SUSE by Ingram

[Guest Post] สร้าง Awareness ด้วย Spear Phishing ของจริง

Spear Phishing Email เป็นภัยคุกคามที่รับมือได้ยากในปัจจุบัน เนื่องจาก Spear Phishing Email เป็นอีเมล์ที่มีเนื้อหาเฉพาะทางเกี่ยวข้องกับชีวิตการทำงาน หรือ ชีวิตประจำวันของเหยื่อที่ตกเป็นเป้าหมาย เช่น จดหมายให้ยืนยันตัวตนผู้ใช้งาน ข้อร้องเรียนจากลูกค้า ใบเสนอราคาจากบริษัทคู่ค้า โปรโมชั่นของสินค้าที่เหยื่อสนใจ เป็นต้น ทั้งหมดมีเป้าหมายเพื่อล่อลวงให้กดลิ๊งค์ ตอบกลับข้อมูลส่วนตัว หรือ เปิดไฟล์ที่แนบมากับอีเมล์ทำให้เครื่องของเหยื่อติดไวรัสหรือโดนขโมยข้อมูลออกไป

เนื่องจาก Spear Phishing Email มีความคล้ายคลึงกับอีเมล์ที่ใช้งานในชีวิตประจำวันมาก การตรวจจับโดยเครื่องมือบนระบบเครือข่ายทำได้ยาก การสร้าง Awareness ให้พนักงานแทบจะเป็นทางเดียวที่องค์กรสามารถทำได้เพื่อป้องกันภัยคุกคามนี้ SANS สถาบันที่มีชื่อเสียงด้านการวิจัยการรักษาความปลอดภัยของข้อมูล ได้แนะนำไว้ในงาน RSA Conference ให้องค์กรสร้าง awareness ให้กับพนักงาน โดยการจัดทำ Spear Phishing จริงๆส่งให้กับพนักงาน ประโยชน์ที่จะได้รับคือ องค์กรจะสามารถวิเคราะห์ได้ว่า พนักงานกลุ่มใดมีความเสี่ยงที่จะถูกล่อลวงสูงสุด และ พนักงานมีการตอบสนองเมื่อเจออีเมล์ประเภทนี้อย่างไร เช่น บางคนอาจจะลบอีเมล์ดังกล่าว แต่บางคนอาจจะส่งต่อไปให้เพื่อนเป็นต้น

Credit: wk1003mike/ShutterStock
Credit: wk1003mike/ShutterStock

ข้อแนะนำในการจัดทำ Spear Phishing Awareness

  1. เนื่องจากการจัดทำต้องคลอบคลุมพนักงานที่มีอีเมล์ทุกคนขององค์กร นั่นหมายถึง พนักงานเกือบทุกระดับคือกลุ่มเป้าหมาย ดังนั้นการขออนุมัติโครงการควรผ่านผู้บริหารระดับสูงสุด และควรส่งอีเมล์ให้พนักงานให้มากที่สุดเท่าที่จะทำได้ต่อการส่งอีเมล์หนึ่งครั้ง เพราะหากส่งได้ไม่ครบ พนักงานที่ได้รับอีเมล์กลุ่มแรกจะส่งข่าวต่อๆกันไปทำให้พนักงานที่ยังไม่ได้รับอีเมล์ระวังอีเมล์ฉบับนี้ ทำให้ผลการทดสอบไม่แม่นยำ
  2. จำกัดผู้เกี่ยวข้องกับโครงการให้มีเท่าที่จำเป็น เพื่อให้ผลการทดสอบมีความแม่นยำสามารถสะท้อน Awareness จริงๆของพนักงานได้ โดยทีมงานอาจจะมีแค่ผู้บริหารระดับสูง ผู้บริหารของ IT ทีมระบบ และ ผู้บริหารของฝ่ายบุคคล
  3. จัดทำทุกเดือนหรือทุกไตรมาส แต่จากประสบการณ์ของผู้เขียนเคยจัดสูงสุดปีละสองครั้ง พบว่า ผลที่ได้จากครั้งที่สองดีกว่าครั้งแรกค่อนข้างมาก ซึ่งแสดงว่า พนักงานมีระดับของ Awareness ที่สูงขึ้นมากจากที่ได้รับ Spear Phishing ครั้งแรก จึงให้ขอสังเกตุว่า ไม่จำเป็นต้องจัดทำบ่อยเกินไป
  4. การส่ง Spear Phishing email สามารถใช้อีเมล์จากภายนอก เช่น yahoo, gmail, Hotmail ส่งเข้ามาหรือใช้บริการจาก Outsource ก็ได้ แต่ส่วนตัวของผู้เขียนไม่อยากเปิดเผยอีเมล์ทั้งหมดขององค์กรให้บุคคลภายนอกรับทราบ จึงสร้างโดเมนปลอมๆขึ้นบน DNS ขององค์กรแล้วใช้ Email Server ขององค์กรก็สามารถส่งได้เช่นกัน
  5. กำหนดเนื้อหาให้มีความเหมาะสมไม่ให้ดูออกว่าเป็น Spear Phishing ยากหรือง่ายเกินไป (หลักการเดียวกับการออกข้อสอบ ข้อสอบที่ง่ายหรือยากเกินไปไม่สามารถวัดระดับความรู้ของกลุ่มผู้เรียนได้อย่างชัดเจน) โดยเมื่อพนักงานตกเป็นเหยื่อและกดลิงค์ พนักงานควรจะพบหน้าเว็บไซต์ที่มีคำอธิบายการทดสอบที่กำลังดำเนินอยู่ ว่าเขาตกเป็นเหยื่อของ Spear Phishing ซึ่งอาจจะเป็นภัยคุกคามต่อข้อมูลหรือระบบขององค์กร (รวมถึงข้อมูลของตัวพนักงานเอง) และแสดงข้อแนะนำที่จะช่วยให้พนักงานไม่ตกเป็นเหยื่ออีก เช่น ให้ดูต้นทางที่ส่งอีเมล์ว่า มีความน่าเชื่อถือหรือไม่ และ ไม่ควรส่งต่ออีเมล์นี้ไปให้คนอื่น แต่ควรแจ้งหน่วยงานไอที เป็นต้น
  6. บันทึกจำนวนพนักงานที่เข้ามาหน้าเว็บไซต์เนื่องจากการกดลิ๊งค์ของ Spear Phishing ซึ่งผู้เขียนใช้วิธีเขียนโปรแกรมให้หน้าเว็บรับข้อมูลของพนักงานที่ตกเป็นเหยื่อแบบรายคนไว้ด้วย
  7. มอบรางวัลให้พนักงานที่ไม่กดลิ๊งค์ใน Spear Phishing Email และส่งข้อมูลรายงานหน่วยงานที่เกี่ยวข้องอย่างถูกต้องตามระเบียบของบริษัท

