Sunday, October 2, 2022
CybersecurityNEWS

อีเมล์ฟิชชิ่ง ยังคงเป็นภัยอันตรายสำหรับองค์กร

Phishing

แคสเปอร์สกี้ รายงานผลการบล็อกอีเมล์อันตราย 11 ล้านรายการในอาเซียน แสดงถึงกระแสการโจมตีผ่านอีเมล์ธุรกิจที่เพิ่มมากขึ้น องค์กรธุรกิจจะรับมืออย่างไรกับภัยคุกคามเหล่านี้

ากรายงานของระบบป้องกันฟิชชิ่ง (Anti-Phishing) ในปี 2021 ของแคสเปอร์สกี้ ซึ่งได้บล็อกลิงก์ที่เป็นการกระทำในลักษณะ ฟิชชิ่ง ทั้งหมด 11,260,643 รายการในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยฟิชชิ่งลิงก์ส่วนใหญ่ถูกบล็อกบนอุปกรณ์ของผู้ใช้แคสเปอร์สกี้ในประเทศเวียดนาม อินโดนีเซีย และมาเลเซีย

สถิติดังกล่าว สะท้อนถึงการที่อาชญากรไซเบอร์มักคิดค้นวิธีการใหม่ๆ ในการส่งข้อความสแปมและฟิชชิ่งไปยังทั้งผู้ใช้งานทั่วไปและองค์กรธุรกิจ และอาศัยสถานการณ์หรือเหตุการณ์ล่าสุดใช้ประโยชน์จากการเปลี่ยนแปลงพฤติกรรมทางดิจิทัลในช่วงการระบาดใหญ่ของ COVID-19 เพื่อเริ่มการโจมตีทางวิศวกรรมสังคม (social engineering) เช่น อีเมล์ฟิชชิ่ง

ข้อมูลของแคสเปอร์สกี้แสดงให้เห็นว่า การใส่หัวข้อและวลียอดนิยมที่เกี่ยวข้องกับกิจกรรมออนไลน์ในข้อความ เช่น การช้อปปิ้ง การสตรีมความบันเทิง การระบาดของ COVID-19 ทำให้เพิ่มโอกาสที่ผู้ใช้จะไม่สงสัยและคลิกลิงก์ที่ติดมัลแวร์หรือไฟล์แนบที่เป็นอันตรายขึ้นอย่างมาก

เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้

เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “อีเมล์ยังเป็นการสื่อสารรูปแบบหลักสำหรับการทำงานในเอเชียตะวันออกเฉียงใต้ การพยายามโจมตีด้วยฟิชชิ่งจำนวน 11 ล้านรายการในหนึ่งปี เป็นเพียงส่วนเล็กๆ ของการโจมตีทางไซเบอร์”

“เมื่อข้อมูลสำคัญทั้งหมดถูกส่งผ่านอีเมล์ อาชญากรไซเบอร์มองว่าเป็นจุดเริ่มต้นที่มีประสิทธิภาพและสามารถทำกำไรได้ ตัวอย่างการโจมตีด้วยฟิชชิ่งแบบพุ่งเป้าหมายครั้งเดียวที่ประสบความสำเร็จ คือการปล้นธนาคารบังคลาเทศมูลค่า 81 ล้านดอลลาร์ในปี 2016”

“ดังนั้น องค์กรในภูมิภาคนี้ควรตรวจสอบเทคโนโลยีความปลอดภัยทางไซเบอร์แบบองค์รวมและเชิงลึกอย่างรอบคอบ เพื่อเพิ่มความปลอดภัยให้กับเซิร์ฟเวอร์อีเมล์ที่มีความสำคัญมาก”

ในปี 2021 ลิงก์ฟิชชิ่งทั่วโลกจำนวน 253,365,212 รายการถูกตรวจพบและบล็อกโดยโซลูชันของแคสเปอร์สกี้ โดยรวมแล้ว ผู้ใช้แคสเปอร์สกี้ทั่วโลกจำนวน 8.20% ต้องเผชิญกับการโจมตีแบบฟิชชิงอย่างน้อยหนึ่งครั้ง

Phishing

การหลอกลวงผ่านอีเมล์ธุรกิจและการทำงานระยะไกล

การทำงานระยะไกลทำให้เกิดความพยายามโจมตีบริษัทด้วยฟิชชิ่งมากขึ้นในช่วง 2 ปีที่ผ่านมา หนึ่งในกระแสการโจมตีที่เพิ่มขึ้นคือการหลอกลวงผ่านอีเมล์ธุรกิจ หรือ BEC (Business Email Compromise)

