[Black Hat Asia 2017] เจาะลึกการโจมตีแบบ Business Email Compromise

ภายในงาน Black Hat Asia 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Keith Turpin CISO จาก Universal Weather and Aviation ได้ออกมาเจาะลึกถึงการโจมตีแบบ Business Email Compromise ซึ่งเป็นการโจมตี Phishing รูปแบบหนึ่งที่เน้นการปลอมตัวเป็นผู้บริหารระดับสูงและหลอกขโมยเงินหรือข้อมูลจากพนักงานในบริษัท รวมไปถึงวิธีรับมือกับการโจมตีดังกล่าว ซึ่งสรุปสาระสำคัญได้ดังนี้

รู้จักกับ Business Email Compromise กันก่อน

Business Email Compromise (BEC) เรียกได้ว่าเป็นศัพท์เทคนิคที่ค่อนข้างใหม่ เริ่มใช้โดย FBI เมื่อต้นปี 2016 โดย FBI ให้นิยามว่า เป็นการต้มตุ๋นทางอีเมลอันแยบยล ซึ่งมีเป้าหมายที่ธุรกิจที่มีการติดต่อกับพาร์ทเนอร์ต่างประเทศ และมีการโอนเงินหากันผ่านทาง Wire Transfer บ่อยครั้ง โดยปกติแล้ว BEC จะเริ่มต้นโดยการแฮ็คหรือปลอมแปลงอีเมลของผู้บริหารระดับสูง จากนั้นก็ใช้อีเมลดังกล่าวส่งไปยังพนักงานทั่วไปที่ไม่รู้อิโหน่อิเหน่ แล้วหลอกให้ทำการโอนเงินไปยังบัญชีของแฮ็คเกอร์ที่อยู่ต่างประเทศ

BEC ส่งผลกระทบได้ 2 แบบ คือ องค์กรได้รับอีเมลปลอมจากแฮ็คเกอร์ และองค์กรถูกแฮ็คเกอร์นำไปใช้ปลอมตัวเพื่อหลอกคนอื่น ที่น่าตกใจคือ ภายในระยะเวลาเพียง 18 เดือน การสูญเสียเพิ่มสูงขึ้นถึง 1,300% คิดเป็นเงินมากถึง $3,000 ล้าน และมีเหยื่อแล้วกว่า 22,000 ราย

5 รูปแบบการหลอกลวงที่พบบ่อย

จนถึงตอนนี้เนื้อหาในอีเมล BEC ที่แฮ็คเกอร์ใช้หลอกลวงบ่อยๆ มีทั้งหมด 5 รูปแบบ คือ

  1. ซัพพลายเออร์เปลี่ยนเลขบัญชี – แฮ็คเกอร์ปลอมเป็นซัพพลายเออร์ ระบุว่ามีการเปลี่ยนแปลงบัญชีที่ใช้โอนเงินใหม่ เพื่อหลอกให้พนักงานในองค์กรโอนเงินมาที่บัญชีของแฮ็คเกอร์แทน
  2. ใบแจ้งหนี้ปลอม – แฮ็คเกอร์ปลอมเป็นบริษัทหรือหน่วยงานรัฐบาลเพื่อร้องขอให้มีการชำระค่าบริการ ผลิตภัณฑ์ ภาษี หรือค่าปรับอื่นๆ
  3. การทำธุรกรรมโดยผู้บริหาร – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารขององค์กรแล้วร้องขอให้ฝ่ายการเงินช่วยโอนเงินผ่าน Wire Transfer
  4. ร้องขอการทำธุรกรรมลับ – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารหรือที่ปรึกษาด้านกฎหมาย ระบุว่าจำเป็นต้องทำธุรกรรมลับอย่างเร่งด่วน เพื่อหลอกให้ฝ่ายการเงินรีบโอนเงินมาให้
  5. ร้องขอข้อมูลสำคัญ – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารหลอกฝ่าย HR, Payroll หรือ Audit เพื่อขอข้อมูลลับของพนักงาน เช่น รายได้พนักงาน ข้อมูลการเงิน ข้อมูลภาษี หรือข้อมูลส่วนบุคคลอื่นๆ

