การโจมตีด้วย Whaling Attack (Whaling Phishing)

23 พฤศจิกายน 2022

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Phishing การหลอกลวงทางไซเบอร์ที่พบกันบ่อยและพบมานาน ซึ่งจะมีรูปแบบการโจมตีที่แตกต่างกันไป เช่น Phishing, Whaling phishing และ Spear phishing โดยส่วนใหญ่มักจะมุ่งหมายเพื่อหลอกขอข้อมูลส่วนตัว หรือ รหัสผ่าน  โดยสำหรับในองค์กรการหลอกลวงที่พบและก่อความเสียหายมากที่สุดประเภทหนึ่งก็คือ Whaling phishing หรือ Whaling attack เพราะจะเป็นการโจมตีมุ่งเป้าไปที่พนักงานที่ตำแหน่งระดับสูง โดยเฉพาะประธานฝ่ายบริหารหรือฝ่ายการเงิน เพื่อขโมยข้อมูลที่ละเอียดอ่อน และส่งผลกับองค์กร 

เนื่องจากลักษณะการกำหนดเป้าหมายไปที่บุคคลระดับสูง การโจมตีประเภทนี้มักจะตรวจจับและป้องกันได้ยากกว่าการโจมตีแบบ Phishing โดยทั่วไป เพราะในบางครั้งผู้บริหารมักได้รับสิทธิในส่วนต่าง ๆ มากกว่าพนักงานทั่วไป ดังนั้น นอกจากผู้ดูแลระบบความปลอดภัยในองค์กรจะมีบทบาทสำคัญที่จะช่วยลดความรุนแรงของการโจมตีด้วยเครื่องมือป้องกันต่าง ๆ แล้ว แต่อีกเรื่องที่สำคัญไม่แพ้กันก็คือการกระตุ้นให้พนักงานทุกระดับ ตระหนักรู้ถึงความปลอดภัยด้านไซเบอร์ ซึ่งสิ่งที่ป้องกันการ Phishing ที่ดีที่สุดก็คือ Cybersecurity Awareness นั่นเอง

ความแตกต่างระหว่าง Phishing . Spear Phishing , Whaling Phishing

ความแตกต่างระหว่างของ Phishing แต่ละประเภท

สามคำนี้มีลักษณะโจมตีที่เหมือนกัน เพียงแต่ละชื่อจะเป็นการกำหนดกลุ่มเป้าหมายที่แตกต่างกันไป โดยลักษณะการโจมตีคือ จะกำหนดเป้าหมายให้หลงกลให้เหยื่อกระทำบางอย่าง เช่น กรอกข้อมูลส่วนตัวในเว็บไซต์ปลอม หรือ ดาวน์โหลดไฟล์แนบอันตรายในอีเมล ซึ่งจะใช้เทคนิค social engineering หลอกล่อให้เหยื่อกระทำบางอย่างที่เป็นอันตราย  ดังนี้

  • Phishing เป็นการโจมตีที่ครอบคลุมถึงการโจมตีทุกประเภทที่พยายามหลอกเหยื่อให้ดำเนินการบางอย่าง รวมถึงการกรอกข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน รวมถึงบันทึกทางการเงินเพื่อจุดประสงค์ที่เป็นอันตราย ติดตั้งมัลแวร์ หรือชำระเงินที่เป็นการฉ้อโกงหรือการโอนเงินผ่านธนาคาร phishing มักจะเกี่ยวข้องกับการหว่านส่งอีเมลไปยังบุคคลจำนวนมากโดยไม่รู้ว่าจะมีกี่คนที่จะเป็นเหยื่อ
  • Spear phishing สามารถกำหนดเป้าหมายไปที่บุคคลใดบุคคลหนึ่งโดยทั่วไปแล้ว การโจมตีทั้งสองประเภทต้องใช้เวลาและความพยายามของผู้โจมตีมากกว่าการโจมตีแบบ phishing ทั่วไป
  • Whaling phishing เป็นรูปแบบพิเศษของ Spear phishing ที่กำหนดเป้าหมายเป็นเหยื่อระดับสูงภายในองค์กร 
Whaling Attack ทำงานอย่างไร

