[Guest Post] สร้าง Awareness ด้วย Spear Phishing ของจริง

Spear Phishing Email เป็นภัยคุกคามที่รับมือได้ยากในปัจจุบัน เนื่องจาก Spear Phishing Email เป็นอีเมล์ที่มีเนื้อหาเฉพาะทางเกี่ยวข้องกับชีวิตการทำงาน หรือ ชีวิตประจำวันของเหยื่อที่ตกเป็นเป้าหมาย เช่น จดหมายให้ยืนยันตัวตนผู้ใช้งาน ข้อร้องเรียนจากลูกค้า ใบเสนอราคาจากบริษัทคู่ค้า โปรโมชั่นของสินค้าที่เหยื่อสนใจ เป็นต้น ทั้งหมดมีเป้าหมายเพื่อล่อลวงให้กดลิ๊งค์ ตอบกลับข้อมูลส่วนตัว หรือ เปิดไฟล์ที่แนบมากับอีเมล์ทำให้เครื่องของเหยื่อติดไวรัสหรือโดนขโมยข้อมูลออกไป

เนื่องจาก Spear Phishing Email มีความคล้ายคลึงกับอีเมล์ที่ใช้งานในชีวิตประจำวันมาก การตรวจจับโดยเครื่องมือบนระบบเครือข่ายทำได้ยาก การสร้าง Awareness ให้พนักงานแทบจะเป็นทางเดียวที่องค์กรสามารถทำได้เพื่อป้องกันภัยคุกคามนี้ SANS สถาบันที่มีชื่อเสียงด้านการวิจัยการรักษาความปลอดภัยของข้อมูล ได้แนะนำไว้ในงาน RSA Conference ให้องค์กรสร้าง awareness ให้กับพนักงาน โดยการจัดทำ Spear Phishing จริงๆส่งให้กับพนักงาน ประโยชน์ที่จะได้รับคือ องค์กรจะสามารถวิเคราะห์ได้ว่า พนักงานกลุ่มใดมีความเสี่ยงที่จะถูกล่อลวงสูงสุด และ พนักงานมีการตอบสนองเมื่อเจออีเมล์ประเภทนี้อย่างไร เช่น บางคนอาจจะลบอีเมล์ดังกล่าว แต่บางคนอาจจะส่งต่อไปให้เพื่อนเป็นต้น

ข้อแนะนำในการจัดทำ Spear Phishing Awareness

1. เนื่องจากการจัดทำต้องคลอบคลุมพนักงานที่มีอีเมล์ทุกคนขององค์กร นั่นหมายถึง พนักงานเกือบทุกระดับคือกลุ่มเป้าหมาย ดังนั้นการขออนุมัติโครงการควรผ่านผู้บริหารระดับสูงสุด และควรส่งอีเมล์ให้พนักงานให้มากที่สุดเท่าที่จะทำได้ต่อการส่งอีเมล์หนึ่งครั้ง เพราะหากส่งได้ไม่ครบ พนักงานที่ได้รับอีเมล์กลุ่มแรกจะส่งข่าวต่อๆกันไปทำให้พนักงานที่ยังไม่ได้รับอีเมล์ระวังอีเมล์ฉบับนี้ ทำให้ผลการทดสอบไม่แม่นยำ
2. จำกัดผู้เกี่ยวข้องกับโครงการให้มีเท่าที่จำเป็น เพื่อให้ผลการทดสอบมีความแม่นยำสามารถสะท้อน Awareness จริงๆของพนักงานได้ โดยทีมงานอาจจะมีแค่ผู้บริหารระดับสูง ผู้บริหารของ IT ทีมระบบ และ ผู้บริหารของฝ่ายบุคคล
3. จัดทำทุกเดือนหรือทุกไตรมาส แต่จากประสบการณ์ของผู้เขียนเคยจัดสูงสุดปีละสองครั้ง พบว่า ผลที่ได้จากครั้งที่สองดีกว่าครั้งแรกค่อนข้างมาก ซึ่งแสดงว่า พนักงานมีระดับของ Awareness ที่สูงขึ้นมากจากที่ได้รับ Spear Phishing ครั้งแรก จึงให้ขอสังเกตุว่า ไม่จำเป็นต้องจัดทำบ่อยเกินไป
4. การส่ง Spear Phishing email สามารถใช้อีเมล์จากภายนอก เช่น yahoo, gmail, Hotmail ส่งเข้ามาหรือใช้บริการจาก Outsource ก็ได้ แต่ส่วนตัวของผู้เขียนไม่อยากเปิดเผยอีเมล์ทั้งหมดขององค์กรให้บุคคลภายนอกรับทราบ จึงสร้างโดเมนปลอมๆขึ้นบน DNS ขององค์กรแล้วใช้ Email Server ขององค์กรก็สามารถส่งได้เช่นกัน
5. กำหนดเนื้อหาให้มีความเหมาะสมไม่ให้ดูออกว่าเป็น Spear Phishing ยากหรือง่ายเกินไป (หลักการเดียวกับการออกข้อสอบ ข้อสอบที่ง่ายหรือยากเกินไปไม่สามารถวัดระดับความรู้ของกลุ่มผู้เรียนได้อย่างชัดเจน) โดยเมื่อพนักงานตกเป็นเหยื่อและกดลิงค์ พนักงานควรจะพบหน้าเว็บไซต์ที่มีคำอธิบายการทดสอบที่กำลังดำเนินอยู่ ว่าเขาตกเป็นเหยื่อของ Spear Phishing ซึ่งอาจจะเป็นภัยคุกคามต่อข้อมูลหรือระบบขององค์กร (รวมถึงข้อมูลของตัวพนักงานเอง) และแสดงข้อแนะนำที่จะช่วยให้พนักงานไม่ตกเป็นเหยื่ออีก เช่น ให้ดูต้นทางที่ส่งอีเมล์ว่า มีความน่าเชื่อถือหรือไม่ และ ไม่ควรส่งต่ออีเมล์นี้ไปให้คนอื่น แต่ควรแจ้งหน่วยงานไอที เป็นต้น
6. บันทึกจำนวนพนักงานที่เข้ามาหน้าเว็บไซต์เนื่องจากการกดลิ๊งค์ของ Spear Phishing ซึ่งผู้เขียนใช้วิธีเขียนโปรแกรมให้หน้าเว็บรับข้อมูลของพนักงานที่ตกเป็นเหยื่อแบบรายคนไว้ด้วย
7. มอบรางวัลให้พนักงานที่ไม่กดลิ๊งค์ใน Spear Phishing Email และส่งข้อมูลรายงานหน่วยงานที่เกี่ยวข้องอย่างถูกต้องตามระเบียบของบริษัท

สิงหนึ่งที่ SAN ไม่ได้บอกไว้ คือ การจัดทำ Spear Phishing Email จะมีการตอบสนองจากพนักงานกลุ่มหนึ่งที่รู้สึกว่าตัวเองโดนหลอก หรือ เกิดความกังวลว่า บริษัทจะนำผลการทดสอบไปเป็นตัวชี้วัดใดๆ การตอบสนองอาจจะมาในรูปแบบหลายๆอย่างที่คาดไม่ถึง เช่น การอีเมล์หรือโทรศัพท์เข้ามาต่อว่า การขอความเห็นใจให้ลบข้อมูลที่บันทึกว่าพนักงานได้ตกเป็นเหยื่อ หรือแม้กระทั่งการพยายามรบกวนระบบที่เกี่ยวข้องกับการทดสอบ ซึ่งผู้เขียนแนะนำให้มีการชี้แจงข้อดีจากการทดสอบถึงพนักงานเหล่านั้นอย่างสุภาพ และสร้างเข้าใจว่า ขั้นตอนการดำเนินการทั้งหมดเป็นวิธีมาตรฐาน (Security Best Practice) รวมถึงใช้การชี้แจงผ่านผู้บริหารระดับสูงขององค์กร ทั้งหมดเพื่อยกระดับ Awareness ของพนักงานทุกคนและช่วยปกป้องข้อมูลที่มีความสำคัญทั้งของพนักงานเองและธุรกิจที่ดำเนินอยู่

บทความโดย Thanapon B., IT Sec ณ องค์กร Financial Institute แห่งหนึ่งในประเทศไทย