พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

ในช่วงนี้ข่าวที่เป็นที่จับตามองข่าวหนึ่งคือข่าวของบริษัท สตาร์ ปิโตรเลียม รีไฟน์นิ่ง จำกัด (มหาชน) หรือ SPRC ระบุในงบการเงินประจำไตรมาส 4 ปี 2562 ว่าค่าใช้จ่ายในการบริหารในช่วงดังกล่าวเพิ่มขึ้นเป็น 31 ล้านดอลลาร์สหรัฐฯ จาก 8 ล้านดอลลาร์สหรัฐฯ (ส่วนต่างคือ 23 ล้านดอลลาร์สหรัฐฯ ประมาณ 690 ล้านบาท) โดยเพิ่มมาจากการถูกโจมตีธุรกรรมทางอีเมลในช่วงปลายปีที่ผ่านมา ทำให้มีการชำระเงินไปยังบัญชีที่ไม่ถูกต้อง หลังเกิดเหตุการณ์บริษัทได้ดำเนินการร่วมกับผู้เชี่ยวชาญด้านไอทีทั้งภายในและภายนอกทันทีในการตรวจสอบหาสาเหตุและได้เพิ่มระบบป้องกันภายในให้แข็งแกร่งมากขึ้น โดย SPRC ยังคงทำงานร่วมกับหน่วยงานที่เชี่ยวชาญในการเรียกคืนค่าเสียหายดังกล่าว แต่ได้มีการรับรู้ค่าเสียหายในงบการเงินในไตรมาส 4/2562 ไว้ก่อน

 

 

ในปัจจุบันนี้ยังไม่มีรายละเอียดเชิงลึกโดยตรงว่า SPRC ถูกโจมตีแบบใด แต่ถ้าวิเคราะห์บริบทในรายงานดังกล่าวว่าเกิดจากการ “ถูกโจมตีธุรกรรมทางอีเมลจนสูญเสียรายได้” ลักษณะดังกล่าวจะไปตรงกับการโจมตีที่มีชื่อเรียกว่า Business Email Compromise (BEC) หรือในบางครั้งอาจถูกเรียกว่า Email Account Compromise (EAC)

 

 

ในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัดจะมานำเสนอรายละเอียดเกี่ยวกับการโจมตีแบบ Business Email Compromise (BEC) เพื่อให้องค์กรเตรียมรับมือค่ะ

 
Business Email Compromise (BEC) คืออะไร
Business Email Compromise (BEC) หมายถึงการโจมตีผ่านอีเมลเพื่อหลอกให้สูญเสียรายได้ผ่านทางอีเมล เป็นลักษณะของการทำ Social Engineering โดยนอกเหนือจากการหลอกลวงทางอีเมลแล้วอาจมีการใช้วิธีเพิ่มเติมเพื่อเร่งรัดให้เหยื่อตกใจและรีบดำเนินการเพิ่มเติมด้วยการโทรศัพท์ ซึ่งสถิติจาก FBI ระบุว่ามีการโจมตีในรูปแบบดังกล่าวเริ่มตั้งแต่ปี 2013 โดยทาง FBI ได้ยกตัวอย่างสถานการณ์การโจมตีแบบ BEC ไว้ 5 สถานการณ์ดังต่อไปนี้

สถานการณ์ที่ 1 เหยื่อของการโจมตีในลักษณะนี้มักเป็นองค์กรที่มีซื้อของกับคู่ค้าจากต่างประเทศ ซึ่งผู้โจมตีจะทำอีเมลปลอมใบแจ้งหนี้หลอกให้เหยื่อเชื่อว่ามีการเปลี่ยนแปลงเลขบัญชีจนเหยื่อหลงโอนเงินไปยังบัญชีของผู้โจมตี

