ที่ Microsoft เรายังคงมองหาวิธีที่สร้างสรรค์ในการปกป้องบุคคลทางออนไลน์ ซึ่งรวมถึงการไม่ยอมรับบุคคลที่ปลอมแปลงผลิตภัณฑ์ของเราเพื่อสร้างความเสียหายต่อผู้อื่น บัญชีปลอมแปลงออนไลน์ทำหน้าที่เป็นใบเบิกทางสู่อาชญากรรมไซเบอร์มากมาย รวมถึงการฟิชชิ่งเหยื่อจำนวนมาก การโจรกรรมข้อมูลประจำตัวและการฉ้อโกง และการโจมตีแบบปฏิเสธการให้บริการแบบวงกว้าง (DDoS) นั่นจึงเป็นเหตุผลที่ในวันนี้ เราได้รับข้อมูลเชิงลึกอันทรงคุณค่าด้านข่าวกรองเกี่ยวกับภัยคุกคามจาก Arkose Labs ซึ่งเป็นผู้ให้บริการด้านการป้องกันการรักษาความปลอดภัยทางไซเบอร์และการจัดการบอทระดับชั้นนำ เพื่อติดตามไล่ล่าผู้ขายและผู้สร้างบัญชี Microsoft ปลอมแปลงอันดับหนึ่งของวงการ ซึ่งเป็นกลุ่มที่เราเรียกว่า Storm-1152 เราส่งสารอย่างชัดเจนถึงบุคคลที่ต้องการสร้าง จำหน่าย หรือแจกจ่ายผลิตภัณฑ์ Microsoft ปลอมแปลงเพื่อกระทำอาชญากรรมไซเบอร์ว่า เรากำลังจับตามอง รับทราบ และจะดำเนินการเพื่อปกป้องลูกค้าของเรา Storm-1152 ให้บริการเว็บไซต์และหน้าโซเชียลมีเดียที่ผิดกฎหมาย โดยจำหน่ายบัญชี Microsoft และเครื่องมือปลอมแปลงเพื่อหลีกเลี่ยงซอฟต์แวร์ตรวจสอบข้อมูลประจำตัวในแพลตฟอร์มทางเทคโนโลยีที่มีชื่อเสียง บริการเหล่านี้ช่วยลดเวลาและความพยายามที่จำเป็นสำหรับอาชญากรในการดำเนินพฤติกรรมทางอาชญากรรมและการใช้ในทางที่ผิดทางออนไลน์มากมาย จนถึงปัจจุบัน Storm-1152 ได้สร้างบัญชี Microsoft ปลอมแปลงเพื่อจำหน่ายแล้วประมาณ 750 ล้านบัญชี ซึ่งสร้างรายได้ที่ผิดกฎหมายหลายล้านดอลลาร์ และทำให้ Microsoft และบริษัทอื่นๆ ต้องเสียค่าใช้จ่ายมากขึ้นในการต่อสู้กับกิจกรรมทางอาชญากรรม ด้วยการดำเนินการในวันนี้ เป้าหมายของเราคือการยับยั้งพฤติกรรมทางอาชญากรรมดังกล่าว ด้วยการพยายามชะลอความเร็วในการโจมตีของอาชญากรไซเบอร์ เรามุ่งมั่นที่จะเพิ่มค่าใช้จ่ายในการดำเนินธุรกิจไปพร้อมกับดำเนินการตรวจสอบและปกป้องลูกค้าและผู้ใช้ออนไลน์รายอื่นๆ ของเราต่อไป
รับข้อมูลเชิงลึกจากผู้เชี่ยวชาญโดยตรงในพ็อดแคสต์ Microsoft Threat Intelligence ฟังเลย
การขัดขวางบริการที่เป็นใบเบิกทางสู่อาชญากรรมไซเบอร์
Storm-1152 มีบทบาทสำคัญในระบบนิเวศของบริการด้านอาชญากรรมไซเบอร์ที่มีความเชี่ยวชาญเฉพาะทางสูง อาชญากรไซเบอร์ต้องมีบัญชีปลอมแปลงเพื่อสนับสนุนกิจกรรมทางอาชญากรรมแบบอัตโนมัติส่วนใหญ่ เนื่องจากบริษัทต่างๆ สามารถระบุและปิดบัญชีปลอมแปลงได้อย่างรวดเร็ว อาชญากรจึงต้องมีบัญชีจำนวนมากขึ้นเพื่อหลีกเลี่ยงความพยายามในการบรรเทาความเสี่ยงดังกล่าว แทนที่จะใช้เวลาไปกับการพยายามสร้างบัญชีปลอมแปลงหลายพันรายการ อาชญากรไซเบอร์สามารถซื้อบัญชีเหล่านี้ได้จาก Storm-1152 และกลุ่มอื่นๆ วิธีการนี้ช่วยให้อาชญากรมุ่งความสนใจไปที่เป้าหมายสูงสุดของตนในการฟิชชิ่ง การสร้างสแปม แรนซัมแวร์ รวมถึงการฉ้อโกงและการใช้ในทางที่ผิดประเภทอื่นๆ Storm-1152 และกลุ่มที่คล้ายคลึงกันช่วยให้อาชญากรไซเบอร์จำนวนมากสามารถดำเนินกิจกรรมที่เป็นอันตรายได้อย่างมีประสิทธิภาพและประสิทธิผลมากขึ้น
Microsoft Threat Intelligence ได้ระบุตัวตนของหลายกลุ่มที่เกี่ยวข้องกับแรนซัมแวร์ การโจรกรรมข้อมูล และการขู่กรรโชกโดยใช้บัญชีของ Storm-1152 ตัวอย่างเช่น Octo Tempest หรือที่รู้จักกันในชื่อว่า Scattered Spider ซื้อบัญชี Microsoft ปลอมแปลงมาจาก Storm-1152 Octo Tempest เป็นกลุ่มอาชญากรรมไซเบอร์ที่มีแรงจูงใจทางการเงิน ซึ่งใช้ประโยชน์จากกิจกรรมการโจมตีแบบวิศวกรรมสังคมในวงกว้างเพื่อโจมตีองค์กรต่างๆ ทั่วโลกโดยมีเป้าหมายในการขู่กรรโชกเพื่อเรียกค่าตอบแทน Microsoft ยังคงติดตามผู้ก่อภัยคุกคามด้วยแรนซัมแวร์หรือการขู่กรรโชกอื่นๆ อีกหลายรายที่ได้ซื้อบัญชีปลอมแปลงจาก Storm-1152 เพื่อยกระดับการโจมตีของตน รวมถึง Storm-0252 และ Storm-0455
เมื่อวันพฤหัสบดีที่ 7 ธันวาคมที่ผ่านมา Microsoft ได้รับอนุมัติคำสั่งศาลจากเขตทางตอนใต้ของนิวยอร์กเพื่อเข้ายึดโครงสร้างพื้นฐานในสหรัฐอเมริกา และปิดเว็บไซต์ที่ Storm-1152 ใช้เพื่อสร้างความเสียหายต่อลูกค้าของ Microsoft แม้ว่าคดีของเราจะมุ่งเน้นไปที่บัญชี Microsoft ปลอมแปลงเป็นหลัก แต่เว็บไซต์ดังกล่าวยังส่งผลกระทบต่อบริการที่จำหน่ายเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยบนแพลตฟอร์มทางเทคโนโลยีที่มีชื่อเสียงอื่นๆ อีกด้วย การดำเนินการในวันนี้จึงส่งผลกระทบในวงกว้างมากขึ้น ซึ่งเป็นประโยชน์ต่อผู้ใช้รายต่างๆ นอกเหนือจาก Microsoft เอง โดยเฉพาะอย่างยิ่ง หน่วยปราบปรามอาชญากรรมทางดิจิทัลของ Microsoft ได้ขัดขวางเว็บไซต์ต่อไปนี้:
- Hotmailbox.me ซึ่งเป็นเว็บไซต์จำหน่ายบัญชี Microsoft Outlook ปลอมแปลง
