IT & gadget

อีคอมเมิร์ซแอป เป้าหมายใหม่ การโจมตีทางไซเบอร์ (จบ)

By นักรบ เนียมนามธรรม11 ก.ย. 2023 เวลา 23:42 น.
อีคอมเมิร์ซแอป เป้าหมายใหม่ การโจมตีทางไซเบอร์ (จบ)

ตามต่อจากสัปดาห์ที่แล้ว เรื่องการโจมตีทางไซเบอร์บน “แอปพลิเคชันอีคอมเมิร์ซ” ที่ตกเป็นเป้าหมายใหม่ของการคุกคามและเคสตัวอย่างของการโจมตีแพลตฟอร์มอีคอมเมิร์ซของฮอนด้า บวกกับการชี้ให้เห็นถึงความสำคัญของการทดสอบความปลอดภัยบนแอปพลิเคชันอีคอมเมิร์ซ

สำหรับในวันนี้ผมจะขอเจาะลึกเรื่องภัยคุกคามทางไซเบอร์ การทดสอบและวิธีการประเมินช่องโหว่ของแอปพลิเคชั่นอีคอมเมิร์ซกันนะครับ

ภัยคุกคามทางไซเบอร์สำหรับแอปพลิเคชันอีคอมเมิร์ซมีหลากหลายรูปแบบ อย่างเช่น ฟิชชิ่ง (Phishing) เป็นการโจมตีที่หลอกล่อให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์หรือแอปพลิเคชันที่เป็นอันตราย 

โดยการส่งอีเมลหรือข้อความที่ทำให้ดูเหมือนส่งจากแหล่งที่เชื่อถือได้ เช่น ธนาคารหรือเพื่อนร่วมงาน เมื่อเหยื่อเข้าสู่เว็บไซต์ที่เป็นอันตรายและทำการป้อนข้อมูลส่วนบุคคล เช่น รหัสผ่านหรือหมายเลขบัญชี เป็นต้น แล้วแฮกเกอร์จึงเริ่มขั้นตอนการโจรกรรมข้อมูลต่างๆ และบันทึกเก็บไว้เพื่อเรียกค่าไถ่ต่อไป

มัลแวร์-แรนซัมแวร์ (Malware/ Ransomware) มัลแวร์จะเป็นตัวที่ก่อให้เกิดกิจกรรมต่างๆ ที่เป็นอันตรายขึ้นภายในระบบในหลากหลายรูปแบบ เช่น การล็อคผู้ใช้งานออกจากบัญชีของตน สำหรับการแรนซัมแวร์นั้น แฮกเกอร์จะนำข้อมูลที่แฮกได้มาเรียกค่าไถ่จากเหยื่อเพื่อแลกเปลี่ยนกับการเข้าถึงบัญชีและระบบของเหยื่ออีกครั้ง

E-Skimming การขโมยรายละเอียดบัตรเครดิตและข้อมูลส่วนบุคคลจากหน้าประมวลผลการชำระเงินบนเว็บไซต์อีคอมเมิร์ซ ซึ่งสามารถทำได้ผ่านการโจมตีแบบฟิชชิ่ง, Brute Force, XSS หรืออาจมาจากเว็บไซต์อื่นที่บุกรุกเข้ามาในระบบ

การเขียนสคริปต์ข้ามไซต์ (XSS) คือการแทรกโค้ดที่เป็นอันตรายลงในหน้าเว็บเพื่อกำหนดเป้าหมายผู้ใช้งานเว็บ อย่างโค้ด Javascript สามารถบันทึกการป้อนข้อมูลของผู้ใช้หรือตรวจสอบกิจกรรมของเพจเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนได้

การแทรก SQL หากแอปพลิเคชันอีคอมเมิร์ซจัดเก็บข้อมูลไว้ในฐานข้อมูล SQL การโจมตีแบบแทรก SQL จะสามารถป้อนข้อความค้นหาที่เป็นอันตรายซึ่งอนุญาตให้มีการเข้าถึงเนื้อหาของฐานข้อมูลได้ทันทีและหากไม่ได้รับการป้องกันอย่างเหมาะสมแล้ว แฮกเกอร์ก็จะสามารถดูข้อมูลและจัดการข้อมูลได้เองเลย

สำหรับการทดสอบช่องโหว่ในด้านต่างๆ ตามปกติจะประกอบไปด้วย 8 ส่วนสำคัญ ได้แก่ การประเมินช่องโหว่บนเว็บแอปพลิเคชัน การประเมินช่องโหว่ตาม API การประเมินช่องโหว่บนเครือข่าย การประเมินช่องโหว่บนโฮสต์ การประเมินความเปราะบางทางกายภาพ การประเมินช่องโหว่ของเครือข่ายไร้สาย การประเมินช่องโหว่บนคลาวด์ และการประเมินช่องโหว่ทางวิศวกรรมสังคม

เนื้อหาที่เกี่ยวข้อง

โดยวิธีการประเมินเพื่อทดสอบช่องโหว่จะแบ่งออกเป็น 6 ระยะ คือ การกำหนดสินทรัพย์ที่สำคัญและมีความเสี่ยงสูง การประเมินช่องโหว่ การวิเคราะห์ช่องโหว่และประเมินความเสี่ยง การแก้ไขช่องโหว่ 

เช่น การใช้แพตช์เพื่อรักษาความปลอดภัย หรือแก้ไขปัญหาการกำหนดค่า การประเมินเพื่อดูว่าสามารถปรับปรุงระบบเพื่อความปลอดภัยสูงสุด และการรายงานผลการประเมินเพื่อดำเนินการต่อไป

การทดสอบ Penetration Testing as a Service (PTaaS) เป็นแพลตฟอร์มสำหรับการทดสอบเพื่อเจาะระบบและสร้างการทำงานร่วมกันระหว่างผู้ให้บริการและลูกค้า ช่วยให้องค์กรสามารถตรวจพบช่องโหว่ได้มากยิ่งขึ้น 

เมื่อเปรียบเทียบระหว่าง PTaaS กับการทดสอบแบบเดิม (Traditional Pen Testing) จะพบว่า การทดสอบแบบเดิมจะใช้เวลาค่อนข้างนาน ด้วยเหตุนี้การทดสอบแบบนี้จึงทำได้เพียงปีละ 1-2 ครั้งเท่านั้น ในทางกลับกัน PTaaS ช่วยให้การทดสอบทำได้อย่างต่อเนื่องโดยการร่วมกันระหว่างเครื่องมือสแกนอัตโนมัติและเทคนิคแบบ manual ซึ่งเป็นแนวทางที่มีความต่อเนื่องกันสำหรับการรักษาความปลอดภัยและเติมเต็มช่องว่างที่เกิดขึ้นกับการทดสอบประจำปี

สรุปแล้ว การโจมตีทางไซเบอร์บนอีคอมเมิร์ซแอปพลิเคชันมีโอกาสเกิดได้บ่อยครั้งขึ้นเรื่อยๆ ไม่เว้นแม้แต่แพลตฟอร์มที่เป็นธุรกิจขนาดใหญ่อย่างฮอนด้า ก็ตรวจพบช่องโหว่ร้ายแรงในช่วง 1 ปีที่ผ่านมา

ดังนั้นผมมองว่า มีความจำเป็นอย่างยิ่งที่จะต้องทดสอบความปลอดภัยพร้อมทั้งประเมินการโจมตีของแอปพลิเคชันอีคอมเมิร์ซเพื่อปกป้ององค์กรและผู้ใช้งานจากภัยคุกคามทางไซเบอร์ครับ