FBI Warns of BEC Attacks Abusing Microsoft Office 365, Google G Suite

FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure