FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure

ในช่วงนี้ข่าวที่เป็นที่จับตามองข่าวหนึ่งคือข่าวของบริษัท สตาร์ ปิโตรเลียม รีไฟน์นิ่ง จำกัด (มหาชน) หรือ SPRC ระบุในงบการเงินประจำไตรมาส 4 ปี 2562 ว่าค่าใช้จ่ายในการบริหารในช่วงดังกล่าวเพิ่มขึ้นเป็น 31 ล้านดอลลาร์สหรัฐฯ จาก 8 ล้านดอลลาร์สหรัฐฯ (ส่วนต่างคือ 23 ล้านดอลลาร์สหรัฐฯ ประมาณ 690 ล้านบาท) โดยเพิ่มมาจากการถูกโจมตีธุรกรรมทางอีเมลในช่วงปลายปีที่ผ่านมา ทำให้มีการชำระเงินไปยังบัญชีที่ไม่ถูกต้อง หลังเกิดเหตุการณ์บริษัทได้ดำเนินการร่วมกับผู้เชี่ยวชาญด้านไอทีทั้งภายในและภายนอกทันทีในการตรวจสอบหาสาเหตุและได้เพิ่มระบบป้องกันภายในให้แข็งแกร่งมากขึ้น โดย SPRC ยังคงทำงานร่วมกับหน่วยงานที่เชี่ยวชาญในการเรียกคืนค่าเสียหายดังกล่าว แต่ได้มีการรับรู้ค่าเสียหายในงบการเงินในไตรมาส 4/2562 ไว้ก่อน

 

 

ในปัจจุบันนี้ยังไม่มีรายละเอียดเชิงลึกโดยตรงว่า SPRC ถูกโจมตีแบบใด แต่ถ้าวิเคราะห์บริบทในรายงานดังกล่าวว่าเกิดจากการ “ถูกโจมตีธุรกรรมทางอีเมลจนสูญเสียรายได้” ลักษณะดังกล่าวจะไปตรงกับการโจมตีที่มีชื่อเรียกว่า Business Email Compromise (BEC) หรือในบางครั้งอาจถูกเรียกว่า Email Account Compromise (EAC)

 

 

ในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัดจะมานำเสนอรายละเอียดเกี่ยวกับการโจมตีแบบ Business Email Compromise (BEC) เพื่อให้องค์กรเตรียมรับมือค่ะ

 
Business Email Compromise (BEC) คืออะไร
Business Email Compromise (BEC) หมายถึงการโจมตีผ่านอีเมลเพื่อหลอกให้สูญเสียรายได้ผ่านทางอีเมล เป็นลักษณะของการทำ Social Engineering โดยนอกเหนือจากการหลอกลวงทางอีเมลแล้วอาจมีการใช้วิธีเพิ่มเติมเพื่อเร่งรัดให้เหยื่อตกใจและรีบดำเนินการเพิ่มเติมด้วยการโทรศัพท์ ซึ่งสถิติจาก FBI ระบุว่ามีการโจมตีในรูปแบบดังกล่าวเริ่มตั้งแต่ปี 2013 โดยทาง FBI ได้ยกตัวอย่างสถานการณ์การโจมตีแบบ BEC ไว้ 5 สถานการณ์ดังต่อไปนี้

สถานการณ์ที่ 1 เหยื่อของการโจมตีในลักษณะนี้มักเป็นองค์กรที่มีซื้อของกับคู่ค้าจากต่างประเทศ ซึ่งผู้โจมตีจะทำอีเมลปลอมใบแจ้งหนี้หลอกให้เหยื่อเชื่อว่ามีการเปลี่ยนแปลงเลขบัญชีจนเหยื่อหลงโอนเงินไปยังบัญชีของผู้โจมตี

สถานการณ์ที่ 2 ผู้โจมตีจะปลอมเป็น CEO หรือผู้บริหารลำดับสูงตำแหน่งอื่นๆ ขององค์กรแล้วทำการส่งอีเมลสั่งพนักงานว่าให้โอนเงินด่วนเพื่อทำกิจกรรมบางอย่าง โดยอีเมลของ CEO อาจถูกแฮกมาก่อนแล้วหรือผู้โจมตีใช้วิธีปลอมแปลงอีเมล

สถานการณ์แบบที่ 3 อีเมลของบุคลากรที่เป็นผู้ติดต่อธุรกิจถูกแฮก ทำให้ผู้โจมตีสามารถส่งอีเมลหาลูกค้าขององค์กรว่ามีการเปลี่ยนแปลงให้โอนเงินไปยังบัญชีอื่นๆ เพื่อชำระค่าสินค้า

สถานการณ์แบบที่4 ผู้โจมตีติดต่อมายังองค์กรโดยหลอกว่าตัวเองเป็นทนายหรือที่ปรึกษาด้านกฏหมาย หลอกว่าสามารถช่วยเหลือองค์กรด้านกฏหมายได้ แล้วกดดันให้เหยื่อโอนเงินเพื่อดำเนินการด่วน

สถานการณ์แบบที่ 5 ผู้โจมตีแฮกเข้าถึงบัญชีอีเมลของพนักงานในองค์กรแล้วหลอกสอบถามเพื่อจารกรรมข้อมูล โดย FBI ระบุว่ารูปแบบนี้เริ่มต้นในช่วงปี 2016

โดยทัั้ง 5 สถานการณ์นี้เป็นเพียงตัวอย่างในการหลอกลวงเท่านั้น อาจพบการหลอกลวงได้อีกหลายรูปแบบรวมถึงอาจมีการใช้เทคนิคอื่นๆ เพื่อนำไปสู่การโอนเงินไปยังบัญชีของผู้โจมตีได้อีก

 
ข้อมูลที่น่าสนใจเกี่ยวกับ BEC
รายงานเกี่ยวกับสถานการณ์ภัยคุกคามทางอีเมลใน Q2 2019 ของ FireEye ระบุว่าภัยคุกคามทางอีเมลมีมัลแวร์มาด้วยแค่ 14% ส่วนอีก 86% ไม่มีมัลแวร์ แต่เป็นภัยคุกคามประเภทอื่นๆ อย่างอีเมลปลอมเป็น CEO (CEO fraud) , อีเมลปลอมตัวเป็นคนอื่น และ spear phishing โดยมีอีเมลในรูปแบบ Business Email Compromise (BEC) เพิ่มขึ้น 25%

 

 

FBI's 2019 Internet Crime Report รายงานล่าสุดของ FBI ที่เพิ่งออกเมื่อช่วงต้นเดือนกุมภาพันธ์ 2020 ระบุว่าจากการแจ้งความเกี่ยวกับการโจมตีทางไซเบอร์ทั้งหมด 467,361 รายการ คิดเป็นการสูญเสียเงินกว่า 3.5 พันล้านดอลลาร์สหรัฐ โดยกว่าครึ่งหนึ่งของการสูญเสียเงิน (1.77 พันล้านดอลลาร์สหรัฐ) เกิดจากการโจมตีในรูปแบบของ BEC

 

 

องค์การตำรวจอาชญากรรมระหว่างประเทศ (INTERPOL) ออกรายงานสรุปภัยคุกคามทางไซเบอร์ในภูมิภาคอาเซียนเมื่อวันที่ 17 กุมภาพันธ์ 2020 ระบุว่าในภูมิภาคอาเซียนนี้ถูกโจมตีในลักษณะของ BEC คิดเป็น 5% ของทั้งโลก

 

 

INTERPOL ระบุว่าการถูกโจมตีแบบ BEC มักไม่ถูกรายงานเพราะองค์กรกลัวเสียชื่อเสียง ทำให้ไม่สามารถวิเคราะห์ข้อมูลความสูญเสียที่แท้จริงและแนวโน้มได้ รวมถึงการตามเงินคืนจาก BEC มักเจอทางตันเมื่อเจอกระบวนการฟอกเงิน เฉลี่ยแล้วการโจมตี BEC ที่สำเร็จจะได้เงินราวๆ 130,500 ดอลลาร์สหรัฐ (ประมาณ 4 ล้านบาท)

