CEO Blog

เป้าหมายต่อไป คือ ‘ผู้บริหาร’

By นักรบ เนียมนามธรรม11 พ.ค. 2020 เวลา 6:00 น.
เป้าหมายต่อไป คือ ‘ผู้บริหาร’

ยิ่งตำแหน่งสูงเท่าไหร่ยิ่งเสี่ยงตกเป็นเหยื่อ และยิ่งต้องเพิ่มพูนความรู้ให้เท่าทันภัยไซเบอร์

บุคคลที่เป็นระดับผู้บริหารขององค์กร จะมีความรู้เน้นหนักไปที่เรื่องการบริหาร จนอาจขาดความรู้ความเข้าใจในโลกไซเบอร์ ผู้บริหารบางท่าน จะมีเลขานุการช่วยอ่านอีเมล หากได้รับอีเมลที่เป็นอันตราย และส่งต่อให้ผู้อื่น ทั้งที่เป็นคนในองค์กรเดียวกัน หรือคู่ค้าก็อาจเกิดความเสี่ยงได้ เพราะผู้รับจะให้ความสำคัญ และเปิดอ่านพร้อมทำตามในอีเมลอย่างแน่นอน ทำให้ผู้บริหารเป็นกลุ่มเป้าหมายที่แฮกเกอร์ จ้องจะจู่โจมช่องโหว่หรือจุดอ่อน (Vulnerability) ขององค์กร จนเป็นที่มาของการใช้วิธีการที่เรียกว่า “วิศวกรรมสังคม (Social Engineering)” เป็นการหลอกล่อผู้ใช้งานในองค์กรให้หลงกล และเปิดจุดให้สามารถเข้ามาทำร้ายองค์กรได้ ซึ่งเหล่าผู้บริหารเองก็ตกเป็นเหยื่อได้เช่นเดียวกัน

ไม่กี่เดือนที่ผ่าน แฮกเกอร์หลายกลุ่มได้ร่วมกันขโมยข้อมูลบัญชีผู้ใช้อีเมล์จาก 156 บริษัทชั้นนำในประเทศต่างๆ อาทิ ประเทศเยอรมัน อังกฤษ เนเธอแลนด์ ฮ่องกง และสิงคโปร์ โดยเรียกโปรเจคนี้ว่า “PerSwaysion”เป็นโปรเจคใหม่ในการจู่โจมผลิตภัณฑ์ของไมโครซอฟท์อย่าง Microsoft File-sharing Services รวมไปถึง Sway, Sharepoint, และ OneNote ด้วยรูปแบบ Phishing Attacks

อ้างอิงจากรายงานของทีมผู้เชี่ยวชาญด้านภัยคุกคาม ผู้บริหารระดับสูงมากกว่า 150 บริษัททั่วโลกตกเป็นเหยื่อการจู่โจมของโปรเจค PerSwaysion โดยธุรกิจทางด้านการเงิน กฏหมาย และอสังหาริมทรัพย์เป็นกลุ่มธุรกิจหลักที่ถูกจู่โจม ทั้งนี้ เหยื่อส่วนมากเป็นพนักงานระดับสูงที่โดนขโมยบัญชีผู้ใช้ออฟฟิศ 365 เช่น ประธานกรรมการผู้บริหารบริษัท 

การจู่โจมของโปรเจค PerSwaysion ส่วนมากจะถูกควบคุมโดย Scammers จากไนจีเรียและแอฟริกาใต้ที่มีจุดประสงค์คือการพยายามขโมยยูสเซอร์เนม และพาสเวิร์ด ของผู้เข้าใช้งานไมโครซอฟท์ ออฟฟิศ 365 โดยเริ่มจากการส่งอีเมล์ที่แนบไฟล์พีดีเอฟ ที่มีลิงก์ว่า “Read Now” ไปหลอกเหยื่อ ซึ่งไฟล์นั้นจะถูกเก็บไว้ใน Microsoft Sway เพราะบริการแชร์ไฟล์บนคลาวด์ เช่น Microsoft Sway, SharePoint, และ OneNote จะสามารถหลีกเลี่ยงการตรวจจับได้มากกว่าการส่งข้อมูลแบบปกติ

เมื่อเหยื่อกดเข้าไปถึงหน้าเพจของ Microsoft Sway ก็จะเจอกับลิงก์ที่เขียนว่า “Read Now” อีกครั้ง ซึ่งเมื่อกดแล้วเหยื่อก็จะถูกนำไปยังหน้าเว็บไซต์ที่เป็นเว็บปลอม เพื่อหลอกให้กรอกข้อมูลอีเมล์และรหัสผ่านของบัญชีผู้ใช้นั้นๆลงไป เมื่อขโมยข้อมูลได้แล้วผู้จู่โจมจะทำการดาวน์โหลดข้อมูลของผู้ใช้งานผ่านทาง IMAP APIs และลอกเลียนแบบตัวตนของเหยื่อโดยดูจากการติดต่อกับบุคคลที่เหยื่อติดต่อด้วยล่าสุด 

หลังจากนั้นจึงสร้างไฟล์พีดีเอฟขึ้นมาใหม่ และส่ง ฟิชชิ่ง ไฟล์ นี้ไปในนามของเหยื่อ ซึ่งเหยื่อรายใหม่ที่ถูกเลือกนั้นส่วนมากจะเป็นเหยื่อที่อยู่คนละองค์กรกับเหยื่อรายเก่า เพื่อลดความเสี่ยงจากการคุยกันในองค์กรโดยตรง ซึ่งจะทำให้การจู่โจมล้มเหลวได้ รวมไปถึงเมื่อมีการส่งอีเมล์ไปแล้วก็จะทำการลบอีเมล์ที่ส่งออกไปทิ้ง เพื่อทำลายหลักฐานและปกปิดการจู่โจมจากเจ้าของบัญชีอีกด้วย

ยิ่งตำแหน่งสูงเท่าไหร่ยิ่งเสี่ยงตกเป็นเหยื่อ และยิ่งต้องเพิ่มพูนความรู้ให้เท่าทันภัยไซเบอร์ โดยเฉพาะการใช้วิธี โซเชียล เอ็นจิเนียริ่ง ที่นับวันจะยิ่งแยบยลมากกว่าเดิม หลายองค์กรจัดอบรมให้กับพนักงานบริษัท โดยอาจหลงลืมไปว่าผู้บริหารระดับสูงเองก็เป็นพนักงานคนหนึ่งและควรได้รับการฝึกอบรมด้วยเช่นกัน ผมหวังว่าหากผู้บริหารท่านใดที่เคยมองว่าการให้งบกับทางไอทีนั้นไม่สำคัญ บทความนี้จะทำให้ท่านตระหนักได้มากขึ้นครับ