 

สิงหนึ่งที่ SAN ไม่ได้บอกไว้ คือ การจัดทำ Spear Phishing Email จะมีการตอบสนองจากพนักงานกลุ่มหนึ่งที่รู้สึกว่าตัวเองโดนหลอก หรือ เกิดความกังวลว่า บริษัทจะนำผลการทดสอบไปเป็นตัวชี้วัดใดๆ การตอบสนองอาจจะมาในรูปแบบหลายๆอย่างที่คาดไม่ถึง เช่น การอีเมล์หรือโทรศัพท์เข้ามาต่อว่า การขอความเห็นใจให้ลบข้อมูลที่บันทึกว่าพนักงานได้ตกเป็นเหยื่อ หรือแม้กระทั่งการพยายามรบกวนระบบที่เกี่ยวข้องกับการทดสอบ ซึ่งผู้เขียนแนะนำให้มีการชี้แจงข้อดีจากการทดสอบถึงพนักงานเหล่านั้นอย่างสุภาพ และสร้างเข้าใจว่า ขั้นตอนการดำเนินการทั้งหมดเป็นวิธีมาตรฐาน (Security Best Practice) รวมถึงใช้การชี้แจงผ่านผู้บริหารระดับสูงขององค์กร ทั้งหมดเพื่อยกระดับ Awareness ของพนักงานทุกคนและช่วยปกป้องข้อมูลที่มีความสำคัญทั้งของพนักงานเองและธุรกิจที่ดำเนินอยู่

 

บทความโดย Thanapon B., IT Sec ณ องค์กร Financial Institute แห่งหนึ่งในประเทศไทย

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Lenovo Legion T5 อีกขั้นของเกมมิ่งเดสก์ท็อป ปรับแต่งได้ตามสไตล์ที่โดนใจ มาพร้อมขุมพลัง AMD Ryzen™ 3000 Series

หากคุณคือหนึ่งในเกมเมอร์มือใหม่ที่กำลังมองหาเดสก์ท็อปคู่ใจสำหรับเกมการต่อสู้ หรือเกมเมอร์มือเก๋าที่ต้องการอัพเกรดเดสก์ท็อปให้แรงกว่าเคยเพื่อครองที่หนึ่งในเกมการแข่งขัน Lenovo Legion T5 เกมมิ่งเดสก์ท็อปประสิทธิภาพสูง ขับเคลื่อนโดยโปรเซสเซอร์เดสก์ท็อป AMD Ryzen™ 3000 Series คือตัวเลือกที่ไม่ควรมองข้าม ตัวเครื่องผ่านการออกแบบมาให้รองรับการเล่นเกมแบบมาราธอนเข้มข้นได้อย่างสมบูรณ์แบบ ซึ่งเป็นผลมาจากความมุ่งมั่นของเลอโนโว ที่ต้องการพัฒนาผลิตภัณฑ์เกมมิ่งที่ดีที่สุดให้กับผู้ใช้ …

[Guest Post] การสตรีมมิ่งผ่านสมาร์ทโฟนเข้าสู่เมนสตรีม เปิดโอกาสครั้งสำคัญสำหรับการโฆษณาในตลาดขนาดมหึมานี้

รายงานใหม่ล่าสุดของ Adjust เรื่องการสตรีมมิ่งผ่านสมาร์ทโฟน ระบุว่า นับแต่การระบาดของไวรัสโควิด-19 เมื่อปีที่แล้ว 52.5% ของผู้บริโภคทั่วโลกใช้สมาร์ทโฟนเพื่อการสตรีมมิ่งคอนเทนต์วิดีโอมากขึ้น