พุ่งเป้าโจมตีเป้าหมายชัดเจน

BEC ต่างจากอีเมล Phishing ปกติตรงที่แฮ็คเกอร์มีเป้าหมายชัดเจน โดยก่อนโจมตีแฮ็คเกอร์จะพยายามเก็บข้อมูลและเข้าใจถึงธุรกิจและกระบวนการต่างๆ ขององค์กร รวมไปถึงพาร์ทเนอร์และซัพพลายเออร์ที่องค์กรติดต่อด้วย ที่สำคัญคือ แฮ็คเกอร์จะพยายามค้นหาข้อมูลของผู้บริหารระดับสูง เพื่อใช้ในการปลอมตัวแล้วหลอกส่งอีเมลไปยังพนักงานในองค์กรให้ปฏิบัติตาม โดยแหล่งข้อมูลสำคัญของแฮ็คเกอร์ คือ เว็บไซต์ขององค์กร, Facebook, Linkedin, หน้าหนังสือพิมพ์ หรืออาจใช้การส่งมัลแวร์ การหลอกโทรศัพท์ถามข้อมูล หรือใช้เครื่องอย่าง Maltego ร่วมด้วยก็ได้

ส่วนใหญ่แล้ว แฮ็คเกอร์จะใช้วิธีปลอมตัว 3 รูปแบบ ได้แก่

  • สร้างแอพพลิเคชันสำหรับปลอมอีเมล หรือใช้บริการที่มีอยู่ในปัจจุบัน เช่น Sharpmail หรือ EMS – Email Spoofer
  • ใช้ชื่อโดเมนคล้ายๆ กับโดเมนต้นฉบับ แต่มีการสลับหรือเพิ่มลดตัวอักษรลงไป มักใช้ได้ผลดีกับโดเมนยาวๆ เพราะสังเกตได้ยาก
  • แฮ็คชื่อบัญชีของผู้บริหาร แล้วสวมรอยแทนฃ

ตัวอย่างการใช้ชื่อโดเมนคล้ายๆ กัน

ตัวอย่างการเปลี่ยน Reply-To ให้ส่งกลับมาที่แฮ็คเกอร์แทน แล้วเนียนสนทนาต่อเพื่อหลอกให้โอนเงินหรือขโมยข้อมูล

ตัวอย่างจริงของ BEC ที่ใช้โจมตีสถาบันการเงิน

วิธีรับมือกับ BEC

การป้องกัน BEC ไม่ใช่แค่อาศัยเครื่องมืออย่าง Email Security Gateway เพียงอย่างเดียว แต่ต้องอาศัยความร่วมมือจากพนักงานในองค์กร และการกำหนด Policy/Process ที่รัดกุมตามแนวคิด People, Process และ Technology ดังนี้

1. People – การนิ่งเฉยไม่ใช่การป้องกันที่ดี ส่ิงที่พนักงานภายในองค์กรพึงกระทำประกอบด้วย

  • ถ้ารู้สึกว่ามีบางอย่างผิกปกติ ให้แจ้งเรื่องไปยังหัวหน้าหรือผู้ที่เกี่ยวข้องทันที
  • ตรวจสอบ “From” บนอีเมลที่ได้รับมา และ “To” เมื่อตอบอีเมลกลับให้ดี
  • ฉุกคิดเมื่อเจอกับอีเมลที่เกี่ยวข้องกับการโอนเงิน การถามข้อมูลสำคัญภายในองค์กร และอีเมลที่มีความเร่งด่วนสูง
  • ไม่เปิดใช้ Macro บนไฟล์แนบที่มากับอีเมล
  • ยืนยันการโอนเงินและการส่งข้อมูลความลับกับผู้บริหารหรือผู้ร้องขอโดยตรงผ่านช่องทางอื่น เช่น โทรศัพท์
  • ก่อนคลิกลิงค์บนอีเมล ให้ลองเอาเมาส์ไปวางเพื่อตรวจสอบลิงค์ว่าไม่มีอันตราย

