ฟอร์ติเน็ต (Fortinet) ชี้จุดยืนทางการเมืองและอิทธิพลระหว่างประเทศของฝรั่งเศส ทำให้การแข่งขันโอลิมปิก ปารีส 2024 เป็นเป้าหมายสำคัญสำหรับกลุ่มที่มีแรงจูงใจทางการเมือง พบกิจกรรมกลุ่มแฮกคึกคักขึ้นหลังรัสเซีย-เบลารุสไม่ได้รับเชิญลงแข่งกีฬาโลก เล็ง Paris 2024 มียอดโจมตีเกิน Tokyo 2020 หรือโอลิมปิกเกมส์ครั้งก่อนหน้าที่ถูกโจมตี 4.4 พันล้านครั้ง
Fortinet ประกาศกลางบล็อกบริษัทว่าอาชญากรไซเบอร์พร้อมเต็มที่สำหรับการฉวยโอกาสโจมตีช่วงมหกรรมกีฬาโลกโอลิมปิกเกมส์ เบื้องต้น เชื่อว่าจุดยืนทางการเมืองและอิทธิพลระหว่างประเทศของฝรั่งเศส จะทำให้การแข่งขันโอลิมปิก ปารีส 2024 เป็นเป้าหมายสำคัญสำหรับกลุ่มที่มีแรงจูงใจทางการเมือง
"เราคาดว่ากลุ่มแฮกติวิสต์จะมุ่งให้ความสำคัญไปที่หน่วยงานที่เกี่ยวข้องกับโอลิมปิกปารีส เพื่อขัดขวางการจัดงาน รวมถึงโครงสร้างพื้นฐาน ช่องทางสื่อ และองค์กรที่เกี่ยวข้อง เพื่อขัดขวางความคืบหน้าของการดำเนินงาน ทำลายความน่าเชื่อถือและขยายข้อความของพวกเขาไปยังเวทีโลก"
Fortinet อธิบายว่าความเสี่ยงด้านไซเบอร์ซิเคียวริตีมักเพิ่มขึ้นในเวลาที่มีมหกรรมการแข่งขันกีฬาครั้งสำคัญเกิดขึ้น ไม่ว่าจะเป็น ฟุตบอลโลก ซูเปอร์โบวล์ หรือวิมเบิลดัน ที่ล้วนสามารถดึงดูดผู้ชมได้นับล้านหรือนับพันล้านให้เข้ามาเฝ้าชมการแข่งขัน โดยยกตัวอย่างการยิงจุดโทษของอาร์เจนตินาที่มีชัยชนะเหนือฝรั่งเศสในนัดชิงชนะเลิศฟุตบอลโลก 2022 ที่ประเทศกาตาร์มีผู้ชมทั่วโลกถึง 1.5 พันล้านคน สำหรับการแข่งขันกีฬาโอลิมปิกที่เริ่มขึ้นที่กรุงปารีสเมื่อวันที่ 26 ก.ค.2024 ที่ผ่านมา ถือเป็นการแข่งขันกีฬาที่มีขนาดใหญ่ที่สุด เชื่อว่าจะมียอดชมไม่แพ้การแข่งขันกีฬาโอลิมปิก โตเกียว 2020 ที่สามารถดึงดูดผู้ชมทั่วโลกได้มากกว่า 3 พันล้านคน
"มหกรรมการแข่งขันกีฬาเหล่านี้เป็นโอกาสอันดีเช่นกันสำหรับเหล่าอาชญากรไซเบอร์ โดยในช่วงทศวรรษที่ผ่านมา จำนวนการโจมตีบนไซเบอร์ที่มุ่งเป้าไปยังงานใหญ่ๆ ได้เพิ่มขึ้นสูงขึ้นเป็นอย่างมาก จากจำนวน 212 ล้านครั้งในกีฬาโอลิมปิก ลอนดอน 2012 ที่มีการบันทึกไว้อย่างเป็นทางการ การโจมตีได้เพิ่มขึ้นอย่างมหาศาลถึง 4.4 พันล้านครั้งในกีฬาโอลิมปิกโตเกียว 2020 ซึ่งบ่อยครั้งที่การโจมตีเหล่านี้มีแรงจูงใจด้านการเงินโดยตรง เช่น