INTERPOL วิเคราะห์ว่าการโจมตีแบบ BEC จะไม่หายไปในเร็วๆ นี้อย่างแน่นอน เพราะลงทุนน้อยแต่ได้เงินมาก ผู้โจมตีที่หลอกลวงแบบอื่นๆ ต่างหันมาโจมตีแบบ BEC และไม่โจมตีแบบหว่านแห เน้นไปทาง targeted attack เพื่อหวังผล

 

 
การโจมตีแบบ BEC ที่ไอ-ซีเคียวเคยรับมือ
ในช่วงปี 2019 ที่ผ่านมาทีมตอบสนองการโจมตีและภัยคุกคามได้วิเคราะห์ข้อมูลรวมถึงช่วยสืบหาต้นตอการโจมตีในรูปแบบ BEC ที่เกิดขึ้นหลายครั้ง โดยเหตุการณ์ที่พบส่วนใหญ่มีความคล้ายคลึงกัน โดยสามารถสรุปเป็นกระบวนการในการโจมตีได้ดังนี้

ผู้โจมตีเริ่มโจมตีด้วยการทำ Phishing เพื่อหลอกเอาบัญชีผู้ใช้และรหัสผ่านอีเมลของบุคคลในองค์กรไป
ผู้โจมตีเข้าถึงอีเมล ฝังตัว และติดตามอ่านอีเมลของเหยื่อเพื่อหาช่องทางในการโจมตี โดยอาจมีการค้นหาด้วยคำค้นที่บ่งบอกถึงการทำธุรกรรมทางการเงินอย่าง invoice, PO, Purchase Order, statement เป็นต้น รวมถึงอาจมีการ forward อีเมลที่มีคำค้นดังกล่าวไปยังอีเมลของผู้โจมตี
ในกรณีที่ผู้โจมตีพบว่าไม่สามารถใช้ประโยชน์จากบัญชีอีเมลของเหยื่อได้ ผู้โจมตีจะหาวิธีส่ง phishing ภายในรายชื่อผู้ติดต่อทางอีเมลทั้งหมดเพื่อหาเหยื่อรายอื่นๆ ซึ่งองค์กรอาจรู้ตัวในขั้นนี้
ในกรณีที่ผู้โจมตีสามารถหาช่องทางใช้ประโยชน์จากอีเมลของเหยื่อรายนี้ได้ เช่น ทราบว่าเหยื่อเป็นผู้ที่มีอำนาจในการจัดซือ ผู้โจมตีจะเข้ามาอ่านอีเมลของเหยื่อเป็นระยะเพื่อหาโอกาส
เมื่อสบโอกาสพบว่าเหยื่อกำลังซื้อสินค้าและได้รับอีเมลขาเข้าที่พูดถึงให้การโอนเงินไปเพื่อทำธุรกรรมกับคู่ค้าผู้โจมตีจะทำการลบอีเมลที่ส่งเลขบัญชีจริงมา แล้วส่งอีเมลปลอมเข้ามายังอินบ็อกเพื่อเปลี่ยนเลขบัญชีเป็นเลขบัญชีของผู้โจมตี
เหยื่อโอนเงินไปยังบัญชีปลอม ทำให้ผู้โจมตีได้เงินทั้งหมดไป
เหยื่อรู้ตัวว่าโอนเงินไปยังบัญชีปลอมเมื่อคู่ค้าทวงถามถึงเงินค่าสินค้า

แนวทางการป้องกันและรับมือการโจมตี BEC ในลักษณะดังกล่าว
จากตัวอย่างเหตุการณ์ที่ยกขึ้นมานี้ สามารถแบ่งออกเป็นสามส่วน ดังนี้

ผู้โจมตีเข้าถึงอีเมลได้
เตรียมตัวโอนเงิน
เมื่อโอนเงินไปแล้วพบว่าตกเป็นเหยื่อ

เราสามารถป้องกันการเข้าถึงอีเมลของผู้โจมตีได้โดย

ตรวจสอบการเข้าถึงบัญชีอีเมลที่ผิดปกติ เช่น การตรวจจับความผิดปกติเมื่อพบการเข้าสู่ระบบจากต่างประเทศ
เปิดใช้งานฟีเจอร์เพิ่มความปลอดภัยอย่างการยืนยันตัวตนหลายขั้นตอน
ตรวจสอบและประเมินความปลอดภัยระบบเป็นระยะ

