Tuesday, January 31, 2023
ArticlesCybersecurity

แคสเปอร์สกี้เตือนธุรกิจเล็ก-กลางจับตาภัยคุกคามปี 2023

SMB

ผู้เชี่ยวชาญของแคสเปอร์สกี้ วิเคราะห์จุดอ่อนที่ธุรกิจ SMB อาจมี และสรุปภัยคุกคามไซเบอร์ที่สำคัญที่ผู้ประกอบการควรระวัง พร้อมแนะนำวิธีปกป้องธุรกิจจากการโจมตีทางไซเบอร์

ริษัทขนาดกลางและขนาดเล็ก (SMB) เป็นผู้มีบทบาทสำคัญต่อเศรษฐกิจโลก จากข้อมูลขององค์การการค้าโลก ธุรกิจ SMB มีจำนวนมากกว่า 90% ของธุรกิจทั้งหมดทั่วโลก การโจมตีทางไซเบอร์ทำให้ธุรกิจต่างๆ อาจสูญเสียข้อมูลที่เป็นความลับ การเงิน ส่วนแบ่งการตลาดอันมีค่า และมีหลายวิธีที่อาชญากรพยายามทำเพื่อบรรลุเป้าหมาย

สิ่งที่สำคัญคือ การระบุภัยคุกคามที่ธุรกิจ SMB อาจเผชิญ และวิธีที่ตรวจจับและป้องกันภัยคุกคามนั้น โดยในรายงาน Cyber-resilience during a crisis ของ แคสเปอร์สกี้ ระบุว่า เจ้าของธุรกิจขนาดเล็กมีความกังวลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้น โดย 39% มองว่า การถูกโจมตีทางไซเบอร์เป็นวิกฤตต่อธุรกิจ

ที่มา: Cyber-resilience during a crisis, แคสเปอร์สกี้

ผู้เชี่ยวชาญของแคสเปอร์สกี้ ได้วิเคราะห์จุดอ่อนที่ธุรกิจ SMB อาจมี และสรุปภัยคุกคามไซเบอร์ที่สำคัญที่ผู้ประกอบการควรระวัง ดังนี้

1. เหตุข้อมูลรั่วไหลที่เกิดจากพนักงาน

ข้อมูลของบริษัทอาจรั่วไหลได้หลายวิธี และในบางกรณีอาจเกิดขึ้นโดยไม่ตั้งใจ ในช่วงที่เกิดโรคระบาด พนักงานที่ทำงานจากระยะไกลจำนวนมากใช้คอมพิวเตอร์ของบริษัทเพื่อความบันเทิง เช่น เล่นเกมออนไลน์ ดูภาพยนตร์ หรือใช้แพลตฟอร์มอีเลิร์นนิ่ง

สิ่งนี้ยังคงเป็นภัยคุกคามทางการเงินขององค์กร ปัจจุบันกระแสนี้ก็ยังคงอยู่ เมื่อปี 2020 พนักงานจำนวน 46% ไม่เคยทำงานจากระยะไกลมาก่อน แต่ในปัจจุบันพนักงานจำนวน 2 ใน 3 ระบุว่าจะไม่กลับไปทำงานที่ออฟฟิศ พนักงานจำนวนที่เหลือระบุว่าใช้เวลาทำงานที่ออฟฟิศน้อยลงในแต่ละสัปดาห์

ระดับความปลอดภัยทางไซเบอร์หลังการแพร่ระบาดและการยอมรับการทำงานจากระยะไกลโดยองค์กรต่างๆ โดยรวมดีขึ้น อย่างไรก็ตาม คอมพิวเตอร์ขององค์กรที่พนักงานใช้เพื่อความบันเทิงก็ยังคงเป็นหนึ่งช่องทางสำคัญที่สุดในการเข้าถึงเครือข่ายของบริษัทในเบื้องต้น

การมองหาแหล่งดาวน์โหลดภาพยนตร์ที่เพิ่งออกใหม่ จะทำให้ผู้ใช้พบมัลแวร์ประเภทต่างๆ ทั้งโทรจัน สปายแวร์ แบ็คดอร์ และแอดแวร์

