สรุปสั้น

มีการเปิดโปงแคมเปญฟิชชิงที่แอบอ้างเป็นแบรนด์ดังกว่า 30 รายทั่วโลก ทั้ง Adobe, Netflix, Coca-Cola และ OpenAI ด้วยการปลอมเป็นการสัมภาษณ์งานเพื่อขโมยข้อมูลรับรองบัญชี Google จากกลุ่มนักการตลาดโดยเฉพาะ จุดที่ทำให้แคมเปญนี้แนบเนียนคือผู้โจมตีอาศัยแพลตฟอร์มบริหารทรัพยากรบุคคล (HR) บนคลาวด์ของแท้ชื่อ PeopleForce และโดเมนที่เชื่อมโยงกับบริการ Salesforce Marketing Cloud ทำ redirect ซ้อนกันหลายชั้น ก่อนจะพาเหยื่อไปยังหน้าเว็บอันตรายปลายทาง ทำให้อีเมลและลิงก์ในช่วงต้นดูน่าเชื่อถือจนผ่านการตรวจสอบได้ง่าย

เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตียังใช้ชื่อและรูปของเจ้าหน้าที่สรรหาบุคลากร (recruiter) ตัวจริงของบริษัทที่ถูกสวมรอย พร้อมชวนเหยื่อให้นัดพูดคุยเรื่องตำแหน่งงานด้านการตลาด เมื่อเหยื่อคลิกลิงก์นัดหมาย ก็จะถูกพาไปยังหน้าปลอมของผู้โจมตี และถูกขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google โดยเมื่อกดปุ่ม “Continue with Google” จะมีป๊อปอัปหน้าล็อกอิน Google ปลอมเด้งขึ้นมา ซึ่งแท้จริงเป็นเพียงโค้ด HTML และ CSS ที่วาดขึ้นภายในหน้าฟิชชิง หรือที่เรียกว่าเทคนิค Browser-in-the-Browser (BitB) ทำให้ดูเหมือนหน้าต่างเบราว์เซอร์จริงจนเหยื่อหลงกรอกรหัสผ่าน

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า มีแคมเปญฟิชชิงที่แอบอ้างเป็นแบรนด์ดังมากกว่า 30 ราย รวมถึง Adobe, Netflix, Coca-Cola และ OpenAI ในรูปแบบการสัมภาษณ์งานปลอม เพื่อขโมยข้อมูลรับรองบัญชี Google จากกลุ่มผู้เชี่ยวชาญด้านการตลาด โดยปฏิบัติการนี้ฉวยใช้แพลตฟอร์มบริหารทรัพยากรบุคคลบนคลาวด์ของแท้ชื่อ PeopleForce และโดเมนที่เกี่ยวข้องกับบริการ Salesforce Marketing Cloud ก่อนเปลี่ยนเส้นทางผู้รับไปยังหน้าเว็บอันตรายปลายทาง

นาย Will Thomas ที่ปรึกษาอาวุโสของบริษัท Team Cymru ซึ่งเป็นบริษัทด้านข่าวกรองภัยคุกคามและการล่าภัย (threat hunting) ได้วิเคราะห์แคมเปญนี้และพบว่าอีเมลฟิชชิงแอบอ้างเป็น “เจ้าหน้าที่สรรหาบุคลากรที่กำลังมองหาคนมาร่วมงานในตำแหน่งด้านการตลาด” โดยนักวิจัยพบว่าผู้โจมตีใช้โดเมนอย่างน้อย 34 โดเมนปลอมเป็นบริษัทมูลค่าสูงในหลายอุตสาหกรรม ทั้งสายการบินและการท่องเที่ยว (American Airlines, Booking.com, Delta, United), อาหารและเครื่องดื่ม (Coca-Cola, PepsiCo, Red Bull), เสื้อผ้าและสินค้าหรู (Adidas, Louis Vuitton, Sephora, Levi’s), กลุ่มจัดหางาน–ที่ปรึกษา–เทคโนโลยี (Adobe, ManpowerGroup, McKinsey, OpenAI) ไปจนถึงกลุ่มบันเทิงและกีฬา (FIFA, Netflix)

phishing fake job interview impersonating big brands to steal google accounts

นาย Thomas พบว่าแคมเปญนี้อาศัยการ redirect ซ้อนกัน (nested redirects) ซึ่งเป็นเทคนิคพาผู้เยี่ยมชมวิ่งผ่านบริการของแท้หลายรายก่อนถึงหน้าปลายทางอันตราย โดยแม้อีเมลฟิชชิงจะดูเหมือนมาจาก PeopleForce แต่ลิงก์เบื้องหลังกลับ resolve ไปยังโดเมน exct[.]net ซึ่งดำเนินการโดย Salesforce หลังเข้าซื้อแพลตฟอร์ม ExactTarget (ปัจจุบันเปลี่ยนชื่อเป็น Salesforce Marketing Cloud) จากนั้น ExactTarget จะ redirect ต่อไปยัง Wise Agent (wiseagent[.]com) ซึ่งเป็นระบบ CRM ด้านอสังหาริมทรัพย์บนคลาวด์ ก่อนส่งต่อไปยังหน้าฟิชชิงปลายทางในที่สุด ทั้งนี้ BleepingComputer พบว่าปฏิบัติการนี้ดำเนินมานานอย่างน้อย 5 เดือนแล้ว โดยช่วงแรกใช้ที่อยู่อีเมล Outlook ที่ตั้งชื่อเป็นบริษัทที่ถูกสวมรอย

