แฮกเกอร์ใช้ช่องโหว่ของ Calendar Subscription ในการทำ Phishing

การหลอกลวงแบบ Phishing นั้นจัดได้ว่าเป็นรูปแบบการหลอกลวงยอดนิยมที่แฮกเกอร์มักใช้งานเพื่อที่จะนำพาเป้าหมายให้ตกเป็นเหยื่อของการฉ้อโกง หรือมัลแวร์ ซึ่งมีหลากหลายวิธี และวิธีในข่าวนี้ก็เป็นอีกวิธีหนึ่งที่หลายคนจะต้องระวังตัวกันไว้

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการที่ทีมวิจัยจากทาง BitSight บริษัทผู้เชี่ยวชาญด้านการจัดการภัยไซเบอร์ ได้ออกมาแจ้งเตือนถึงความเสี่ยงในการสมัครสมาชิกปฏิทินออนไลน์ (Calendar Subscription) ซึ่งเป็นบริการในการบอกตารางเวลาสำคัญต่าง ๆ เช่น การแข่งฟุตบอล หรือแม้แต่วันสำคัญทางศาสนา ว่าตัวโครงสร้างพื้นฐานของระบบดังกล่าวนั้นมีความเสี่ยงที่จะนำไปสู่การติดมัลแวร์ของผู้ใช้งานเนื่องจากตัวโครงสร้างนั้นมักจะมีการเชื่อมต่ออยู่กับโดเมนที่หมดอายุ ซึ่งเปิดช่องให้แฮกเกอร์ใช้เทคนิค Sinkholing เพื่อทำการเปลี่ยนเป้าหมายของเหยื่อที่มีการลงทะเบียน (Registered) เชื่อมต่อกับโดเมนที่หมดอายุเหล่านั้น ไปยังโดเมนที่มีอันตราย ซึ่งอาจเป็นโดเมนที่แฮกเกอร์ฝังมัลแวร์เอาไว้ได้ ซึ่งในการนี้แฮกเกอร์จะใช้การส่งคำขอให้ตัวปฏิทินทำการซิงค์ (Sync Request) เพื่อปรับปรุงปฏิทินมาทางไฟล์ปฏิทินแบบ .Ics ที่สามารถนำไปสู่การติดตั้งมัลแวร์ลงเครื่องได้

ซึ่งจากการตรวจพบโดยทีมวิจัยพบว่าเพียงแค่โดเมนเดียวที่ถูกแฮกเกอร์ทำ Sinkholing สำเร็จนั้น มีหมายเลข IP (ที่คาดว่าเป็นเหยื่อเป้าหมาย) ทำการติดต่อที่หมายเลข IP ดังกล่าวมากถึง 11,000 เลขหมายต่อวัน ถ้าแค่นั้นยังไม่เพียงพอ ทางทีมวิจัยยังตรวจพบโดเมนในข่ายเดียวกันอีกว่า 346 โดเมน ที่มีความเกี่ยวข้องกับปฏิทินการแข่งฟุตบอลของ FIFA ในปี ค.ศ. 2018 (พ.ศ. 2561) รวมไปถึง ปฏิทินวันสำคัญทางศาสนาอิสลาม ซึ่งทุกโดเมนรวมกันนั้นมีหมายเลข IP ติดต่อเข้ามามากถึง 4 ล้านเลขหมายต่อวัน จากท้องถิ่นที่มีประชากรแน่นหนาที่สุดในประเทศสหรัฐอเมริกา ดังนั้น ทางทีมวิจัยจึงได้เตือนให้ผู้ใช้งานมีความระมัดระวังในการใช้บริการ Calendar Subscription แบบ 3rd Party โดยให้ใช้งานบริการที่น่าเชื่อถืออย่างของผู้ให้บริการอีเมลเอง เช่น Google หรือ Apple เท่านั้น