แคมเปญ Adversary-in-the-Middle ถูกใช้โจมตีองค์กรระดับโลกจำนวนมาก

องค์กรจำนวนมากทั่วโลกตกเป็นเป้าหมายของแคมเปญการโจมตีแบบ Business email compromise (BEC) ที่เกี่ยวข้องกับการใช้เทคนิค adversary-in-the-middle (AitM) เพื่อดำเนินการโจมตี

นักวิจัยจาก 'Sygnia' ให้ข้อมูลกับ The Hacker News ว่า "หลังจากการโจมตีด้วยฟิชชิ่งได้สำเร็จ ซึ่งผู้โจมตีอาจใช้วิธีการโจมตีด้วยเทคนิค 'adversary-in-the-middle' เพื่อหลีกเลี่ยงการยืนยันตัวตนของ Office365 ทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีของเป้าหมายได้อย่างสมบูรณ์"

หลังจากที่สามารถเข้าถึงบัญชีของผู้ใช้งานได้แล้ว ผู้ไม่หวังดีจะขโมยข้อมูลที่สำคัญออกไปจากบัญชีที่ถูกโจมตี และบัญชีนี้เพื่อโจมตีด้วยฟิชชิ่งต่อไปยังพนักงานอื่น ๆ รวมถึงองค์กรที่เป็นพาร์ทเนอร์ หรือคู่ค้าภายนอกหลายแห่ง

การโจมตีดังกล่าวเกิดขึ้นไม่ถึงหนึ่งสัปดาห์หลังจากที่ Microsoft ได้ให้รายละเอียดเกี่ยวกับการโจมตีร่วมกันด้วยฟิชชิ่งแบบ AitM และการโจมตีแบบ Business Email Compromise (BEC) ที่พบการมุ่งเป้าหมายไปที่ธนาคาร และบริการทางการเงิน

การโจมตีแบบ BEC โดยทั่วไปจะเกี่ยวข้องกับการหลอกลวงเป้าหมายผ่านทางอีเมล เพื่อให้เป้าหมายโอนเงิน หรือเปิดเผยข้อมูลความลับของบริษัท นอกจากการปลอมแปลงอีเมลให้เหมาะสมกับเป้าหมายที่ตั้งไว้ ผู้โจมตียังใช้การปลอมตัวเป็นบุคคลที่ดูน่าเชื่อถืออีกด้วย

โดยการโจมตีแบบ BEC มักจะเกิดขึ้นจากการใช้เทคนิค social engineering เพื่อเข้าถึงบัญชีของเหยื่อ จากนั้นผู้ไม่หวังดีจะใช้อีเมลของเหยื่อเพื่อส่งอีเมลใบแจ้งหนี้ปลอมให้กับลูกค้า หรือซัพพลายเออร์ของบริษัทเพื่อให้ชำระเงินเข้าบัญชีธนาคารปลอมของผู้โจมตี

ในลำดับการโจมที่ถูกบันทึกไว้โดย Sygnia พบว่าผู้โจมตีได้ส่งอีเมลฟิชชิ่งที่แนบลิงก์ "shared document" ซึ่งจริง ๆ เป็นหน้าเว็บฟิชชิ่งแบบ AitM ที่ออกแบบมาเพื่อเก็บข้อมูลของผู้ใช้งาน เช่น ข้อมูลประจำตัว และ one-time passwords

นอกจากนี้ยังมีรายงานว่าผู้ไม่หวังดีใช้สิทธิ์ในการเข้าถึงบัญชีชั่วคราวที่ได้จากการโจมตีแบบ AitM ของเหยื่อ ไปใช้ในการลงทะเบียนอุปกรณ์ Multi-Factor Authentication (MFA) ใหม่ เพื่อเข้าถึงระบบได้อย่างถาวรจาก IP Address ที่ตั้งอยู่ในประเทศออสเตรเลีย

นักวิจัยจาก Sygnia กล่าวว่า "นอกจากการนำข้อมูลที่มีความสำคัญออกจากบัญชีของเหยื่อแล้ว ผู้ไม่หวังดียังใช้สิทธิ์การเข้าถึงนี้ในการส่งอีเมลฟิชชิ่งใหม่ ที่ประกอบด้วยลิงก์ที่เป็นอันตรายไปให้พนักงานจำนวนมาก รวมถึงส่งไปยังองค์กรอื่น ๆ เพิ่มเติม"

นักวิจัยให้ข้อมูลเพิ่มเติมว่า อีเมลฟิชชิ่งจะถูกแพร่กระจายในลักษณะเหมือน 'worm' จากบริษัทหนึ่งไปยังอีกบริษัทหนึ่ง และระหว่างพนักงานภายในบริษัทเดียวกัน ซึ่งในขณะนี้ยังไม่ทราบจำนวนการโจมตีที่แน่นอนของแคมเปญดังกล่าว

ที่มา : thehackernews

Microsoft แจ้งเตือนการโจมตีแบบ business email compromise อาจใช้เวลาเพียงไม่กี่ชั่วโมง

เมื่อเร็ว ๆ นี้ ทีม Security Intelligence ของ Microsoft ได้ทำการตรวจสอบการโจมตีแบบ business email compromise (BEC) และพบว่าผู้โจมตีใช้เวลาในการปฏิบัติการอย่างรวดเร็ว โดยบางขั้นตอนใช้เวลาเพียงไม่กี่นาทีเท่านั้น

โดยนับตั้งแต่การ login เข้าใช้งาน โดยใช้ข้อมูล credentials ที่ขโมยมา การลงทะเบียน Domain ปลอมที่ใกล้เคียงกับโดเมนจริง และการปลอมตัวเป็นคู่สนทนาในอีเมล แฮ็กเกอร์ใช้เวลาเพียงไม่กี่ชั่วโมงเท่านั้น

ลักษณะการโจมตี

BEC เป็นประเภทของการโจมตีทางไซเบอร์ที่ผู้โจมตีสามารถเข้าถึงบัญชีอีเมลขององค์กรเป้าหมายผ่านทาง Phishing, Social Engineering หรือการซื้อข้อมูล credentials บัญชีบน dark web

จากนั้นแฮ็กเกอร์จะปลอมเป็นบุคคลที่น่าเชื่อถือ เช่น ผู้บริหารระดับสูง หรือซัพพลายเออร์ เพื่อหลอกพนักงานที่ทำงานในแผนกการเงิน หรือบริษัทคู่ค้าให้โอนเงินไปยังบัญชีของแฮ็กเกอร์

จากข้อมูลของ FBI ตั้งแต่เดือนมิถุนายน 2016 จนถึงเดือนกรกฎาคม 2019 การโจมตีในรูปแบบ BEC ส่งผลให้เกิดความเสียหายมูลค่ากว่า 43 พันล้านดอลลาร์ ซึ่งนับเฉพาะกรณีที่ถูกรายงานต่อหน่วยงานบังคับใช้กฎหมายเท่านั้น

Twitter ของนักวิเคราะห์จาก Microsoft อธิบายการโจมตีแบบ BEC ที่ได้ทำการการตรวจสอบพบว่า เริ่มต้นจากแฮ็กเกอร์ทำการโจมตีแบบ adversary-in-the-middle (AITM) เพื่อขโมย session cookie ของเป้าหมาย ทำให้หลบเลี่ยงการป้องกันจาก MFA ได้

แฮ็กเกอร์เข้าสู่ระบบบัญชีของเหยื่อเมื่อวันที่ 5 มกราคม 2023 และใช้เวลาสองชั่วโมงในการค้นหา mailbox เพื่อหาหัวข้ออีเมลที่เหมาะสำหรับการหลอกลวงแบบ Thread hijacking

Thread hijacking คือการปลอมตัวด้วยการส่งอีเมลในหัวข้อที่อยู่ระหว่างการติดต่อพูดคุยกัน ทำให้วิธีนี้เป็นเทคนิคที่มีประสิทธิภาพมาก เนื่องจากทำให้ผู้รับมีแนวโน้มที่จะเชื่อถือมากขึ้น

หลังจากนั้นแฮ็กเกอร์ได้ลงทะเบียน Domain ปลอมโดยใช้ตัวอักษร homoglyph เพื่อทำให้ดูเหมือนกับเว็บไซต์ขององค์กรเป้าหมาย 5 นาทีต่อมา แฮ็กเกอร์ได้สร้าง inbox rule เพื่อดึงอีเมลจากองค์กรเป้าหมายไปยังโฟลเดอร์เฉพาะ

ในนาทีต่อมา แฮ็กเกอร์ได้ส่งอีเมลที่เป็นอันตรายไปยังคู่ค้าทางธุรกิจเพื่อขอเปลี่ยนบัญชีสำหรับการโอนเงิน และลบข้อความที่ส่งออกทันทีเพื่อลดโอกาสที่ผู้ใช้จะพบการส่งอีเมลดังกล่าว ซึ่งหากนับตั้งแต่การลงชื่อเข้าใช้ครั้งแรกจนถึงการลบอีเมลที่ส่งออก เวลาผ่านไปทั้งหมดเพียง 127 นาที ซึ่งสะท้อนให้เห็นถึงการปฏิบัติการอย่างรวดเร็วของแฮ็กเกอร์

