ทีม CPIRT (Check Point’s Incident Response Team) ซึ่งเป็นทีมตอบสนองภัยคุกคามไซเบอร์ของบริษัท Check Point ได้เผยแพร่กรณีศึกษาเหตุการณ์ที่บริษัทธุรกิจการเงินขนาดใหญ่ 3 แห่งในสหราชอาณาจักรและอิสราเอลถูกหลอกให้โอนเงินไปยังบัญชีธนาคารของอาชญากรเป็นจำนวนถึง 1.1 ล้านปอนด์ โดยทางบริษัทสามารถนำเงินกลับคืนมาได้เพียง 5.7 แสนปอนด์เท่านั้น ทางทีม CPIRT ได้เข้าไปตรวจสอบเหตุการณ์ที่เกิดขึ้นและเปิดเผยถึงขั้นตอนและกลวิธีที่ผู้ไม่หวังดีใช้ในการโจมตีครั้งนี้
CPIRT ได้ตั้งชื่อกลุ่มผู้ไม่หวังดีที่ทำการโจมตีในครั้งนี้ว่า Florentine Banker โดยกลุ่มดังกล่าวได้ใช้เวลาหลายเดือนในการเฝ้าติดตามและศึกษาข้อมูลเป้าหมายเพื่อหลอกให้โอนเงินไปยังบัญชีธนาคารของพวกเขา โดยบริษัทที่ตกเป็นเป้าหมายการโจมตีดังกล่าวได้ใช้ Office 365 ในการรับส่งอีเมลเป็นหลักตลอดทั้งองค์กร ทั้งนี้ เหตุการณ์ดังกล่าวมีหลายประเด็นที่สามารถนำมาใช้เป็นกรณีศึกษาได้ทั้งในแง่ของแนวทางการโจมตี การรับมือ และการป้องกัน
ในขั้นตอนแรกของการโจมตี กลุ่ม Florentine Banker ได้ส่งอีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย โดยโจมตีไปยังผู้บริหารระดับสูง เช่น CEO, CFO หรือบุคคลากรที่มีส่วนรับผิดชอบด้านธุรกรรมการเงิน เพื่อหลอกเอาข้อมูลบัญชีอีเมลของเหยื่อและเก็บรวบรวมข้อมูลภาพรวมด้านการเงินของบริษัท
เมื่อได้บัญชีอีเมลและข้อมูลโดยรวมแล้ว ผู้โจมตีจะศึกษาเนื้อหาในอีเมลของเหยื่อเพื่อเลือกเป้าหมายและหาข้อมูลเพิ่มเติม โดยในกรณีนี้ ผู้โจมตีได้มุ่งเป้าเพื่อหาช่องทางที่ใช้โอนเงิน ความสัมพันธ์ของเหยื่อกับบุคคลที่สาม (เช่น ลูกค้า ฝ่ายบัญชี ธนาคาร) พร้อมทั้งหาข้อมูลบุคคลที่มีตำแหน่งสำคัญอื่น ๆ ในองค์กรด้วย โดยหลังจากผู้โจมตีได้ศึกษาข้อมูลจนเพียงพอแล้ว จะตัดการสื่อสารของเหยื่อกับบุคลลอื่น ๆ โดยจะสร้างกฎการรับอีเมล (mailbox rule) เพื่อให้อีเมลที่มีคำว่า “invoice”, “returned”, หรือ “failed” ถูกกรองออกมาและย้ายอีเมลดังกล่าวไปอยู่ในกล่องที่ผู้ใช้ไม่ค่อยเปิดเข้าไปอ่าน เช่น กล่องที่ชื่อ “RSS Feed” จุดประสงค์เพื่อคัดแยกเฉพาะอีเมลที่มีเนื้อหาที่เป็นประโยชน์สำหรับการโจมตี
หลังจากนั้น ผู้โจมตีจะสวมรอยเป็นบุคคลที่สาม โดยจดทะเบียนชื่อโดเมนปลอมให้มีชื่อใกล้เคียงกับโดเมนจริงของบริษัทที่ต้องการสวมรอย (เช่น เปลี่ยนตัวสะกด หรือเติมอักขระบางตัวเข้ามาในชื่อโดเมน) จากนั้นส่งอีเมลภายใต้ชื่อโดเมนปลอมดังกล่าวเพื่อสร้างบทสนทนาใหม่หรือต่อบทสนทนาเดิมที่มีอยู่ หากเหยื่อไม่ระวังและไม่ได้สังเกตว่ากำลังคุยอยู่กับตัวปลอม ก็จะหลงเชื่อและอาจตกลงซื้อสินค้าหรือบริการได้ สุดท้ายเมื่อผู้โจมตีสามารถล่อลวงให้เหยื่อติดกับได้แล้ว ก็จะส่งข้อมูลบัญชีธนาคารของผู้โจมตีมาหลอกให้เหยื่อโอนเงินไป
