ในโลกออนไลน์ที่เพิ่มมากขึ้น ซึ่งความไว้วางใจเป็นทั้งสกุลเงินและความอ่อนแอ ผู้ดำเนินการภัยคุกคามพยายามที่จะจัดการพฤติกรรมมนุษย์และใช้ประโยชน์จากแนวโน้มของผู้คนที่ต้องการช่วยเหลือ ในอินโฟกราฟิกนี้ เราจะสำรวจการโจมตีแบบวิศวกรรมสังคม รวมถึงเหตุผลที่ผู้ดำเนินการภัยคุกคามให้ความสำคัญกับข้อมูลประจำตัวทางวิชาชีพเหนือสิ่งอื่นใด พร้อมทั้งแนะนำคุณเกี่ยวกับวิธีที่พวกเขาจัดการธรรมชาติของมนุษย์เพื่อบรรลุเป้าหมาย
ใช้ประโยชน์จากระบบเศรษฐกิจแบบไว้วางใจ: การโจมตีแบบวิศวกรรมสังคม
การโจมตีแบบวิศวกรรมสังคมและเหยื่อล่อของอาชญากรในการใช้ฟิชชิ่ง
ประมาณ 901 เปอร์เซ็นต์ของการโจมตีฟิชชิ่งเกี่ยวข้องกับกลยุทธ์การโจมตีแบบวิศวกรรมสังคมที่ออกแบบมาเพื่อจัดการเหยื่อ ซึ่งโดยปกติแล้วมักจะส่งอีเมลให้เปิดเผยข้อมูลที่ละเอียดอ่อน คลิกลิงก์ที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย การโจมตีฟิชชิ่งมีความคุ้มค่าสำหรับผู้โจมตี สามารถปรับเปลี่ยนเพื่อช่วยหลบเลี่ยงมาตรการป้องกัน และมีอัตราความสำเร็จสูง
กลไกของพฤติกรรมมนุษย์
เทคนิคการโจมตีแบบวิศวกรรมสังคมมีแนวโน้มที่จะเปลี่ยนแปลงไปตามการใช้ความมั่นใจและการโน้มน้าวใจของผู้โจมตีเพื่อโน้มน้าวเป้าหมายให้ดำเนินการที่ไม่ปกติ กลไกที่มีประสิทธิภาพ 3 ประการ ได้แก่ ความเร่งด่วน อารมณ์ และนิสัย2 ความเร่งด่วน ไม่มีใครอยากพลาดโอกาสที่เร่งด่วนหรือพลาดวันครบกำหนดที่สำคัญ ความรู้สึกเร่งด่วนมักหลอกเป้าหมายที่มีเหตุผลให้ส่งมอบข้อมูลส่วนบุคคลได้
ตัวอย่างเช่น: ความเร่งด่วนปลอม
“จุดเด่นของอีเมลฟิชชิ่งคือการแนบกรอบเวลาบางประเภท พวกเขาต้องการผลักดันให้คุณตัดสินใจในเวลาอันสั้น”
Jack Mott – ฝ่าย Microsoft Threat Intelligence
อารมณ์
การชักใยทางอารมณ์สามารถช่วยให้ผู้โจมตีทางไซเบอร์ได้เปรียบ เนื่องจากมนุษย์มีแนวโน้มที่จะดำเนินการที่มีความเสี่ยงในสภาวะทางอารมณ์ที่สูงขึ้น โดยเฉพาะอย่างยิ่งหากมีความกลัว ความรู้สึกผิด หรือความโกรธเข้ามาเกี่ยวข้อง
ตัวอย่างเช่น: การชักใยทางอารมณ์
“เหยื่อล่อที่มีประสิทธิภาพที่สุดที่ฉันเคยเห็นคืออีเมลสั้นๆ ที่บอกว่าเราได้รับสัญญาจากคู่สมรสของคุณให้เตรียมเอกสารการหย่าร้างของคุณ คลิกลิงก์เพื่อดาวน์โหลดสำเนาของคุณ”
Sherrod DeGrippo – ฝ่าย Microsoft Threat Intelligence
นิสัย
อาชญากรเป็นผู้สังเกตการณ์พฤติกรรมที่กระตือรือร้น และพวกเขาให้ความสนใจเป็นพิเศษกับนิสัยและกิจวัตรที่ผู้คนทำ “โดยอัตโนมัติ” โดยไม่ต้องคิดมากจนเกินไป
ตัวอย่างเช่น: นิสัยทั่วไป