การหลอกลวง (Scams) การฉ้อโกงทางดิจิทัล (Digital Fraud) หรือการได้มาซึ่งข้อมูลที่สำคัญจากผู้เข้าร่วมงาน ผู้ชม และผู้ที่เป็นสปอนเซอร์ภายในงาน และด้วยความที่กำลังตื่นเต้นกับการแข่งขัน แฟนๆ กีฬาทั้งหลายมักมองข้ามความเสี่ยงที่อาจเกิดขึ้นเมื่อซื้อบัตรเข้าชมการแข่งขัน จองที่พัก หรือซื้อของที่ระลึก ซึ่งทำให้พวกเขาตกเป็นเป้าหมายที่ง่ายต่อการโจมตีสำหรับอาชญากรไซเบอร์" Fortinet ระบุ
Fortinet มองว่าใครที่ร้อนใจอยากดูการแข่งขันเฉพาะในบางรายการ ล้วนอาจถูกล่อลวงด้วยเว็บอันตรายที่นำเสนอช่องทางการเข้าชมฟรี (Free Access) ก่อนจะพบว่าอุปกรณ์โดนแฮกและข้อมูลถูกขโมย และเมื่อสื่อทั่วโลกให้ความสนใจไปที่การแข่งขัน อาชญากรที่มีเป้าหมายที่ซ่อนเร้นทางการเมืองก็จะมองหากลุ่มผู้ชมขนาดใหญ่เพื่อสื่อสารข้อความที่ต้องการ ด้วยการขัดขวางการทำงานของเว็บไซต์ที่มีความสำคัญ หรือโจมตีจนทำให้บริการสำคัญต่างๆ หยุดทำงาน
โจรไซเบอร์อาจมุ่งเป้าไปที่การแข่งขันโอลิมปิก ปารีส 2024 ด้วยการเปิดตัวแพลตฟอร์มจำหน่ายบัตรเข้าชมปลอม รวมถึงสินค้าหลอกลวง และทำกลยุทธ์การขโมยข้อมูลส่วนบุคคล ซึ่งล้วนเป็นภัยคุกคามต่อการสูญเสียทางด้านการเงินและบั่นทอนความเชื่อมั่นของประชาชน
จากการวิเคราะห์ล่าสุดของ FortiGuard Labs โดยอิงจากข้อมูลข่าวกรองภัยคุกคามจาก FortiRecon พบว่า โอลิมปิกปีนี้ได้กลายเป็นเป้าหมายของอาชญากรไซเบอร์ที่ทวีจำนวนเพิ่มขึ้นตลอดช่วงเวลามากกว่าหนึ่งปี ด้วยการใช้ข้อมูลที่เปิดเผยต่อสาธารณะและการวิเคราะห์โดยเฉพาะ รายงานนี้ให้มุมมองที่ครอบคลุมเกี่ยวกับการโจมตีตามที่มีการวางแผน เช่น การละเมิดความปลอดภัยของบุคคลที่สาม การขโมยข้อมูล การทำฟิชชิ่ง และการใช้มัลแวร์ ตลอดจนถึงแรนซัมแวร์
"FortiGuard Labs สังเกตเห็นการเพิ่มขึ้นเป็นอย่างมากของทรัพยากรที่ถูกรวบรวมในช่วงการเตรียมการแข่งขันโอลิมปิกปารีส โดยเฉพาะอย่างยิ่ง กลุ่มที่พุ่งเป้าไปยังผู้ใช้ภาษาฝรั่งเศส หน่วยงานทั้งภาครัฐและเอกชนของฝรั่งเศส และผู้ให้บริการโครงสร้างพื้นฐานของฝรั่งเศส" Fortinet ระบุ "เห็นได้อย่างชัดเจนว่าตั้งแต่ช่วงครึ่งหลังของปี 2023 เราได้เห็นการเพิ่มขึ้นของกิจกรรมบนดาร์กเน็ตที่มุ่งเป้าไปยังประเทศฝรั่งเศสโดยการเพิ่มขึ้น 80% ถึง 90% นี้ยังคงเป็นไปอย่างสม่ำเสมอตลอดครึ่งหลังของปี 2023 มาจนถึงครึ่งแรกของปี 2024 ความถี่และความซับซ้อนของภัยคุกคามเหล่านี้เป็นหลักฐานแสดงถึงการวางแผนและการดำเนินการของอาชญากรไซเบอร์ โดยมีดาร์กเว็บเป็นศูนย์กลางในการดำเนินกิจกรรม"
Fortinet ชี้ว่าการเพิ่มขึ้นอย่างรวดเร็วของกิจกรรมในดาร์กเน็ตที่มุ่งเป้าไปยังองค์กรของฝรั่งเศสระหว่างครึ่งหลังของปี 2023 และครึ่งแรกของปี 2024 ซึ่งหากลงลึกในตลาดค้าข้อมูลส่วนบุคคลที่ถูกโจรกรรม และกิจกรรมที่มีเจตนาร้ายกำลังเติบโต พบว่าเหตุการณ์ที่มีการบันทึกไว้ ตลอดจนการเพิ่มขึ้นของเครื่องมือและบริการต่างๆ ระดับแอดวานซ์ที่ออกแบบมาเพื่อทำให้การละเมิดข้อมูลทำได้เร็วขึ้น ไปจนถึงการรวบรวมข้อมูลที่ใช้ระบุตัวบุคคล (Personally Identifiable Information หรือ PII) เช่น ชื่อ-นามสุล วันเดือนปีเกิด หมายเลขประจำตัวประชาชน อีเมล หมายเลขโทรศัพท์ ที่อยู่ของบ้านที่อยู่อาศัย และอื่นๆ
"ยกตัวอย่าง เราได้เห็นการขายฐานข้อมูลของชาวฝรั่งเศสที่รวมถึงข้อมูลส่วนบุคคลที่สำคัญ รวมทั้งการขายข้อมูลรับรอง (Credentials) ที่ถูกขโมยและการเชื่อมต่อ VPN ที่ถูกละเมิดเพื่อให้การเข้าสู่ไพรเวทเน็ตเวิร์กโดยไม่ได้รับอนุญาตเป็นไปได้ นอกจากนี้ เรายังได้เห็นการโฆษณาชุดเครื่องมือในการทำฟิชชิ่งที่เพิ่มจำนวนมากขึ้น รวมถึงเครื่องมือสำหรับการโจมตีที่ถูกปรับแต่งมาเพื่อการแข่งขันโอลิมปิกที่ปารีสโดยเฉพาะ รวมถึงรายการผสม หรือ Combo Lists (ชุดของชื่อผู้ใช้และรหัสผ่านที่ถูกละเมิด ซึ่งใช้ในการโจมตีแบบ Brute-Force หรือการโจมตีแบบลองผิดลองถูกโดยอัตโนมัติ) ซึ่งประกอบด้วยข้อมูลของพลเมืองชาวฝรั่งเศส"
***กิจกรรมแฮกเพิ่มสูง หลังรัสเซีย-เบลารุสไม่ได้รับเชิญ
Fortinet ตั้งข้อสังเกตว่าเนื่องจากรัสเซียและเบลารุสไม่ได้รับเชิญให้เข้าร่วมการแข่งขันในปีนี้ โลกจึงได้เห็นกิจกรรมแฮกติวิสต์เพิ่มสูงขึ้นอย่างรวดเร็วโดยกลุ่มที่สนับสนุนรัสเซีย เช่น กลุ่ม LulzSec กลุ่ม noname057(16) กลุ่ม Cyber Army Russia Reborn กลุ่ม Cyber Dragon และกลุ่ม Dragonforce ซึ่งแสดงออกอย่างชัดเจนว่าทุกกลุ่มต่างกำลังมุ่งเป้าไปที่การแข่งขันโอลิมปิก