จากสถิติของแคสเปอร์สกี้ ผู้ใช้ 35% ที่เผชิญกับภัยคุกคามภายจากแพลตฟอร์มสตรีมมิ่งปลอมได้รับผลกระทบจากโทรจัน หากมัลแวร์ดังกล่าวนี้กระจายไปถึงคอมพิวเตอร์ของบริษัท ผู้โจมตีจะสามารถเจาะเครือข่ายของบริษัท ค้นหาและขโมยข้อมูลที่ละเอียดอ่อน ทั้งความลับในการพัฒนาธุรกิจและข้อมูลส่วนตัวของพนักงาน นอกจากนี้ ยังมีแนวโน้มที่อดีตพนักงานอาจมีส่วนเกี่ยวกับข้อมูลที่อาจรั่วไหล ด้วย

อย่างไรก็ตามผลการศึกษาของ Kaspersky เกี่ยวกับ พฤติกรรมของธุรกิจขนาดกลางและขนาดย่อมในช่วงวิกฤต COVID-19 พบว่า ผู้บริหารองค์กรเพียงครึ่งเดียวเท่านั้น ที่มั่นใจว่าพนักงานที่ออกไปแล้วจะไม่สามารถเข้าถึงข้อมูลของบริษัทที่จัดเก็บไว้ในบริการคลาวด์ หรือไม่สามารถใช้บัญชีของบริษัทได้

อดีตพนักงานอาจจำไม่ได้ด้วยซ้ำว่าเคยเข้าถึงแหล่งข้อมูลดังกล่าว แต่การตรวจสอบเป็นประจำโดยหน่วยงานกำกับดูแล อาจพบว่าในความเป็นจริงแล้วบุคคลที่ไม่ได้รับอนุญาตยังสามารถเข้าถึงข้อมูลที่เป็นความลับได้ ซึ่งส่งผลให้บริษัทโดนโทษปรับได้

และแม้จะแน่ใจว่าบริษัทและพนักงานทุกคนนั้นแยกจากกันด้วยดี แต่นั่นก็ไม่อาจรับประกันได้ว่าพนักงานจะไม่ใช้พาสเวิร์ดที่เดาง่ายหรือใช้ซ้ำกับใครในการเข้าถึงระบบงาน ซึ่งผู้โจมตีอาจใช้วิธีเดาพาสเวิร์ด หรืออาจพบการรั่วไหล การเข้าถึงระบบซ้ำซ้อนจะเพิ่มพื้นที่การโจมตี

ไม่ว่าจะเป็นสภาพแวดล้อมการทำงานร่วมกัน อีเมลที่ทำงาน หรือเครื่องเวอร์ชวล แม้กระทั่งการพูดคุยกันง่ายๆ ระหว่างเพื่อนร่วมงานเกี่ยวกับประเด็นปัญหาที่ไม่เกี่ยวกับงานก็สามารถนำมาใช้ในการโจมตีทางวิศวกรรมสังคมได้

2. การโจมตี DDoS

การโจมตีเครือข่ายมักหมายถึงการโจมตีแบบถล่มเครือข่าย (Distributed Denial of Service – DDoS) การโจมตีประเภทนี้ใช้ประโยชน์จากขีดจำกัดความสามารถเฉพาะที่ใช้กับทรัพยากรเครือข่ายใดๆ เช่น โครงสร้างพื้นฐานที่เปิดใช้งานเว็บไซต์ของบริษัท การโจมตี DDoS จะส่งคำขอหลายรายการไปยังทรัพยากรบนเว็บที่ถูกโจมตี โดยมีจุดประสงค์เพื่อให้เว็บไซต์เกินขีดความสามารถในการจัดการคำขอหลายรายการ และป้องกันไม่ให้เว็บไซต์ทำงานได้อย่างถูกต้อง

ผู้โจมตีใช้แหล่งที่แตกต่างกันเพื่อดำเนินการโจมตีองค์กรต่างๆ เช่น ธนาคาร สื่อ หรือร้านค้าปลีก ซึ่งมักได้รับผลกระทบจากการโจมตี DDoS

เช่น เมื่อเร็วๆ นี้ อาชญากรไซเบอร์พุ่งเป้าไปที่ บริการส่งอาหารของเยอรมนี Takeaway.com (Lieferando.de) โดยเรียกร้องสองบิตคอยน์ (ประมาณ $11,000) เพื่อหยุดการถล่มทราฟิก ยิ่งไปกว่านั้น การโจมตี DDoS ต่อผู้ค้าปลีกออนไลน์มักจะ พุ่งสูงขึ้นในช่วงเทศกาลวันหยุด ซึ่งเป็นช่วงที่ลูกค้าจับจ่ายใช้สอยมากที่สุด