ในเทคนิคที่เรียกว่า “ควิชชิ่ง3” นักต้มตุ๋นจะปลอมตัวเป็นบริษัทที่น่าเชื่อถือ และขอให้คุณสแกน คิวอาร์โค้ด ในอีเมลของพวกเขา ตัวอย่างเช่น พวกเขาอาจบอกว่าคุณต้องสแกนโค้ดเนื่องจากการชำระเงินจากใบแจ้งหนี้ไม่ผ่าน หรือคุณจำเป็นต้องรีเซ็ตรหัสผ่าน
“ผู้ดำเนินการภัยคุกคามปรับตัวให้เข้ากับจังหวะของธุรกิจ พวกเขาปรับใช้เหยื่อล่อที่สมเหตุสมผลในบริบทที่เราได้รับตามปกติได้เก่งมาก”
Jack Mott – ฝ่าย Microsoft Threat Intelligence
ขอบเขตระหว่างลักษณะส่วนบุคคลและอาชีพของพนักงานบางครั้งอาจมาบรรจบกัน พนักงานอาจใช้อีเมลที่ทำงานสำหรับบัญชีส่วนบุคคลที่ใช้ในการทำงาน ผู้ดำเนินการภัยคุกคามบางครั้งพยายามใช้ประโยชน์จากสิ่งนั้นด้วยการพยายามชักจูงโดยดูเหมือนเป็นหนึ่งในโปรแกรมเหล่านี้เพื่อเข้าถึงข้อมูลองค์กรของพนักงาน
“ในการหลอกลวงทางอีเมลฟิชชิ่ง อาชญากรไซเบอร์จะตรวจสอบ “เหยื่อล่อ” เพื่อหาที่อยู่อีเมลขององค์กร ที่อยู่เว็บเมลส่วนบุคคลไม่คุ้มค่ากับเวลา ที่อยู่ที่ทำงานมีค่ามากกว่า ดังนั้นพวกเขาจะใช้ทรัพยากรมากขึ้นและโฟกัสกับการโจมตีแบบ Hands-on-keyboard เพื่อกำหนดการโจมตีสำหรับบัญชีเหล่านั้นเอง”
Jack Mott – ฝ่าย Microsoft Threat Intelligence
“การหลอกลวงที่ใช้เวลานาน”
การโจมตีแบบวิศวกรรมสังคมโดยทั่วไปแล้วไม่ได้รวดเร็ว วิศวกรสังคมมีแนวโน้มที่จะสร้างความไว้วางใจกับเหยื่อเมื่อเวลาผ่านไปโดยใช้เทคนิคที่ใช้แรงงานจำนวนมากซึ่งเริ่มต้นด้วยการค้นคว้า วงจรของการจัดการประเภทนี้อาจเป็นดังนี้:
- การตรวจสอบ: วิศวกรระบุเป้าหมายและรวบรวมข้อมูลเบื้องหลัง เช่น จุดเข้าใช้งานหรือโพรโทคอลความปลอดภัยที่เป็นไปได้
- แทรกซึม: วิศวกรโฟกัสกับการสร้างความไว้วางใจให้กับเป้าหมาย พวกเขากุเรื่องราว ดึงความสนใจเป้าหมาย และควบคุมการโต้ตอบเพื่อชี้นำในลักษณะที่เป็นประโยชน์ต่อวิศวกร
- ใช้ประโยชน์: วิศวกรสังคมได้รับข้อมูลของเป้าหมายเมื่อเวลาผ่านไป โดยปกติแล้ว เป้าหมายจะให้ข้อมูลนี้ด้วยความเต็มใจ และวิศวกรอาจใช้ข้อมูลนี้เพื่อประโยชน์ในการเข้าถึงข้อมูลที่เป็นความลับมากยิ่งขึ้น
- ตัดการติดต่อ: วิศวกรสังคมจะยุติการโต้ตอบโดยธรรมชาติ วิศวกรผู้มีทักษะจะดำเนินการนี้โดยไม่ทำให้เป้าหมายรู้สึกสงสัยเลย
การโจมตีแบบ BEC มีความโดดเด่นในอุตสาหกรรมอาชญากรรมไซเบอร์ โดยเน้นที่ การโจมตีแบบวิศวกรรมสังคม และศิลปะแห่งการหลอกลวง การโจมตีแบบ BEC ที่ประสบความสำเร็จทำให้องค์กรต้องสูญเสียเงินหลายร้อยล้านดอลลาร์ต่อปี ในปี 2022 ศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของสำนักงานสอบสวนกลาง (FBI) บันทึกความสูญเสียที่ปรับปรุงมากกว่า USD$2.7 พันล้านสำหรับการยื่นเรื่องร้องเรียน BEC จำนวน 21,832 รายการ4