การโจมตีด้วย BEC เป็นการฉ้อโกงประเภทหนึ่งที่เกี่ยวข้องกับการแอบอ้างเป็นตัวแทนจากองค์กรธุรกิจที่เชื่อถือได้ การโจมตี BEC เป็นแคมเปญอาชญากรรมไซเบอร์ที่กำหนดเป้าหมายซึ่งทำงานโดยวิธีการดังนี้

  • เริ่มต้นโต้ตอบอีเมล์กับพนักงานของบริษัท หรือรับช่วงต่อจากการสนทนาที่มีอยู่เดิม
  • ได้รับความไว้วางใจจากพนักงาน
  • ส่งเสริมการกระทำที่เป็นผลเสียต่อผลประโยชน์ของบริษัทหรือลูกค้าของบริษัท

จากข้อมูลของ Verizon พบว่าการโจมตีแบบ BEC เป็นการโจมตีแบบวิศวกรรมสังคมที่พบได้บ่อยเป็นอันดับสองในปี 2021และ FBI รายงานว่าการโจมตีแบบ BEC ทำให้ธุรกิจในสหรัฐฯ เสียหายมากกว่า 2 พันล้านดอลลาร์ในช่วงปี 2014 ถึง 2019

ผู้เชี่ยวชาญของแคสเปอร์สกี้สังเกตการโจมตี BEC มากขึ้น ในไตรมาสที่ 4 ปี 2021 ผลิตภัณฑ์ของแคสเปอร์สกี้ป้องกันการโจมตี BEC ได้มากกว่า 8,000 ครั้ง โดยจำนวนมากที่สุดคือ 5,037 ครั้งในเดือนตุลาคม

ตลอดปี 2021 นักวิจัยของแคสเปอร์สกี้ได้วิเคราะห์วิธีที่นักต้มตุ๋นสร้างและเผยแพร่อีเมล์ปลอมอย่างใกล้ชิด และพบว่าการโจมตีนี้มีแนวโน้มที่จะแบ่งออกเป็นสองประเภท คือ เหยื่อจำนวนมาก และกำหนดเป้าหมายขั้นสูง

การโจมตีแบบแรกเรียกว่า BEC-as-a-Service โดยการโจมตีจะทำให้กลไกที่อยู่เบื้องหลังการโจมตีง่ายขึ้น เพื่อที่จะเข้าถึงเหยื่อให้ได้มากที่สุด ผู้โจมตีส่งข้อความจำนวนมากจากบัญชีอีเมล์ฟรี และคาดหวังว่าจะดักจับเหยื่อให้ได้มากที่สุด โดยข้อความดังกล่าวไม่มีความซับซ้อนแต่อย่างไร แต่กลับมีประสิทธิภาพมาก

Phishing
ตัวอย่างการหลอกลวงระดับซีอีโอที่มีจุดประสงค์หลอกคนกลุ่มใหญ่

ในสถานการณ์ (ภาพด้านบน) เป็นตัวอย่างของการหลอกลวงว่าเป็นซีอีโอที่มีจุดประสงค์หลอกคนกลุ่มใหญ่ พนักงานได้รับอีเมล์ปลอมจากเพื่อนร่วมงานที่อาวุโสกว่า ข้อความมักคลุมเครือมีใจความว่าขอให้ช่วยจัดการเรื่องต่างๆ เหยื่ออาจถูกขอให้ชำระสัญญาโดยด่วน ยุติข้อขัดแย้งทางการเงิน หรือแบ่งปันข้อมูลที่ละเอียดอ่อนกับบุคคลที่สาม

พนักงานคนใดก็อาจตกเป็นเหยื่อได้ แน่นอนว่า มีสัญญาณเตือนที่เห็นได้ชัดเจนหลายประการในข้อความดังกล่าว นั่นคือ ไม่ใช้บัญชีอีเมล์ของบริษัท และผู้ส่งไม่ใช่เจ้าของภาษา

ในขณะที่อาชญากรไซเบอร์บางรายใช้การส่งจดหมายจำนวนมากอย่างง่ายๆ อาชญากรไซเบอร์รายอื่นก็ใช้วิธีการโจมตี BEC ที่ตรงเป้าหมายและล้ำหน้ากว่า กระบวนการทำงานมีดังนี้ ผู้โจมตีจะโจมตีกล่องจดหมายตัวกลางก่อนเพื่อเข้าถึงอีเมล์ของบัญชีนั้น