นอกจากนี้ยังมีแนวโน้มที่บริษัทเกมจะถูกโจมตีเพิ่มขึ้น ศูนย์ข้อมูลในอเมริกาเหนือของ Final Fantasy 14 ถูกโจมตีเมื่อต้นเดือนสิงหาคม ผู้เล่นประสบปัญหาการเชื่อมต่อ การเข้าสู่ระบบ และการแบ่งปันข้อมูล เกมแบบผู้เล่นหลายคนของ Blizzard ทั้งเกม Call of Duty, World of Warcraft, Overwatch, Hearthstone และ Diablo: Immortal ก็ถูกโจมตี DDoS อีกครั้งเช่นกัน

ข้อมูลสำคัญประการหนึ่งที่ควรตระหนักคือ การโจมตี DDoS จำนวนมากมักไม่ได้ถูกรายงาน เนื่องจากจำนวนเงินที่จ่ายให้อาชญากรไซเบอร์มักจะไม่ใช่เงินก้อนใหญ่มาก

3. ซัพพลายเชน

การถูกโจมตีผ่านซัพพลายเชนโดยทั่วไปหมายถึงบริการหรือโปรแกรมที่คุณใช้งานมาระยะหนึ่งกลายเป็นอันตราย เป็นการโจมตีที่ส่งผ่านผู้ขายหรือซัพพลายเออร์ของบริษัท ตัวอย่างเช่น สถาบันการเงิน คู่ค้าด้านโลจิสติกส์ หรือแม้แต่บริการจัดส่งอาหาร และการกระทำดังกล่าวอาจแตกต่างกันไปตามความซับซ้อนหรือการทำลาย

ตัวอย่างเช่น ผู้โจมตีใช้ ExPetr (หรือที่รู้จักกันว่า NotPetya) เพื่อบุกรุกเข้าระบบอัปเดตอัตโนมัติของซอฟต์แวร์ทางบัญชีที่ชื่อ M.E.Doc และบังคับให้ส่งแรนซัมแวร์ให้กับลูกค้าทั้งหมด ผลที่ตามมาคือ ExPetr ก่อให้เกิดความสูญเสียนับล้าน ส่งผลกระทบต่อทั้งบริษัทขนาดใหญ่และธุรกิจขนาดเล็ก

หรือการใช้ CCleaner หนึ่งในโปรแกรมที่มีชื่อเสียงที่สุดสำหรับการทำความสะอาดรีจิสทรีของระบบ มีการใช้กันอย่างแพร่หลายทั้งผู้ใช้ตามบ้านและผู้ดูแลระบบ ผู้โจมตีได้บุกรุกคอมไพล์ของผู้พัฒนาโปรแกรม โดยติดตั้งแบ็คดอร์หลายเวอร์ชัน เวอร์ชันที่ถูกบุกรุกนี้ถูกแพร่กระจายจากเว็บไซต์ทางการของบริษัทเป็นเวลานานถึงหนึ่งเดือน และมียอดดาวน์โหลด 2.27 ล้านครั้ง และมีมัลแวร์อย่างน้อย 1.65 ล้านรายการที่พยายามติดต่อกับเซิร์ฟเวอร์ของอาชญากรไซเบอร์

ตัวอย่างล่าสุดที่ดึงดูดความสนใจคือเหตุการณ์ DiceyF ซึ่งเกิดขึ้นในภูมิภาคเอเชียตะวันออกเฉียงใต้ เป้าหมายหลักคือผู้พัฒนาและผู้ดำเนินการคาสิโนออนไลน์และแพลตฟอร์มการสนับสนุนลูกค้าที่ถูกโจมตีในรูปแบบ The Ocean 11

นอกจากนี้ยังมีเหตุการณ์ SmudgeX ซึ่งเป็น APT ที่ยังไม่มีใครรู้จักได้บุกรุกเซิร์ฟเวอร์และแทนที่โปรแกรมติดตั้งที่ถูกต้องด้วยโปรแกรมโทรจัน แพร่กระจาย PlugX ที่เป็นอันตรายในประเทศแถบเอเชียใต้ ไปยังพนักงานของรัฐบาลกลางทุกคนที่ต้องดาวน์โหลดและติดตั้งเครื่องมือใหม่ที่จำเป็น ส่งผลให้การสนับสนุนด้านไอทีที่จัดการเซิร์ฟเวอร์และนักพัฒนาซอฟต์แวร์ได้รับผลกระทบ