เป้าหมายสูงสุดของ BEC คือผู้บริหาร ผู้นำอาวุโส ผู้จัดการฝ่ายการเงิน พนักงานฝ่ายทรัพยากรบุคคลที่สามารถเข้าถึงบันทึกของพนักงานได้ เช่น หมายเลขประกันสังคม ใบแจ้งยอดภาษี หรือข้อมูลส่วนบุคคลอื่นๆ พนักงานใหม่ที่อาจไม่ค่อยได้มีโอกาสตรวจสอบคำขออีเมลที่ไม่คุ้นเคยนั้นก็ตกเป็นเป้าหมายเช่นกัน
การโจมตีแบบ BEC เกือบทุกรูปแบบนั้นกำลังเพิ่มสูงขึ้น ประเภทการโจมตี BEC ทั่วไป ได้แก่:5
- การโจมตีอีเมลโดยตรง (DEC): บัญชีอีเมลที่มีช่องโหว่จะถูกใช้เพื่อดำเนินการโจมตีแบบวิศวกรรมสังคมกับบทบาททางบัญชีในบริษัทหรือบุคคลที่สามเพื่อโอนเงินไปยังบัญชีธนาคารของผู้โจมตีหรือเปลี่ยนแปลงข้อมูลการชำระเงินสำหรับบัญชีที่มีอยู่
- การโจมตีอีเมลผู้ขาย (VEC): การโจมตีแบบวิศวกรรมสังคมของความสัมพันธ์กับซัพพลายเออร์ที่มีอยู่โดยการยึดครองอีเมลที่เกี่ยวข้องกับการชำระเงินและการเลียนแบบเป็นพนักงานของบริษัทเพื่อโน้มน้าวให้ซัพพลายเออร์เปลี่ยนเส้นทางการชำระเงินคงค้างไปยังบัญชีธนาคารที่ผิดกฎหมาย
- การหลอกลวงด้วยใบแจ้งหนี้ปลอม: การหลอกลวงด้วยการโจมตีแบบวิศวกรรมสังคมจำนวนมากที่ใช้ประโยชน์จากแบรนด์ธุรกิจที่มีชื่อเสียงเพื่อโน้มน้าวให้บริษัทต่างๆ ชำระใบแจ้งหนี้ปลอม
- การเลียนแบบทนายความ: การใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้กับสำนักงานกฎหมายขนาดใหญ่ที่มีชื่อเสียง เพื่อเพิ่มความน่าเชื่อถือกับผู้บริหารของบริษัทขนาดเล็กและบริษัทหน้าใหม่ในการชำระใบแจ้งหนี้ที่คงค้างให้เสร็จสิ้น โดยเฉพาะอย่างยิ่งก่อนเหตุการณ์สำคัญ เช่น การเสนอขายหุ้นแก่ประชาชนทั่วไปเป็นครั้งแรก การเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีธนาคารที่ผิดกฎหมายเกิดขึ้นเมื่อบรรลุข้อตกลงเกี่ยวกับข้อกำหนดการชำระเงิน
Octo Tempest
Octo Tempest เป็นกลุ่มผู้ดำเนินการภัยภัยคุกคามที่พูดภาษาอังกฤษโดยเจ้าของภาษาซึ่งมีแรงจูงใจทางการเงิน ซึ่งเป็นที่รู้จักจากการเปิดตัวแคมเปญที่หลากหลายซึ่งมีเทคนิค Adversary-in-the-Middle (AiTM) การโจมตีแบบวิศวกรรมสังคม และความสามารถในการสลับ SIM อย่างโดดเด่น
Octo Tempest เป็นกลุ่มผู้ดำเนินการภัยภัยคุกคามที่พูดภาษาอังกฤษโดยเจ้าของภาษาซึ่งมีแรงจูงใจทางการเงิน ซึ่งเป็นที่รู้จักจากการเปิดตัวแคมเปญที่หลากหลายซึ่งมีเทคนิค Adversary-in-the-Middle (AiTM) การโจมตีแบบวิศวกรรมสังคม และความสามารถในการสลับ SIM อย่างโดดเด่น
Diamond Sleet
ในเดือนสิงหาคมปี 2023 Diamond Sleet ดำเนินการบุกรุกห่วงโซ่อุปทานซอฟต์แวร์ของ JetBrains ผู้ให้บริการซอฟต์แวร์สัญชาติเยอรมัน ซึ่งโจมตีเซิร์ฟเวอร์สำหรับกระบวนการสร้าง การทดสอบ และการใช้งานซอฟต์แวร์ เนื่องจากที่ผ่านมา Diamond Sleet ประสบความสำเร็จในการแทรกซึมสภาพแวดล้อมการสร้าง Microsoft จึงประเมินว่ากิจกรรมนี้มีความเสี่ยงสูงเป็นพิเศษต่อองค์กรที่ได้รับผลกระทบ