Microsoft 365 Defender แจ้งเตือนเกี่ยวกับการหลอกลวงแบบ BEC ภายใน 20 นาที หลังจากที่แฮ็กเกอร์ลบอีเมลที่ทำการส่งออกไป และขัดขวางการโจมตีด้วยการ disable การใช้งานบัญชีของผู้ใช้

ในการทดสอบ และประเมินผลการตรวจจับของ BEC ใน environments ของลูกค้าองค์กรหลายสิบแห่งพบว่าได้รับการป้องกันที่ดีขึ้น เมื่อบัญชีถูกปิดใช้งานอัตโนมัติโดย Microsoft 365 Defender

ความสามารถในการทำงานอัตโนมัติแบบใหม่ดังกล่าว ทำให้ทีม SOC สามารถควบคุม และตรวจสอบการดำเนินการทั้งหมดที่ดำเนินการโดย Microsoft 365 Defender

Microsoft ระบุว่าได้หยุดการโจมตีในลักษณะ BEC ได้ทั้งหมด 38 ครั้ง ที่มีการกำหนดเป้าหมายไปยัง 27 องค์กร โดยการใช้ eXtended Detection and Response (XDR) ทั้งอุปกรณ์ Endpoint, Identity, Email และ SaaS

 

ที่มา : bleepingcomputer

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

ในช่วง COVID-19 กำลังระบาดแบบนี้ หลายๆ บริษัทอาจมีการปรับการทำงานเพื่อลดความเสี่ยงในการติดเชื้อ ไม่ว่าจะเป็นการให้พนักงานสามารถ Work from Home หรือเปลี่ยนรูปแบบการจ่ายเงินจากการรับเช็คไปเป็นการโอนผ่านบัญชีธนาคาร ซึ่งพฤติกรรมที่ปรับเปลี่ยนไปนี้อาจเป็นช่องทางให้ผู้ไม่หวังดีสามารถทำการโจมตีได้

เมื่อวันศุกร์ 13 มีนาคม 2020 ที่ผ่านมา นักวิจัยจาก Agari Cyber Intelligence Division (ACID) พบการโจมตีแบบ Business Email Compromise (BEC) ในธีม COVID-19 ขึ้นแล้วเป็นครั้งแรก โดยมีวิธีการโจมตีคือจดโดเมนชื่อคล้ายๆ จากนั้นส่งอีเมลปลอมไปหาบริษัทคู่ค้าระบุว่ามีความจำเป็นต้องเปลี่ยนบัญชีสำหรับโอนเงินเนื่องจากการแพร่ระบาดของ COVID-19 ซึ่งหากคู่ค้าหลงเชื่อก็จะโอนเงินเข้าไปยังเลขบัญชีของผู้โจมตีแทน

นอกจากการใช้อีเมลปลอมเป็นคู่ค้าแล้ว ยังมีเทคนิคการโจมตีแบบอื่นๆ เพื่อหลอกให้หลงโอนเงินไปยังบัญชีของผู้โจมตีอีกหลายรูปแบบ ไม่ว่าจะเป็นการปลอมเป็นผู้บริหารสั่งให้โอนเงินด่วน ไม่สร้างโดเมนปลอมแต่ใช้วิธีฟิชชิงหลอกเอารหัสผ่านอีเมลจริงๆ ไปใช้ส่งอีเมลเปลี่ยนเลขบัญชี เป็นต้น โดยสามารถอ่านรายละเอียดเกี่ยวกับ Business Email Compromise (BEC) เพิ่มเติมได้จาก https://www.

