[Guest Post] สร้าง Awareness ด้วย Spear Phishing ของจริง

Spear Phishing Email เป็นภัยคุกคามที่รับมือได้ยากในปัจจุบัน เนื่องจาก Spear Phishing Email เป็นอีเมล์ที่มีเนื้อหาเฉพาะทางเกี่ยวข้องกับชีวิตการทำงาน หรือ ชีวิตประจำวันของเหยื่อที่ตกเป็นเป้าหมาย เช่น จดหมายให้ยืนยันตัวตนผู้ใช้งาน ข้อร้องเรียนจากลูกค้า ใบเสนอราคาจากบริษัทคู่ค้า โปรโมชั่นของสินค้าที่เหยื่อสนใจ เป็นต้น ทั้งหมดมีเป้าหมายเพื่อล่อลวงให้กดลิ๊งค์ ตอบกลับข้อมูลส่วนตัว หรือ เปิดไฟล์ที่แนบมากับอีเมล์ทำให้เครื่องของเหยื่อติดไวรัสหรือโดนขโมยข้อมูลออกไป

เนื่องจาก Spear Phishing Email มีความคล้ายคลึงกับอีเมล์ที่ใช้งานในชีวิตประจำวันมาก การตรวจจับโดยเครื่องมือบนระบบเครือข่ายทำได้ยาก การสร้าง Awareness ให้พนักงานแทบจะเป็นทางเดียวที่องค์กรสามารถทำได้เพื่อป้องกันภัยคุกคามนี้ SANS สถาบันที่มีชื่อเสียงด้านการวิจัยการรักษาความปลอดภัยของข้อมูล ได้แนะนำไว้ในงาน RSA Conference ให้องค์กรสร้าง awareness ให้กับพนักงาน โดยการจัดทำ Spear Phishing จริงๆส่งให้กับพนักงาน ประโยชน์ที่จะได้รับคือ องค์กรจะสามารถวิเคราะห์ได้ว่า พนักงานกลุ่มใดมีความเสี่ยงที่จะถูกล่อลวงสูงสุด และ พนักงานมีการตอบสนองเมื่อเจออีเมล์ประเภทนี้อย่างไร เช่น บางคนอาจจะลบอีเมล์ดังกล่าว แต่บางคนอาจจะส่งต่อไปให้เพื่อนเป็นต้น

Credit: wk1003mike/ShutterStock
Credit: wk1003mike/ShutterStock

ข้อแนะนำในการจัดทำ Spear Phishing Awareness

  1. เนื่องจากการจัดทำต้องคลอบคลุมพนักงานที่มีอีเมล์ทุกคนขององค์กร นั่นหมายถึง พนักงานเกือบทุกระดับคือกลุ่มเป้าหมาย ดังนั้นการขออนุมัติโครงการควรผ่านผู้บริหารระดับสูงสุด และควรส่งอีเมล์ให้พนักงานให้มากที่สุดเท่าที่จะทำได้ต่อการส่งอีเมล์หนึ่งครั้ง เพราะหากส่งได้ไม่ครบ พนักงานที่ได้รับอีเมล์กลุ่มแรกจะส่งข่าวต่อๆกันไปทำให้พนักงานที่ยังไม่ได้รับอีเมล์ระวังอีเมล์ฉบับนี้ ทำให้ผลการทดสอบไม่แม่นยำ
  2. จำกัดผู้เกี่ยวข้องกับโครงการให้มีเท่าที่จำเป็น เพื่อให้ผลการทดสอบมีความแม่นยำสามารถสะท้อน Awareness จริงๆของพนักงานได้ โดยทีมงานอาจจะมีแค่ผู้บริหารระดับสูง ผู้บริหารของ IT ทีมระบบ และ ผู้บริหารของฝ่ายบุคคล
  3. จัดทำทุกเดือนหรือทุกไตรมาส แต่จากประสบการณ์ของผู้เขียนเคยจัดสูงสุดปีละสองครั้ง พบว่า ผลที่ได้จากครั้งที่สองดีกว่าครั้งแรกค่อนข้างมาก ซึ่งแสดงว่า พนักงานมีระดับของ Awareness ที่สูงขึ้นมากจากที่ได้รับ Spear Phishing ครั้งแรก จึงให้ขอสังเกตุว่า ไม่จำเป็นต้องจัดทำบ่อยเกินไป
  4. การส่ง Spear Phishing email สามารถใช้อีเมล์จากภายนอก เช่น yahoo, gmail, Hotmail ส่งเข้ามาหรือใช้บริการจาก Outsource ก็ได้ แต่ส่วนตัวของผู้เขียนไม่อยากเปิดเผยอีเมล์ทั้งหมดขององค์กรให้บุคคลภายนอกรับทราบ จึงสร้างโดเมนปลอมๆขึ้นบน DNS ขององค์กรแล้วใช้ Email Server ขององค์กรก็สามารถส่งได้เช่นกัน
  5. กำหนดเนื้อหาให้มีความเหมาะสมไม่ให้ดูออกว่าเป็น Spear Phishing ยากหรือง่ายเกินไป (หลักการเดียวกับการออกข้อสอบ ข้อสอบที่ง่ายหรือยากเกินไปไม่สามารถวัดระดับความรู้ของกลุ่มผู้เรียนได้อย่างชัดเจน) โดยเมื่อพนักงานตกเป็นเหยื่อและกดลิงค์ พนักงานควรจะพบหน้าเว็บไซต์ที่มีคำอธิบายการทดสอบที่กำลังดำเนินอยู่ ว่าเขาตกเป็นเหยื่อของ Spear Phishing ซึ่งอาจจะเป็นภัยคุกคามต่อข้อมูลหรือระบบขององค์กร (รวมถึงข้อมูลของตัวพนักงานเอง) และแสดงข้อแนะนำที่จะช่วยให้พนักงานไม่ตกเป็นเหยื่ออีก เช่น ให้ดูต้นทางที่ส่งอีเมล์ว่า มีความน่าเชื่อถือหรือไม่ และ ไม่ควรส่งต่ออีเมล์นี้ไปให้คนอื่น แต่ควรแจ้งหน่วยงานไอที เป็นต้น
  6. บันทึกจำนวนพนักงานที่เข้ามาหน้าเว็บไซต์เนื่องจากการกดลิ๊งค์ของ Spear Phishing ซึ่งผู้เขียนใช้วิธีเขียนโปรแกรมให้หน้าเว็บรับข้อมูลของพนักงานที่ตกเป็นเหยื่อแบบรายคนไว้ด้วย
  7. มอบรางวัลให้พนักงานที่ไม่กดลิ๊งค์ใน Spear Phishing Email และส่งข้อมูลรายงานหน่วยงานที่เกี่ยวข้องอย่างถูกต้องตามระเบียบของบริษัท

 

สิงหนึ่งที่ SAN ไม่ได้บอกไว้ คือ การจัดทำ Spear Phishing Email จะมีการตอบสนองจากพนักงานกลุ่มหนึ่งที่รู้สึกว่าตัวเองโดนหลอก หรือ เกิดความกังวลว่า บริษัทจะนำผลการทดสอบไปเป็นตัวชี้วัดใดๆ การตอบสนองอาจจะมาในรูปแบบหลายๆอย่างที่คาดไม่ถึง เช่น การอีเมล์หรือโทรศัพท์เข้ามาต่อว่า การขอความเห็นใจให้ลบข้อมูลที่บันทึกว่าพนักงานได้ตกเป็นเหยื่อ หรือแม้กระทั่งการพยายามรบกวนระบบที่เกี่ยวข้องกับการทดสอบ ซึ่งผู้เขียนแนะนำให้มีการชี้แจงข้อดีจากการทดสอบถึงพนักงานเหล่านั้นอย่างสุภาพ และสร้างเข้าใจว่า ขั้นตอนการดำเนินการทั้งหมดเป็นวิธีมาตรฐาน (Security Best Practice) รวมถึงใช้การชี้แจงผ่านผู้บริหารระดับสูงขององค์กร ทั้งหมดเพื่อยกระดับ Awareness ของพนักงานทุกคนและช่วยปกป้องข้อมูลที่มีความสำคัญทั้งของพนักงานเองและธุรกิจที่ดำเนินอยู่

 

บทความโดย Thanapon B., IT Sec ณ องค์กร Financial Institute แห่งหนึ่งในประเทศไทย

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

จีเอเบิล ชี้ 3 Mega Trend ไอที เปลี่ยนโฉมธุรกิจองค์กรไทย พร้อมเป็น Tech Enabler ขับเคลื่อนองค์กรสู่อนาคต [PR]

ในยุคที่ธุรกิจองค์กรแข่งขันกันด้วยความเร็ว เพื่อให้ได้ผลลัพธ์และผลกำไรที่มากขึ้น การลดต้นทุนและการเพิ่มประสิทธิภาพในการทำงานที่เพิ่มขึ้น เป็นสิ่งที่เจ้าของธุรกิจรวมถึงผู้บริหารระดับสูงในธุรกิจองค์กรต่างๆ กำลังมองหา เพราะการดำเนินธุรกิจองค์กรในสถานการณ์ปัจจุบัน จำเป็นอย่างยิ่งที่จะต้องสร้าง Competitive Advantage เพื่อเป็นฐานในการสร้างการเติบโตอย่างยั่งยืน ซึ่งแน่นอนว่าอาวุธที่เป็นฟันเฟืองสำคัญในการผลักดันให้เกิดการเติบโตอย่างยั่งยืน นอกจากการพัฒนาคนในองค์กรให้เรียนรู้ทักษะด้านเทคโนโลยีอยู่เสมอ การเลือกใช้เทคโนโลยีที่ตรงกับกระแสทิศทางเทรนด์ได้อย่างถูกต้องเหมาะสมและตอบโจทย์ในการสร้างผลกำไรของแต่ละธุรกิจองค์กรในทุกภาคอุตสาหกรรมก็เป็นหัวใจสำคัญไม่แพ้กัน

Soft De’but จัดงาน Soft De’but : Breakthrough 2025 เพื่อขอบคุณพาร์ทเนอร์ พร้อมเปิดเวทีอัปเดตโซลูชันแห่งปี 2025 [Guest Post]

Soft De’but  ผู้นำเข้าและพัฒนาซอฟต์แวร์ชั้นนำระดับโลก จัดงาน Soft De’but : Breakthrough 2025 เมื่อวันที่ 24 มกราคม ที่ผ่านมา ณ BDMS Connect …