เราสามารถเพิ่มความระมัดระวังในการเตรียมตัวโอนเงินเพื่อป้องกันการโอนเงินไปยังบัญชีที่ผิดได้โดย

ตรวจสอบและยืนยันข้อมูลบัญชีปลายทาง
ตรวจสอบชื่อผู้ส่งอีเมลเมื่อจะทำการโอนเงิน
เพิ่มกระบวนการตรวจสอบอีเมลขาเข้า ตั้งค่าอีเมลให้ถูกต้อง (SPF,DKIM,DMARC) เพื่อป้องกันการได้รับอีเมลปลอม
เพิ่มกระบวนการตรวงสอบการเปลี่ยนแปลงบัญชี เช่น ขอหนังสือรับรองการเปลี่ยนบัญชีอย่างเป็นทางการ

เมื่อเกิดเหตุการณ์ขึ้นแล้ว องค์กรสามารถหาทางรับมือโดยวิเคราะห์ประเด็นดังนี้

กระบวนการโอนเงินเกิดขั้นในลักษณะใด สามารถ recall กลับมาได้หรือไม่?
ตรวจสอบทางเลือกในการระบุหายอดที่โอนและขอ freeze account
องค์กรมีความคุ้มครองในกรณีที่เกิดขึ้นหรือไม่ เช่น มีสินไหมทดแทนที่ช่วยลดความเสียหายได้

แหล่งความรู้เพิ่มเติม

Seven ways to spot a business email compromise in Office 365 https://expel.

Abuse.ch ออก "I Got Phished" ส่งคำเตือนไปยังองค์กรเมื่อพบว่าบุคลากรในองค์กรหลงเชื่อ Phishing

“I Got Phished" คือโปรเจคจาก Abuse.

พบเบอร์โทรของผู้ใช้ Facebook 267 ล้านคนรั่วไหลบนฐานข้อมูล

นักวิจัยด้านการรักษาความปลอดภัย Bob Diachenko พบฐานข้อมูลที่โพสต์อยู่บนฟอรั่มของแฮกเกอร์ เปิดให้ดาวน์โหลดในวันที่ 12 ธันวาคม ที่ผ่านมาก่อนจะถูกลบออก ฐานข้อมูลดังกล่าวมีข้อมูลกว่า 267 ล้านรายการ ประกอบด้วยหมายเลข Facebook ID ซึ่งเป็นเลขสาธารณะที่ใช้ระบุผู้ใช้งาน เบอร์โทรศัพท์ของผู้ใช้งาน ชื่อเต็ม และ Timestamp โดยข้อมูลส่วนใหญ่มาจากผู้ใช้งาน Facebook ในสหรัฐอเมริกา ยังไม่ทราบว่าข้อมูลดังกล่าวถูกรวบรวมจาก Facebook ได้อย่างไรแต่นักวิจัยคาดว่าข้อมูลจะมาจากการเรียก Facebook API ในช่วงเวลาก่อนที่ Facebook API จะปิดไม่ให้สามารถเข้าถึงเบอร์โทรศัพท์ได้ในช่วงปี 2018

ข้อมูลที่พบในฐานข้อมูลนี้สามารถเอาไปโจมตีแบบ Spam หรือ Phishing ได้ โดยนักวิจัยแนะนำให้ปรับตั้งค่าการแสดงข้อมูลใน Facebook เป็น private เพื่อช่วยลดการมองเห็นจากบุคคลที่สาม

ที่มา : 267M Facebook Users’ Phone Numbers Exposed Online

แฮกเกอร์หันมาใช้ SharePoint และเอกสาร OneNote ที่ถูกแฮกเพื่อโจมตีเหยื่อในธุรกิจธนาคารและการเงินโดยการทำฟิชชิ่ง
ผู้โจมตีใช้ประโยชน์จากโดเมนที่ใช้โดยแพลตฟอร์มการทำงานร่วมกันบน SharePoint ของ Microsoft ที่มักจะถูกมองข้ามโดยการรักษาความปลอดภัยเกตเวย์ของอีเมล ซึ่งจะทำให้ข้อความฟิชชิ่งมักเข้าถึงกล่องข้อความเป้าหมายได้โดยไม่มีการตรวจพบ

