บริษัทด้านความปลอดภัยทางไซเบอร์ Malwarebytes Labs ได้ออกคำเตือนฉุกเฉินเมื่อวันอังคารว่า เว็บไซต์ปลอมที่ใช้ชื่อโดเมนว่า “pudgypengu-gamegifts[.]live” กำลังปลอมแปลงเป็นเกมเบราว์เซอร์ Pudgy World ซึ่งเปิดตัวเมื่อวันที่ 10 มีนาคมที่ผ่านมา โดยพยายามขโมยรหัสผ่านกระเป๋าเงินคริปโตเคอเรนซี
เทคนิคการโจมตีแบบฟิชชิ่งที่ซับซ้อน: การคัดลอกหน้าตา 11 แบบของกระเป๋าเงิน
วิศวกรด้านมัลแวร์ชั้นสูง Stefan Dasic จาก Malwarebytes ได้อธิบายรายละเอียดเกี่ยวกับกลไกการออกแบบของการโจมตีครั้งนี้ในรายงาน ฟีเจอร์บางอย่างของ Pudgy World เช่น การตรวจสอบความเป็นเจ้าของ NFT หรือการปลดล็อคเนื้อหาเกม จำเป็นต้องให้ผู้เล่นเชื่อมต่อกระเป๋าเงินคริปโต ซึ่งผู้โจมตีได้ใช้จุดนี้เป็นช่องทางในการหลอกลวง:
“เว็บไซต์ฟิชชิ่งนี้ใช้ประโยชน์จากกระบวนการนี้ เมื่อผู้เยี่ยมชมเลือกกระเป๋าเงินของตนบนเว็บไซต์ปลอม หน้าจอจะแสดงภาพที่ดูเหมือนเป็นหน้าปลดล็อคของกระเป๋าเงินนั้นเอง สำหรับผู้ใช้ มันดูเหมือนเป็นซอฟต์แวร์กระเป๋าเงินคริปโตที่พวกเขาคุ้นเคยและเชื่อถือจริงๆ”
Dasic ยังชี้ให้เห็นว่าการโจมตีในครั้งนี้ใช้ทรัพยากรทางเทคนิคอย่างมาก — ผู้โจมตีสร้างอินเทอร์เฟซปลอมของ UI สำหรับกระเป๋าเงินถึง 11 แบบ ซึ่งแทบไม่มีกระเป๋าเงินใดที่รอดพ้นจากการถูกโจมตี ไม่ว่าจะเป็น Ethereum, Solana หรือสินทรัพย์แบบหลายสาย ก็สามารถรับหน้าจอปลดล็อคปลอมที่ดูสมจริงได้ เขาเชื่อว่าการสร้าง UI สำหรับกระเป๋าเงิน 11 แบบนี้ “ไม่ใช่เรื่องง่าย” ซึ่งบ่งชี้ว่าอาจเป็นฝีมือของ “ผู้มีทรัพยากรเพียงพอ” หรือเป็นการใช้เครื่องมือฟิชชิ่งเชิงพาณิชย์ที่ออกแบบมาเฉพาะสำหรับการโจมตีประเภทนี้
ความเชื่อมโยงระหว่างแบรนด์ Pudgy World กับความเสี่ยงด้านความปลอดภัย
Pudgy World เป็นเกมเบราว์เซอร์ฟรีที่สร้างขึ้นบนแบรนด์ NFT Pudgy Penguins ซึ่งผู้เล่นสามารถสำรวจโลกเสมือน สร้างตัวละครเพนกวิน และทำภารกิจต่างๆ ตั้งแต่ปี 2022 หลังจาก CEO Luca Netz เข้าซื้อกิจการ Pudgy Penguins ก็ได้ขยายจากคอลเลกชัน NFT ไปสู่แบรนด์สำหรับผู้บริโภคที่ครอบคลุมผลิตภัณฑ์ค้าปลีก เกมมือถือ และเกมบนเว็บ
อย่างไรก็ตาม Pudgy Penguins เคยถูกโจมตีในลักษณะเดียวกันมาก่อน เมื่อเดือนธันวาคม 2024 บริษัทด้านความปลอดภัยบล็อกเชน Scam Sniffer ได้แจ้งเตือนว่าผู้โจมตีใช้โฆษณา Google ที่เป็นอันตรายปลอมแปลงเป็นแพลตฟอร์ม Pudgy Penguins เพื่อหลอกลวงให้ผู้ใช้เชื่อมต่อกระเป๋าเงิน นักวิจัยชี้ว่าการโจมตีเหล่านี้มักเกิดขึ้นในช่วงเวลาที่ NFT โครงการดังกล่าวมีความโด่งดังสูง ซึ่งเป็นช่วงเวลาที่ผู้ใช้ใหม่จำนวนมากเข้ามาและอาจยังไม่คุ้นเคยกับการเชื่อมต่อกระเป๋าเงิน ทำให้เป็นโอกาสทองสำหรับการโจมตี
คำแนะนำด้านการป้องกัน: วิธีหลีกเลี่ยงการตกเป็นเหยื่อ
Malwarebytes ได้แนะนำมาตรการป้องกันสำหรับผู้ใช้ Pudgy World ดังนี้:
- เข้าเว็บไซต์ทางการเท่านั้นผ่านบุ๊กมาร์ก: หลีกเลี่ยงการเข้าเกมผ่านลิงก์จากเครื่องมือค้นหา หรือโซเชียลมีเดีย
- ระวังตำแหน่งที่ปรากฏข้อความขอรหัสผ่านกระเป๋าเงิน: ข้อความขอรหัสผ่านอย่างเป็นทางการจะไม่ปรากฏในหน้าเว็บ หากหน้าเว็บขอให้กรอกรหัสผ่านในเบราว์เซอร์ ควรหยุดใช้งานทันที
- อย่าคลิกลิงก์ในข้อความส่วนตัวหรือโซเชียลมีเดีย: ลิงก์ทางการของโครงการคริปโตควรมาจาก Twitter/X หรือ Discord อย่างเป็นทางการเท่านั้น
- กรณีกรอกรหัสผ่านโดยไม่ได้ตั้งใจ: หากกรอกรหัสผ่านบนเว็บไซต์ที่น่าสงสัย ควรเปลี่ยนรหัสผ่านกระเป๋าเงินทันที และหากสงสัยว่ากระเป๋าเงินถูกโจรกรรม ควรโอนสินทรัพย์ไปยังที่อยู่ใหม่ที่ปลอดภัย
คำถามที่พบบ่อย
Q: วิธีตรวจสอบว่าตนเองเข้าเว็บไซต์ Pudgy World ของแท้หรือปลอม?
A: วิธีตรวจสอบรวมถึง การเปรียบเทียบชื่อโดเมนกับเว็บไซต์ทางการของ Pudgy Penguins ว่าตรงกันหรือไม่ (ระวังอักขระพิเศษหรือเครื่องหมายขีดกลาง), การเข้า URL โดยตรงจาก Twitter/X หรือ Discord ของทางการ, และการใช้บุ๊กมาร์กที่บันทึกไว้ของเว็บไซต์ทางการเพื่อป้องกันการสืบค้นซ้ำผ่านเครื่องมือค้นหา
Q: ทำไมผู้โจมตีจึงเลือกโจมตีทันทีหลังเกมเปิดตัว?
A: Stefan Dasic จาก Malwarebytes ชี้ว่าเป็นกลยุทธ์ที่ตั้งใจไว้ — ช่วงเวลาที่เกมใหม่เปิดตัวจะมีผู้ใช้ใหม่จำนวนมากที่ยังไม่คุ้นเคยกับการเชื่อมต่อกระเป๋าเงิน ซึ่งง่ายต่อการหลอกลวง นอกจากนี้ การค้นหาเกมใหม่ก็จะเพิ่มขึ้น ทำให้เว็บไซต์ปลอมปรากฏในผลการค้นหาได้ง่ายขึ้น
Q: ข้อมูลจาก FBI ระบุว่าการหลอกลวงฟิชชิ่งในปี 2024 สูญเสียเงินกว่า 70 ล้านดอลลาร์ สร้างความเสี่ยงให้กับผู้ใช้คริปโตมากน้อยแค่ไหน?
A: ศูนย์รับแจ้งความผิดทางอาชญากรรมทางไซเบอร์ของ FBI (IC3) รายงานว่าในปี 2024 มีการแจ้งเตือนคดีฟิชชิ่งและการหลอกลวงรวม 193,407 คดี โดยสูญเสียรวมกว่า 7,000,000 ดอลลาร์ ซึ่งยังไม่รวมคดีที่ไม่ได้แจ้งเตือนจำนวนมาก เนื่องจากความเป็นนิรนามและความไม่สามารถย้อนกลับของทรัพย์สินคริปโต ผู้ใช้จึงเสี่ยงสูงมาก หากทรัพย์สินถูกโอนเข้าที่อยู่ของผู้โจมตีแล้ว ก็แทบจะไม่สามารถกู้คืนได้
