[Black Hat Asia 2017] เจาะลึกการโจมตีแบบ Business Email Compromise

ภายในงาน Black Hat Asia 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Keith Turpin CISO จาก Universal Weather and Aviation ได้ออกมาเจาะลึกถึงการโจมตีแบบ Business Email Compromise ซึ่งเป็นการโจมตี Phishing รูปแบบหนึ่งที่เน้นการปลอมตัวเป็นผู้บริหารระดับสูงและหลอกขโมยเงินหรือข้อมูลจากพนักงานในบริษัท รวมไปถึงวิธีรับมือกับการโจมตีดังกล่าว ซึ่งสรุปสาระสำคัญได้ดังนี้

รู้จักกับ Business Email Compromise กันก่อน

Business Email Compromise (BEC) เรียกได้ว่าเป็นศัพท์เทคนิคที่ค่อนข้างใหม่ เริ่มใช้โดย FBI เมื่อต้นปี 2016 โดย FBI ให้นิยามว่า เป็นการต้มตุ๋นทางอีเมลอันแยบยล ซึ่งมีเป้าหมายที่ธุรกิจที่มีการติดต่อกับพาร์ทเนอร์ต่างประเทศ และมีการโอนเงินหากันผ่านทาง Wire Transfer บ่อยครั้ง โดยปกติแล้ว BEC จะเริ่มต้นโดยการแฮ็คหรือปลอมแปลงอีเมลของผู้บริหารระดับสูง จากนั้นก็ใช้อีเมลดังกล่าวส่งไปยังพนักงานทั่วไปที่ไม่รู้อิโหน่อิเหน่ แล้วหลอกให้ทำการโอนเงินไปยังบัญชีของแฮ็คเกอร์ที่อยู่ต่างประเทศ

BEC ส่งผลกระทบได้ 2 แบบ คือ องค์กรได้รับอีเมลปลอมจากแฮ็คเกอร์ และองค์กรถูกแฮ็คเกอร์นำไปใช้ปลอมตัวเพื่อหลอกคนอื่น ที่น่าตกใจคือ ภายในระยะเวลาเพียง 18 เดือน การสูญเสียเพิ่มสูงขึ้นถึง 1,300% คิดเป็นเงินมากถึง $3,000 ล้าน และมีเหยื่อแล้วกว่า 22,000 ราย

5 รูปแบบการหลอกลวงที่พบบ่อย

จนถึงตอนนี้เนื้อหาในอีเมล BEC ที่แฮ็คเกอร์ใช้หลอกลวงบ่อยๆ มีทั้งหมด 5 รูปแบบ คือ

1. ซัพพลายเออร์เปลี่ยนเลขบัญชี – แฮ็คเกอร์ปลอมเป็นซัพพลายเออร์ ระบุว่ามีการเปลี่ยนแปลงบัญชีที่ใช้โอนเงินใหม่ เพื่อหลอกให้พนักงานในองค์กรโอนเงินมาที่บัญชีของแฮ็คเกอร์แทน
2. ใบแจ้งหนี้ปลอม – แฮ็คเกอร์ปลอมเป็นบริษัทหรือหน่วยงานรัฐบาลเพื่อร้องขอให้มีการชำระค่าบริการ ผลิตภัณฑ์ ภาษี หรือค่าปรับอื่นๆ
3. การทำธุรกรรมโดยผู้บริหาร – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารขององค์กรแล้วร้องขอให้ฝ่ายการเงินช่วยโอนเงินผ่าน Wire Transfer
4. ร้องขอการทำธุรกรรมลับ – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารหรือที่ปรึกษาด้านกฎหมาย ระบุว่าจำเป็นต้องทำธุรกรรมลับอย่างเร่งด่วน เพื่อหลอกให้ฝ่ายการเงินรีบโอนเงินมาให้
5. ร้องขอข้อมูลสำคัญ – แฮ็คเกอร์ปลอมตัวเป็นผู้บริหารหลอกฝ่าย HR, Payroll หรือ Audit เพื่อขอข้อมูลลับของพนักงาน เช่น รายได้พนักงาน ข้อมูลการเงิน ข้อมูลภาษี หรือข้อมูลส่วนบุคคลอื่นๆ

พุ่งเป้าโจมตีเป้าหมายชัดเจน

BEC ต่างจากอีเมล Phishing ปกติตรงที่แฮ็คเกอร์มีเป้าหมายชัดเจน โดยก่อนโจมตีแฮ็คเกอร์จะพยายามเก็บข้อมูลและเข้าใจถึงธุรกิจและกระบวนการต่างๆ ขององค์กร รวมไปถึงพาร์ทเนอร์และซัพพลายเออร์ที่องค์กรติดต่อด้วย ที่สำคัญคือ แฮ็คเกอร์จะพยายามค้นหาข้อมูลของผู้บริหารระดับสูง เพื่อใช้ในการปลอมตัวแล้วหลอกส่งอีเมลไปยังพนักงานในองค์กรให้ปฏิบัติตาม โดยแหล่งข้อมูลสำคัญของแฮ็คเกอร์ คือ เว็บไซต์ขององค์กร, Facebook, Linkedin, หน้าหนังสือพิมพ์ หรืออาจใช้การส่งมัลแวร์ การหลอกโทรศัพท์ถามข้อมูล หรือใช้เครื่องอย่าง Maltego ร่วมด้วยก็ได้

