Black Hat Asia 2021

FBI เตือนฟีเจอร์ Email Forwarding ถูกคนร้ายลอบใช้เพื่อทำ BEC

FBI ได้ออกโรงเตือนว่าพบการใช้ฟีเจอร์ Auto Email Forwarding ในส่วนหนึ่งของการบวนการโจมตีแบบ BEC หรือ Business Email Compromise

Credit: ShutterStock.com

คนร้ายในกลุ่มของ BEC มักจะมีมีพฤติกรรมทำ Social Engineering, Phishing หรือแม้กระทั่งแฮ็กบัญชีธุรกิจของเหยื่อ เพื่อจุดหมายปลายทางคือเรื่องทางการเงินเช่น การปลอมแปลงเป็นใครบางคนและหลอกให้เหยื่อโอนเงินให้เป็นต้น อย่างไรก็ดีคนร้ายจะต้องรู้ข้อมูลบางอย่างที่สามารถปลอมเป็นตัวบุคคลนั้นได้อบ่างแนบเนียน

ในกรณีที่ FBI แจ้งเตือนคือพบว่าเมื่อคนร้ายลอบเข้าไปยังบัญชีอีเมลของเหยื่อได้แล้ว คนร้ายได้สร้าง Email Forwarding Rule ใน Web Client ซึ่งไม่ได้ซิงค์โครไนซ์กับโปรแกรมอีเมล ทำให้แอดมินขององค์กรก็ไม่สามารถตรวจจับได้ ทั้งนี้ FBI ได้ยกกรณีศึกษาจริง 2 ครั้ง ซึ่งคนร้ายมีการอ้างตัวเป็น Vendor ต่างชาติหลอกให้โอนเงินสูญไปกว่า 175,000 เหรียญสหรัฐฯ และอีกกรณีคือคนร้ายได้ไปสร้าง Rule เพื่อ Forward อีเมลที่มีคำว่า Bank, Payment, Invoice, Wire หรือ Check ไปยังอีเมลของตน

นอกจากนี้ FBI ยังได้ชี้ว่าคนร้ายมีการใช้ทั้ง Office 365 และ G Suite ในการโจมตีหลายครั้ง ซึ่งแม้ว่าทั้งสองจะมีฟีเจอร์ช่วยป้องกัน BEC แล้ว แต่ผู้ดูแลไอทีต้องไปตั้งค่าเองอยู่ดี ซึ่งธุรกิจขนาดเล็กอาจจะไม่มีทีมไอทีที่มีทักษะ รวมถึงคนร้ายยังได้เก็บข้อมูลที่ได้มาเพื่อใช้ในการขยายวงการโจมตีผู้เกี่ยวข้องของเหยื่อต่อไปด้วย

ดังนั้น FBI จึงได้แนะนำข้อปฏิบัติสำหรับผู้ดูแลระบบไอทีไว้ดังนี้

  • ปิดกั้นการทำ Automatic Email Forward ไปยังอีเมลภายนอก
  • เพิ่มแบนเนอร์เพื่อแสดงถึงอีเมลที่มาจากนอกองค์กร
  • ไม่ใช้โปรโตคอลเก่าเช่น POP, IMAP และ SMTP เพราะอาจช่วยเลี่บงการพิสูจน์ตัวตนแบบ MFA
  • มีการเก็บ Log การใช้งานหรือการตั้งค่าไว้อย่างน้อย 90 วัน
  • แจ้งเตือนกิจกรรมที่น่าสงสัยเช่นมีการล็อกอินจากภายนอกที่ไม่คุ้นเคย
  • เปิดฟังก์ชันด้าน Security เพื่อป้องกันอีเมลอันตรายเช่น Phishing และ Spoofing
  • ปิดการรองรับการพิสูจน์ตัวตนที่ล้าสมัย
  • เปิดการใช้งาน Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication Reporting and Conformance (DMARC) เพื่อป้องกันการ Spoof และช่วยตรวจสอบอีเมล

ในมุมของผู้ใช้ทาง FBI แนะนำให้

  • ใช้การพิสูจน์ตัวตนแบบ MFA
  • ตรวจสอบความถูกต้องของการจ่ายเงินหรือเบอร์โทรศัพท์ที่รู้จัก
  • ให้ความรู้แก่พนักงานว่ารูปแบบของ BEC ให้ทราบและวิธีการปฏิบัติตัวเพื่อป้องกัน

ที่มา : https://www.bleepingcomputer.com/news/security/fbi-warns-of-bec-scammers-using-email-auto-forwarding-in-attacks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ด้าน Endpoint Protection Platforms ประจำปี 2021

Gartner, Inc. บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quarrant ทางด้าน Endpoint Protection Platforms ฉบับล่าสุดปี 2021 ผลปรากฏว่ามี Vendor ถึง …

GitHub รองรับการใช้ Security Key สำหรับ SSH Git แล้ว

Security Key เป็นองค์ประกอบหนึ่งที่ช่วยป้องกันการเข้ายึดบัญชีได้เป็นอย่างดี ในวันนี้ GitHub ได้ประกาศรองรับ FIDO2 กับการใช้งาน SSH Git แล้วเช่นกัน