อีเมลฟิชชิ่งดังกล่าวจะถูกส่งโดยบัญชีที่ถูกแฮกและขอให้เป้าหมายประเมินข้อกฎหมายส่วนบุคคลผ่าน URL SharePoint ที่มากับข้อความภายในอีเมล เมื่อเหยื่อเข้าไปตามลิงค์ดังกล่าวจะพบเอกสารที่อ่านไม่ได้ที่มีลิงค์นำไปยังหน้าฟิชชิ่ง เมื่อเป้าหมายเข้าถึงหน้าฟิชชิ่ง พวกเขาจะเห็นเป็นหน้าเลียนแบบ OneDrive for Business และมีข้อความว่า “เอกสารนี้ปลอดภัย โปรดเข้าสู่ระบบเพื่อดู แก้ไข หรือดาวน์โหลด เลือกตัวเลือกด้านล่างเพื่อดำเนินการต่อ” โดยจะมีตัวเลือกจะให้เลือกว่าจะเข้าสู่ระบบด้วยบัญชี Office 365 หรือบัญชีผู้ให้บริการอีเมลอื่น ซึ่งเทคนิคฟิชชิ่งถูกออกแบบมาในการเก็บข้อมูลส่วนตัวถ้าเป้าหมายไม่ได้ต้องการเข้าสู่ระบบด้วยบัญชี Microsoft

เมื่อเหยื่อหลงกรอกข้อมูล ข้อมูลของเหยื่อจะถูกเก็บด้วยฟิชชิ่ง kit ของ BlackShop Tools และบัญชีของเหยื่อก็ถูกใช้โจมตีต่อไป

ผู้ที่สนใจสามารถอ่านรายงานการค้นพบดังกล่าวพร้อมกับดูรายการ IOC ของแคมเปญนี้ได้จากรายงานของ Cofense ที่ https://cofense.

Hostinger ผู้ให้บริการเว็บโฮสติงทำการรีเซตรหัสผ่านของลูกค้าทั้งหมด หลังจากพบว่าแฮกเกอร์สามารถเข้าถึงระบบและฐานข้อมูลที่มีข้อมูลจำนวนนับล้านรายการ เมื่อวันที่ 23 สิงหาคมที่ผ่านมา ซึ่งส่งผลกระทบกับผู้ใช้ถึง 14 ล้านคน

Daugirdas Jankus หัวหน้าเจ้าหน้าที่การตลาดของ Hostinger ได้อธิบายว่า "แฮกเกอร์สามารถเข้าถึงระบบ API ภายในของบริษัท และสามารถเข้าถึงรหัสผ่านที่มีการจัดเก็บในรูปแบบของ Hash และข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลทางการเงินของลูกค้า อาทิ ชื่อผู้ใช้, ที่อยู่เมล์, ip addresses แต่ทางบริษัทยื่นยันว่าการละเมิดข้อมูลดังกล่าวไม่กระทบกับข้อมูลทางการเงินของลูกค้าเนื่องจากมีการจัดเก็บข้อมูลไว้กับ Third-party

ลูกค้าที่ได้รับผลกระทบควรระมัดระวังการโจมตีในลักษณะของ Phishing ที่อ้างว่ามาจาก Hostinger

ที่มา Grahamcluley

US National Trade Association ALTA เตือนให้ระวังการขโมยข้อมูล

American Land Title Association (ALTA) เผยแพร่คำเตือนเกี่ยวกับรายชื่อบริษัทนับร้อยที่ถูกขโมย ซึ่งเป็นส่วนหนึ่งของแคมเปญของ Phishing ที่มีเป้าหมายคือสมาชิก ALTA

