แคมเปญ ‘Phishing email’ โจมตีองค์กรนับหมื่นแห่ง
อีเมลอาจจะไม่ใช่คำตอบของการยืนยันตัวตนอีกต่อไป ผู้โจมตีกำลังหาวิธีใหม่ในการหลีกเลี่ยงมาตรการรักษาความปลอด
ไมโครซอฟท์เปิดเผยว่า ขณะนี้มีธุรกิจประมาณ 10,000 แห่งถูกโจมตีในแคมเปญ Adversary-in-The-Middle หรือ AiTM ในช่วงหลายเดือนที่ผ่านมา
ทั้งนี้สามารถโจรกรรมเงินไปได้หลายล้านดอลลาร์ โดยมีการสรุปไดอะแกรมกระบวนการอย่างละเอียดและอธิบายว่า การโจมตี AiTM ที่ซับซ้อนมักจะสามารถเลี่ยงการยืนยันตัวตนโดยใช้หลายปัจจัย (Multi-Factor Authentication หรือ MFA) และจัดการกับเป้าหมายที่จะหลอกลวง
สำหรับแคมเปญใหญ่ของฟิชชิ่งที่ใช้เทคนิค AiTM เพื่อขโมยรหัสผ่าน โจรกรรมจากการลงชื่อเข้าใช้ของผู้ใช้ และข้ามกระบวนการตรวจสอบ แม้ว่าผู้ใช้จะเปิดใช้งานการรับรองความถูกต้องด้วยการยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)
ทว่าผู้โจมตียังสามารถใช้ข้อมูลประจำตัวที่ขโมย และคุกกี้เซสชั่น(session cookies) เพื่อเข้าถึงกล่องจดหมาย (mailboxes) ของผู้ใช้งานและดำเนินการติดตามไปยังแคมเปญการโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร (Business Email Compromise หรือ BEC) กับเป้าหมาย
วิธีการในแคมเปญฟิชชิ่ง AiTM ผู้โจมตีจะปรับใช้พร็อกซีเซิร์ฟเวอร์ระหว่างผู้ใช้งานที่เป็นกลุ่มเป้าหมายและเว็บไซต์ที่ผู้ใช้งานต้องการเข้าชมซึ่งการจัดการแบบนี้ช่วยให้ผู้โจมตีสามารถขโมยและสกัดกั้นรหัสผ่านของเป้าหมายและคุกกี้ของเซสชันที่เป็นขั้นตอนการยืนยันตัวตนผ่านเว็บไซต์ และเมื่อ AiTM ฟิชชิ่งขโมยเซสชันคุกกี้ แม้จะมีการยืนยันตัวตนโดยใช้หลายปัจจัย แต่ผู้โจมตีจะได้รับการตรวจสอบสิทธิ์ไปยังเซสชันในนามของผู้ใช้งานโดยไม่คำนึงถึงวิธีการลงชื่อเข้าใช้ที่ผู้ใช้งานใช้อยู่
ที่ผ่านมาการหลอกลวงแบบและโจมตีผ่านอีเมล หรือ Business Email Compromise (BEC) ทำให้เกิดความสูญเสียทางการเงินทั่วโลกมากกว่า 43,000 ล้านดอลลาร์ และมีการก่อเหตุมากกว่า 241,000 ครั้งในช่วงเดือนมิ.ย. 2559 ถึงธ.ค.2564
ตามรายงานของเอฟบีไอพบว่า มีรายละเอียดตามการยื่นฟ้องของสถาบันทางการเงินที่รายงานไปยังหน่วยงาน The Internet Crime Complaint Center หรือ IC3 ของ FBI และการโจรกรรมได้เพิ่มขึ้นประมาณ 65% ของการสูญเสียทางการเงินทั่วโลก จากการหลอกลวงดังกล่าวระหว่างเดือนก.ค. 2562 ถึงธ.ค. 2564
การเพิ่มขึ้นนี้ส่วนหนึ่งเป็นผลมาจากข้อจำกัดในการดำเนินธุรกิจตามปกติในช่วงการระบาดใหญ่ของโควิด-19 ซึ่งทำให้สถานที่ทำงานและพนักงานจำนวนมากมีการทำงานที่เปลี่ยนไป เป็นการทำงานแบบเสมือนจริงและทำผ่านระบบออนไลน์
ปัจจุบัน อุตสาหกรรมด้านการบริการทางการเงินมักจะเป็นเป้าหมายหลักสำหรับการโจมตีเหล่านี้ เช่น Tessian ระบบป้องกันความปลอดภัยของอีเมลได้มีการติดธงอีเมลที่เป็นอันตรายมากกว่า 2 ล้านฉบับในปีที่แล้ว และบริษัทการเงินก็เป็นอุตสาหกรรมที่มีการปลอมมากที่สุด
โดยผู้ใช้งานได้รับอีเมลที่เป็นอันตรายถึง 19% ของทั้งหมด และคิดเป็น 8 ใน 10 ของการแอบอ้างบุคคลอื่น แต่โดยทั่วไปแล้วผู้ให้บริการชำระเงินมีแนวโน้มที่จะจัดการความเสี่ยงประเภทนี้ได้อย่างมีประสิทธิภาพมากกว่าเมื่อเทียบกับองค์กรในตลาดอื่นๆ
ทว่าไม่มีการควบคุมใดที่สมบูรณ์แบบเพราะมักจะมีความเสี่ยงในระดับหนึ่งอยู่เสมอ ดังนั้นถึงเวลาที่ทุกองค์กรต้องมองหาและควรเริ่มหันมาใช้งานการยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) กันให้มากขึ้น
เพื่อป้องกันการโจรกรรมข้อมูลประจำตัว เพราะอีเมลอาจจะไม่ใช่คำตอบของการยืนยันตัวตนอีกต่อไป แต่น่าเสียดายที่ผู้โจมตีกำลังหาวิธีใหม่ในการหลีกเลี่ยงมาตรการรักษาความปลอดภัยนี้