4. มัลแวร์

ผู้ใช้สามารถพบไฟล์ที่เป็นอันตรายได้ทุกที่ หากดาวน์โหลดไฟล์ที่ผิดกฎหมาย จึงควรตรวจสอบให้แน่ใจเสียก่อนว่าไฟล์เหล่านั้นไม่เป็นอันตราย ภัยคุกคามที่เกิดขึ้นบ่อยที่สุดคือตัวเข้ารหัสที่ไล่ล่าข้อมูลของบริษัท เงิน หรือแม้แต่ข้อมูลส่วนบุคคลของเจ้าของ

จากสถิติพบว่า ธุรกิจขนาดเล็กและขนาดกลางจำนวนมากกว่าหนึ่งในสี่ เลือกใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือซอฟต์แวร์ที่ไม่มีใบอนุญาตเพื่อลดค่าใช้จ่าย ซอฟต์แวร์ดังกล่าวอาจรวมถึงไฟล์ที่เป็นอันตรายหรือไม่พึงประสงค์ที่อาจใช้ประโยชน์จากคอมพิวเตอร์และเครือข่ายขององค์กร

ที่มา: Cyber-resilience during a crisis, แคสเปอร์สกี้

นอกจากนี้ ในปี 2023 เจ้าของธุรกิจต้องระวังผู้ให้บริการตรวจสอบ (access brokers) เนื่องจากเลเยอร์ของกลุ่มดังกล่าวจะทำให้ SMB เสียหายได้หลายวิธี ลูกค้าที่เข้าถึงอย่างผิดกฎหมาย ได้แก่ คริปโตแจ็กกิ้งไคลเอนต์ การขโมยรหัสผ่านธนาคารแรนซัมแวร์ การขโมยคุกกี้ และมัลแวร์ที่เป็นปัญหาอื่นๆ

ตัวอย่างหนึ่งคือ Emotet มัลแวร์ที่ขโมยข้อมูลรับรองธนาคาร และกำหนดเป้าหมายโจมตีที่องค์กรทั่วโลก อีกกลุ่มหนึ่งที่กำหนดเป้าหมายไปยังธุรกิจขนาดเล็กและขนาดกลางคือ DeathStalker ซึ่งเป็นที่รู้จักกันดีที่สุดเรื่องการโจมตีหน่วยงานด้านกฎหมาย การเงิน และการท่องเที่ยว

เป้าหมายหลักของกลุ่มนี้ขึ้นอยู่กับการขโมยข้อมูลที่เป็นความลับเกี่ยวกับข้อพิพาททางกฎหมายที่เกี่ยวข้องกับ VIP และสินทรัพย์ทางการเงินขนาดใหญ่ ระบบข่าวกรองธุรกิจที่มีการแข่งขันสูง ตลอดจนข้อมูลเชิงลึกเกี่ยวกับการควบรวมและซื้อกิจการ

5. วิศวกรรมสังคม

นับตั้งแต่การแพร่ระบาดของ COVID-19 เริ่มขึ้น หลายบริษัทได้ย้ายเวิร์กโฟลว์ส่วนใหญ่ทางออนไลน์และเรียนรู้ที่จะใช้เครื่องมือการทำงานร่วมกันใหม่ๆ โดยเฉพาะอย่างยิ่ง ชุดโปรแกรม Office 365 ของ Microsoft พบว่ามีการใช้งานมากขึ้น

จึงไม่น่าแปลกใจเลยที่ตอนนี้ฟิชชิงมุ่งเป้าไปที่บัญชีผู้ใช้เหล่านั้นมากขึ้นเรื่อยๆ สแกมเมอร์ใช้กลอุบายทุกประเภทเพื่อให้ผู้ใช้ทางธุรกิจป้อนรหัสผ่านบนเว็บไซต์ที่สร้างให้ดูเหมือนหน้าลงชื่อเข้าใช้ของ Microsoft

ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้ค้นพบวิธีใหม่ๆ มากมายที่นักฟิชชิ่งสแกมเมอร์พยายามหลอกเจ้าของธุรกิจ ซึ่งบางครั้งก็ซับซ้อน บางคนลอกเลียนแบบบริการสินเชื่อหรือจัดส่ง โดยแชร์เว็บไซต์ปลอมหรือส่งอีเมลพร้อมเอกสารบัญชีปลอม

