TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
จะเห็นได้ว่าข่าวภัยคุกคามในปัจจุบันจำนวนมากได้เริ่มต้นจากการหลอกล่อผู้ใช้งานก่อนเป็นอันดับแรก วันนี้เราจึงขอสรุปวิธีการของ Phishing Attack ซึ่งเป็นการโจมตีที่ไม่มีเครื่องมือใดป้องกันได้ 100% นอกจากนี้ยังมีวิธีการป้องกันตัวให้ผู้อ่านได้เข้าใจและสามารถแนะนำคนรอบข้างได้
ผู้ร้ายได้ข้อมูลจากเหยื่อมาด้วยความเต็มใจ
เทคนิคที่ประสบความสำเร็จและได้รับความนิยมมากในการหลอกลวงคือการใช้ Spear Phishing โดยแฮ็กเกอร์มีข้อมูลของเหยื่อและทำการหลอกล่อบางอย่างเพื่อให้เหยื่อหลงเชื่อยอมให้ข้อมูลสำคัญเพิ่มเติม มีผลวิจัยพบว่าในรอบ 12 ปีที่ผ่านมาเทคนิคนี้ถูกใช้เพิ่มขึ้นถึง 5,753% นอกจากนี้เทคนิคอื่นๆ ที่สามารถได้รับข้อมูลของเหยื่อเช่น Pretexting หรือการสร้างสถานการณ์เพื่อให้เหยื่อหลงเช่น ปลอมตัวเป็นคนมาทำผลสำรวจ เจ้าหน้าที่จากสรรพากรหรืออื่นๆ วิธีการ Dumpster Diving หรือการหาข้อมูลเอกสารจากถังขยะของเหยื่อก็สามารถใช้ได้เช่นกัน
ผู้ร้ายเก็บข้อมูลลูกจ้างในองค์กรได้อย่างไร
- Social Media เช่น Facebook หรือ LinkedIn และอื่นๆ โดยข้อมูลพื้นฐานที่จะได้คือ ที่ทำงานในอดีต การศึกษา ข้อมูลครอบครัว การคอมเม้นและลิ้งที่เข้าไป วันที่และเหตุการณ์สำคัญในชีวิต สิ่งที่ชอบ สถานที่ๆ เคยไป รูปภาพ และอื่นๆ นอกจากนี้ยังมีข้อมูลอื่นที่ผู้ร้ายสามารถวิเคราะห์ได้เช่น การโพสต์ว่าเหยื่อน่าจะนอนหรืออยู่ในเวลาไหน สถานการณ์ของความสัมพันธ์ แนวความคิด หรือเป็นคนอย่างไรเพื่อหาเทคนิคหลอกล่อต่อไป
- Search Engine มีฐานข้อมูลในการค้นหาคนอย่างเช่น Pipl, Spoken และ ZabaSearch โดยไซต์เหล่านี้ได้รวบรวมโปรไฟล์ของคนจากหลายๆ แหล่งเอาไว้
ดังนั้นบทเรียนที่เกิดขึ้นคือคิดให้ดีก่อนที่จะกลายเป็นอาสาสมัครยกข้อมูลให้ไซต์เหล่านี้ไป
ช่องทางอื่นที่ผู้ร้ายจะได้รับข้อมูลของลูกจ้างหรือองค์กรมีดังนี้
- การค้นหาข้อมูลที่รั่วไหลออกมาเอง เช่น การตั้งค่า DNS Servers, Self-signed Certificates, Email Header, Web Server, Web Cookies วิธีการเหล่านี้จะใช้ความสามารถเชิงเทคนิคลงไปเช่น การดูค่าที่ได้รับกลับมาจากการเรียกเว็บไซต์ หรือเรียกอีเมลโปรโตคอล โดยอาจจะมีเครื่องมือช่วยหรือใส่คำสั่งเองก็ได้
- การเปิดเผยแพลต์ฟอร์มของแอปพลิเคชัน เช่น อาจจะใช้ไลบรารี่หรือ Frameworks ที่มีช่องโหว่ ซึ่งมีเครื่องมือที่จะช่วยให้แฮ็กเกอร์สามารถค้นหาสิ่งเหล่านี้ได้ว่าแอปพลิเคชันหรือเว็บไซต์มีโครงสร้างอย่างไร
จุดประสงค์ของคนร้ายคืออะไร
- คนร้ายต้องการหาตัวเหยื่อที่มีบทบาทสำคัญในองค์กรที่สามารถเข้าถึงข้อมูลได้เพื่อแฮ็กเหยื่อต่อไป หากไม่สามารถเข้าทางตรงได้แฮ็กเกอร์ก็อาจจะเข้าทางคู่ค้าที่ได้รับการเชื่อถือ หรือบริษัทสินค้าที่มีส่วนร่วมทางธุรกิจ
- เจาะระบบโดยแฮ็กเกอร์อาจจะใช้มัลแวร์เข้าไปขโมยข้อมูลโดยหลอกเหยื่อให้ติดตั้ง แฮ็กเกอร์อาจจะต้องดัดแปลงมัลแวร์ดังกล่าวให้เข้ากับองค์กรเป้าหมายโดยใช้ข้อมูลที่ศึกษามา หรืออาจจะเจาะเข้าทางซอฟต์แวร์ที่มีช่องโหว่
ป้องกันอย่างไร
- ให้ความรู้พนักงานในองค์กรเพื่อตระหนักถึงความมั่งคงปลอดภัย (Security Awareness) โดยเห็นความสำคัญของการแชร์ข้อมูลส่วนตัวเพื่อระมัดระวังตัวเองและทราบถึงรูปแบบการโจมตีที่อาจจะเกิดขึ้นกับตน รู้จักรายงานอีเมลต้องสงสัยและปรึกษาทีมไอทีก่อนที่จะติดตั้งซอฟต์แวร์จากภายนอกหรือการให้ Credential ต่างๆ กับใคร
- ทีมความมั่นคงปลอดภัยควรจะหมั่นค้นหาภัยคุกคามในองค์กรหรือแม้กระทั่งจ้างนักทดสอบระบบ เพื่อช่วยให้ได้รับข้อมูลว่าใครคือคนก่อเหตุและรู้จุดอ่อนของตน
- ปิดการรั่วไหลของข้อมูลที่อาจจะค้นหาได้ทางอินเทอร์เน็ตซึ่งมีการแนะนำไว้อยู่แล้วถึงวิธีการ รวมถึงโดเมนและ IP ที่ลงทะเบียนไว้ก็ควรตั้งค่าชื่อให้ไม่บอกข้อมูลเกินจำเป็นมากนัก IT หลายคนก็มีการทำกระบวนการเหล่านี้เพียงแต่ไม่เคยตรวจสอบ
- นอกจากนี้สามารถติดตามวิธีการลดการเผยข้อมูลออนไลน์ได้ตามเว็บไซต์นี้
