TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อสัปดาห์ก่อนทาง SANS ได้ออกมาเปิดเผยว่ามีพนักงานภายในตกเป็นเหยื่อของ Phishing ซึ่งล่าสุดได้มีการเปิดเผยรายละเอียดทางเทคนิคว่าหน้าตา Phishing เป็นยังไง และมีพฤติกรรมอะไรบ้าง
สำหรับใครที่ไม่ได้ติดตามข่าวนี้ต้องย้อนกลับไปก่อนว่าเมื่อไม่นานมานี้มีพนักงานภายในของ SANS หรือสถาบันจัดอบรมและเปิดสอบ Certificate ด้าน Cybersecurity ได้ตกเป็นเหยื่อของ Phishing ทำให้คนร้ายสามารถ Forward Email 513 ฉบับออกไป ซึ่งกระทบกับข้อมูลสำคัญของสมาชิกกว่า 28,000 รายการ โดย ณ เวลานั้น SANS สัญญาว่าหากมีรายละเอียดเพิ่มเติมจะออกมาเปิดเผยให้เป็นกรณีศึกษาแก่สังคม
ต่อมามีการเปิดเผยรูปแบบของ Phishing ที่โดนแล้ว คือการอ้างตัวว่าส่งมาจากบริการ SharePoint ขององค์กร (หน้าตาตามด้านบน) ซึ่งมีการแชร์ไฟล์ที่ชื่อ ‘Copy of July Bonus 24JUL2020.xls’ พร้อมกับเสนอให้กดเปิด โดยเมื่อคลิกจะพาไปยัง URL “https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.]com/index.html,” ให้ใส่ Credentials ของ Office365 เมื่อเหยื่อหลงกลจะเข้าไปติดตั้ง OAuth Addon ที่ชื่อ ‘Enable4Excel’ และจะเข้าไปตั้ง Rule เพื่อ Forward อีเมลที่เกี่ยวข้องกับ Keyword เช่น agreement, bank, fund, transfer และอื่นๆ ออกไปที่ daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.’
สำหรับรายละเอียดทั้งหมดของ IoC ที่ SANS แชร์ออกมาสามารถศึกษาเพิ่มเติมได้ที่นี่ โดยอุทาหรณ์ของเรื่องคือไม่ว่าองค์กรจะแกร่งแค่ไหน ขอเพียงมีรอยรั่วนิดเดียวก็หายนะได้
