- เข้าเว็บที่ได้รับคำแนะนำระหว่างคุยกับ Gemini
- เมื่อคลิกว่าไม่ใช่หุ่นยนต์ จะมีการคัดลอกคำสั่งอันตรายลงคลิปบอร์ดไว้ล่วงหน้า แล้วจากนั้นระบบจะแนะนำให้เปิดเทอร์มินัล วางคำสั่ง และกด Enter เพื่อยืนยันว่าเป็นมนุษย์
- หากรัน จะดาวน์โหลดและรันสคริปต์เพิ่มเติมในรูปแบบ
curl | bash - ถูกลงทะเบียนใน
LaunchAgentsของ macOS ทำให้ยังทำงานต่อได้แม้หลังรีบูตหรือเข้าสู่ระบบใหม่ - ดาวน์โหลด AppleScript จากเซิร์ฟเวอร์ระยะไกลมารัน พร้อมพยายามรวบรวมข้อมูลและยกระดับสิทธิ์
กรณีนี้:
- ไม่ได้กรอกรหัสผ่านผู้ดูแลระบบ จึงยกระดับสิทธิ์ไม่สำเร็จ
- แต่ยังมีความเป็นไปได้ว่าอาจมีการเข้าถึง/รวบรวมข้อมูลบางส่วนภายในขอบเขตสิทธิ์ของผู้ใช้
การรับมือ:
- ตัดการเชื่อมต่อเครือข่ายทันที
- ลบ plist อันตรายใน
~/Library/LaunchAgents - ปิดโปรเซสที่กำลังรันอยู่
- ออกจากระบบทุกเซสชันของเบราว์เซอร์แล้วเข้าสู่ระบบใหม่อีกครั้ง (ทำให้คุกกี้เป็นโมฆะ)
- เปลี่ยน SSH key
บทเรียน:
- หากหน้าเว็บอ้างเหตุผลว่าเป็นการ “ตรวจสอบ/ยืนยันตัวตน” แล้วขอให้รันคำสั่งบนเครื่องของเรา ควรสงสัยไว้ก่อน
- แม้แต่เว็บไซต์ที่ AI แนะนำก็ควรตั้งข้อสงสัย
- โดยเฉพาะถ้าถูกชักจูงให้เปิดเทอร์มินัล/หน้าต่าง Run/PowerShell แล้ววางคำสั่ง นี่แทบจะเป็นแพตเทิร์นนี้แน่นอน
- การระแวงเมื่อมีการขอรหัสผ่านผู้ดูแลระบบเป็นนิสัยที่สำคัญที่สุด และเป็นแนวป้องกันด่านสุดท้าย
ดูการวิเคราะห์แบบละเอียด คำสั่งที่ใช้จริง และขั้นตอนการรับมือได้จากต้นฉบับ
ยังไม่มีความคิดเห็น