing fraud, SMS premium subscription และ browser notification abuse ในส่วนของปฏิบัติการ เจ้าหน้าที่ได้ยึดฮาร์ดแวร์ที่บรรจุซอฟต์แวร์และสคริปต์ฟิชชิง พร้อมปิดเว็บไซต์ที่ใช้เสนอบริการ PhaaS
วิธีการโจมตี
Sniper Dz ทำงานในรูปแบบ Phishing-as-a-Service โดยจัดเตรียมชุดเครื่องมือฟิชชิงสำเร็จรูปที่พร้อมใช้งาน ครอบคลุมเทมเพลต 80 แบบใน 5 ภาษา ได้แก่ อาหรับ อังกฤษ ฝรั่งเศส สเปน และฮิบรู แพลตฟอร์มให้บริการโฮสต์หน้าฟิชชิงบนโครงสร้างพื้นฐานของตนเองผ่าน proxy server ทำให้ผู้ใช้งานไม่ต้องจัดการเซิร์ฟเวอร์เอง
ผู้ดูแลระบบยังใช้ช่องทาง Telegram ที่มีสมาชิกกว่า 7,300 คน ในการแชร์วิดีโอสอนการใช้งานและอธิบายตัวเลือกต่าง ๆ ของแพลตฟอร์ม ข้อมูลที่ขโมยได้ถูกเก็บเกี่ยวผ่านแคมเปญฟิชชิง ขณะที่เหยื่อที่ไม่ยอมกรอกข้อมูลจะถูกเปลี่ยนเส้นทางไปยัง scam campaign อื่น ๆ เพื่อสร้างรายได้เพิ่มเติม
ผลกระทบต่อไทย
แม้ปฏิบัติการ Ramz จะมุ่งเน้นภูมิภาค MENA เป็นหลัก แต่ Sniper Dz ถูกใช้โจมตีแบรนด์ระดับโลกที่คนไทยใช้บริการอย่างแพร่หลาย เช่น Facebook, Instagram, PayPal และ Netflix ผู้ใช้งานชาวไทยที่ได้รับลิงก์ฟิชชิงจากแพลตฟอร์มเหล่านี้อาจตกเป็นเหยื่อได้เช่นกัน นอกจากนี้โมเดล PhaaS ที่ให้บริการฟรียังเป็นตัวอย่างที่แสดงให้เห็นว่าอาชญากรไซเบอร์มือใหม่สามารถเปิดแคมเปญฟิชชิงขนาดใหญ่ได้โดยแทบไม่ต้องมีทักษะทางเทคนิค องค์กรไทยควรเสริมความตระหนักรู้ด้านฟิชชิงให้พนักงานอย่างต่อเนื่อง
คำแนะนำ
- เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชีออนไลน์ทุกบัญชี โดยเฉพาะโซเชียลมีเดียและบริการทางการเงิน
- อบรมพนักงานให้ระวังลิงก์ฟิชชิงที่มาในรูปโปรโมชันหรือข้อเสนอจากบุคคลสาธารณะ
- ใช้เครื่องมือกรองอีเมลและ URL filtering ที่สามารถตรวจจับโดเมนฟิชชิงที่ปลอมแปลงแบรนด์ดัง
- ติดตามรายชื่อโดเมนฟิชชิงที่เผยแพร่โดย Group-IB และหน่วยงานบังคับใช้กฎหมายเพื่อบล็อกในระบบเครือข่ายขององค์กร