ผู้โจมตีบางรายปลอมตัวเป็นแพลตฟอร์มออนไลน์ที่ถูกต้องตามกฎหมายเพื่อตักตวงผลกำไรจากผู้ที่ตกเป็นเหยื่อ อาจเป็น บริการโอนเงิน ที่ได้รับความนิยม เช่น Wise Transfer

อันตรายที่น่าจับตาอีกอันที่ผู้เชี่ยวชาญของแคสเปอร์สกี้ค้นพบคือ ลิงก์ไปยังหน้าที่แปลโดยใช้ Google Translate ผู้โจมตีใช้ Google Translate เพื่อหลีกเลี่ยงกลไกความปลอดภัยทางไซเบอร์

ดังการณีแอบอ้าง ที่มิจฉาชีพส่งอีเมลอ้างว่า มีเอกสารแนบเป็นเอกสารสำคัญเกี่ยวกับการชำระเงิน จำเป็นต้องมีการแปล โดย ลิงก์ปุ่มไปที่ Google Translate อย่างไรก็ตาม ลิงก์ดังกล่าวนำไปสู่ไซต์ปลอมที่ผู้โจมตีทำขึ้นเพื่อขโมยเงินจากเหยื่อ

เคิร์ต บอมการ์ตเนอร์ หัวหน้านักวิจัยด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “โดยสรุปแล้ว อาชญากรไซเบอร์จะพยายามเข้าถึงเหยื่อโดยใช้ทุกวิถีทางที่เป็นไปได้ ทั้งผ่านซอฟต์แวร์ที่ไม่มีใบอนุญาต เว็บไซต์หรืออีเมลฟิชชิ่ง การละเมิดเครือข่ายความปลอดภัยของธุรกิจ หรือแม้แต่ผ่านการโจมตี DDoS ขนาดใหญ่”

“อย่างไรก็ตาม การสำรวจล่าสุดของแคสเปอร์สกี้แสดงให้เห็นว่าธุรกิจ SMB จำนวน 41% มีแผนป้องกันวิกฤต ดังนั้นจึงควรใส่ใจเกี่ยวกับความปลอดภัยทางไซเบอร์ และเข้าใจว่าความท้าทายในการแก้ไขเหตุการณ์ด้านความปลอดภัยไอทีนั้นมีแนวโน้มที่ดีเพียงใด ซึ่งหวังว่าจะส่งผลให้องค์กรมีมาตรการป้องกันที่เชื่อถือได้”

ที่มา: Cyber-resilience during a crisis, แคสเปอร์สกี้

แคสเปอร์สกี้ขอแนะนำวิธีปกป้องธุรกิจจากการโจมตีทางไซเบอร์ ดังต่อไปนี้

ใช้นโยบายพาสเวิร์ดที่รัดกุม โดยกำหนดให้พาสเวิร์ดของบัญชีผู้ใช้มาตรฐานต้องมีตัวอักษรอย่างน้อยแปดตัว ตัวเลขหนึ่งตัว ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก และอักขระพิเศษ ตรวจสอบให้แน่ใจว่าพาสเวิร์ดมีการเปลี่ยนแปลงหากมีข้อสงสัยว่าถูกบุกรุก หากต้องการนำแนวทางนี้ไปใช้จริงโดยไม่ต้องใช้ความพยายามเพิ่มเติม แนะนำให้ใช้ โซลูชันการรักษาความปลอดภัย ที่มีตัวจัดการพาสเวิร์ดที่ครอบคลุมในตัว

อย่าละเลยการอัปเดตจากผู้จำหน่ายซอฟต์แวร์และอุปกรณ์ การอัปเดตจะมีคุณสมบัติใหม่และการปรับปรุงต่างๆ อีกทั้งยังช่วยแก้ไขช่องโหว่ด้านความปลอดภัยที่ไม่ถูกเปิดเผยอีกด้วย

ให้พนักงานมีความตระหนักด้านความปลอดภัยในระดับสูง กระตุ้นให้พนักงานเรียนรู้เพิ่มเติมเกี่ยวกับภัยคุกคามในปัจจุบัน และวิธีปกป้องชีวิตส่วนตัวและงาน และ เข้าร่วมหลักสูตรอบรมฟรี การจัดทำโปรแกรมการฝึกอบรมจากบุคคลภายนอกที่ครอบคลุมและมีประสิทธิภาพสำหรับพนักงานเป็นวิธีที่ดีในการประหยัดเวลาของแผนกไอทีและได้ผลลัพธ์ที่ดี

Featured Image: Image by Freepik

Leave a Response