Alex Weinert ผู้อำนวยการฝ่าย Identity Security จากไมโครซอฟต์ ได้มีการพูดถึงแนวทางการเลือกใช้ Multi-factor authentication (MFA) ในบล็อกล่าสุดของเขาว่า หากเป็นไปได้นั้น ผู้ใช้ทุกคนควรหยุดใช้งานโซลูชันของ MFA ที่ต้องพึ่งการส่งข้อมูลทางเครือข่ายโทรศัพท์ ไม่ว่าจะเป็นข้อความ OTP หรือการโทรเข้ามา และเปลี่ยนไปใช้แอปพลิเคชันหรือ security key

ปัญหาของความปลอดภัยในเครือข่ายโทรศัพท์ที่ทำให้กระทบต่อความปลอดภัยของ MFA เป็นที่ทราบกันดีอยู่แล้ว Weinert ระบุว่าทั้ง SMS และพูดคุยกันในเครือข่ายโทรศัพท์นั้นเป็นรูปแบบของการส่งข้อมูลที่ไม่ถูกเข้ารหัส ส่งให้ผู้ข้อมูลในลักษณะดังกล่าวสามารถถูกดับจับได้โดยเทคนิคการโจมตีผ่าน SDR, FEMTO cell และการโจมตีเครือข่าย SS7 ได้ ลักษณะของการยืนยันตัวตนทางเครือข่ายโทรศัพท์ยังมีความเสี่ยงต่อการโจมตีในลักษณะ SIM swapping ซึ่งเทคนิคการโจมตีแบบวิศวกรรมทางสังคมด้วย

Weinert กล่าวย้ำว่า การยืนยันตัวตนผ่านทางเครือข่ายโทรศัพท์ทั้งในรูปแบบของ SMS หรือสัญญาณเสียงนั้นเป็นวิธีการยืนยันตัวตนที่มีความปลอดภัยต่ำที่สุด สิ่งที่ผู้ใช้งานควรปฏิบัติคือการเปลี่ยนไปใช้โซลูชัน MFA อย่างเช่นแอปพลิเคชันหรือใช้ security key ที่มีความปลอดภัยกว่าแทน

เราขอแนะนำให้ผู้ใช้งานเปิดใช้ฟีเจอร์ MFA เสมอ และหากเป็นไปได้ให้เลือกวิธีการ MFA ที่ปลอดภัยที่สุด แม้วิธีการอย่าง SMS หรือสัญญาณเสียงจะไม่ปลอดภัยภันเท่าที่ควร แต่การมีการป้องกันเอาไว้ก็ยังดีกว่าไม่มีการป้องกันใด ๆ เลย

ที่มา: zdnet.

หน่วยงานกำกับด้านข้อมูลอังกฤษสั่งปรับ British Airways ภายใต้ GDPR กรณีการโจมตีจากกลุ่ม Magecart และปัญหาด้านความปลอดภัย

หน่วยงาน Information Commissioner (ICO) ออกประกาศเมื่อวันที่ 16 ตุลาคม 2563 ว่าจะมีการปรับค่าเสียหายจากสายการบิน British Airways จำนวนกว่า 20 ล้านปอนด์หรือประมาณ 800 ล้านบาท ภายใต้การบังคับใช้ของ GDPR จากกรณีการโจมตีโดยกลุ่ม Magecart ซึ่งส่งผลให้ข้อมูลของลูกค้าสายการบินกว่า 500,000 รายการรั่วไหล

ในเดือนกันยายน 2018 สายการบิน British Airways มีการรายงานต่อ ICO หลังจากมีการตรวจพบการโจมตี การวิเคราะห์การโจมตีบ่งชี้ว่าผู้โจมตีมีการเข้าถึงระบบภายในของสายการบินจนสามารถแก้ไขหน้าเว็บเพจหลักของ British Airways ได้ ด้วยสิทธิ์ดังกล่าว ผู้โจมตีมีการฝังโค้ดเพื่อลักลอบดึงข้อมูลทีผู้ใช้งานกรอกที่หน้าเว็บและส่งมายังระบบของผู้โจมตีตามลักษณะการโจมตีของกลุ่ม Magecart การวิเคราะห์การโจมตียังบ่งชี้ว่า British Airways มีความปลอดภัยที่หละหลวม ไม่มีการบังคับใช้ multi-factor authentication และยังมีการบันทึกรหัสผ่านของบัญชี domain administrator เอาไว้ในไฟล์แบบ plaintext อีกด้วย

จำนวนค่าปรับกว่า 20 ล้านปอนด์นั้นถูกลดมาจาก 183 ล้านปอนด์ตามที่ ICO เคยมีการแจ้งแก่ British Airways ครั้งแรกเมื่อเดือนกรกฎาคม 2019 ทาง ICO มีการอธิบายเพิ่มเติมที่การลดลงของค่าปรับซึ่งหนึ่งในเหตุผลนั้นคือการประเมินจากผลกระทบที่มีต่อสายการบินในกรณีของ COVID-19 ด้วย

ที่มา: theregister

FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure