สรุปสั้น
มีการเปิดโปงแคมเปญฟิชชิงที่แอบอ้างเป็นแบรนด์ดังกว่า 30 รายทั่วโลก ทั้ง Adobe, Netflix, Coca-Cola และ OpenAI ด้วยการปลอมเป็นการสัมภาษณ์งานเพื่อขโมยข้อมูลรับรองบัญชี Google จากกลุ่มนักการตลาดโดยเฉพาะ จุดที่ทำให้แคมเปญนี้แนบเนียนคือผู้โจมตีอาศัยแพลตฟอร์มบริหารทรัพยากรบุคคล (HR) บนคลาวด์ของแท้ชื่อ PeopleForce และโดเมนที่เชื่อมโยงกับบริการ Salesforce Marketing Cloud ทำ redirect ซ้อนกันหลายชั้น ก่อนจะพาเหยื่อไปยังหน้าเว็บอันตรายปลายทาง ทำให้อีเมลและลิงก์ในช่วงต้นดูน่าเชื่อถือจนผ่านการตรวจสอบได้ง่าย
เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตียังใช้ชื่อและรูปของเจ้าหน้าที่สรรหาบุคลากร (recruiter) ตัวจริงของบริษัทที่ถูกสวมรอย พร้อมชวนเหยื่อให้นัดพูดคุยเรื่องตำแหน่งงานด้านการตลาด เมื่อเหยื่อคลิกลิงก์นัดหมาย ก็จะถูกพาไปยังหน้าปลอมของผู้โจมตี และถูกขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google โดยเมื่อกดปุ่ม “Continue with Google” จะมีป๊อปอัปหน้าล็อกอิน Google ปลอมเด้งขึ้นมา ซึ่งแท้จริงเป็นเพียงโค้ด HTML และ CSS ที่วาดขึ้นภายในหน้าฟิชชิง หรือที่เรียกว่าเทคนิค Browser-in-the-Browser (BitB) ทำให้ดูเหมือนหน้าต่างเบราว์เซอร์จริงจนเหยื่อหลงกรอกรหัสผ่าน
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า มีแคมเปญฟิชชิงที่แอบอ้างเป็นแบรนด์ดังมากกว่า 30 ราย รวมถึง Adobe, Netflix, Coca-Cola และ OpenAI ในรูปแบบการสัมภาษณ์งานปลอม เพื่อขโมยข้อมูลรับรองบัญชี Google จากกลุ่มผู้เชี่ยวชาญด้านการตลาด โดยปฏิบัติการนี้ฉวยใช้แพลตฟอร์มบริหารทรัพยากรบุคคลบนคลาวด์ของแท้ชื่อ PeopleForce และโดเมนที่เกี่ยวข้องกับบริการ Salesforce Marketing Cloud ก่อนเปลี่ยนเส้นทางผู้รับไปยังหน้าเว็บอันตรายปลายทาง
นาย Will Thomas ที่ปรึกษาอาวุโสของบริษัท Team Cymru ซึ่งเป็นบริษัทด้านข่าวกรองภัยคุกคามและการล่าภัย (threat hunting) ได้วิเคราะห์แคมเปญนี้และพบว่าอีเมลฟิชชิงแอบอ้างเป็น “เจ้าหน้าที่สรรหาบุคลากรที่กำลังมองหาคนมาร่วมงานในตำแหน่งด้านการตลาด” โดยนักวิจัยพบว่าผู้โจมตีใช้โดเมนอย่างน้อย 34 โดเมนปลอมเป็นบริษัทมูลค่าสูงในหลายอุตสาหกรรม ทั้งสายการบินและการท่องเที่ยว (American Airlines, Booking.com, Delta, United), อาหารและเครื่องดื่ม (Coca-Cola, PepsiCo, Red Bull), เสื้อผ้าและสินค้าหรู (Adidas, Louis Vuitton, Sephora, Levi’s), กลุ่มจัดหางาน–ที่ปรึกษา–เทคโนโลยี (Adobe, ManpowerGroup, McKinsey, OpenAI) ไปจนถึงกลุ่มบันเทิงและกีฬา (FIFA, Netflix)

นาย Thomas พบว่าแคมเปญนี้อาศัยการ redirect ซ้อนกัน (nested redirects) ซึ่งเป็นเทคนิคพาผู้เยี่ยมชมวิ่งผ่านบริการของแท้หลายรายก่อนถึงหน้าปลายทางอันตราย โดยแม้อีเมลฟิชชิงจะดูเหมือนมาจาก PeopleForce แต่ลิงก์เบื้องหลังกลับ resolve ไปยังโดเมน exct[.]net ซึ่งดำเนินการโดย Salesforce หลังเข้าซื้อแพลตฟอร์ม ExactTarget (ปัจจุบันเปลี่ยนชื่อเป็น Salesforce Marketing Cloud) จากนั้น ExactTarget จะ redirect ต่อไปยัง Wise Agent (wiseagent[.]com) ซึ่งเป็นระบบ CRM ด้านอสังหาริมทรัพย์บนคลาวด์ ก่อนส่งต่อไปยังหน้าฟิชชิงปลายทางในที่สุด ทั้งนี้ BleepingComputer พบว่าปฏิบัติการนี้ดำเนินมานานอย่างน้อย 5 เดือนแล้ว โดยช่วงแรกใช้ที่อยู่อีเมล Outlook ที่ตั้งชื่อเป็นบริษัทที่ถูกสวมรอย