ในเดือนสิงหาคมปี 2023 Diamond Sleet ดำเนินการบุกรุกห่วงโซ่อุปทานซอฟต์แวร์ของ JetBrains ผู้ให้บริการซอฟต์แวร์สัญชาติเยอรมัน ซึ่งโจมตีเซิร์ฟเวอร์สำหรับกระบวนการสร้าง การทดสอบ และการใช้งานซอฟต์แวร์ เนื่องจากที่ผ่านมา Diamond Sleet ประสบความสำเร็จในการแทรกซึมสภาพแวดล้อมการสร้าง Microsoft จึงประเมินว่ากิจกรรมนี้มีความเสี่ยงสูงเป็นพิเศษต่อองค์กรที่ได้รับผลกระทบ
Sangria Tempest6
Sangria Tempest หรือที่รู้จักในชื่อ FIN เป็นที่รู้จักจากการกำหนดเป้าหมายไปที่อุตสาหกรรมร้านอาหาร โดยขโมยข้อมูลบัตรชำระเงิน เหยื่อล่อที่มีประสิทธิภาพที่สุดอย่างหนึ่งเกี่ยวข้องกับการกล่าวหาว่าอาหารเป็นพิษ ซึ่งสามารถดูรายละเอียดได้เมื่อเปิดสิ่งที่แนบมาที่เป็นอันตราย
Sangria Tempest หรือที่รู้จักในชื่อ FIN เป็นที่รู้จักจากการกำหนดเป้าหมายไปที่อุตสาหกรรมร้านอาหาร โดยขโมยข้อมูลบัตรชำระเงิน เหยื่อล่อที่มีประสิทธิภาพที่สุดอย่างหนึ่งเกี่ยวข้องกับการกล่าวหาว่าอาหารเป็นพิษ ซึ่งสามารถดูรายละเอียดได้เมื่อเปิดสิ่งที่แนบมาที่เป็นอันตราย
Sangria Tempest ซึ่งส่วนใหญ่เป็นชาวยุโรปตะวันออกได้ใช้ฟอรั่มใต้ดินเพื่อรับสมัครเจ้าของภาษาอังกฤษ ซึ่งได้รับการฝึกฝนเกี่ยวกับวิธีการโทรหาร้านค้าในการส่งอีเมลล่อลวง กลุ่มนี้ได้ขโมยข้อมูลบัตรชำระเงินหลายสิบล้านรายการผ่านกระบวนการดังกล่าว
Midnight Blizzard
Midnight Blizzard เป็นผู้ดำเนินการภัยคุกคามในรัสเซียซึ่งมีเป้าหมายหลักคือรัฐบาล หน่วยงานการทูต องค์การนอกภาครัฐ (NGO) และผู้ให้บริการด้านไอทีในสหรัฐอเมริกาและยุโรปเป็นหลัก
Midnight Blizzard เป็นผู้ดำเนินการภัยคุกคามในรัสเซียซึ่งมีเป้าหมายหลักคือรัฐบาล หน่วยงานการทูต องค์การนอกภาครัฐ (NGO) และผู้ให้บริการด้านไอทีในสหรัฐอเมริกาและยุโรปเป็นหลัก
Midnight Blizzard ใช้ประโยชน์จากข้อความ Teams เพื่อส่งเหยื่อล่อที่พยายามขโมยข้อมูลประจำตัวจากองค์กรเป้าหมายโดยการมีส่วนร่วมกับผู้ใช้และกระตุ้นการอนุมัติพร้อมท์การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA)
คุณทราบหรือไม่
กลยุทธ์การตั้งชื่อผู้ดำเนินการภัยคุกคามของ Microsoft ได้เปลี่ยนไปใช้การจำแนกประเภทการตั้งชื่อใหม่สำหรับผู้ดำเนินการภัยคุกคามซึ่งได้รับแรงบันดาลใจจากธีมที่เกี่ยวข้องกับสภาพอากาศ
กลยุทธ์การตั้งชื่อผู้ดำเนินการภัยคุกคามของ Microsoft ได้เปลี่ยนไปใช้การจำแนกประเภทการตั้งชื่อใหม่สำหรับผู้ดำเนินการภัยคุกคามซึ่งได้รับแรงบันดาลใจจากธีมที่เกี่ยวข้องกับสภาพอากาศ
