แคมเปญการโจมตีอีเมล์ฟิชชิ่ง DocuSign มุ่งเป้าไปที่พนักงานระดับปฏิบัติการ

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer