Spear Phishing ภัยธุรกิจสร้างความเสียหายได้มากกว่าที่คิด

Home / CTO Brief / Spear Phishing ภัยธุรกิจสร้างความเสียหายได้มากกว่าที่คิด
Spear Phishing ภัยธุรกิจสร้างความเสียหายได้มากกว่าที่คิด

Spear Phishing ภัยธุรกิจสร้างความเสียหายได้มากกว่าที่คิด

ภัยไซเบอร์กลายเป็นความเสี่ยงทางธุรกิจอย่างมากในช่วงหลายปีมานี้ หลายคนอาจจะคิดว่าการโจมตีไซเบอร์นั้นแฮกเกอร์ต้องสร้างโปรแกรมพิเศษมาเจาะเข้าเครือข่าย เข้าถึงข้อมูลในเซิร์ฟเวอร์ ไปจนถึงแอบดูข้อมูลทุกอย่างในเครื่องเราได้ แต่การโจมตีส่วนใหญ่แล้วมาจากการส่งเมลหลอก หรือฟิชชิ่ง (phishing) ที่ไม่จำเป็นต้องอาศัยความรู้ทางเทคนิคอะไรมากมายนัก แต่อาศัยการปรับแต่งอีเมลและสร้างเว็บให้แนบเนียน เพื่อหลอกเอาข้อมูลเท่านั้น

ฟิชชิ่งสมัยก่อนนั้นมักอาศัยการส่งอีเมลหว่าน โดยปลอมตัวว่าเป็นอีเมลจากบริการยอดนิยม ไม่ว่าจะเป็นเฟซบุ๊ก, ทวิตเตอร์, อีเมลฟรี, หรือธนาคารดัง เพื่อหลอกให้ผู้ใช้ยอมใส่รหัสผ่าน และแม้แต่ OTP ที่ส่งมาทาง SMS ก็ตาม

ผู้ใช้อินเทอร์เน็ตในช่วงหลายปีมานี้เริ่มปรับตัวกันมากขึ้น และผู้ใช้ก็ไม่ค่อยตกเป็นเหยื่ออีเมลฟิชชิ่งกันบ่อยนัก แต่คนร้ายก็ปรับตัวไป โดยมุ่งเป้าไปที่การส่งอีเมลปลอมอย่างเจาะจงมากยิ่งขึ้น ทำให้อีเมลหลอกมักอยู่ในรูปแบบที่น่าเชื่อถือ บางทีเป็นการพูดคุยต่อเนื่องกับบทสนทนาของตัวจริง เรียกการโจมตีแบบนี้ว่า spear phishing เปรียบกับการจับปลาแบบใช้หอกพุ่งตรงไปยังตัวปลาแทนที่จะหว่านแหไป

ตัวอย่างของการโจมตี เช่น คนร้ายปลอมตัวเป็นซัพพลายเออร์ที่บริษัทซื้อสินค้าอยู่เป็นประจำ ส่งอีเมลแจ้งเรียกเก็บเงินเหมือนทุกครั้งที่ผ่านมา พร้อมกับโน้ตสั้นๆ ว่าขอเปลี่ยนหมายเลขบัญชีรับเงิน เจ้าหน้าที่ฝ่ายจัดซื้อก็อาจจะพลาดยอมโอนเงินไปยังบัญชีของคนร้ายโดยไม่รู้ตัว

การปลอมตัวอาจจะใช้ข้อมูลที่หาได้โดยง่าย เช่น ชื่อของพนักงานที่ทำหน้าที่เรียกเก็บเงินแล้วสร้างอีเมลใหม่ปลอมชื่อ หรือบางครั้งอาจจะผสมกับการแฮกอีเมลพนักงานจริงแล้วใช้ส่งอีเมลหลอกเพิ่มความแนบเนียนไปอีกขั้น

การโจมตีคล้ายๆ กันนี้เราอาจจะพบเรื่อยๆ เช่นการแฮกเฟซบุ๊กแล้วส่งข้อความไปยังเพื่อนของเหยื่อเพื่อขอยืมเงิน แต่การแฮกเฟซบุ๊กนั้นคนร้ายอาจจะได้เงินไปปริมาณไม่มากนัก แต่ละครั้งอาจจะหลายพันหรือหลายหมื่นบาท ในกรณี Spear Phishing กับองค์กรความเสียหายอาจจะหลายล้านบาทเลยทีเดียว

การป้องกันการโจมตีเช่นนี้มีตั้งแต่มาตรการทางเทคนิค เช่น การเตือนผู้ใช้ว่ากำลังส่งข้อความหรืออีเมลหาใครอยู่ ให้แยกให้ออกอย่างชัดเจนแม้ชื่ออีเมลจะดูคล้ายกัน, ติดตั้งระบบคัดกรองและแจ้งเตือนอีเมลมุ่งร้าย ตลอดจนวางนโยบายการทำงานให้รัดกุมความเปลี่ยนแปลงบางอย่าง เช่น การเปลี่ยนเลขบัญชีจ่ายเงินออก ต้องมีการตรวจสอบข้อมูลเพิ่มเติม เป็นต้น

 

– – –

โดยคุณลิ่ว วสันต์ ลิ่วลมไพศาล
Chief Technology Officer, MFEC