Whaling attack ทำงานอย่างไร

ทราบกันดีว่าเป้าหมายของการโจมตีนี้มีลักษณะเฉพาะคือการหลอกล่อให้บุคคลเปิดเผยข้อมูลส่วนตัวหรือข้อมูลองค์กรผ่านการใช้เทคนิค Social Engineering การปลอมแปลงอีเมล และการพยายามปลอมแปลงเนื้อหา ตัวอย่างเช่น ผู้โจมตีวางตัวให้มีความน่าเชื่อถือ ส่งอีเมลถึงเหยื่อ รวมถึงเว็บไซต์ที่เป็นอันตรายซึ่งสร้างขึ้นโดยเฉพาะสำหรับการโจมตีนี้

อีเมลและเว็บไซต์เหล่านี้นั้นถูกปรับแต่งโดยเจาะจงชื่อเป้าหมาย ตำแหน่งงาน หรือข้อมูลที่เกี่ยวข้องอื่นๆ ที่รวบรวมมาได้ ผู้โจมตีมักจะใช้โซเชียลมีเดีย เช่น Facebook, Twitter และ LinkedIn ที่เป็นแหล่งรวบรวมข้อมูลส่วนบุคคลของเหยื่อ ทำให้การโจมตีประเภท Whaling attack มีความเป็นไปได้สูง และตรวจจับได้ยาก

อีกวิธียอดนิยม คือ ผู้โจมตีจะส่ง URL หรือไฟล์แนบ โดยจงใจให้เหยื่อคลิก จากนั้นเครื่องของเหยื่อก็จะติดมัลแวร์ หรือ ผู้โจมตีทำการร้องขอข้อมูลที่ละเอียดอ่อน โดยใช้วิธีชักจูงให้เหยื่ออนุมัติการโอนเงินผ่านธนาคารโดยใช้เทคนิค Business Email Compromise (BEC) ในบางกรณี ผู้โจมตีจะปลอมตัวเป็น CEO หรือเจ้าหน้าที่ขององค์กรอื่น เพื่อโน้มน้าวให้พนักงานดำเนินการโอนเงิน 

การโจมตีทางไซเบอร์เหล่านี้มีโอกาสสูงที่สามารถหลอกเหยื่อได้เนื่องจากผู้โจมตีใช้เวลาและความพยายามอย่างมาก และคาดหวังผลลัพธ์ของการโจมตีมีมูลค่าสูง

ตัวอย่างเหตุการณ์การโจมตี Whaling Phishing

ข่าวดัง whaling attack เกิดขึ้นในปี 2016 เมื่อพนักงานระดับสูงของ Snapchat ได้รับอีเมลจากผู้โจมตีที่ยืนยันว่าตัวเองเป็นผู้บริหาร โดยพนักงานถูกชักจูงให้ส่งต่อข้อมูลเงินเดือนพนักงาน ในที่สุดสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ก็ตรวจสอบการโจมตี

การโจมตี whaling attack เกิดข่าวใหญ่อีกครั้งในปีเดียวกัน โดยเกี่ยวข้องกับพนักงานของ Seagate ซึ่งส่งอีเมลข้อมูลภาษีเงินได้ของพนักงานทั้งในอดีตและปัจจุบันไปยังบุคคลที่สามโดยไม่ได้รับอนุญาต หลังจากรายงานการหลอกลวงแบบ phishing กับ Internal Revenue Service (IRS) และ FBI แล้ว มีการประกาศว่าข้อมูลส่วนบุคคลของผู้คนหลายพันคนถูกเปิดเผยในการโจมตีครั้งนั้นด้วย

ตัวอย่างที่น่าสนใจอีกอันหนึ่ง เกิดขึ้นในปี 2018 เมื่อบริษัทภาพยนตร์สัญชาติยุโรป Pathé ถูกโจมตีและสูญเสียเงินจำนวน 21.5 ล้านดอลลาร์จากการโจมตี ผู้โจมตีปลอมตัวเป็นพนักงานระดับสูงได้ส่งอีเมลถึง CEO และ CFO พร้อมคำขอสำหรับการทำธุรกรรมทางการเงินที่เป็นความลับ แม้จะดูเหมือนเป็นสัญญาณเตือนว่าผิดปกติ แต่ CEO และ CFO ก็โอนเงินราวๆ 800,000 ดอลลาร์ให้กับผู้โจมตี