สถานการณ์ที่ 2 ผู้โจมตีจะปลอมเป็น CEO หรือผู้บริหารลำดับสูงตำแหน่งอื่นๆ ขององค์กรแล้วทำการส่งอีเมลสั่งพนักงานว่าให้โอนเงินด่วนเพื่อทำกิจกรรมบางอย่าง โดยอีเมลของ CEO อาจถูกแฮกมาก่อนแล้วหรือผู้โจมตีใช้วิธีปลอมแปลงอีเมล

สถานการณ์แบบที่ 3 อีเมลของบุคลากรที่เป็นผู้ติดต่อธุรกิจถูกแฮก ทำให้ผู้โจมตีสามารถส่งอีเมลหาลูกค้าขององค์กรว่ามีการเปลี่ยนแปลงให้โอนเงินไปยังบัญชีอื่นๆ เพื่อชำระค่าสินค้า

สถานการณ์แบบที่4 ผู้โจมตีติดต่อมายังองค์กรโดยหลอกว่าตัวเองเป็นทนายหรือที่ปรึกษาด้านกฏหมาย หลอกว่าสามารถช่วยเหลือองค์กรด้านกฏหมายได้ แล้วกดดันให้เหยื่อโอนเงินเพื่อดำเนินการด่วน

สถานการณ์แบบที่ 5 ผู้โจมตีแฮกเข้าถึงบัญชีอีเมลของพนักงานในองค์กรแล้วหลอกสอบถามเพื่อจารกรรมข้อมูล โดย FBI ระบุว่ารูปแบบนี้เริ่มต้นในช่วงปี 2016

โดยทัั้ง 5 สถานการณ์นี้เป็นเพียงตัวอย่างในการหลอกลวงเท่านั้น อาจพบการหลอกลวงได้อีกหลายรูปแบบรวมถึงอาจมีการใช้เทคนิคอื่นๆ เพื่อนำไปสู่การโอนเงินไปยังบัญชีของผู้โจมตีได้อีก

 
ข้อมูลที่น่าสนใจเกี่ยวกับ BEC
รายงานเกี่ยวกับสถานการณ์ภัยคุกคามทางอีเมลใน Q2 2019 ของ FireEye ระบุว่าภัยคุกคามทางอีเมลมีมัลแวร์มาด้วยแค่ 14% ส่วนอีก 86% ไม่มีมัลแวร์ แต่เป็นภัยคุกคามประเภทอื่นๆ อย่างอีเมลปลอมเป็น CEO (CEO fraud) , อีเมลปลอมตัวเป็นคนอื่น และ spear phishing โดยมีอีเมลในรูปแบบ Business Email Compromise (BEC) เพิ่มขึ้น 25%

 

 

FBI's 2019 Internet Crime Report รายงานล่าสุดของ FBI ที่เพิ่งออกเมื่อช่วงต้นเดือนกุมภาพันธ์ 2020 ระบุว่าจากการแจ้งความเกี่ยวกับการโจมตีทางไซเบอร์ทั้งหมด 467,361 รายการ คิดเป็นการสูญเสียเงินกว่า 3.5 พันล้านดอลลาร์สหรัฐ โดยกว่าครึ่งหนึ่งของการสูญเสียเงิน (1.77 พันล้านดอลลาร์สหรัฐ) เกิดจากการโจมตีในรูปแบบของ BEC

 

 

องค์การตำรวจอาชญากรรมระหว่างประเทศ (INTERPOL) ออกรายงานสรุปภัยคุกคามทางไซเบอร์ในภูมิภาคอาเซียนเมื่อวันที่ 17 กุมภาพันธ์ 2020 ระบุว่าในภูมิภาคอาเซียนนี้ถูกโจมตีในลักษณะของ BEC คิดเป็น 5% ของทั้งโลก

 

 

INTERPOL ระบุว่าการถูกโจมตีแบบ BEC มักไม่ถูกรายงานเพราะองค์กรกลัวเสียชื่อเสียง ทำให้ไม่สามารถวิเคราะห์ข้อมูลความสูญเสียที่แท้จริงและแนวโน้มได้ รวมถึงการตามเงินคืนจาก BEC มักเจอทางตันเมื่อเจอกระบวนการฟอกเงิน เฉลี่ยแล้วการโจมตี BEC ที่สำเร็จจะได้เงินราวๆ 130,500 ดอลลาร์สหรัฐ (ประมาณ 4 ล้านบาท)

INTERPOL วิเคราะห์ว่าการโจมตีแบบ BEC จะไม่หายไปในเร็วๆ นี้อย่างแน่นอน เพราะลงทุนน้อยแต่ได้เงินมาก ผู้โจมตีที่หลอกลวงแบบอื่นๆ ต่างหันมาโจมตีแบบ BEC และไม่โจมตีแบบหว่านแห เน้นไปทาง targeted attack เพื่อหวังผล

 

 
การโจมตีแบบ BEC ที่ไอ-ซีเคียวเคยรับมือ
ในช่วงปี 2019 ที่ผ่านมาทีมตอบสนองการโจมตีและภัยคุกคามได้วิเคราะห์ข้อมูลรวมถึงช่วยสืบหาต้นตอการโจมตีในรูปแบบ BEC ที่เกิดขึ้นหลายครั้ง โดยเหตุการณ์ที่พบส่วนใหญ่มีความคล้ายคลึงกัน โดยสามารถสรุปเป็นกระบวนการในการโจมตีได้ดังนี้

ผู้โจมตีเริ่มโจมตีด้วยการทำ Phishing เพื่อหลอกเอาบัญชีผู้ใช้และรหัสผ่านอีเมลของบุคคลในองค์กรไป
ผู้โจมตีเข้าถึงอีเมล ฝังตัว และติดตามอ่านอีเมลของเหยื่อเพื่อหาช่องทางในการโจมตี โดยอาจมีการค้นหาด้วยคำค้นที่บ่งบอกถึงการทำธุรกรรมทางการเงินอย่าง invoice, PO, Purchase Order, statement เป็นต้น รวมถึงอาจมีการ forward อีเมลที่มีคำค้นดังกล่าวไปยังอีเมลของผู้โจมตี
ในกรณีที่ผู้โจมตีพบว่าไม่สามารถใช้ประโยชน์จากบัญชีอีเมลของเหยื่อได้ ผู้โจมตีจะหาวิธีส่ง phishing ภายในรายชื่อผู้ติดต่อทางอีเมลทั้งหมดเพื่อหาเหยื่อรายอื่นๆ ซึ่งองค์กรอาจรู้ตัวในขั้นนี้
ในกรณีที่ผู้โจมตีสามารถหาช่องทางใช้ประโยชน์จากอีเมลของเหยื่อรายนี้ได้ เช่น ทราบว่าเหยื่อเป็นผู้ที่มีอำนาจในการจัดซือ ผู้โจมตีจะเข้ามาอ่านอีเมลของเหยื่อเป็นระยะเพื่อหาโอกาส
เมื่อสบโอกาสพบว่าเหยื่อกำลังซื้อสินค้าและได้รับอีเมลขาเข้าที่พูดถึงให้การโอนเงินไปเพื่อทำธุรกรรมกับคู่ค้าผู้โจมตีจะทำการลบอีเมลที่ส่งเลขบัญชีจริงมา แล้วส่งอีเมลปลอมเข้ามายังอินบ็อกเพื่อเปลี่ยนเลขบัญชีเป็นเลขบัญชีของผู้โจมตี
เหยื่อโอนเงินไปยังบัญชีปลอม ทำให้ผู้โจมตีได้เงินทั้งหมดไป
เหยื่อรู้ตัวว่าโอนเงินไปยังบัญชีปลอมเมื่อคู่ค้าทวงถามถึงเงินค่าสินค้า