จากนั้น เมื่อพบการติดต่อสื่อสารที่เหมาะสมในกล่องจดหมายของบริษัทตัวกลาง (เช่น เรื่องการเงินหรือปัญหาทางเทคนิคที่เกี่ยวข้องกับงาน) ก็จะติดต่อกับบริษัทเป้าหมายต่อไป โดยแอบอ้างเป็นบริษัทตัวกลาง บ่อยครั้งเป้าหมายคือการเกลี้ยกล่อมให้เหยื่อโอนเงินหรือติดตั้งมัลแวร์

Phishing BEC
ตัวอย่างการโจมตีแบบ BEC ที่กำหนดเป้าหมาย

ในความเป็นจริง เนื่องจากเป้าหมายมีส่วนร่วมในการสนทนาที่ผู้โจมตีกล่าวอ้างถึง เป้าหมายจึงมีแนวโน้มที่จะตกเป็นเหยื่อของการหลอกลวงอย่างมาก การโจมตีดังกล่าวได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพสูง จึงมีอาชญากรไซเบอร์ทั้งรายเล็กและรายใหญ่ที่ต้องการทำรายได้อย่างรวดเร็ว

องค์กรจะรับมือกับการโจมตี BEC ได้อย่างไร

อาชญากรไซเบอร์ใช้กลอุบายทางเทคนิคและวิธีการวิศวกรรมสังคมที่หลากหลายพอสมควร เพื่อให้ได้รับความไว้วางใจและดำเนินการฉ้อโกงได้ อย่างไรก็ตาม การใช้มาตรการที่มีประสิทธิภาพหลายอย่างสามารถลดภัยคุกคามจากการโจมตี BEC ได้ ดังต่อไปนี้

  • ตั้งค่า SPF ใช้ลายเซ็น DKIM และใช้นโยบาย DMARC เพื่อป้องกันการติดต่อสื่อสารภายในปลอม ตามทฤษฎีแล้ว มาตรการเหล่านี้ยังอนุญาตให้บริษัทอื่นๆ สามารถตรวจสอบความถูกต้องของอีเมล์ที่ส่งในชื่อองค์กรของคุณ (แน่นอนว่าบริษัทต่างๆ มีการกำหนดค่าเทคโนโลยีเหล่านั้นไว้) มาตรการนี้ไม่เพียงพอในบางวิธี (เช่น ไม่สามารถป้องกันการปลอมแปลงหรือโดเมนที่คล้ายคลึงกันไม่ได้) แต่ยิ่งมีบริษัทที่ใช้ SPF, DKIM และ DMARC มากเท่าไร อาชญากรไซเบอร์ก็จะมีพื้นที่น้อยลงเท่านั้น การใช้เทคโนโลยีเหล่านี้ช่วยสร้างภูมิคุ้มกันแบบกลุ่มต่อการดำเนินการที่เป็นอันตรายหลายประเภทด้วยหัวข้ออีเมล์
  • ฝึกอบรมพนักงานเพื่อต่อต้านวิธีการทางวิศวกรรมสังคม การผสมผสานเวิร์กช็อปและการจำลองการฝึกพนักงานให้ระมัดระวังและสามารถระบุการโจมตี BEC ที่ผ่านชั้นการป้องกันอื่นๆ ได้
  • ใช้เครื่องมือรักษาความปลอดภัยเพื่อปกป้องช่องทางการสื่อสารขององค์กร เช่น Kaspersky Secure Mail Gateway พร้อมชุดเทคโนโลยีป้องกันฟิชชิ่ง (anti-phishing) ต่อต้านสแปม (anti-spam) และตรวจจับมัลแวร์ (malware detection) แม้ว่า BEC จะเป็นหนึ่งในวิธีการหลอกลวงทางอีเมล์ที่ซับซ้อนที่สุดประเภทหนึ่ง แต่ผลิตภัณฑ์ดังกล่าวมีรูปแบบการประมวลผลตัวบ่งชี้ทางอ้อมและตรวจจับแม้กระทั่งอีเมล์ปลอมที่น่าเชื่อถือที่สุด
  • สมัครรับบริการข้อมูลภัยคุกคามเชิงลึก (threat intelligence services) และอัปเดตเป็นประจำ เพื่อให้มองเห็นในเชิงลึกเกี่ยวกับภัยคุกคามทางอินเทอร์เน็ตที่กำหนดเป้าหมายที่องค์กรของคุณ

Featured Image: Identity theft vector created by storyset – www.freepik.com

Leave a Response