Fortinet เตือนภัยให้ทุกคนระวังการหลอกลวงด้วยฟิชชิ่งและกิจกรรมที่เจตนาหลอกลวง จุดแรกคือชุดเครื่องมือฟิชชิ่ง เพราะฟิชชิ่งอาจเป็นรูปแบบการโจมตีที่ง่ายที่สุด แต่อาชญากรไซเบอร์ที่มีระดับความซับซ้อนต่ำจำนวนมากไม่รู้วิธีสร้างหรือกระจายอีเมลฟิชชิ่ง ดังนั้น ชุดเครื่องมือฟิชชิ่งจึงเป็นตัวที่ช่วยส่งมอบยูสเซอร์อินเตอร์เฟซให้เหล่านักโจมตีมือใหม่ให้สามารถเขียนอีเมลที่น่าเชื่อถือ เสริมเติมโค้ดที่อันตรายเพื่อสร้างโดเมนฟิชชิ่ง และจัดหารายชื่อเหยื่อ การเพิ่มบริการที่ใช้ AI ในการสร้างข้อความโดยอัตโนมัติ ยังช่วยขจัดข้อผิดพลาดในการสะกดคำ การใช้ไวยากรณ์ และกราฟิกที่จะทำให้ผู้รับสามารถตรวจจับว่าอีเมลนั้นมีอันตราย
ในอีกด้าน ทีม FortiGuard Labs ยังได้บันทึกจำนวนโดเมนแบบ typosquatting หรือชื่อโดเมนจดทะเบียนเกี่ยวกับโอลิปิกที่มีการสะกดผิดเป็นจำนวนมากที่สามารถนำมาใช้ในแคมเปญการทำฟิชชิ่ง รวมถึงการเปลี่ยนแปลงเล็กๆ น้อยๆ ในตัวสะกดของคำต่างๆ เช่น (oympics[.]com, olmpics[.]com, olimpics[.]com และอื่นๆ) ซึ่งทั้งหมดเหล่านี้ถูกนำมาใช้ร่วมกับเว็บไซต์ที่ถูกสร้างขึ้นเพื่อเลียนแบบเว็บไซต์ขายบัตรเข้าชมการแข่งขันอย่างเป็นทางการที่จะพาผู้ซื้อไปสู่ขั้นตอนการจ่ายเงิน โดยที่บัตรเข้าชมก็ไม่ได้แถมยังสูญเงินอีกต่างหาก ในการทำงานร่วมกับพันธมิตรโอลิมปิก หน่วยงานด้านความสงบเรียบร้อย French Gendarmerie Nationale ได้ระบุเว็บไซต์หลอกลวง 338 แห่งที่อ้างว่าขายบัตรเข้าชมการแข่งขันโอลิมปิก จากข้อมูล 51 เว็บไซต์ได้ถูกปิดไปแล้ว และอีก 140 แห่งได้รับคำเตือนอย่างเป็นทางการจากหน่วยงานด้านกฎหมาย
เช่นเดียวกัน Fortinet ได้ตรวจพบการหลอกลวง (Scams) ในเกมการจับลอตเตอรี่หลายรายการที่ใช้การแข่งขันกีฬาโอลิมปิกมาเป็นธีม โดยหลายแห่งเลียนแบบหรือปลอมแปลงเป็นแบรนด์ใหญ่ต่างๆ รวมถึง Coca-Cola Microsoft Google ตลอดจนหน่วยงานลอตเตอรี่แห่งชาติตุรกี และกระทั่งเวิลด์แบงก์ โดยเป้าหมายหลักของการหลอกลวงลอตเตอรี่เหล่านี้คือผู้ใช้ในสหรัฐอเมริกา ญี่ปุ่น เยอรมนี ฝรั่งเศส ออสเตรเลีย สหราชอาณาจักร และสโลวะเกีย
"เราได้เห็นบริการเขียนโค้ดเพื่อการสร้างเว็บไซต์ฟิชชิ่งและระบบที่ใช้ควบคุมและติดตามกิจกรรมฟิชชิ่งแบบเรียลไทม์ที่เพิ่มมากขึ้น รวมไปถึงบริการส่งข้อความสั้น (SMS) จำนวนมากเพื่อสร้างการสื่อสารในวงกว้าง และบริการปลอมแปลงหมายเลขโทรศัพท์ บริการทั้งหมดเหล่านี้ให้ความช่วยเหลือในการโจมตีแบบฟิชชิ่ง ช่วยแพร่กระจายข้อมูลเท็จ และทำให้การสื่อสารล้มเหลวด้วยการสวมรอยเป็นแหล่งข่าวที่เชื่อถือได้ ซึ่งอาจส่งผลกระทบต่อการดำเนินงานและความปลอดภัยของการแข่งขัน" Fortinet ชี้แจง