วิธีการโจมตี

ตัวอย่างหนึ่งที่นักวิจัยพบคืออีเมลที่ปลอมเป็นข้อความจากนาง Paulina Manzo ผู้สรรหาบุคลากรของ Adidas ที่ชวนผู้รับให้นัดพูดคุยเรื่องตำแหน่งงานที่บริษัท เมื่อผู้รับคลิกลิงก์ไปยังปฏิทินนัดหมาย ก็จะถูกพาไปยังหน้าปลอมของผู้โจมตีที่โดเมน adidas-hiring[.]com และเพื่อดำเนินการนัดหมายต่อ เหยื่อจะถูกขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google เมื่อกดปุ่ม “Continue with Google” ก็จะมีป๊อปอัปหน้าลงชื่อเข้าใช้ Google ปลอมเด้งขึ้นภายในหน้าฟิชชิงทันที

แม้ป๊อปอัปดังกล่าวจะดูเหมือนหน้าต่างเบราว์เซอร์ของแท้ แต่จริง ๆ แล้วเป็นเพียงโค้ด HTML และ CSS ที่ถูกวาดขึ้นภายในหน้าฟิชชิง ซึ่งเป็นเทคนิคที่เรียกว่า Browser-in-the-Browser (BitB) ด้วยเครื่องมือพัฒนาเว็บสมัยใหม่ ผู้โจมตีสามารถจำลององค์ประกอบทุกอย่างของหน้าต่างยืนยันตัวตนจริงได้อย่างแนบเนียน ทั้งแถบที่อยู่ ปุ่ม และไอคอน ทำให้เหยื่อแทบแยกไม่ออกว่ากำลังกรอกรหัสผ่านลงในหน้าปลอม

นักวิจัยระบุว่ายังไม่ชัดเจนว่าผู้โจมตีเข้าถึงแพลตฟอร์มของแท้เหล่านี้ได้อย่างไร แต่การนำไปใช้ไม่ได้หมายความว่าบริการเหล่านั้นถูกเจาะ ความเป็นไปได้หนึ่งคือการสมัครบัญชีของจริงขึ้นมาเพื่อใช้กับแคมเปญโดยเฉพาะ หรือใช้ข้อมูลล็อกอินที่ถูกขโมยมา ซึ่งช่วยให้ตั้งค่าห่วงโซ่การ redirect และหน้าปลายทางได้ ทั้งนี้รายชื่อโดเมนทั้งหมดที่พบในแคมเปญนี้มีเผยแพร่อยู่ในบทวิเคราะห์ของนาย Will Thomas บน GitHub

ผลกระทบต่อไทย

แคมเปญนี้พุ่งเป้ากลุ่มนักการตลาดและผู้หางานที่ใช้บัญชี Google เป็นหลัก ซึ่งครอบคลุมคนทำงานไทยจำนวนมากที่ใช้ Gmail และ Google Workspace ทั้งในระดับองค์กรและส่วนตัว ความอันตรายอยู่ที่การหลอกด้วยโอกาสงานจากแบรนด์ดัง ซึ่งกระตุ้นให้เหยื่อรีบคลิกและกรอกข้อมูลโดยไม่ทันระวัง อีกทั้งเทคนิค BitB ยังทำให้หน้าล็อกอินปลอมดูสมจริงจนแม้แต่ผู้ใช้ที่ระวังตัวก็อาจพลาดได้ หากบัญชี Google ที่ถูกขโมยเป็นบัญชีที่ผูกกับบัญชีองค์กรหรือใช้ยืนยันตัวตนบริการอื่น ผู้โจมตีก็อาจต่อยอดเข้าถึงข้อมูลสำคัญขององค์กรไทยได้ นอกจากนี้การที่แคมเปญใช้บริการคลาวด์ของแท้ทำ redirect ยังทำให้ระบบกรองอีเมลและ URL ทั่วไปตรวจจับได้ยาก

คำแนะนำ

ผู้ใช้ควรระมัดระวังอีเมลชักชวนสมัครงานหรือสัมภาษณ์งานที่ไม่ได้ร้องขอ โดยเฉพาะที่ขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google เพื่อดำเนินการต่อ วิธีสังเกตหน้า BitB คือให้ลองลากหน้าต่างล็อกอินออกนอกขอบเบราว์เซอร์ หากลากออกไม่ได้หรือหน้าต่างติดอยู่ภายในหน้าเว็บ แสดงว่าเป็นของปลอม และควรตรวจสอบชื่อโดเมนบนแถบที่อยู่จริงของเบราว์เซอร์ให้ตรงกับ accounts.google.com เสมอ ในเชิงองค์กร ผู้ดูแลระบบควรเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) โดยเฉพาะแบบ passkey หรือ security key ที่ทนต่อฟิชชิง (phishing-resistant) เพื่อป้องกันไม่ให้รหัสผ่านที่ถูกขโมยถูกนำไปใช้ได้ รวมถึงอบรมพนักงานให้รู้จักเทคนิค Browser-in-the-Browser และเฝ้าระวัง redirect ที่ผ่านบริการคลาวด์ของแท้ซึ่งอาจถูกฉวยใช้

แหล่งอ้างอิง