ALTA กล่าวเตือนว่ามีบุคคลอ้างว่าเป็นแฮกเกอร์ที่ติดต่อ ALTA ผ่าน Twitter และมอบไฟล์ที่มีข้อมูลประมาณ 600 รายการ ประกอบด้วย Domain, IP address, Usernames และ Passwords โดยจากการวิเคราะห์ข้อมูลไม่ทราบที่มาว่าข้อมูลเหล่านี้หลุดได้อย่างไร โดยพบอีเมล 182 อีเมลที่ไม่ซ้ำกันและโดเมน 154 โดเมน

ALTA แนะนำว่าบริษัทที่อาจได้รับผลกระทบสามารถปกป้องระบบของพวกเขาจากการโจมตีในอนาคตโดย สแกนระบบและอุปกรณ์เพื่อให้แน่ใจว่าปลอดจากมัลแวร์, อัปเดตซอฟต์แวร์และระบบปฏิบัติการ, ให้พนักงานอัปเดตและเปลี่ยนรหัสผ่านระบบโดยเฉพาะผู้ที่มีข้อมูลลูกค้าและบริการธนาคาร

อีเมลที่น่าสงสัยที่ได้รับจากสมาชิก ALTA ควรรายงานต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตแห่งชาติของสำนักงานสืบสวนกลางพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์การโจรกรรมข้อมูลนี้เพื่อส่งให้เจ้าหน้าที่ของ ALTA โดยส่งอีเมลไปยัง vulnerabilities@americanlandtitleassociation.

พบ Phishing campaign ใหม่ ปลอมเป็นการแจ้งเตือนจาก Office 365 Team ที่ระบุว่า "Unusual volume of file deletion" บนบัญชีผู้ใช้งาน

เมื่อหลงเชื่อกดลิงก์ View alert details" ในอีเมล จะมีการเปิดหน้า Office 365 ปลอมที่สร้างไว้บนบริการ Web Hosting ของ Microsoft ทำให้เว็บไซต์ปลอมดังกล่าวมีการใช้งาน SSL Certificate ที่เป็นของ Microsoft เพื่อหลอกให้ป้อนรหัสผ่าน

ข้อมูลที่กรอกจะถูกส่งไปที่ hxxps://moxxesd.

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

เมื่อต้นปีที่ผ่านมา นักวิจัยด้านความปลอดภัยได้เผยแพร่เครื่องมือที่สามารถทำการโจมตีแบบฟิชชิ่งและยังสามารถเข้าสู่บัญชีได้โดยเลี่ยงการป้องกัน two-factor authentication (2FA)

Modlishka เครื่องมือใหม่นี้ถูกสร้างขึ้นโดย Piotr Duszyński นักวิจัยชาวโปแลนด์ ใช้วิธี reverse proxy ทำการปรับเปลี่ยนทราฟฟิกขาเข้าจากผู้ใช้เพื่อขโมยข้อมูลจากผู้ใช้เป้าหมาย

Modlishka ตั้งอยู่ระหว่างผู้ใช้เป้าหมายและเว็บไซต์ เช่น Gmail, Yahoo หรือ ProtonMail ผู้ที่ตกเป็นเหยื่อฟิชชิ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ Modlishka (โฮสต์โดเมนฟิชชิ่ง) และ reverse proxy ส่งคำขอไปยังเว็บไซต์ที่ต้องการปลอม

Modlishka ยังจัดการระบบ 2FA ได้ เนื่องจากสามารถรวบรวมโทเค็น 2FA แบบเรียลไทม์ได้โดยไม่ต้องใช้เทมเพลตปลอมใด ๆ พวกเขาสามารถใช้เข้าสู่บัญชีของเหยื่อและสร้างเซสชันใหม่ได้อย่างถูกต้องแต่ผู้โจมตีต้องมีชื่อโดเมนฟิชชิ่ง (ไปยังโฮสต์บนเซิร์ฟเวอร์ Modlishka) และใบรับรอง TLS ที่ถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้เมื่อขาดการเชื่อมต่อ HTTPS

โดยสุดท้ายนั้นเมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Modlishka จะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นของจริงและถูกต้องเพื่อไม่ให้ผู้ใช้งานสงสัยและป้องกันไม่ให้ผู้ใช้งานสังเกตความผิดปกติของโดเมนเนมปลอมที่ผู้โจมตีสร้างขึ้น

ที่มา:zdnet.