FBI Warns of BEC Attacks Abusing Microsoft Office 365, Google G Suite

FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure

รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร

ในช่วงนี้ข่าวที่เป็นที่จับตามองข่าวหนึ่งคือข่าวของบริษัท สตาร์ ปิโตรเลียม รีไฟน์นิ่ง จำกัด (มหาชน) หรือ SPRC ระบุในงบการเงินประจำไตรมาส 4 ปี 2562 ว่าค่าใช้จ่ายในการบริหารในช่วงดังกล่าวเพิ่มขึ้นเป็น 31 ล้านดอลลาร์สหรัฐฯ จาก 8 ล้านดอลลาร์สหรัฐฯ (ส่วนต่างคือ 23 ล้านดอลลาร์สหรัฐฯ ประมาณ 690 ล้านบาท) โดยเพิ่มมาจากการถูกโจมตีธุรกรรมทางอีเมลในช่วงปลายปีที่ผ่านมา ทำให้มีการชำระเงินไปยังบัญชีที่ไม่ถูกต้อง หลังเกิดเหตุการณ์บริษัทได้ดำเนินการร่วมกับผู้เชี่ยวชาญด้านไอทีทั้งภายในและภายนอกทันทีในการตรวจสอบหาสาเหตุและได้เพิ่มระบบป้องกันภายในให้แข็งแกร่งมากขึ้น โดย SPRC ยังคงทำงานร่วมกับหน่วยงานที่เชี่ยวชาญในการเรียกคืนค่าเสียหายดังกล่าว แต่ได้มีการรับรู้ค่าเสียหายในงบการเงินในไตรมาส 4/2562 ไว้ก่อน

 

 

ในปัจจุบันนี้ยังไม่มีรายละเอียดเชิงลึกโดยตรงว่า SPRC ถูกโจมตีแบบใด แต่ถ้าวิเคราะห์บริบทในรายงานดังกล่าวว่าเกิดจากการ “ถูกโจมตีธุรกรรมทางอีเมลจนสูญเสียรายได้” ลักษณะดังกล่าวจะไปตรงกับการโจมตีที่มีชื่อเรียกว่า Business Email Compromise (BEC) หรือในบางครั้งอาจถูกเรียกว่า Email Account Compromise (EAC)

 

 

ในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัดจะมานำเสนอรายละเอียดเกี่ยวกับการโจมตีแบบ Business Email Compromise (BEC) เพื่อให้องค์กรเตรียมรับมือค่ะ

 
Business Email Compromise (BEC) คืออะไร
Business Email Compromise (BEC) หมายถึงการโจมตีผ่านอีเมลเพื่อหลอกให้สูญเสียรายได้ผ่านทางอีเมล เป็นลักษณะของการทำ Social Engineering โดยนอกเหนือจากการหลอกลวงทางอีเมลแล้วอาจมีการใช้วิธีเพิ่มเติมเพื่อเร่งรัดให้เหยื่อตกใจและรีบดำเนินการเพิ่มเติมด้วยการโทรศัพท์ ซึ่งสถิติจาก FBI ระบุว่ามีการโจมตีในรูปแบบดังกล่าวเริ่มตั้งแต่ปี 2013 โดยทาง FBI ได้ยกตัวอย่างสถานการณ์การโจมตีแบบ BEC ไว้ 5 สถานการณ์ดังต่อไปนี้

สถานการณ์ที่ 1 เหยื่อของการโจมตีในลักษณะนี้มักเป็นองค์กรที่มีซื้อของกับคู่ค้าจากต่างประเทศ ซึ่งผู้โจมตีจะทำอีเมลปลอมใบแจ้งหนี้หลอกให้เหยื่อเชื่อว่ามีการเปลี่ยนแปลงเลขบัญชีจนเหยื่อหลงโอนเงินไปยังบัญชีของผู้โจมตี

สถานการณ์ที่ 2 ผู้โจมตีจะปลอมเป็น CEO หรือผู้บริหารลำดับสูงตำแหน่งอื่นๆ ขององค์กรแล้วทำการส่งอีเมลสั่งพนักงานว่าให้โอนเงินด่วนเพื่อทำกิจกรรมบางอย่าง โดยอีเมลของ CEO อาจถูกแฮกมาก่อนแล้วหรือผู้โจมตีใช้วิธีปลอมแปลงอีเมล

สถานการณ์แบบที่ 3 อีเมลของบุคลากรที่เป็นผู้ติดต่อธุรกิจถูกแฮก ทำให้ผู้โจมตีสามารถส่งอีเมลหาลูกค้าขององค์กรว่ามีการเปลี่ยนแปลงให้โอนเงินไปยังบัญชีอื่นๆ เพื่อชำระค่าสินค้า

สถานการณ์แบบที่4 ผู้โจมตีติดต่อมายังองค์กรโดยหลอกว่าตัวเองเป็นทนายหรือที่ปรึกษาด้านกฏหมาย หลอกว่าสามารถช่วยเหลือองค์กรด้านกฏหมายได้ แล้วกดดันให้เหยื่อโอนเงินเพื่อดำเนินการด่วน

