Gift Card ก็โดน ! แฮกเกอร์ขโมยบัตรของขวัญจำนวนมาก ปล้นเงินไปได้นับวันละแสนเหรียญ

การมอบวอเชอร์หรือ Gift Card เป็นของขวัญนั้นยังคงเป็นที่นิยมมาทุกยุคทุกสมัย ตั้งแต่ในยุคสมัยที่ต้องนำเอาบัตรของขวัญดังกล่าวไปแลกเป็นสินค้าที่ร้านโดยตรง ซึ่งปัจจุบันก็มีการปฏิบัติเช่นนี้อยู่ มาจนถึงยุคที่บัตรของขวัญกลายมาเป็นในรูปแบบออนไลน์ ที่สามารถแลกผ่านเว็บไซต์ หรือแอปพลิเคชันได้ และด้วยการที่บัตรถูกเปลี่ยนมาเป็นระบบออนไลน์ทำให้ตกเป็นเป้าของแฮกเกอร์ที่แสวงหากำไรทางลัด

จากรายงานโดย ไมโครซอฟท์ บริษัทด้านซอฟต์แวร์ชื่อดัง ได้รายงานว่ากลุ่มแฮกเกอร์ชาวโมรอคโคภายใต้ชื่อกลุ่ม Storm-0539 หรือ Atlas Lion ได้ใช้เทคนิควิศวกรรมทางสังคม (Social Engineering) เพื่อหลอกเหยื่อให้ติดกับดักผ่านการหลอกลวงหลากรูปแบบ บวกกับการใช้วิธีการ Phishing ผ่านทาง SMS และอีเมล เพื่อขโมยรหัสผ่าน รวมไปถึง Session ที่เหยื่อใช้ในการล็อกอินผ่านทางเพจปลอม ด้วยวิธีการ Adversary-at-the-middle (AiTM) เพื่อทำการขโมยบัตรของขวัญที่อยู่ในระบบที่เหยื่อใช้งาน นำเอารหัสไปขายต่อในราคาถูก

ภาพจาก https://thehackernews.com/2024/05/moroccan-cybercrime-group-steals-up-to.html

นอกจากนั้นแล้ว ยังมีรายงานเกี่ยวกับวิธีการอีกวิธีที่ใช้การลงทะเบียนเครื่องที่ใช้งานเพื่ออาศัยช่องโหว่ในการไม่ต้องล็อกอินซ้ำ และทำการอัปเกรดสิทธิ์ในการเข้าถึงระบบปลายทางของบัญชีที่ขโมยมาได้เพื่อใช้เครื่องมือในการสร้างบัตรของขวัญของบริษัท หรือร้านค้าที่เป็นเหยื่อ แล้วนำเอาบัตรของขวัญปลอมเหล่านั้นไปขายเพื่อฟันกำไรในตลาดมืด หรือแม้แต่ใช้ตัวกลางอื่น ๆ (คล้ายคลึงกับพวกรับจ้างเปิดบัญชีม้า) ในงานแปลงวอเชอร์ที่ได้รับเป็นเงินสดออกมาโดยทิ้งร่องรอยที่จะสาวถึงให้น้อยที่สุด

มากไปกว่านั้น ยังมีรายงานว่าแฮกเกอร์กลุ่มดังกล่าวยังได้มีประวัติในการขโมยรหัสบัตรเครดิตด้วยการปล่อยมัลแวร์ขโมยข้อมูล เพื่อขโมยรหัสจากจุดทำการขาย (Point-of-Sales หรือ POS) อีกด้วย

ทางไมโครซอฟท์ได้แนะนำองค์กรต่าง ๆ โดยเฉพาะร้านค้าปลีกให้ทำการอัปเดตระบบรักษาความปลอดภัย โดยการใช้ระบบยืนยันผู้เข้าสู่ระบบจากหลายทาง (MFA หรือ Multi-Factors Authorization) รวมไปจึงการจำกัด IP Address ที่จะเข้าถึงระบบสำคัญนี้ได้ เพื่อลดความเสี่ยงดังกล่าว