แม้ว่าการโจมตีแบบวิศวกรรมสังคมจะซับซ้อน แต่ก็มีสิ่งที่คุณสามารถทำได้เพื่อช่วยป้องกันการโจมตีเหล่านั้น7 หากคุณฉลาดในเรื่องความเป็นส่วนตัวและความปลอดภัย คุณสามารถเอาชนะผู้โจมตีด้วยเทคนิคของพวกเขาเองได้
ขั้นแรก แนะนำให้ผู้ใช้เก็บบัญชีส่วนบุคคลของตนไว้เป็นส่วนตัว และอย่ารวมเข้ากับอีเมลที่ทำงานหรืองานที่เกี่ยวข้องกับที่ทำงาน
นอกจากนี้ อย่าลืมบังคับใช้ MFA ด้วย โดยทั่วไปแล้ว วิศวกรสังคมจะค้นหาข้อมูล เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบ เมื่อเปิดใช้งาน MFA แม้ว่าผู้โจมตีจะได้รับชื่อผู้ใช้และรหัสผ่านของคุณ พวกเขาก็จะยังไม่สามารถเข้าถึงบัญชีและข้อมูลส่วนบุคคลของคุณได้8
อย่าเปิดอีเมลหรือสิ่งที่แนบมาจากแหล่งที่น่าสงสัย ถ้าเพื่อนส่งลิงค์มาให้คุณซึ่งคุณต้องคลิกด่วน ให้ยืนยันกับเพื่อนว่าข้อความนั้นมาจากพวกเขาจริงๆ หรือไม่ หยุดคิดและถามตัวเองว่าผู้ส่งเป็นบุคคลที่พวกเขาอ้างหรือไม่ก่อนที่จะคลิกทุกสิ่ง
หยุดคิดและยืนยัน
ระวังข้อเสนอที่ดีเกินจริง คุณไม่สามารถชนะการชิงโชคที่คุณไม่ได้เข้าร่วมได้ ไม่มีราชวงศ์ต่างประเทศใดที่จะทิ้งเงินจำนวนมากให้กับคุณ ถ้าข้อเสนอดูน่าดึงดูดเกินไป ให้ค้นหาอย่างรวดเร็วเพื่อดูว่าข้อเสนอนั้นถูกต้องตามกฎหมายหรือเป็นกับดัก
อย่าแชร์ทางออนไลน์มากเกินไป วิศวกรสังคมต้องการให้เป้าหมายเชื่อถือตนเองเพื่อให้การหลอกลวงได้ผล หากพวกเขาสามารถค้นหารายละเอียดส่วนบุคคลของคุณจากโปรไฟล์โซเชียลมีเดียของคุณ พวกเขาสามารถใช้เพื่อช่วยให้การหลอกลวงของตนดูเหมือนถูกต้องตามกฎหมายมากขึ้น
รักษาความปลอดภัยคอมพิวเตอร์และอุปกรณ์ของคุณ ใช้ซอฟต์แวร์ป้องกันไวรัส ไฟร์วอลล์ และตัวกรองอีเมล ในกรณีที่ภัยคุกคามเข้ามายังอุปกรณ์ของคุณ คุณจะมีการป้องกันเพื่อช่วยรักษาข้อมูลของคุณให้ปลอดภัย
“เมื่อคุณได้รับโทรศัพท์หรืออีเมลที่น่าสงสัย สิ่งสำคัญคือการชะลอความเร็วและยืนยัน ผู้คนทำผิดพลาดเมื่อพวกเขาดำเนินการเร็วเกินไป ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเตือนพนักงานว่าพวกเขาไม่จำเป็นต้องตอบสนองทันทีในสถานการณ์ประเภทนี้”
Jack Mott – ฝ่าย Microsoft Threat Intelligence
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีช่วยปกป้ององค์กรของคุณโดยรับชม ความเสี่ยงของความไว้วางใจ: ภัยคุกคามการโจมตีแบบวิศวกรรมสังคมและการป้องกันทางไซเบอร์
- [2]
เนื้อหาในส่วนนี้มีที่มาจาก https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, ประมาณ 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
หมายเหตุ: เนื้อหามาจาก https://go.microsoft.com/fwlink/?linkid=2263229