Google เเก้ไขช่องโหว่ที่จะทำให้ผู้โจมตีสามารถปลอมเเปลงอีเมลเป็นใครก็ได้ใน Gmail และ G Suite หลังจากนิ่งเฉยมานานจนนักวิจัยทำการเปิดเผย

Google แก้ไขช่องโหว่ที่ส่งผลกระทบต่อ Gmail และ G Suite ซึ่งอาจทำให้ผู้โจมตีสามารถส่งอีเมลที่เป็นอันตรายโดยการปลอมแปลงเป็นผู้ใช้ Google หรือลูกค้าขององค์กรรายอื่นๆ ได้

ช่องโหว่ที่ถูกเเก้ไขนี้ถูกเปิดเผยโดย Allison Husain นักวิจัยด้านความปลอดภัยซึ่งได้รายงานถึงช่องโหว่ในระบบการตรวจสอบ Email routing ใน SPF (Sender Policy Framework) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance) โดยช่องโหว่ทำให้ผู้โจมตีสามารถส่งอีเมลในฐานะผู้ใช้รายอื่นหรือลูกค้า G Suite ได้โดยผ่าน Policy การตรวจสอบจาก SPF และ DMARC ซึ้งเป็นมาตฐานการตรวจสอบสแปมและการโจมตีแบบฟิชชิ่ง

Husain อธิบายอีกว่าช่องโหว่นั้มีด้วยกันอยู่ 2 ส่วนคือ

ส่วนเเรกนั้นจะช่วยให้ผู้โจมตีสามารถปลอมเเปลงอีเมลไปยังเกตเวย์อีเมลบนแบ็กเอนด์ของ Gmail และ G Suite ผู้โจมตีสามารถใช้เซิร์ฟเวอร์อีเมลของผู้โจมตีเชื่อมต่อเข้ากับ Gmail หรือ G Suite Backend เพื่อที่จะสามารถส่งเมลออกเป็นโดเมนของเหยื่อได้
ส่วนที่สองผู้โจมตีสามารถกำหนด Email routing rules เพื่อรับอีเมลและสามารถ Forward ต่อได้ในขณะเดียวกันก็สามารถปลอมแปลงอีเมลเป็นลูกค้า Gmail หรือ G Suite โดยใช้ฟีเจอร์ “Change envelope recipient” เพื่อใช้ผ่านการตรวจสอบของ SPF และ DMARC ซึ่งช่วยให้ผู้โจมตีสามารถสวมสิทธิ์เป็นลูกค้าและทำการส่งข้อความที่ปลอมแปลงได้

หลังจาก Husain พบช่องโหว่เธอได้ส่งรายงานช่องโหว่ให้ Google เเก้ไขเมื่อวันที่ 3 เมษายนที่ผ่านมาเเต่ Google กลับนิ่งเฉยและไม่ได้รับการเเก้ไขจนวันที่ 19 สิงหาคมที่ผ่านมาเธอจึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะและไม่กี่ชั่วโมงต่อมา Google ได้ทำการเเก้ไขช่องโหว่โดยใช้เวลาในเเก้ไขไป 7 ชั่วโมง

ที่มา: zdnet | bleepingcomputer

FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure

ข้อมูลในจดหมายซึ่งถูกส่งไปที่กรมความมั่นคงแห่งมาตุภูมิ โดย Sen. Ron Wyden (D-OR) เมื่อวันอังคารที่ 18 July 2017 ที่ผ่านมาระบุว่าได้มีการเรียกร้องหน่วยงานรัฐบาลกลางให้ทำการพัฒนาวิธีการควบคุมเรื่อง e-mail ให้รัดกุมมากขึ้นเพื่อป้องกัน hacker จากการแอบอ้างตัวเองว่าเป็นคนจากหน่วยงานรัฐ Wyden เรียกการใช้ email protocol นี้ว่า Domain-based Message Authentication, Reporting and Conformance (DMARC) ซึ่งสามารถใช้ในการ filter หรือ block พวก spoofed email ซึ่งใช้ domain จริงในการส่ง แต่ว่าถูกส่งมาจากบุคคลที่สาม หรือจาก attacker
DMARC จะคอยปัด email spoofing ทิ้ง ซึ่งพวกนี้จะเป็นศูนย์กลางสำหรับการโจมตี Phishing อยู่แล้ว หลักการทำงานของ DMARC คือจะคอยตรวจเช็ค email กับ Domain Keys Identified Mail และกับ Sender Policy Framework validation systems ถ้าการตรวจสอบดังกล่าวผ่านทุกเงื่อนไข email ก็จะถูกปล่อยให้ผ่านไปยังผู้รับ แต่หากไม่ผ่านเงื่อนไข email นั้นจะถูกกักไว้ หรืออาจถูก blocked Phishing ยังคงเป็นภัยคุกคามที่ถูกใช้งานอย่างแพร่หลาย ไม่ใช่เพียงแค่จาก cybercriminals ซึ่งสนใจในเรื่องของการโกง และอาชญากรรมทางการเงินต่างๆ แต่ถูกใช้ในการโจมตีโดย nation-state attackers ด้วยเช่นกัน

ที่มา : threatpost