การโจมตีด้วย Whaling Attack (Whaling Phishing)

Phishing การหลอกลวงทางไซเบอร์ที่พบกันบ่อยและพบมานาน ซึ่งจะมีรูปแบบการโจมตีที่แตกต่างกันไป เช่น Phishing, Whaling phishing และ Spear phishing โดยส่วนใหญ่มักจะมุ่งหมายเพื่อหลอกขอข้อมูลส่วนตัว หรือ รหัสผ่าน  โดยสำหรับในองค์กรการหลอกลวงที่พบและก่อความเสียหายมากที่สุดประเภทหนึ่งก็คือ Whaling phishing หรือ Whaling attack เพราะจะเป็นการโจมตีมุ่งเป้าไปที่พนักงานที่ตำแหน่งระดับสูง โดยเฉพาะประธานฝ่ายบริหารหรือฝ่ายการเงิน เพื่อขโมยข้อมูลที่ละเอียดอ่อน และส่งผลกับองค์กร 

เนื่องจากลักษณะการกำหนดเป้าหมายไปที่บุคคลระดับสูง การโจมตีประเภทนี้มักจะตรวจจับและป้องกันได้ยากกว่าการโจมตีแบบ Phishing โดยทั่วไป เพราะในบางครั้งผู้บริหารมักได้รับสิทธิในส่วนต่าง ๆ มากกว่าพนักงานทั่วไป ดังนั้น นอกจากผู้ดูแลระบบความปลอดภัยในองค์กรจะมีบทบาทสำคัญที่จะช่วยลดความรุนแรงของการโจมตีด้วยเครื่องมือป้องกันต่าง ๆ แล้ว แต่อีกเรื่องที่สำคัญไม่แพ้กันก็คือการกระตุ้นให้พนักงานทุกระดับ ตระหนักรู้ถึงความปลอดภัยด้านไซเบอร์ ซึ่งสิ่งที่ป้องกันการ Phishing ที่ดีที่สุดก็คือ Cybersecurity Awareness นั่นเอง

ความแตกต่างระหว่างของ Phishing แต่ละประเภท

สามคำนี้มีลักษณะโจมตีที่เหมือนกัน เพียงแต่ละชื่อจะเป็นการกำหนดกลุ่มเป้าหมายที่แตกต่างกันไป โดยลักษณะการโจมตีคือ จะกำหนดเป้าหมายให้หลงกลให้เหยื่อกระทำบางอย่าง เช่น กรอกข้อมูลส่วนตัวในเว็บไซต์ปลอม หรือ ดาวน์โหลดไฟล์แนบอันตรายในอีเมล ซึ่งจะใช้เทคนิค social engineering หลอกล่อให้เหยื่อกระทำบางอย่างที่เป็นอันตราย  ดังนี้

• Phishing เป็นการโจมตีที่ครอบคลุมถึงการโจมตีทุกประเภทที่พยายามหลอกเหยื่อให้ดำเนินการบางอย่าง รวมถึงการกรอกข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน รวมถึงบันทึกทางการเงินเพื่อจุดประสงค์ที่เป็นอันตราย ติดตั้งมัลแวร์ หรือชำระเงินที่เป็นการฉ้อโกงหรือการโอนเงินผ่านธนาคาร phishing มักจะเกี่ยวข้องกับการหว่านส่งอีเมลไปยังบุคคลจำนวนมากโดยไม่รู้ว่าจะมีกี่คนที่จะเป็นเหยื่อ

• Spear phishing สามารถกำหนดเป้าหมายไปที่บุคคลใดบุคคลหนึ่งโดยทั่วไปแล้ว การโจมตีทั้งสองประเภทต้องใช้เวลาและความพยายามของผู้โจมตีมากกว่าการโจมตีแบบ phishing ทั่วไป
• Whaling phishing เป็นรูปแบบพิเศษของ Spear phishing ที่กำหนดเป้าหมายเป็นเหยื่อระดับสูงภายในองค์กร 

Whaling attack ทำงานอย่างไร

ทราบกันดีว่าเป้าหมายของการโจมตีนี้มีลักษณะเฉพาะคือการหลอกล่อให้บุคคลเปิดเผยข้อมูลส่วนตัวหรือข้อมูลองค์กรผ่านการใช้เทคนิค Social Engineering การปลอมแปลงอีเมล และการพยายามปลอมแปลงเนื้อหา ตัวอย่างเช่น ผู้โจมตีวางตัวให้มีความน่าเชื่อถือ ส่งอีเมลถึงเหยื่อ รวมถึงเว็บไซต์ที่เป็นอันตรายซึ่งสร้างขึ้นโดยเฉพาะสำหรับการโจมตีนี้

อีเมลและเว็บไซต์เหล่านี้นั้นถูกปรับแต่งโดยเจาะจงชื่อเป้าหมาย ตำแหน่งงาน หรือข้อมูลที่เกี่ยวข้องอื่นๆ ที่รวบรวมมาได้ ผู้โจมตีมักจะใช้โซเชียลมีเดีย เช่น Facebook, Twitter และ LinkedIn ที่เป็นแหล่งรวบรวมข้อมูลส่วนบุคคลของเหยื่อ ทำให้การโจมตีประเภท Whaling attack มีความเป็นไปได้สูง และตรวจจับได้ยาก

อีกวิธียอดนิยม คือ ผู้โจมตีจะส่ง URL หรือไฟล์แนบ โดยจงใจให้เหยื่อคลิก จากนั้นเครื่องของเหยื่อก็จะติดมัลแวร์ หรือ ผู้โจมตีทำการร้องขอข้อมูลที่ละเอียดอ่อน โดยใช้วิธีชักจูงให้เหยื่ออนุมัติการโอนเงินผ่านธนาคารโดยใช้เทคนิค Business Email Compromise (BEC) ในบางกรณี ผู้โจมตีจะปลอมตัวเป็น CEO หรือเจ้าหน้าที่ขององค์กรอื่น เพื่อโน้มน้าวให้พนักงานดำเนินการโอนเงิน 

การโจมตีทางไซเบอร์เหล่านี้มีโอกาสสูงที่สามารถหลอกเหยื่อได้เนื่องจากผู้โจมตีใช้เวลาและความพยายามอย่างมาก และคาดหวังผลลัพธ์ของการโจมตีมีมูลค่าสูง

ตัวอย่างเหตุการณ์การโจมตี Whaling Phishing

ข่าวดัง whaling attack เกิดขึ้นในปี 2016 เมื่อพนักงานระดับสูงของ Snapchat ได้รับอีเมลจากผู้โจมตีที่ยืนยันว่าตัวเองเป็นผู้บริหาร โดยพนักงานถูกชักจูงให้ส่งต่อข้อมูลเงินเดือนพนักงาน ในที่สุดสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ก็ตรวจสอบการโจมตี

การโจมตี whaling attack เกิดข่าวใหญ่อีกครั้งในปีเดียวกัน โดยเกี่ยวข้องกับพนักงานของ Seagate ซึ่งส่งอีเมลข้อมูลภาษีเงินได้ของพนักงานทั้งในอดีตและปัจจุบันไปยังบุคคลที่สามโดยไม่ได้รับอนุญาต หลังจากรายงานการหลอกลวงแบบ phishing กับ Internal Revenue Service (IRS) และ FBI แล้ว มีการประกาศว่าข้อมูลส่วนบุคคลของผู้คนหลายพันคนถูกเปิดเผยในการโจมตีครั้งนั้นด้วย

ตัวอย่างที่น่าสนใจอีกอันหนึ่ง เกิดขึ้นในปี 2018 เมื่อบริษัทภาพยนตร์สัญชาติยุโรป Pathé ถูกโจมตีและสูญเสียเงินจำนวน 21.5 ล้านดอลลาร์จากการโจมตี ผู้โจมตีปลอมตัวเป็นพนักงานระดับสูงได้ส่งอีเมลถึง CEO และ CFO พร้อมคำขอสำหรับการทำธุรกรรมทางการเงินที่เป็นความลับ แม้จะดูเหมือนเป็นสัญญาณเตือนว่าผิดปกติ แต่ CEO และ CFO ก็โอนเงินราวๆ 800,000 ดอลลาร์ให้กับผู้โจมตี

แน่นอนว่าเหตุการณ์การโจมตีนี้มีแนวโน้มเกิดเพิ่มขึ้นเรื่อยๆ ในทุกๆปี

5 วิธีป้องกัน whaling phishing

1. การสร้างความตระหนักรู้ให้แก่พนักงาน  (employee awareness) 

เป็นการป้องกันภัยคุกคามความปลอดภัยทางไซเบอร์ทุกประเภทอย่างง่าย ๆ  โดยกำหนดให้พนักงานทุกคนต้องรับผิดชอบในการปกป้องทรัพย์สินของบริษัท ไม่เพียงแค่ผู้บริหารระดับสูง แต่ทุกคนจะต้องได้รับการฝึกอบรมเกี่ยวกับรูปแบบการโจมตีเหล่านี้ พนักงานควรเข้าใจกลยุทธ์ของการทำ Social Engineering เช่น ที่อยู่อีเมลปลอมที่มีลักษณะน่าเชื่อถือและทำให้เหยื่อได้รับความไว้วางใจ พนักงานจึงต้องระวังเป็นพิเศษ

2. การให้ความรู้เกี่ยวกับ Social Media

โดยขยายมาจากข้อแรกที่ได้กล่าวไป เพื่อให้ผู้บริหารระดับสูงตระหนักถึงสิ่งที่เป็นไปได้ของสื่อสังคมออนไลน์ในการทำ whaling attack เพราะ social media มีข้อมูลส่วนตัวเป็นจำนวนมาก ที่อาชญากรไซเบอร์สามารถไปใช้เพื่อวางแผนการโจมตี social engineering โดยผู้บริหารสามารถจำกัดการเข้าถึงข้อมูลนี้ได้โดยการตั้งค่าความเป็นส่วนตัวในบัญชี social media ทั้งหลาย 

3. มีระบบ Cybersecurity ที่ดี 

ในแต่ละองค์กรควรมีระบบ Cybersecurity ที่มีประสิทธิภาพ เพื่อรับมือกับภัยคุกคามทางไซเบอร์ เนื่องจาก phishing มักจะแนบมัลแวร์อันตราย หรือ เว็บไซต์ที่ไม่ปลอดภัย ซึ่งการมีระบบ Cybersecurity ที่ดีจะช่วย สแกน ป้องกันและห้ามไม่ให้พนักงานเข้าถึงเว็บไซต์ที่ไม่ปลอดภัยได้ 

4. ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)

เปิดการใช้งาน การตรวจสอบสิทธิ์แบบหลายปัจจัย (Multi-factor authentication) เพื่อเพิ่มความปลอดภัยให้ Account 

5. นโยบายการปกป้องข้อมูล

องค์กรต้องกำหนดนโยบายการรักษาความปลอดภัยข้อมูลเพื่อให้แน่ใจว่าอีเมลและไฟล์ได้รับการตรวจสอบสำหรับการกิจกรรมที่น่าสงสัย นโยบายอาจเกี่ยวข้องกับการตรวจสอบอีเมลเพื่อหาตัวบ่งชี้ของการโจมตีแบบ phishing และบล็อกอีเมลเหล่านั้นโดยอัตโนมัติไม่ให้เข้าถึงพนักงานในองค์กรที่อาจตกเป็นเหยื่อ

สิ่งที่ใช้เป็นตัวบ่งชี้ของอีเมล phishing สามารถสังเกตได้จากสิ่งต่อไปนี้:

• ชื่อที่แสดงหรือชื่อโดเมนแตกต่างเพียงเล็กน้อยจากชื่ออีเมลที่เชื่อถือ
• ภาษาและเนื้อหาอีเมล อาจจะมีคำสะกดผิด มี Link ที่น่าสงสัย และประกอบด้วยคำขอให้โอนเงินหรือขอข้อมูลภายในองค์กร
• อายุโดเมนไม่ตรงกับอายุโดเมนของผู้ติดต่อที่เชื่อถือได้

ที่มา: techtarget