- 1stCAPTCHA, AnyCAPTCHA และ NoneCAPTCHA ซึ่งเป็นเว็บไซต์ที่อำนวยความสะดวกด้านเครื่องมือ โครงสร้างพื้นฐาน และการจำหน่ายบริการแก้ CAPTCHA เพื่อหลีกเลี่ยงการยืนยันในการใช้งานและการตั้งค่าบัญชีโดยบุคคลจริง เว็บไซต์เหล่านี้จำหน่ายเครื่องมือหลีกเลี่ยงการตรวจสอบข้อมูลประจำตัวสำหรับแพลตฟอร์มทางเทคโนโลยีอื่นๆ
- เว็บไซต์โซเชียลมีเดีย ที่มีการใช้งานอย่างต่อเนื่องเพื่อทำการตลาดให้กับบริการเหล่านี้
ภาพของเว็บไซต์ผิดกฎหมายของ Storm-1152
Microsoft มุ่งมั่นที่จะมอบประสบการณ์ใช้งานดิจิทัลที่ปลอดภัยให้กับทุกคนและองค์กรทั่วโลก เราทำงานอย่างใกล้ชิดร่วมกับ Arkose Labs เพื่อปรับใช้โซลูชันการป้องกันด้วย CAPTCHA รุ่นใหม่ โซลูชันดังกล่าวกำหนดให้ผู้ใช้ทุกคนที่ต้องการเปิดบัญชี Microsoft ต้องแสดงตนว่าเป็นมนุษย์ (ไม่ใช่บอท) และตรวจสอบความถูกต้องของการแสดงตนดังกล่าวโดยการแก้ปัญหาประเภทต่างๆ
Kevin Gosschalk ในฐานะผู้ก่อตั้งและ CEO ของ Arkose Labs กล่าวว่า: “Storm-1152 เป็นอริที่น่าเกรงขามซึ่งเกิดขึ้นโดยมีวัตถุประสงค์หนึ่งเดียวในการสร้างรายได้ด้วยการเพิ่มศักยภาพให้แก่ผู้ไม่ประสงค์ดีในการโจมตีที่ซับซ้อน กลุ่มดังกล่าวแตกต่างกว่าใครจากข้อเท็จจริงที่ว่าบริษัทต่อยอดธุรกิจ CaaS ของตนอย่างโจ่งแจ้งเมื่อเทียบกับในดาร์กเว็บ Storm-1152 ดำเนินงานไม่ต่างจากเมื่อบุคคลมีข้อกังวลโดยทั่วไปในอินเทอร์เน็ต โดยให้การฝึกอบรมเกี่ยวกับการใช้เครื่องมือและยังให้การสนับสนุนลูกค้าอย่างเต็มรูปแบบอีกด้วย ในความเป็นจริงแล้ว Storm-1152 เปรียบเสมือนใบเบิกทางที่พร้อมปลดล็อกสู่การฉ้อโกงที่ร้ายแรง”
กิจกรรมของ Storm-1152 ไม่เพียงแต่ละเมิดข้อกำหนดการใช้บริการของ Microsoft ด้วยการขายบัญชีปลอมแปลงเท่านั้น แต่ยังจงใจพยายามสร้างความเสียหายต่อลูกค้าของ Arkose Labs และหลอกลวงเหยื่อโดยแอบอ้างว่าเป็นผู้ใช้ที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยอีกด้วย
สกรีนช็อตของการยึดโดเมนที่ Microsoft เริ่มดำเนินการเนื่องจากเว็บไซต์นี้พยายามขายบัญชี Microsoft ปลอมแปลงที่ได้รับมา
การวิเคราะห์กิจกรรมของ Storm-1152 ประกอบด้วยการตรวจจับ การวิเคราะห์ การวัดและส่งข้อมูลทางไกล การซื้อการทดสอบแบบปกปิดตัวตน และวิศวกรรมย้อนกลับเพื่อระบุโครงสร้างพื้นฐานที่เป็นอันตรายที่โฮสต์อยู่ในสหรัฐอเมริกา หน่วย Microsoft Threat Intelligence และ Arkose Cyber Threat Intelligence Research (ACTIR) ให้ข้อมูลเพิ่มเติมและข้อมูลเชิงลึกเพื่อเพิ่มความรัดกุมให้กับคดีความทางกฎหมายของเรา