ในส่วนมัลแวร์ขโมยข้อมูล พบว่าถูกออกแบบมาเพื่อแฝงเข้ามาในคอมพิวเตอร์หรืออุปกรณ์ของเหยื่อแล้วเก็บรวบรวมข้อมูลที่ความสำคัญ เช่น ข้อมูลการล็อกเข้าสู่ระบบ รายละเอียดบัตรเครดิต และข้อมูลส่วนบุคคลอื่นๆ เราพบว่าผู้โจมตีใช้มัลแวร์ขโมยข้อมูลในหลากหลายรูปแบบเพื่อติดตั้งมัลแวร์ลงในระบบของผู้ใช้และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยผู้โจมตีและโบรกเกอร์ที่ขายช่องทางเข้าการถึงระบบเบื้องต้น (Initial Access) สามารถใช้ข้อมูลเพื่อเปิดการโจมตีด้วยแรนซัมแวร์ ซึ่งอาจก่อให้เกิดอันตรายและการสูญเสียทางการเงินอย่างมากต่อทั้งบุคคลและองค์กร
"ข้อมูลของเราบ่งชี้ว่า Raccoon คือมัลแวร์ขโมยข้อมูลที่กำลังมีการใช้งานมากที่สุดในฝรั่งเศส คิดเป็น 59% ของการตรวจพบทั้งหมด ทั้งนี้ Raccoon เป็น Malware-as-a-Service (MaaS) ที่มีประสิทธิภาพและมีราคาถูกที่มีการขายบนฟอรัมเว็บมืด (Dark Web Forum) ตัวมัลแวร์ขโมยรหัสผ่านที่กรอกโดยอัตโนมัติ (Autofill) บนเบราว์เซอร์ ประวัติการใช้งาน คุกกี้ ข้อมูลบัตรเครดิต ชื่อผู้ใช้ รหัสผ่าน กระเป๋าเงินสกุลเงินดิจิทัล (Cryptocurrency) และข้อมูลสำคัญอื่นๆ รองลงมาคือ Lumma (อีกหนึ่งบริการ MaaS แบบสมัครสมาชิก) ที่ 21% และ Vidar ที่ 9%" Fortinet ย้ำ
Fortinet แนะนำว่านักท่องเที่ยว องค์กรและบุคคลที่เข้าร่วมการแข่งขันโอลิมปิกควรต้องตระหนักถึงภัยคุกคามทางไซเบอร์ที่เพิ่มสูงขึ้นเกี่ยวกับการเดินทาง ตั้งแต่ความเป็นไปได้ของการดักจับสัญญาณ Wi-Fi สาธารณะและกิจกรรมฉ้อโกงที่เชื่อมโยงกับกิจกรรมที่เกี่ยวข้องกับโอลิมปิก รวมถึงเว็บไซต์อันตรายและการหลอกลวงแบบฟิชชิ่ง เรายังคาดการณ์ว่าจะมีการโจมตีแบบเจาะจงเป้าหมายที่เพิ่มขึ้นต่อบุคคลสำคัญ รวมถึงเจ้าหน้าที่รัฐบาล ผู้บริหารระดับสูง และผู้มีอำนาจตัดสินใจที่สำคัญ และควรมีการใช้มาตรการป้องกันเพิ่มเติมด้วยการติดตั้งระบบป้องกันอุปกรณ์ปลายทาง หรือ EDR บนอุปกรณ์ทั้งหมด ใช้ความระมัดระวังเป็นพิเศษเมื่อเชื่อมต่อกับเครือข่ายไร้สายสาธารณะ และใช้บริการ SASE เพื่อเข้ารหัสการรับส่งข้อมูล
