ประเภทของการรั่วไหลในดาร์กเว็บ

ในยุคของปัจจุบัน ข้อมูลส่วนบุคคลส่วนตัวของผู้ใช้อินเตอร์เน็ตมีมูลค่าอย่างมหาศาล ไม่ว่าจะเป็นบัญชีอีเมล บัญชีธนาคาร รหัสผ่าน cookie หรือ sessions หากไปตกในมือของผู้ไม่ประสงค์ดี ก็สามารถนำไปสู่การโจมตีและการโจรกรรม ฉ้อโกงทางการเงิน หรือการโจมตีทางไซเบอร์ขั้นรุนแรงได้ โดยวันนี้จะพาไปรู้จักกับ “ประเภทของการรั่วไหลของข้อมูลบัญชีผู้ใช้ในดาร์กเว็บ” ที่เกิดขึ้นทั่วโลก พร้อมตัวอย่างและแนวทางป้องกัน โดยบทความนี้อาจจะมีการพูดถึงการหลุดรั่วข้อมูลไม่ทั้งหมด ต้องขออภัยใน ณ ที่นี้ด้วย

1. Database Dumps (การหลุดรั่วของฐานข้อมูล)

คือรูปแบบโดยทั่วไปที่พบของการหลุดรั่วของข้อมูลที่พบในดาร์กเว็บ ซึ่งแฮกเกอร์จะเจาะระบบของเว็บไซต์หรือองค์กร และนำข้อมูลของผู้ใช้ไปขายต่อ

สิ่งที่จะผู้ไม่ประสงค์ดีจะได้ :

· ข้อมูลส่วนตัวของผู้ใช้งาน

· ชื่อผู้ใช้งาน (Username)

· รหัสผ่าน (Password) *ในบางกรณี อาจจะได้ชุดรหัสผ่านที่เป็น plaintext ที่ไม่ผ่านการแฮช(Hash)

· หมายเลขโทรศัพท์

· อีเมล (Email)

ตัวอย่างไฟล์ที่ dump:

· {dns}_dump.txt

· football_database_dump.rar

การนำไปใช้:

· นำไปใช้ในการโจมตีแบบ Credential Stuffing โดยในการโจมตีอาจจะมีการใช้เทคนิค Reuse Password หรือ predict pattern เพื่อเอาไปใช้ในการโจมตีต่อ

· วิเคราะห์ตัวตนของบุคลากร หรือคนสำคัญในองค์กร

· ขายต่อในตลาดใต้ดิน

2. Phishing Logs (Logs ที่ได้จากการหลอกลวงโดยการโจมตีแบบ Phishing)

โดยอาชญากรไซเบอร์จำนวนมากสร้างหน้าเว็บปลอมเลียนแบบหน้าเว็บไซต์

อย่างเช่น Facebook, Google, Microsoft หรือเว็บไซต์ธนาคารและอื่นๆ

ลักษณะไฟล์ที่ขาย :

· ไฟล์ตระกูล CSV / Excel โดยข้างในจะประกอบไปด้วย

o Email

o Password

o IP

ความเสี่ยง :

· โดยในบางกรณีอาจจะมี Credential ที่มาสามารถใช้งานได้

· เหยื่อไม่ทราบถึงว่าเกิดการขโมยข้อมูล

3. Infostealer Logs ( log ที่ได้จากมัลแวร์)

มัลแวร์ประเภท Infostealer เช่น RedLine, Raccoon, Lumm

โดยเจ้ามัลแวร์เหล่านี้จะสามารถดูดข้อมูลจากเครื่องของเหยื่อ แล้วสร้างเป็นไฟล์ .rar หรือ .zip และส่งไปยังแฮ็กเกอร์

สิ่งจะพบภายใน log:

· Cookie

· Session Token

· รหัสผ่านจากเบราว์เซอร์

· ไฟล์กระเป๋าคริปโต เช่น wallet.dat

· ข้อมูลจาก Discord หรือ Steam

การพบในการปล่อยชุดข้อมูล :

· จะพบในตลาด เช่น Russian Market, Genesis, XLeet

· ในบางกรณีก็จะมีการแจกใน Telegram เพื่อแสดงผลงาน

4. Full Account Access Sale (บัญชีสามารถเข้าถึงและใช้งานได้แบบเต็มรูปแบบ)

ในดาร์กเว็บมีการขายบัญชีที่สามารถล็อกอินและใช้งานได้ เช่น

· บัญชีธนาคารออนไลน์

· บัญชี Paypal / Venmo

· บัญชี Gmail, iCloud, Outlook

· บัญชี Netflix,Spotify, Steam, Xbox

รายละเอียดที่ถูกระบุ:

· ประเทศ/ภูมิภาค

· ยอดเงินคงเหลือ (สำหรับบัญชีของธนาคาร)

· เช็คสถานของ 2FA ว่ามีสำหรับการเข้าถึงหรือไม่

· คำแนะนำในการใช้งานไม่ให้ถูกล็อกบัญชี

5. Fullz (ข้อมูลตัวตนเต็มรูปแบบ)

“Fullz” คือศัพท์ในวงการที่หมายถึงข้อมูลประจำตัวของบุคคลแบบครบถ้วน

เพื่อใช้ในการปลอมแปลงหรือโจรกรรมตัวตน

ประกอบไปด้วย:

· ชื่อ-นามสกุล

· หมายเลขบัตรประชาชน / พาสปอร์ต

· วันเดือนปีเกิด

· ข้อมูลธนาคาร

· บํญชีอีเมลและรหัสผ่าน

· ที่อยู่ และเบอร์โทร

การนำไปใช้งาน :

· สมัครบัตรเครดิตปลอม

· สมัครสินเชื่อหรือบัญชีม้าโดยใช้ชื่อเหยื่อ

· ใช้ในการหลอกลวง

· ใช้ในการฟอกเงิน

6. API Keys / Developer Credentials

ข้อมูลที่หลุดจากผู้พัฒนา เช่น API key, Token หรือ SSH Key เป็นสิ่งที่มีมูลค่าสูงในดาร์กเว็บ

แหล่งที่มา:

· หลุดจาก Github หรือ GitLab

· โดน Infostealer ขโมยจากเครื่องนักพัฒนา

· หลุดจากเครื่องมือ DevOps

· หลุดจากแอปพลิเคชันที่มีการ Hard code

· หลุดจากการตั้งค่าที่ไม่เหมาะสมของแอปพลิเคชัน

ความเสี่ยงที่เกิดขึ้น :

· สามารถเข้าถึงระบบ Cloud เช่น AWS, GCP

· ถูกใช้ขุดคริปโตหรือโจมตีระบบ

· เสียเงินค่าบริการคลาวด์

7. RDP / SSH Credentials

การขายข้อมูลล็อกอินในการเข้าเครื่องเซิร์ฟเวอร์หรือคอมพิวเตอร์ของเหยื่อผ่าน Remote Desktop (RDP) หรือ SSH

รายละเอียดที่มักขาย :

· IP Address

· ชื่อผู้ใช้งาน + รหัสผ่าน

· สิทธิ์ผู้ดูแลระบบ (admin/root)

· รายละเอียดของเครื่องที่ขาย

การนำไปใช้:

· ใช้เข้าถึงเครื่องเซิร์ฟเวอร์เพื่อเริ่มการโจมตี

· ขุดคริปโต (Cryptojacking)

· ฟอกเงินหรือใช้เป็น proxy

8. Combo Lists (เป็นการรวบรวมรายชื่อรหัสผ่านรวมจากหลายแหล่ง)

แฮ็กเกอร์มักจะรวบรวมรหัสผ่านจากหลายแหล่งไว้ใน “Combo List” และทำการขายหรือแจกเพื่อใช้ในการโจมตีแบบ Credential Stuffing

รูปแบบ:

· Email:password

· ขนาดตั้งแต่ 100,000–10 ล้านคู่ข้อมูล

· มีการอัปเดตทุกเดือน

การใช้งาน

· ใช้กับ bot เพื่อสุ่มการล็อกอินขนาดใหญ่แบบอัตโนมัติ

· เจาะระบบบริษัทหรือบัญชีของเป้าหมายโดยไม่ต้องใช้การโจมตีแบบฟิชชิ่ง (Phishing)

9. Paste Sites & Forums (เป็นเว็บไซต์ที่ไว้ใช้เผยแพร่ฟรี)

บางครั้งแฮ๊กเกอร์หรือกลุ่มแฮ็กจะมีการปล่อยข้อมูลเพื่อ “แสดงผลงาน” หรือเป็นการประจานองค์กรที่ไม่ได้จ่ายค่าไถ่

แพลตฟอร์มที่มีการแจกข้อมูล :

· Telegram

· ฟอรัมดาร์กเว็บ (เช่น BreachForums, Dread)

· Pastebin (หรือ clone บนดาร์กเว็บ)

เนื้อหา:

· รายชื่อลูกค้า

· ข้อมูลพนักงาน

· อีเมลบริษัท

วิธีป้องกันไม่ให้ข้อมูลรั่วไหลไปสู่ดาร์กเว็บ

1. เปิดการใช้งาน 2FA (Two-Factor Authentication) กับทุกบัญชีที่มีใช้งานเพื่อป้องกันการเข้าถึงบัญชีเมื่อเกิดการรั่วไหล

2. ไม่ควรใช้รหัสผ่านที่ซ้ำกันและการตั้งรหัสผ่านไม่ควรคล้ายกันเพื่อป้องกันการคาดเดารหัสผ่าน

3. ใช้ Password Manager โดยยกเว้นการเก็บเป็นไฟล์ภายในคอมพิวเตอร์

4. ไม่ควรเปิดไฟล์หรือลิงค์จากแหล่งไม่น่าเชื่อถือ

5. ตรวจสอบข้อมูลรั่วไหล

6. อัปเดตระบบและซอฟต์แวร์สม่ำเสมอ

7. ตรวจสอบความปลอดภัยของแอปพลิเคชันหรือระบบอย่างสม่ำเสมอ

ช่วงเวลาขายของง !! ถ้าหากต้องการตรวจสอบข้อมูลว่ามีการหลุดรั่วขององค์กรเพื่อเป็นการป้องกันก่อนที่จะเกิดการโจมตีในดาต้าฟาร์มมีเซอร์วิสสำหรับการตรวจสอบ ชื่อว่า Personar และยังรวมไปถึงการตรวจสอบความปลอดภัยของแอปพลิเคชันและระบบ ถ้าเกิดสนใจสามารถติดต่อได้เลยครับ สำหรับวันนี้ถึงเวลาอันสมควร จึงต้องขอตัวก่อน ไว้ติดตามกันต่อในบทความหน้านะครับ สวัสดีครับ