ในการตรวจสอบดังกล่าว เราสามารถยืนยันตัวตนของผู้ดำเนินการที่เป็นผู้นำด้านการดำเนินงานของ Storm-1152 ได้แก่ Duong Dinh Tu, Linh Van Nguyễn (หรือที่รู้จักกันในชื่อว่า Nguyễn Van Linh) และ Tai Van Nguyen ซึ่งดำเนินงานอยู่ในเวียดนาม ข้อมูลที่เราค้นพบแสดงให้เห็นว่าบุคคลเหล่านี้ดำเนินการและเขียนโค้ดสำหรับเว็บไซต์ผิดกฎหมาย เผยแพร่คำแนะนำโดยละเอียดทีละขั้นตอนเกี่ยวกับวิธีการใช้ผลิตภัณฑ์ของตนผ่านวิดีโอบทช่วยสอน และให้บริการแชทเพื่อช่วยเหลือบุคคลที่ใช้บริการปลอมแปลงของตน
นับตั้งแต่นั้นเป็นต้นมา Microsoft ได้ส่งต่อข้อมูลอาชญากรไปยังหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา เรารู้สึกขอบคุณสำหรับความร่วมมือของเรากับหน่วยงานบังคับใช้กฎหมายที่สามารถนำบุคคลที่ต้องการสร้างความเสียหายต่อลูกค้าของเราเข้าสู่กระบวนการยุติธรรมได้
ช่อง YouTube ของ Duong Dinh Tu ที่มี “วิดีโอสอนวิธีการ” หลีกเลี่ยงมาตรการรักษาความปลอดภัย
การดำเนินการในวันนี้เป็นการสานต่อกลยุทธ์ของ Microsoft ในการมุ่งเป้าไปที่ระบบนิเวศของอาชญากรไซเบอร์ในวงกว้าง และกำหนดเป้าหมายเครื่องมือที่อาชญากรไซเบอร์ใช้ในการเริ่มการโจมตี ซึ่งต่อยอดจากการยกระดับวิธีการทางกฎหมายที่มีผลสำเร็จเพื่อขัดขวางการดำเนินงานด้วยมัลแวร์และของรัฐชาติ เรายังได้ร่วมมือกับองค์กรอื่นๆ ทั่วทั้งอุตสาหกรรมเพื่อเพิ่มการแบ่งปันข่าวกรองเกี่ยวกับการฉ้อโกง และปรับปรุงอัลกอริทึมด้านปัญญาประดิษฐ์และการเรียนรู้ของเครื่องที่ตรวจจับและระบุบัญชีปลอมแปลงได้อย่างรวดเร็วเพิ่มเติม
ดังที่เราได้กล่าวไปแล้วว่าการขัดขวางมิอาจดำเนินการให้เสร็จสมบูรณ์ได้ในวันเดียว การติดตามอาชญากรรมไซเบอร์ต้องใช้ความเพียรพยายามและความระมัดระวังอย่างต่อเนื่องเพื่อขัดขวางโครงสร้างพื้นฐานใหม่ที่เป็นอันตรายเหล่านี้ แม้ว่าการดำเนินการทางกฎหมายในปัจจุบันจะส่งผลกระทบต่อการดำเนินงานของ Storm-1152 แต่เราคาดว่าผู้ก่อภัยคุกคามรายอื่นจะปรับเปลี่ยนเทคนิคของตนตามไปด้วย การทำงานร่วมกันระหว่างภาครัฐและเอกชนอย่างต่อเนื่อง เช่นเดียวกับความร่วมมือในปัจจุบันกับ Arkose Labs และหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา ยังคงมีความสำคัญหากเราต้องการลดผลกระทบจากอาชญากรรมไซเบอร์อย่างมีความหมาย
ติดตาม Microsoft