TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หนึ่งในรูปแบบการโจมตีที่เกิดขึ้นมานานแล้วและยังไม่มีทีท่าว่าจะหยุดลงเลย นั่นก็คือการ Phishing Attack หรือการหลอกล่อเหยื่อผ่านทางช่องทางต่างๆ ไม่ว่าจะเป็นอีเมล โทรศัพท์ หรือข้อความ ทั้งนี้ก็เพื่อให้ได้มาซึ่งข้อมูลสำคัญ ความเลวร้ายไม่ได้จบลงเพียงแค่ข้อมูลเท่านั้น เพราะหากเราย้อนไปดูเหตุการณ์ที่องค์กรใหญ่ถูกแฮ็ก ส่วนมากขั้นตอนแรกคนร้ายมักเปิดเกมด้วยการหลอกล่อใครสักคนในองค์กรเพื่อนำไปสู่การเข้าสู่ระบบ อย่างไรก็ดีองค์กรสามารถปิดจุดอ่อนและลดโอกาสสำเร็จของการโจมตีได้ ผ่านการใช้เครื่องมือป้องกันที่มีประสิทธิภาพ ควบคู่กับการให้ความรู้แก่พนักงานอย่างสม่ำเสมอ จะได้ไม่ตกเป็นเหยื่อได้โดยง่ายเฉกเช่นเหตุการณ์ในอดีตตามหน้าข่าวเหมือนที่แล้วมา..
รูปแบบของการทำ Phishing นั้นเกิดขึ้นได้หลายช่องทาง หากผ่านมาทางอีเมลก็อาจหลอกล่อด้วยข้อความที่น่าสนใจให้ดาวน์โหลดไฟล์แนบ คลิกลิงก์ หรือให้ข้อมูลอะไรบางอย่าง ทั้งนี้ข้อมูลสำคัญส่วนใหญ่ที่คนร้ายต้องการคือ Credentials ในบริการต่างๆ เลขบัตรเครดิต ข้อมูลบัญชีธนาคาร ซึ่งเหยื่ออาจจะถูกขโมยตัวตนไปแฮ็กผู้อื่นหรือขโมยเงินจากบัญชีเหยื่อโดยตรง ทั้งนี้ Microsoft ได้จำแนกประเภทการโจมตีของ Phishing ไว้ดังนี้
1.) Mass market phishing – แคมเปญหว่านหลอกเหยื่อแบบไม่เจาะจง เน้นตลาดกว้างกับเหยื่อจำนวนมาก ทั้งนี้มักมาในรูปแบบของการส่งอีเมลที่มีเนื้อหาน่าสนใจ จูงใจให้เหยื่อกดลิงก์หรือดาวน์โหลดไฟล์แนบ
2.) Spear Phishing – คนร้ายได้หมายหัวเหยื่ออย่างเจาะจงแล้วเช่น HR หรือ Admin ขององค์กร โดยจะสร้างเนื้อหาหลอกล่อให้เข้ากับบริบทของตัวเหยื่อกระตุ้นความสนใจ เพื่อให้ได้รับการตอบสนองจากเหยื่อ
3.) Whaling – เป็นการโจมตีเหยื่อที่เป็นบุคคลสำคัญอย่าง CEO นักร้อง ดารา นักการเมือง เป็นต้น โดยข้อมูลเกี่ยวกับตัวเหยื่อมักเป็นสิ่งที่หาได้ทั่วไปในอินเทอร์เน็ตได้อยู่แล้ว
4.) Business Email Compromise (BEC) – คนร้ายได้เข้าแทรกแซงบัญชีของเหยื่อระดับสำคัญได้แล้วเช่น CEO จากนั้นก็ใช้ความน่าเชื่อถือของตัวเหยื่อไปหลอกให้เกิดความเสียหายต่อไป โดนอาจจะส่งเมลไปหลอกให้ฝ่ายบัญชีโอนเงินไปให้
5.) Clone Phishing – คนร้ายได้ลอบทำสำเนาอีเมลขึ้นมา แต่มีการแก้ไขลิงก์หรือไฟล์แนบ
6.) Vishing – ความพยายามหลอกลวงเหยื่อผ่านโทรศัพท์ โดยเหยื่อมักถูกหลอกให้โทรกลับ ขอ PIN หรือบอกหมายเลขบัญชี
อย่างที่กล่าวไปแล้วว่าคนร้าย Phishing ไม่เคยหยุดประดิษฐ์กลเม็ดใหม่ๆ ออกมาใช้ในการหลอกเหยื่อ ซึ่งเมื่อไม่นานมานี้ Microsoft ก็ได้พบกับรูปแบบการโจมตีใหม่ที่ได้รับแรงผลักดันจากการเปลี่ยนผ่านเข้าสู่การทำงานแบบรีโมต นั่นคือ ‘Consent Phishing’ สาเหตุสืบเนื่องจากองค์กรได้อาศัยการใช้แอปผ่านคลาวด์ด้วยมือถือในการทำงานมากขึ้น ดังนั้นไอเดียของ Consent Phishing คือหลอกให้เหยื่ออนุมัติสิทธิ์ให้แอปพลิเคชันอันตรายเข้าถึงแอปบนคลาวด์เหล่านั้น เพื่อเข้าถึงข้อมูลสำคัญต่อไป
Spear Phishing
อย่างที่กล่าวไปเบื้องต้นว่าการโจมตีชนิดนี้เป็นการกำหนดเป้าหมายเหยื่ออย่างชัดเจน โดยจะสร้างเนื้อหาหลอกล่อให้เข้ากับบริบทของตัวเหยื่อกระตุ้นความสนใจ เพื่อให้ได้รับการตอบสนองจากเหยื่อ อย่างกรณีตัวอย่างคือการหลอกล่อให้เหยื่อคลิกไปที่ลิงค์ที่มีมัลแวร์ติดตั้งอยู่ จากนั้นมัลแวร์ก็ทำการติดตั้งลงบนเครื่องเหยื่อ และเริ่มทำการโจมตีแบบที่มีความซับซ้อนหรือที่เรียกว่า APT (Advance Persistent Threat) ซึ่งการโจมตีแบบนี้มันจะทำการแฝงตัวอยู่ในระบบของเหยื่อเป็นระยะเวลานาน โดยแฮ็กเกอร์อาจจะทำการคืบคลานต่อเข้าไปในระบบอื่นๆ ที่สำคัญในองค์กรและทำการขโมยข้อมูลออกไปในที่สุด อีกกรณีตัวอย่างคือการที่ผู้ใช้งานไปคุยกับบุคคลภายนอกองค์กร และบุคคลภายนอกองค์กรนั้นถูกแฮ็กหรือถูกขโมยพาสเวิร์ด (compromise) ทำให้แฮ็กเกอร์สามารถเห็นถึงสิ่งที่เราคุยกับบุคคลภายนอกคนนั้นได้ จากนั้นแฮ็กเกอร์จะทำการปลอมตัวเป็นบุคคลภายนอกคนนั้น เพื่อทำการส่งอีเมลปลอมไปยังผู้ใช้งาน โดยที่ผู้ใช้งานไม่ทราบว่าคนที่ส่งอีเมลฉบับนั้นเป็นตัวปลอมหรือเป็นแฮ็กเกอร์ ซึ่งภายในอีเมลปลอมก็จะมีการหลอกให้กดลิงค์ที่เป็นอันตราย หรือส่งไฟล์แนบที่มีมัลแวร์เป็นต้น
Microsoft Defender for Office 365 สามารถช่วยดูแล ป้องกัน และแก้ไขหลังโจมตี Phishing ได้อย่างไร
การมีเครื่องมือป้องกันที่ดีจะช่วยให้องค์กรสามารถบริหารจัดการ ล้อมกรอบการป้องกัน และที่สำคัญคือต้องเป็นเครื่องมือที่สามารถมองภาพรวมทั้งองค์กรไปจนถึง Endpoint, Identity และ Cloud Application ได้ ทั้งนี้บริการ Microsoft 365 Defender for Office 365 จึงเป็นทางเลือกสำหรับผู้ใช้งาน Office 365 ที่ดีที่สุด เนื่องจากเครื่องมือนี้สามารถทำงานบูรณาการร่วมกับเครื่องมือป้องกันของ Microsoft อื่นได้ เช่น Microsoft Defender for Endpoint หรือเครื่องปลายทาง แม้กระทั่ง Integrate เข้ากับ Active Directory เพื่อให้ระบบสามารถทราบถึงตัวบุคคลนั้น
Microsoft Defender for Office 365 สามารถเพิ่มประสิทธิภาพในมองเห็น และวิเคราะห์การโจมตีแบบ Phishing ได้ดังนี้
1.) Threat Protection Policy
องค์กรสามารถกำหนดนโยบายการป้องกันได้ตามความต้องการเช่น ให้ตรวจสอบเอกสารแนบ หรือลิงค์แนบในอีเมลก่อนที่จะส่งไปยังผู้ใช้งานทุกครั้ง
2.) Automate Investigation and response
คงเป็นเรื่องยุ่งยากหากทีม Security ขององค์กรต้องคอยมาตามแก้ไขเหตุการณ์แจ้งเตือนต่างๆด้วยตัวเองทุกครั้ง ซึ่งฟีเจอร์นี้จะช่วยลดภาระทีม Security ที่จะต้องมาใช้เวลาในการจำแนกประเภทของ Alert ที่เกิดขึ้น และสรุปออกมาเป็น Incident และทีมยังสามารถกำหนดวิธีการจัดการกับ Incident นั้นๆ ได้แบบอัตโนมัติ
3.) Report
สามารถจัดทำรายงานได้หลากหลายครอบคลุมต่อข้อบังคับขององค์กรโดยพื้นฐานเช่น พบเจอไฟล์อะไรบ้างในการใช้งานขององค์กร สถานะการป้องกันเป็นอย่างไร นอกจากนี้ยังมี Dashboard ที่ช่วยอัปเดตสถานการณ์ภาพรวมขององค์กรได้แบบเรียลไทม์
ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่ https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/office-365-atp?view=o365-worldwide#configure-microsoft-defender-for-office-365-policies
อีกหนึ่งปัจจัยสำคัญที่องค์กรต้องทำและปฏิบัติอย่างสม่ำเสมอควบคู่กัน นั่นคือการให้ความรู้พนักงาน และจำลองการโจมตีอย่างสม่ำเสมอ เพื่ออัปเดตให้เท่าทันต่อกลยุทธ์ใหม่ รวมถึงให้องค์กรประเมินได้ว่าพนักงานส่วนไหนที่ยังเป็นจุดอ่อน เพราะสุดท้ายแล้วแม้เครื่องมือดีเพียงใด แต่สิ่งที่เปลี่ยนได้ยากก็คือคนอยู่ดี
‘Attack Simulation’ เป็นฟีเจอร์ในเครื่องมือ Microsoft Defender for Office365 ที่จะช่วยให้องค์กรจำลองการโจมตีกับพนักงานได้ โดยอ้างอิงกับกลยุทธ์ Phishing ตาม MITRE ATT&CK คือ
- Credential harvest – หลอกให้เปิดเผย Credentials
- Malware attach – หลอกให้เปิดไฟล์แนบที่เป็นมัลแวร์
- Link to malware – หลอกให้กดลิงก์ไปยังอันตรายที่รออยู่ปลายทาง
- Link in attach – ใส่ลิงก์ในไฟล์แนบเพื่อลอบขโมย Credential
ความพิเศษของ Attack Simulation คือองค์กรจะสามารถปรับแต่งรูปแบบของข้อความที่ต้องการส่งออกไปทดสอบ ให้ตรงกับบริบทของการโจมตีที่เคยเกิดหรือมีแนวโน้มว่าอาจเกิดขึ้นกับองค์กรนั้น นอกจากนี้ยังสามารถเลือกส่งออกแบบรายบุคคลหรือแบบกลุ่มก็ได้ ไม่เพียงเท่านั้นเครื่องมือยังสามารถแสดงรายงานผลสำเร็จที่เกิดขึ้นและติดตามการทดสอบว่าพนักงานมีพัฒนาการและการตอบสนองเป็นอย่างไร