แน่นอนว่าเหตุการณ์การโจมตีนี้มีแนวโน้มเกิดเพิ่มขึ้นเรื่อยๆ ในทุกๆปี

5 วิธีป้องกัน Whaling Phishing

5 วิธีป้องกัน whaling phishing

  1. การสร้างความตระหนักรู้ให้แก่พนักงาน  (employee awareness) 

เป็นการป้องกันภัยคุกคามความปลอดภัยทางไซเบอร์ทุกประเภทอย่างง่าย ๆ  โดยกำหนดให้พนักงานทุกคนต้องรับผิดชอบในการปกป้องทรัพย์สินของบริษัท ไม่เพียงแค่ผู้บริหารระดับสูง แต่ทุกคนจะต้องได้รับการฝึกอบรมเกี่ยวกับรูปแบบการโจมตีเหล่านี้ พนักงานควรเข้าใจกลยุทธ์ของการทำ Social Engineering เช่น ที่อยู่อีเมลปลอมที่มีลักษณะน่าเชื่อถือและทำให้เหยื่อได้รับความไว้วางใจ พนักงานจึงต้องระวังเป็นพิเศษ

  1. การให้ความรู้เกี่ยวกับ Social Media

โดยขยายมาจากข้อแรกที่ได้กล่าวไป เพื่อให้ผู้บริหารระดับสูงตระหนักถึงสิ่งที่เป็นไปได้ของสื่อสังคมออนไลน์ในการทำ whaling attack เพราะ social media มีข้อมูลส่วนตัวเป็นจำนวนมาก ที่อาชญากรไซเบอร์สามารถไปใช้เพื่อวางแผนการโจมตี social engineering โดยผู้บริหารสามารถจำกัดการเข้าถึงข้อมูลนี้ได้โดยการตั้งค่าความเป็นส่วนตัวในบัญชี social media ทั้งหลาย 

  1. มีระบบ Cybersecurity ที่ดี 

ในแต่ละองค์กรควรมีระบบ Cybersecurity ที่มีประสิทธิภาพ เพื่อรับมือกับภัยคุกคามทางไซเบอร์ เนื่องจาก phishing มักจะแนบมัลแวร์อันตราย หรือ เว็บไซต์ที่ไม่ปลอดภัย ซึ่งการมีระบบ Cybersecurity ที่ดีจะช่วย สแกน ป้องกันและห้ามไม่ให้พนักงานเข้าถึงเว็บไซต์ที่ไม่ปลอดภัยได้ 

  1. ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)

เปิดการใช้งาน การตรวจสอบสิทธิ์แบบหลายปัจจัย (Multi-factor authentication) เพื่อเพิ่มความปลอดภัยให้ Account 

  1. นโยบายการปกป้องข้อมูล

องค์กรต้องกำหนดนโยบายการรักษาความปลอดภัยข้อมูลเพื่อให้แน่ใจว่าอีเมลและไฟล์ได้รับการตรวจสอบสำหรับการกิจกรรมที่น่าสงสัย นโยบายอาจเกี่ยวข้องกับการตรวจสอบอีเมลเพื่อหาตัวบ่งชี้ของการโจมตีแบบ phishing และบล็อกอีเมลเหล่านั้นโดยอัตโนมัติไม่ให้เข้าถึงพนักงานในองค์กรที่อาจตกเป็นเหยื่อ

สิ่งที่ใช้เป็นตัวบ่งชี้ของอีเมล phishing สามารถสังเกตได้จากสิ่งต่อไปนี้:

  • ชื่อที่แสดงหรือชื่อโดเมนแตกต่างเพียงเล็กน้อยจากชื่ออีเมลที่เชื่อถือ
  • ภาษาและเนื้อหาอีเมล อาจจะมีคำสะกดผิด มี Link ที่น่าสงสัย และประกอบด้วยคำขอให้โอนเงินหรือขอข้อมูลภายในองค์กร
  • อายุโดเมนไม่ตรงกับอายุโดเมนของผู้ติดต่อที่เชื่อถือได้

ที่มา: techtarget

บทความที่เกี่ยวข้อง

  • 19 กรกฎาคม 2024

    ผู้ช่วยส่วนตัวสั่งการด้วยเสียงอย่าง Siri ของ Apple, Alexa ของ Amazon และ Google Assistant ของ Google อยู่คู่กับการใช้ชีวิตของคนยุคใหม่มาประมาณ​ 10 กว่าปีแล้ว

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที