เคล็ดลับความสำเร็จของ Phishing Attack และวิธีการป้องกันตัว

จะเห็นได้ว่าข่าวภัยคุกคามในปัจจุบันจำนวนมากได้เริ่มต้นจากการหลอกล่อผู้ใช้งานก่อนเป็นอันดับแรก วันนี้เราจึงขอสรุปวิธีการของ Phishing Attack ซึ่งเป็นการโจมตีที่ไม่มีเครื่องมือใดป้องกันได้ 100% นอกจากนี้ยังมีวิธีการป้องกันตัวให้ผู้อ่านได้เข้าใจและสามารถแนะนำคนรอบข้างได้

ผู้ร้ายได้ข้อมูลจากเหยื่อมาด้วยความเต็มใจ

เทคนิคที่ประสบความสำเร็จและได้รับความนิยมมากในการหลอกลวงคือการใช้ Spear Phishing โดยแฮ็กเกอร์มีข้อมูลของเหยื่อและทำการหลอกล่อบางอย่างเพื่อให้เหยื่อหลงเชื่อยอมให้ข้อมูลสำคัญเพิ่มเติม มีผลวิจัยพบว่าในรอบ 12 ปีที่ผ่านมาเทคนิคนี้ถูกใช้เพิ่มขึ้นถึง 5,753% นอกจากนี้เทคนิคอื่นๆ ที่สามารถได้รับข้อมูลของเหยื่อเช่น Pretexting หรือการสร้างสถานการณ์เพื่อให้เหยื่อหลงเช่น ปลอมตัวเป็นคนมาทำผลสำรวจ เจ้าหน้าที่จากสรรพากรหรืออื่นๆ วิธีการ Dumpster Diving หรือการหาข้อมูลเอกสารจากถังขยะของเหยื่อก็สามารถใช้ได้เช่นกัน

ผู้ร้ายเก็บข้อมูลลูกจ้างในองค์กรได้อย่างไร

ก่อนที่จะเจาะจงเหยื่อภายในองค์กรได้สักคนต้องมีข้อมูลเกี่ยวกับเหยื่อก่อน ดังนั้นวิธีการหาข้อมูลว่าใครทำงานในองค์กรดังกล่าวมีหลายวิธีดังนี้
  • Social Media เช่น Facebook หรือ LinkedIn และอื่นๆ โดยข้อมูลพื้นฐานที่จะได้คือ ที่ทำงานในอดีต การศึกษา ข้อมูลครอบครัว การคอมเม้นและลิ้งที่เข้าไป วันที่และเหตุการณ์สำคัญในชีวิต สิ่งที่ชอบ สถานที่ๆ เคยไป รูปภาพ และอื่นๆ นอกจากนี้ยังมีข้อมูลอื่นที่ผู้ร้ายสามารถวิเคราะห์ได้เช่น การโพสต์ว่าเหยื่อน่าจะนอนหรืออยู่ในเวลาไหน สถานการณ์ของความสัมพันธ์ แนวความคิด หรือเป็นคนอย่างไรเพื่อหาเทคนิคหลอกล่อต่อไป
  • Search Engine มีฐานข้อมูลในการค้นหาคนอย่างเช่น Pipl, Spoken และ ZabaSearch โดยไซต์เหล่านี้ได้รวบรวมโปรไฟล์ของคนจากหลายๆ แหล่งเอาไว้

ดังนั้นบทเรียนที่เกิดขึ้นคือคิดให้ดีก่อนที่จะกลายเป็นอาสาสมัครยกข้อมูลให้ไซต์เหล่านี้ไป

ช่องทางอื่นที่ผู้ร้ายจะได้รับข้อมูลของลูกจ้างหรือองค์กรมีดังนี้

  • การค้นหาข้อมูลที่รั่วไหลออกมาเอง เช่น การตั้งค่า DNS Servers, Self-signed Certificates, Email Header, Web Server, Web Cookies วิธีการเหล่านี้จะใช้ความสามารถเชิงเทคนิคลงไปเช่น การดูค่าที่ได้รับกลับมาจากการเรียกเว็บไซต์ หรือเรียกอีเมลโปรโตคอล โดยอาจจะมีเครื่องมือช่วยหรือใส่คำสั่งเองก็ได้
  • การเปิดเผยแพลต์ฟอร์มของแอปพลิเคชัน เช่น อาจจะใช้ไลบรารี่หรือ Frameworks ที่มีช่องโหว่ ซึ่งมีเครื่องมือที่จะช่วยให้แฮ็กเกอร์สามารถค้นหาสิ่งเหล่านี้ได้ว่าแอปพลิเคชันหรือเว็บไซต์มีโครงสร้างอย่างไร

จุดประสงค์ของคนร้ายคืออะไร

  • คนร้ายต้องการหาตัวเหยื่อที่มีบทบาทสำคัญในองค์กรที่สามารถเข้าถึงข้อมูลได้เพื่อแฮ็กเหยื่อต่อไป หากไม่สามารถเข้าทางตรงได้แฮ็กเกอร์ก็อาจจะเข้าทางคู่ค้าที่ได้รับการเชื่อถือ หรือบริษัทสินค้าที่มีส่วนร่วมทางธุรกิจ
  • เจาะระบบโดยแฮ็กเกอร์อาจจะใช้มัลแวร์เข้าไปขโมยข้อมูลโดยหลอกเหยื่อให้ติดตั้ง แฮ็กเกอร์อาจจะต้องดัดแปลงมัลแวร์ดังกล่าวให้เข้ากับองค์กรเป้าหมายโดยใช้ข้อมูลที่ศึกษามา หรืออาจจะเจาะเข้าทางซอฟต์แวร์ที่มีช่องโหว่

ป้องกันอย่างไร

  • ให้ความรู้พนักงานในองค์กรเพื่อตระหนักถึงความมั่งคงปลอดภัย (Security Awareness) โดยเห็นความสำคัญของการแชร์ข้อมูลส่วนตัวเพื่อระมัดระวังตัวเองและทราบถึงรูปแบบการโจมตีที่อาจจะเกิดขึ้นกับตน รู้จักรายงานอีเมลต้องสงสัยและปรึกษาทีมไอทีก่อนที่จะติดตั้งซอฟต์แวร์จากภายนอกหรือการให้ Credential ต่างๆ กับใคร
  • ทีมความมั่นคงปลอดภัยควรจะหมั่นค้นหาภัยคุกคามในองค์กรหรือแม้กระทั่งจ้างนักทดสอบระบบ เพื่อช่วยให้ได้รับข้อมูลว่าใครคือคนก่อเหตุและรู้จุดอ่อนของตน
  • ปิดการรั่วไหลของข้อมูลที่อาจจะค้นหาได้ทางอินเทอร์เน็ตซึ่งมีการแนะนำไว้อยู่แล้วถึงวิธีการ รวมถึงโดเมนและ IP ที่ลงทะเบียนไว้ก็ควรตั้งค่าชื่อให้ไม่บอกข้อมูลเกินจำเป็นมากนัก IT หลายคนก็มีการทำกระบวนการเหล่านี้เพียงแต่ไม่เคยตรวจสอบ
  • นอกจากนี้สามารถติดตามวิธีการลดการเผยข้อมูลออนไลน์ได้ตามเว็บไซต์นี้ 

ที่มา : https://f5.com/labs/articles/threat-intelligence/identity-threats/phishing-the-secret-of-its-success-and-what-you-can-do-to-stop-it



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แจกฟรี Ebook ‘Effective DevOps’

Azure ได้มีการแจกหนังสือฟรีที่ชื่อ Effective DevOps สำหรับผู้สนใจสามารถลงทะเบียนดาวน์โหลดกันได้เลยครับ

DCS เปิดคอร์สสอน RPA พื้นฐานด้วย UiPath หัดสร้าง Bot พร้อมใช้งานได้ใน 1 วัน 12 ก.พ. 2020

DCS และ TechTalkThai ขอเชิญทุกท่านที่สนใจประยุกต์นำเทคโนโลยี Robotic Process Automation หรือ RPA ไปปรับใช้ในธุรกิจของตนเอง เข้าเรียนคอร์ส "UiPath Robotic Process Automation with Datapro Computer Systems" เพื่อเรียนรู้แนวคิดด้าน RPA ทั้งในเชิงทฤษฎี, สร้าง Bot ของตนเองในภาคปฏิบัติด้วยการใช้ระบบจาก UiPath พร้อมถ่ายทอดประสบการณ์การประยุกต์นำ Bot ไปใช้งานในภาคส่วนต่างๆ ของธุรกิจ และเปิดให้สอบถามหรือปรึกษาในประเด็นต่างๆ ได้อย่างอิสระ ในวันที่ 12 กุมภาพันธ์ 2020 โดยมีรายละเอียด กำหนดการ และวิธีการสมัครเรียนดังนี้