สถานการณ์แบบที่ 5 ผู้โจมตีแฮกเข้าถึงบัญชีอีเมลของพนักงานในองค์กรแล้วหลอกสอบถามเพื่อจารกรรมข้อมูล โดย FBI ระบุว่ารูปแบบนี้เริ่มต้นในช่วงปี 2016

โดยทัั้ง 5 สถานการณ์นี้เป็นเพียงตัวอย่างในการหลอกลวงเท่านั้น อาจพบการหลอกลวงได้อีกหลายรูปแบบรวมถึงอาจมีการใช้เทคนิคอื่นๆ เพื่อนำไปสู่การโอนเงินไปยังบัญชีของผู้โจมตีได้อีก

 
ข้อมูลที่น่าสนใจเกี่ยวกับ BEC
รายงานเกี่ยวกับสถานการณ์ภัยคุกคามทางอีเมลใน Q2 2019 ของ FireEye ระบุว่าภัยคุกคามทางอีเมลมีมัลแวร์มาด้วยแค่ 14% ส่วนอีก 86% ไม่มีมัลแวร์ แต่เป็นภัยคุกคามประเภทอื่นๆ อย่างอีเมลปลอมเป็น CEO (CEO fraud) , อีเมลปลอมตัวเป็นคนอื่น และ spear phishing โดยมีอีเมลในรูปแบบ Business Email Compromise (BEC) เพิ่มขึ้น 25%

 

 

FBI's 2019 Internet Crime Report รายงานล่าสุดของ FBI ที่เพิ่งออกเมื่อช่วงต้นเดือนกุมภาพันธ์ 2020 ระบุว่าจากการแจ้งความเกี่ยวกับการโจมตีทางไซเบอร์ทั้งหมด 467,361 รายการ คิดเป็นการสูญเสียเงินกว่า 3.5 พันล้านดอลลาร์สหรัฐ โดยกว่าครึ่งหนึ่งของการสูญเสียเงิน (1.77 พันล้านดอลลาร์สหรัฐ) เกิดจากการโจมตีในรูปแบบของ BEC

 

 

องค์การตำรวจอาชญากรรมระหว่างประเทศ (INTERPOL) ออกรายงานสรุปภัยคุกคามทางไซเบอร์ในภูมิภาคอาเซียนเมื่อวันที่ 17 กุมภาพันธ์ 2020 ระบุว่าในภูมิภาคอาเซียนนี้ถูกโจมตีในลักษณะของ BEC คิดเป็น 5% ของทั้งโลก

 

 

INTERPOL ระบุว่าการถูกโจมตีแบบ BEC มักไม่ถูกรายงานเพราะองค์กรกลัวเสียชื่อเสียง ทำให้ไม่สามารถวิเคราะห์ข้อมูลความสูญเสียที่แท้จริงและแนวโน้มได้ รวมถึงการตามเงินคืนจาก BEC มักเจอทางตันเมื่อเจอกระบวนการฟอกเงิน เฉลี่ยแล้วการโจมตี BEC ที่สำเร็จจะได้เงินราวๆ 130,500 ดอลลาร์สหรัฐ (ประมาณ 4 ล้านบาท)

INTERPOL วิเคราะห์ว่าการโจมตีแบบ BEC จะไม่หายไปในเร็วๆ นี้อย่างแน่นอน เพราะลงทุนน้อยแต่ได้เงินมาก ผู้โจมตีที่หลอกลวงแบบอื่นๆ ต่างหันมาโจมตีแบบ BEC และไม่โจมตีแบบหว่านแห เน้นไปทาง targeted attack เพื่อหวังผล

 

 
การโจมตีแบบ BEC ที่ไอ-ซีเคียวเคยรับมือ
ในช่วงปี 2019 ที่ผ่านมาทีมตอบสนองการโจมตีและภัยคุกคามได้วิเคราะห์ข้อมูลรวมถึงช่วยสืบหาต้นตอการโจมตีในรูปแบบ BEC ที่เกิดขึ้นหลายครั้ง โดยเหตุการณ์ที่พบส่วนใหญ่มีความคล้ายคลึงกัน โดยสามารถสรุปเป็นกระบวนการในการโจมตีได้ดังนี้

ผู้โจมตีเริ่มโจมตีด้วยการทำ Phishing เพื่อหลอกเอาบัญชีผู้ใช้และรหัสผ่านอีเมลของบุคคลในองค์กรไป
ผู้โจมตีเข้าถึงอีเมล ฝังตัว และติดตามอ่านอีเมลของเหยื่อเพื่อหาช่องทางในการโจมตี โดยอาจมีการค้นหาด้วยคำค้นที่บ่งบอกถึงการทำธุรกรรมทางการเงินอย่าง invoice, PO, Purchase Order, statement เป็นต้น รวมถึงอาจมีการ forward อีเมลที่มีคำค้นดังกล่าวไปยังอีเมลของผู้โจมตี
ในกรณีที่ผู้โจมตีพบว่าไม่สามารถใช้ประโยชน์จากบัญชีอีเมลของเหยื่อได้ ผู้โจมตีจะหาวิธีส่ง phishing ภายในรายชื่อผู้ติดต่อทางอีเมลทั้งหมดเพื่อหาเหยื่อรายอื่นๆ ซึ่งองค์กรอาจรู้ตัวในขั้นนี้
ในกรณีที่ผู้โจมตีสามารถหาช่องทางใช้ประโยชน์จากอีเมลของเหยื่อรายนี้ได้ เช่น ทราบว่าเหยื่อเป็นผู้ที่มีอำนาจในการจัดซือ ผู้โจมตีจะเข้ามาอ่านอีเมลของเหยื่อเป็นระยะเพื่อหาโอกาส
เมื่อสบโอกาสพบว่าเหยื่อกำลังซื้อสินค้าและได้รับอีเมลขาเข้าที่พูดถึงให้การโอนเงินไปเพื่อทำธุรกรรมกับคู่ค้าผู้โจมตีจะทำการลบอีเมลที่ส่งเลขบัญชีจริงมา แล้วส่งอีเมลปลอมเข้ามายังอินบ็อกเพื่อเปลี่ยนเลขบัญชีเป็นเลขบัญชีของผู้โจมตี
เหยื่อโอนเงินไปยังบัญชีปลอม ทำให้ผู้โจมตีได้เงินทั้งหมดไป
เหยื่อรู้ตัวว่าโอนเงินไปยังบัญชีปลอมเมื่อคู่ค้าทวงถามถึงเงินค่าสินค้า

แนวทางการป้องกันและรับมือการโจมตี BEC ในลักษณะดังกล่าว
จากตัวอย่างเหตุการณ์ที่ยกขึ้นมานี้ สามารถแบ่งออกเป็นสามส่วน ดังนี้

ผู้โจมตีเข้าถึงอีเมลได้
เตรียมตัวโอนเงิน
เมื่อโอนเงินไปแล้วพบว่าตกเป็นเหยื่อ

เราสามารถป้องกันการเข้าถึงอีเมลของผู้โจมตีได้โดย

ตรวจสอบการเข้าถึงบัญชีอีเมลที่ผิดปกติ เช่น การตรวจจับความผิดปกติเมื่อพบการเข้าสู่ระบบจากต่างประเทศ
เปิดใช้งานฟีเจอร์เพิ่มความปลอดภัยอย่างการยืนยันตัวตนหลายขั้นตอน
ตรวจสอบและประเมินความปลอดภัยระบบเป็นระยะ

เราสามารถเพิ่มความระมัดระวังในการเตรียมตัวโอนเงินเพื่อป้องกันการโอนเงินไปยังบัญชีที่ผิดได้โดย

ตรวจสอบและยืนยันข้อมูลบัญชีปลายทาง
ตรวจสอบชื่อผู้ส่งอีเมลเมื่อจะทำการโอนเงิน
เพิ่มกระบวนการตรวจสอบอีเมลขาเข้า ตั้งค่าอีเมลให้ถูกต้อง (SPF,DKIM,DMARC) เพื่อป้องกันการได้รับอีเมลปลอม
เพิ่มกระบวนการตรวงสอบการเปลี่ยนแปลงบัญชี เช่น ขอหนังสือรับรองการเปลี่ยนบัญชีอย่างเป็นทางการ

เมื่อเกิดเหตุการณ์ขึ้นแล้ว องค์กรสามารถหาทางรับมือโดยวิเคราะห์ประเด็นดังนี้

กระบวนการโอนเงินเกิดขั้นในลักษณะใด สามารถ recall กลับมาได้หรือไม่?
ตรวจสอบทางเลือกในการระบุหายอดที่โอนและขอ freeze account
องค์กรมีความคุ้มครองในกรณีที่เกิดขึ้นหรือไม่ เช่น มีสินไหมทดแทนที่ช่วยลดความเสียหายได้

แหล่งความรู้เพิ่มเติม

Seven ways to spot a business email compromise in Office 365 https://expel.