2. Process/Policy – มีการกำหนดนโยบายและแนวทางปฏิบัติที่ชัดเจน

  • จัดทำนโยบายเกี่ยวกับการบริหารจัดการ Wire Transfer, การเปลี่ยนแปลงบัญชีธนาคาร และการแชร์ข้อมูลสำคัญต่างๆ
  • กระบวนการทางธุรกิจจะต้องสอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยขององค์กร
  • อบรมพนักงานให้ปฏิบัติตามนโยบายและแนวทางปฏิบัติต่างๆ
  • ฝึกซ้อมพนักงานให้รับมือกับการโจมตีแบบ Phishing ผ่านทางบริการต่างๆ เช่น PhishMe.com, PhishLabs.com และ IronScales.com เป็นต้น (หรือเครื่องมือฟรี เช่น MSI Simple Phish)

3. Technology – นำเทคโนโลยีเข้ามาช่วยปกป้ององค์กรจากอีเมลสแปมและ Phising

  • Email Security Gateway สำหรับติดตามและป้องกันการโจมตีแบบ Phishing โดยใช้เทคนิคหลากหลายแบบ เช่น การตรวจสอบแหล่งที่มาว่ามาจาก IP หรือโดเมนอันตรายหรือไม่ รวมไปถึงการตรวจสอบ SMTP Header และทำงานร่วมกับ SPF, DKIM และ DMARC เป็นต้น นอกจากนี้บางผลิตภัณฑ์ยังช่วยป้องกันการโจมตีแบบ Zero-day หรือมีฟีเจอร์ Sandboxing ให้อีกด้วย
  • Marking External Email เป็นการใส่คำว่า [External] ลงไปที่หัวข้ออีเมล ซึ่งเป็นเทคนิคง่ายๆ สำหรับสร้างความตระหนักแก่พนักงานหรือผู้ที่อยู่ในลูปของอีเมลว่า อีเมลดังกล่าวที่กำลังสนทนากันอยู่มีแหล่งที่มาจากภายนอก ควรระมัดระวังในการให้ข้อมูลหรือดำเนินการอื่นๆ เป็นพิเศษ
  • Block Spoofing IP คือการทำแบล็คลิสต์หมายเลข IP หรือชื่อโดเมนที่พยายามปลอมตัวมาเป็นพนักงานภายในองค์กร อาจจำเป็นต้องอาศัย Email Security Gateway เข้ามาช่วย

ผู้ที่สนใจอ่านรายละเอียดทั้งหมดสามารถดาวน์โหลด Presentation ฉบับเต็มได้ที่ https://www.blackhat.com/docs/asia-17/materials/asia-17-Turpin-Phishing-For-Funds-Understanding-Business-Email-Compromise.pdf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

คอมพิวเตอร์และโน๊ตบุ๊คกว่า 900 รุ่นได้รับผลกระทบจากช่องโหว่ Intel ME

หลังจากที่ Intel ออกมายอมรับอย่างเป็นทางการว่า มีช่องโหว่ร้ายแรง 8 รายการบนชิป Intel Management Engine (ME) เมื่อ 3 วันก่อน ล่าสุด ทางเจ้าของผลิตภัณฑ์คอมพิวเตอร์และเซิร์ฟเวอร์ชื่อดังทั้ง …

10 ข้อแนะนำในการซื้อของออนไลน์ให้ปลอดภัย

ช่วงนี้ตลาดออนไลน์มาแรงมาก ดังนั้นวันนี้เราจึงได้สรุปคำแนะนำในการซื้อของออนไลน์ให้ปลอดภัยเพื่อจะได้ไม่ตกเป็นเหยื่อของอาชญากรในโลกไซเบอร์ โดยเฉพาะโปรโมรชันหลังวันขอบคุณพระเจ้า (Cyber Monday) จากเว็บต่างประเทศยิ่งเย้ายวนใจขาช้อปเสียด้วย