แนวทางการป้องกันและรับมือการโจมตี BEC ในลักษณะดังกล่าว
จากตัวอย่างเหตุการณ์ที่ยกขึ้นมานี้ สามารถแบ่งออกเป็นสามส่วน ดังนี้

ผู้โจมตีเข้าถึงอีเมลได้
เตรียมตัวโอนเงิน
เมื่อโอนเงินไปแล้วพบว่าตกเป็นเหยื่อ

เราสามารถป้องกันการเข้าถึงอีเมลของผู้โจมตีได้โดย

ตรวจสอบการเข้าถึงบัญชีอีเมลที่ผิดปกติ เช่น การตรวจจับความผิดปกติเมื่อพบการเข้าสู่ระบบจากต่างประเทศ
เปิดใช้งานฟีเจอร์เพิ่มความปลอดภัยอย่างการยืนยันตัวตนหลายขั้นตอน
ตรวจสอบและประเมินความปลอดภัยระบบเป็นระยะ

เราสามารถเพิ่มความระมัดระวังในการเตรียมตัวโอนเงินเพื่อป้องกันการโอนเงินไปยังบัญชีที่ผิดได้โดย

ตรวจสอบและยืนยันข้อมูลบัญชีปลายทาง
ตรวจสอบชื่อผู้ส่งอีเมลเมื่อจะทำการโอนเงิน
เพิ่มกระบวนการตรวจสอบอีเมลขาเข้า ตั้งค่าอีเมลให้ถูกต้อง (SPF,DKIM,DMARC) เพื่อป้องกันการได้รับอีเมลปลอม
เพิ่มกระบวนการตรวงสอบการเปลี่ยนแปลงบัญชี เช่น ขอหนังสือรับรองการเปลี่ยนบัญชีอย่างเป็นทางการ

เมื่อเกิดเหตุการณ์ขึ้นแล้ว องค์กรสามารถหาทางรับมือโดยวิเคราะห์ประเด็นดังนี้

กระบวนการโอนเงินเกิดขั้นในลักษณะใด สามารถ recall กลับมาได้หรือไม่?
ตรวจสอบทางเลือกในการระบุหายอดที่โอนและขอ freeze account
องค์กรมีความคุ้มครองในกรณีที่เกิดขึ้นหรือไม่ เช่น มีสินไหมทดแทนที่ช่วยลดความเสียหายได้

แหล่งความรู้เพิ่มเติม

Seven ways to spot a business email compromise in Office 365 https://expel.

เมื่อวันที่ 6 กันยายน 2019 ที่ผ่านมา บริษัท Toyota Boshoku ซึ่งเป็นบริษัทผลิตชิ้นส่วนรถยนต์ในเครือของ Toyota ออกแถลงการณ์แจ้งว่าสูญเสียเงินกว่า 4 พันล้านเยน (37 ล้านดอลลาร์สหรัฐ) เนื่องจากสาขาของ Toyota Boshoku ในยุโรปตกเป็นเหยื่อการหลอกลวงทางอีเมลที่เรียกว่า Business Email Compromise (BEC)

การโจมตีแบบ BEC มักเป็นการหลอกลวงให้บริษัทหลงเชื่อว่ามีการเปลี่ยนแปลงบัญชีที่ต้องโอนเงินกับคู่ค้า และทำการโอนเงินไปยังบัญชีของผู้หลอกลวง ซึ่งในที่นี้สาขาของ Toyota Boshoku ในยุโรปได้ทำการโอนเงินให้กับผู้หลอกลวงไปเมื่อ 14 สิงหาคม 2019 โดยขณะนี้ยังอยู่ระหว่างการสืบสวนเหตุการณ์และพยายามเรียกคืนเงินซึ่งบริษัทจะทำการอัปเดตข่าวสารเมื่อมีความคืบหน้าต่อไป