ส่วนใหญ่แล้ว แฮ็คเกอร์จะใช้วิธีปลอมตัว 3 รูปแบบ ได้แก่

• สร้างแอพพลิเคชันสำหรับปลอมอีเมล หรือใช้บริการที่มีอยู่ในปัจจุบัน เช่น Sharpmail หรือ EMS – Email Spoofer
• ใช้ชื่อโดเมนคล้ายๆ กับโดเมนต้นฉบับ แต่มีการสลับหรือเพิ่มลดตัวอักษรลงไป มักใช้ได้ผลดีกับโดเมนยาวๆ เพราะสังเกตได้ยาก
• แฮ็คชื่อบัญชีของผู้บริหาร แล้วสวมรอยแทนฃ

ตัวอย่างการใช้ชื่อโดเมนคล้ายๆ กัน

ตัวอย่างการเปลี่ยน Reply-To ให้ส่งกลับมาที่แฮ็คเกอร์แทน แล้วเนียนสนทนาต่อเพื่อหลอกให้โอนเงินหรือขโมยข้อมูล

ตัวอย่างจริงของ BEC ที่ใช้โจมตีสถาบันการเงิน

วิธีรับมือกับ BEC

การป้องกัน BEC ไม่ใช่แค่อาศัยเครื่องมืออย่าง Email Security Gateway เพียงอย่างเดียว แต่ต้องอาศัยความร่วมมือจากพนักงานในองค์กร และการกำหนด Policy/Process ที่รัดกุมตามแนวคิด People, Process และ Technology ดังนี้

1. People – การนิ่งเฉยไม่ใช่การป้องกันที่ดี ส่ิงที่พนักงานภายในองค์กรพึงกระทำประกอบด้วย

• ถ้ารู้สึกว่ามีบางอย่างผิกปกติ ให้แจ้งเรื่องไปยังหัวหน้าหรือผู้ที่เกี่ยวข้องทันที
• ตรวจสอบ “From” บนอีเมลที่ได้รับมา และ “To” เมื่อตอบอีเมลกลับให้ดี
• ฉุกคิดเมื่อเจอกับอีเมลที่เกี่ยวข้องกับการโอนเงิน การถามข้อมูลสำคัญภายในองค์กร และอีเมลที่มีความเร่งด่วนสูง
• ไม่เปิดใช้ Macro บนไฟล์แนบที่มากับอีเมล
• ยืนยันการโอนเงินและการส่งข้อมูลความลับกับผู้บริหารหรือผู้ร้องขอโดยตรงผ่านช่องทางอื่น เช่น โทรศัพท์
• ก่อนคลิกลิงค์บนอีเมล ให้ลองเอาเมาส์ไปวางเพื่อตรวจสอบลิงค์ว่าไม่มีอันตราย

2. Process/Policy – มีการกำหนดนโยบายและแนวทางปฏิบัติที่ชัดเจน

• จัดทำนโยบายเกี่ยวกับการบริหารจัดการ Wire Transfer, การเปลี่ยนแปลงบัญชีธนาคาร และการแชร์ข้อมูลสำคัญต่างๆ
• กระบวนการทางธุรกิจจะต้องสอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยขององค์กร
• อบรมพนักงานให้ปฏิบัติตามนโยบายและแนวทางปฏิบัติต่างๆ
• ฝึกซ้อมพนักงานให้รับมือกับการโจมตีแบบ Phishing ผ่านทางบริการต่างๆ เช่น PhishMe.com, PhishLabs.com และ IronScales.com เป็นต้น (หรือเครื่องมือฟรี เช่น MSI Simple Phish)

3. Technology – นำเทคโนโลยีเข้ามาช่วยปกป้ององค์กรจากอีเมลสแปมและ Phising

• Email Security Gateway สำหรับติดตามและป้องกันการโจมตีแบบ Phishing โดยใช้เทคนิคหลากหลายแบบ เช่น การตรวจสอบแหล่งที่มาว่ามาจาก IP หรือโดเมนอันตรายหรือไม่ รวมไปถึงการตรวจสอบ SMTP Header และทำงานร่วมกับ SPF, DKIM และ DMARC เป็นต้น นอกจากนี้บางผลิตภัณฑ์ยังช่วยป้องกันการโจมตีแบบ Zero-day หรือมีฟีเจอร์ Sandboxing ให้อีกด้วย
• Marking External Email เป็นการใส่คำว่า [External] ลงไปที่หัวข้ออีเมล ซึ่งเป็นเทคนิคง่ายๆ สำหรับสร้างความตระหนักแก่พนักงานหรือผู้ที่อยู่ในลูปของอีเมลว่า อีเมลดังกล่าวที่กำลังสนทนากันอยู่มีแหล่งที่มาจากภายนอก ควรระมัดระวังในการให้ข้อมูลหรือดำเนินการอื่นๆ เป็นพิเศษ
• Block Spoofing IP คือการทำแบล็คลิสต์หมายเลข IP หรือชื่อโดเมนที่พยายามปลอมตัวมาเป็นพนักงานภายในองค์กร อาจจำเป็นต้องอาศัย Email Security Gateway เข้ามาช่วย

ผู้ที่สนใจอ่านรายละเอียดทั้งหมดสามารถดาวน์โหลด Presentation ฉบับเต็มได้ที่ https://www.blackhat.com/docs/asia-17/materials/asia-17-Turpin-Phishing-For-Funds-Understanding-Business-Email-Compromise.pdf