วิธีการโจมตี
ตัวอย่างหนึ่งที่นักวิจัยพบคืออีเมลที่ปลอมเป็นข้อความจากนาง Paulina Manzo ผู้สรรหาบุคลากรของ Adidas ที่ชวนผู้รับให้นัดพูดคุยเรื่องตำแหน่งงานที่บริษัท เมื่อผู้รับคลิกลิงก์ไปยังปฏิทินนัดหมาย ก็จะถูกพาไปยังหน้าปลอมของผู้โจมตีที่โดเมน adidas-hiring[.]com และเพื่อดำเนินการนัดหมายต่อ เหยื่อจะถูกขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google เมื่อกดปุ่ม “Continue with Google” ก็จะมีป๊อปอัปหน้าลงชื่อเข้าใช้ Google ปลอมเด้งขึ้นภายในหน้าฟิชชิงทันที
แม้ป๊อปอัปดังกล่าวจะดูเหมือนหน้าต่างเบราว์เซอร์ของแท้ แต่จริง ๆ แล้วเป็นเพียงโค้ด HTML และ CSS ที่ถูกวาดขึ้นภายในหน้าฟิชชิง ซึ่งเป็นเทคนิคที่เรียกว่า Browser-in-the-Browser (BitB) ด้วยเครื่องมือพัฒนาเว็บสมัยใหม่ ผู้โจมตีสามารถจำลององค์ประกอบทุกอย่างของหน้าต่างยืนยันตัวตนจริงได้อย่างแนบเนียน ทั้งแถบที่อยู่ ปุ่ม และไอคอน ทำให้เหยื่อแทบแยกไม่ออกว่ากำลังกรอกรหัสผ่านลงในหน้าปลอม
นักวิจัยระบุว่ายังไม่ชัดเจนว่าผู้โจมตีเข้าถึงแพลตฟอร์มของแท้เหล่านี้ได้อย่างไร แต่การนำไปใช้ไม่ได้หมายความว่าบริการเหล่านั้นถูกเจาะ ความเป็นไปได้หนึ่งคือการสมัครบัญชีของจริงขึ้นมาเพื่อใช้กับแคมเปญโดยเฉพาะ หรือใช้ข้อมูลล็อกอินที่ถูกขโมยมา ซึ่งช่วยให้ตั้งค่าห่วงโซ่การ redirect และหน้าปลายทางได้ ทั้งนี้รายชื่อโดเมนทั้งหมดที่พบในแคมเปญนี้มีเผยแพร่อยู่ในบทวิเคราะห์ของนาย Will Thomas บน GitHub
ผลกระทบต่อไทย
แคมเปญนี้พุ่งเป้ากลุ่มนักการตลาดและผู้หางานที่ใช้บัญชี Google เป็นหลัก ซึ่งครอบคลุมคนทำงานไทยจำนวนมากที่ใช้ Gmail และ Google Workspace ทั้งในระดับองค์กรและส่วนตัว ความอันตรายอยู่ที่การหลอกด้วยโอกาสงานจากแบรนด์ดัง ซึ่งกระตุ้นให้เหยื่อรีบคลิกและกรอกข้อมูลโดยไม่ทันระวัง อีกทั้งเทคนิค BitB ยังทำให้หน้าล็อกอินปลอมดูสมจริงจนแม้แต่ผู้ใช้ที่ระวังตัวก็อาจพลาดได้ หากบัญชี Google ที่ถูกขโมยเป็นบัญชีที่ผูกกับบัญชีองค์กรหรือใช้ยืนยันตัวตนบริการอื่น ผู้โจมตีก็อาจต่อยอดเข้าถึงข้อมูลสำคัญขององค์กรไทยได้ นอกจากนี้การที่แคมเปญใช้บริการคลาวด์ของแท้ทำ redirect ยังทำให้ระบบกรองอีเมลและ URL ทั่วไปตรวจจับได้ยาก
คำแนะนำ
ผู้ใช้ควรระมัดระวังอีเมลชักชวนสมัครงานหรือสัมภาษณ์งานที่ไม่ได้ร้องขอ โดยเฉพาะที่ขอให้ลงชื่อเข้าใช้ด้วยบัญชี Google เพื่อดำเนินการต่อ วิธีสังเกตหน้า BitB คือให้ลองลากหน้าต่างล็อกอินออกนอกขอบเบราว์เซอร์ หากลากออกไม่ได้หรือหน้าต่างติดอยู่ภายในหน้าเว็บ แสดงว่าเป็นของปลอม และควรตรวจสอบชื่อโดเมนบนแถบที่อยู่จริงของเบราว์เซอร์ให้ตรงกับ accounts.google.com เสมอ ในเชิงองค์กร ผู้ดูแลระบบควรเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) โดยเฉพาะแบบ passkey หรือ security key ที่ทนต่อฟิชชิง (phishing-resistant) เพื่อป้องกันไม่ให้รหัสผ่านที่ถูกขโมยถูกนำไปใช้ได้ รวมถึงอบรมพนักงานให้รู้จักเทคนิค Browser-in-the-Browser และเฝ้าระวัง redirect ที่ผ่านบริการคลาวด์ของแท้ซึ่งอาจถูกฉวยใช้