คำแนะนำในการรับมือกับ BEC

เพิ่มขั้นตอนการยืนยันกับคู่ค้าเมื่อมีการแจ้งเปลี่ยนบัญชีที่ต้องโอนเงินผ่านทางอีเมล โดยอาจเพิ่มว่าต้องมีการแจ้งทางโทรศัพท์ด้วยเบอร์ที่รับทราบอยู่แล้ว (ไม่ใช่เบอร์ในอีเมลเพราะอาจเป็นเบอร์ที่ปลอมแปลงมา) หรือ แจ้งว่าถ้ามีการเปลี่ยนแปลงจริงจะออกจดหมายอย่างเป็นทางการเท่านั้น
ป้องกันการถูกแฮกอีเมลแล้วสวมรอยด้วยการพิจารณาใช้ Multi-factor authentication
พิจารณาอีเมลทุกฉบับอย่างรอบคอบ
ที่มา bleepingcomputer

นักวิจัยพบองค์กรทำข้อมูลหลุดผ่าน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์
ผู้เชี่ยวชาญที่บริษัทข่าวกรองภัยคุกคาม Cyjax ได้วิเคราะห์ไฟล์ที่อัปโหลดโดยองค์กรขึ้นไปบน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์แล้วพบว่าองค์กรได้อัปโหลดเอกสารที่มีข้อมูลสำคัญขึ้นไป นักวิจัยวิเคราะห์เฉพาะเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่อัปโหลดไปยัง Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ที่ไม่เปิดเผยชื่อสามเจ้าเป็นเวลาสามวัน โดย Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ทั้งสามเจ้าที่นำมาวิเคราะห์นี้เปิด public feed ให้ผู้ใช้งานสามารถดูและดาวน์โหลดตัวอย่างไฟล์ที่ผู้ใช้งานคนอื่นอัปโหลดขึ้นไปได้
จากการคัดแยกเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่ถูกอัปโหลดขึ้นไป พบไฟล์ที่ไม่มีอันตราย 200 ไฟล์ซึ่งเป็นใบแจ้งหนี้และคำสั่งซื้อ ในกรณีนี้ผู้เชี่ยวชาญพบว่าบริษัทที่ให้บริการเครื่องมือในการใช้งานที่ได้รับความนิยมสำหรับผู้ดูแลระบบวินโดว์เคยส่งใบคำสั่งซื้อลงใน Sandbox ซึ่งบริษัทไม่สนใจว่าไฟล์เหล่านี้ถูกเผยแพร่สู่สาธารณะผ่าน feed ของ Sandbox
จากการตรวจสอบใบแจ้งหนี้ทำให้เราสามารถระบุได้ว่าใครกำลังใช้ซอฟต์แวร์รวมถึงรายละเอียดการติดต่อของผู้รับผิดชอบในการจัดซื้อในแต่ละองค์กร : นี่เป็นข้อมูลที่มีประโยชน์อย่างยิ่งสำหรับผู้ไม่หวังดีที่ต้องการทำ spear phishing หรือทำการโจมตีด้วย Business Email Compromise (BEC)
นักวิจัยสรุปว่าปริมาณของเอกสารสำคัญที่รวบรวมได้ในเวลาเพียงสามวันก็เพียงพอที่จะทำให้หลายๆ องค์กรขาดความมั่นคง ในหนึ่งเดือนผู้ไม่หวังดีจะมีข้อมูลเพียงพอที่จะกำหนดเป้าหมายหลายอุตสาหกรรมและขโมยข้อมูลประจำตัวของผู้ที่ตกเป็นเหยื่อหลายราย
โดยนักวิจัยแนะนำว่าองค์กรควรทำความเข้าใจการทำงานของ Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ว่าจะมีการแชร์ไฟล์ที่ถูกอัปโหลดให้ผู้ใช้งานคนอื่นสามารถดูและดาวน์โหลดตัวอย่างไฟล์ได้ จึงไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญ

ที่มา:securityaffairs