CEO Blog

‘Phishing’ เทคนิคใหม่ แนบลิงก์ใน ‘PDF’

By นักรบ เนียมนามธรรม25 ส.ค. 2021 เวลา 8:15 น.
‘Phishing’ เทคนิคใหม่ แนบลิงก์ใน ‘PDF’

ผู้ให้บริการแชร์ไฟล์หลายรายตกเป็นเครื่องมือในการโจมตีของแฮกเกอร์

ตราบใดที่แฮกเกอร์ยังสรรหาวิธีการใหม่ๆ ที่แนบเนียนกว่าเดิมมาหลอกลวงให้ผู้ใช้งานอย่างเราตกเป็นเหยื่อ เราเองก็ต้องแสวงหาความรู้เพิ่มเติมเพื่อรับมือกับทุกเทคนิคที่แฮกเกอร์ใช้หลอกลวงให้ได้ครับ

ล่าสุดนักวิจัยพบว่า แฮกเกอร์เปลี่ยนจากการปลอมอีเมลเป็นผู้อื่นและส่งมาหลอกให้เหยื่อคลิกลิงก์ในอีเมล มาเป็นการใช้อีเมลมาลงทะเบียนใช้งานฟรีอย่างถูกต้องกับผู้ให้บริการเซ็นเอกสารแบบดิจิทัลผ่านคลาวด์อย่าง DocuSign และส่งไปหลอกผู้รับอีเมลให้คลิกลิงก์อันตรายที่อยู่ในเอกสารแทน

เทคนิคการหลอกลวงนี้อาจเป็นเรื่องใหม่สำหรับองค์กร ซึ่ง IRONSCALES ผู้พัฒนาและให้บริการแพลตฟอร์มทางด้าน Email Security กล่าวว่า นี่ไม่ใช่เรื่องใหม่ พวกเขาพบการโจมตีเช่นนี้มาจำนวนมาก 

จนเรียกได้ว่าเป็นเรื่องปกติที่แฮกเกอร์ใช้บัญชีที่ลงทะเบียนอย่างถูกต้องมาโจมตีแบบ Phishing ซึ่งเทคนิคนี้ทำให้การโจมตีมีประสิทธิภาพสูงมากทีเดียว จึงทำให้ผู้ให้บริการแชร์ไฟล์หลายรายตกเป็นเครื่องมือในการโจมตีของแฮกเกอร์

วิธีการที่แฮกเกอร์ใช้โจมตีผ่าน DocuSign คือ ผู้ที่มีแนวโน้มจะตกเป็นเหยื่อจะได้รับคำเชิญให้คลิกลิงก์เพื่อดูเอกสารในเว็บเบราว์เซอร์ของพวกเขา เพื่อลงชื่อในเอกสารนั้น 

โดยปกติแล้ว DocuSign จะแปลงไฟล์เอกสารเป็น .pdf เพื่อป้องกันไม่ให้ผู้ใช้งานพลาดไปโดนมัลแวร์มาโคร (Malware Macro) ที่มักจะแอบแฝงมาอยู่ในไฟล์เอกสารต่างๆ ที่แนบมา

อย่างไรก็ตามไฟล์ PDF เหล่านี้ยังคงมี Hypertext ที่ใช้แนบลิงก์มาได้ ซึ่งก็ไม่ใช่เรื่องแปลกที่ในเอกสาร PDF โดยเฉพาะที่เกี่ยวกับสัญญาหรือเอกสารที่ต้องมีการเซ็นกลับจะมีการแนบลิงก์มาด้วย ซึ่งลิงก์อันตรายนั้นอาจส่งเอกสารที่เป็นอันตราย หรือนำผู้ใช้ไปยังหน้า Phishing อื่นๆ

แฮกเกอร์ยังสามารถซ่อนคุณลักษณะที่แท้จริงของลิงก์และดาวน์โหลดไฟล์ที่เป็นอันตรายผ่านเทคนิคที่ซับซ้อน รวมถึงการใช้วิทยาการอำพรางข้อมูล (Steganography) ซึ่งก็คือการซ่อนข้อมูลในสื่อทั่วๆ ไป 

โดยอาจใช้เทคนิคนี้ปลอมนามสกุลไฟล์ และทำให้ดูเหมือนไฟล์ประเภทที่ DocuSign รองรับและยอมรับเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่ออกแบบมาเพื่อป้องกันไฟล์แนบที่เป็นอันตรายไม่ให้มาอยู่บนเซิร์ฟเวอร์ ทำให้ลิงก์อันตรายนั้นยังโฮสต์อยู่บนเซิร์ฟเวอร์ของ DocuSign ได้

ในกรณีนี้ IRONSCALES ให้คำแนะนำว่า หากเพื่อนร่วมงาน หรือใครก็ตามส่งลิงก์หรือแชร์ไฟล์มาให้และคิดว่าน่าสงสัย ให้โทรไปยืนยันทางโทรศัพท์หรือสอบถามด้วยตนเองว่า พวกเขาเป็นผู้ส่งจริงๆ หรือไม่

นอกจากนี้ ยังมีอีกวิธีคือวางเคอร์เซอร์บนลิงก์เพื่อดูที่อยู่ที่ลิงก์จะไป หากดูเหมือนลิงก์ที่ไม่คุ้นเคย หรือเมื่อลองวางเคอร์เซอร์เหนือชื่อผู้ส่งอีเมลและพบว่าอีเมลดังกล่าวไม่ตรงกับอีเมลจริงของผู้ส่ง ให้รายงานอีเมลนั้นไปยังทีมรักษาความปลอดภัยของบริษัททันที

หากพนักงานตกเป็นเหยื่อจนสูญเสียข้อมูลที่รวมถึงข้อมูลส่วนบุคคล องค์กรเองก็มีความเสี่ยงที่จะถูกโจมตีจากการใช้ข้อมูลของพนักงานที่ถูกขโมยไปได้ครับ ดังนั้นนี่เป็นเรื่องที่องค์กรควรหมั่นเพิ่มเติมความรู้ให้แก่พนักงานอยู่เสมอ เพื่อให้ก้าวทันและหลบหลีกภัยไซเบอร์ได้ทุกรูปแบบครับ