เทคนิคที่ทาง Florentine Banker ใช้เพิ่มเพิ่มความแนบเนียนและความน่าเชื่อถือ คือการรวบรวมข้อมูลจนรู้ว่าบริษัทที่กำลังถูกสวมรอยอยู่นั้นไม่มีบัญชีธนาคารในสหราชอาณาจักร ทางผู้โจมตีจึงไปเปิดบัญชีธนาคารใหม่แล้วหลอกให้เหยื่อโอนเงินไปยังบัญชีดังกล่าว แทนที่จะเป็นบัญชีเดิมที่อยู่ต่างประเทศ โดยอ้างว่ากระบวนการโกงเงินในประเทศนั้นใช้ระยะเวลาดำเนินการที่รวดเร็วกว่า อีกทั้งทางผู้โจมตีได้ศึกษาข้อมูลทั้งกระบวนการโอนเงิน กระบวนการตรวจสอบเอกสาร และกระบวนการอนุมัติจากผู้ที่เกี่ยวข้อง จนสามารถปลอมเป็นเจ้าหน้าที่ธนาคารเพื่อหลอกให้พนักงานของบริษัทเชื่อถือว่าบัญชีธนาคารที่ผู้โจมตีเปิดขึ้นมาใหม่นั้นเป็นบัญชีของบริษัทจริง ๆ ยิ่งไปกว่านั้น ทางผู้โจมตียังคอยติดตามสถานการณ์โอนเงินจากทางธนาคารตัวจริงด้วย โดยหากธนาคารปฏิเสธการโอนเงินไม่ว่าจะด้วยจากเหตุผลใด ๆ ทางผู้โจมตีจะพยายามสวมรอยแก้ไขปัญหาจนกระทั่งการโอนเงินสำเร็จ นอกจากนี้ ทาง Check Point ยังพบว่ากลุ่ม Florentine Banker ได้จดโดเมนปลอมไว้มากถึง 39 โดเมน จุดประสงค์เพื่อแอบอ้างสวมรอยเป็นบริษัทหรือผู้ติดต่อทางธุรกิจที่บริษัทของเหยื่อได้ติดต่อด้วย
จากเหตุการณ์นี้ จะเห็นว่าบริษัทที่ติดต่อเจรจาเพื่อทำธุรกรรมทางการเงินผ่านอีเมลนั้นมีโอกาสสูงที่จะตกเป็นเป้าหมายของการโจมตีประเภทแอบอ้างสวมรอยเพื่อหลอกให้โอนเงิน ซึ่งอาจก่อให้เกิดความเสียหายแก่องค์กรได้ เพื่อป้องกันไม่ให้ตกเป็นเหยื่อ บริษัทควรตั้งค่ามาตรการรักษาความมั่นคงปลอดภัยของอีเมลให้เหมาะสมและปรับปรุงมาตรการเหล่านี้อย่างต่อเนื่อง พร้อมทั้งควรให้ความรู้เรื่องการสังเกตและป้องกันอีเมลฟิชชิ่งแก่พนักงานในบริษัททุกระดับชั้น โดยเฉพาะอย่างยิ่งผู้ที่มีส่วนเกี่ยวข้องกับการอนุมัติธุรกรรมทางการเงิน นอกจากนี้การทำธุรกรรมการเงินใด ๆ ควรเพิ่มขั้นตอนการตรวจสอบอีกอย่างน้อย 1 ขั้นตอน ด้วยการโทรศัพท์สอบถามเพื่อยืนยันกับผู้โอนเงินหรือผู้รับเงิน และหากเกิดการโจมตีคล้ายเหตุการณ์ข้างต้นควรแจ้งให้คู่ค้าทางธุรกิจทราบด้วยความรวดเร็ว
———————————————————————
ที่มา : ThaiCERT / 28 เมษายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-04-28-01.html
