บริษัทอสังหาริมทรัพย์ระดับโลกถูกโจมตีด้วย Voice Phishing
Cushman & Wakefield หนึ่งในบริษัทอสังหาริมทรัพย์เชิงพาณิชย์ที่ใหญ่ที่สุดในโลก ได้ยืนยันเหตุการณ์ด้านความปลอดภัยของข้อมูลที่เชื่อมโยงกับการโจมตีแบบ Voice Phishing หรือที่เรียกว่า Vishing โดยกลุ่มอาชญากรไซเบอร์สองกลุ่มต่างออกมาอ้างความรับผิดชอบ ได้แก่ ShinyHunters ที่อ้างว่าขโมยระเบียนข้อมูล Salesforce จำนวน 500,000 รายการซึ่งมีข้อมูลส่วนบุคคล (PII) และกลุ่มแรนซัมแวร์ Qilin ที่อ้างอย่างอิสระว่าได้โจมตีบริษัทด้วยเช่นกัน ยังไม่ชัดเจนว่าเหตุการณ์เหล่านี้เป็นส่วนหนึ่งของแคมเปญประสานงานเดียวกันหรือเป็นการบุกรุกสองครั้งที่แยกจากกัน แต่เหตุการณ์นี้เน้นย้ำให้เห็นความเป็นจริงที่น่าวิตกกังวล: แม้แต่องค์กรที่มีทรัพยากรด้านไอทีมากมายก็อาจล้มเหลวได้เพราะสายโทรศัพท์ที่น่าเชื่อถือเพียงสายเดียว
Cushman & Wakefield อธิบายว่าเหตุการณ์ดังกล่าวมีขอบเขต "จำกัด" แต่ระเบียนข้อมูล 500,000 รายการที่เชื่อมโยงกับแพลตฟอร์ม CRM บนคลาวด์ขนาดใหญ่นั้นไม่ใช่การเปิดเผยข้อมูลที่มองข้ามได้ สภาพแวดล้อม Salesforce มักจะเก็บรายละเอียดการติดต่อ ประวัติการทำธุรกรรม และการสื่อสารทางธุรกิจที่ละเอียดอ่อน สำหรับบริษัทที่ดำเนินงานด้านธุรกรรมอสังหาริมทรัพย์เชิงพาณิชย์ทั่วโลก ข้อมูลที่ตกอยู่ในความเสี่ยงอาจส่งผลกระทบต่อลูกค้า พันธมิตร และคู่สัญญาที่อยู่ไกลเกินกว่าพนักงานของบริษัทเอง
เหตุใด Vishing จึงมีประสิทธิภาพสูงในการหลีกเลี่ยงการป้องกันทางเทคนิค
การโจมตีแบบ Vishing มีอันตรายเป็นพิเศษเนื่องจากสามารถหลบเลี่ยงการควบคุมทางเทคนิคที่องค์กรส่วนใหญ่ลงทุนอย่างหนัก ไฟร์วอลล์ การตรวจจับ Endpoint และการตรวจสอบเครือข่ายแทบจะไม่มีประโยชน์เมื่อผู้โจมตีเพียงแค่โทรหาพนักงานและแอบอ้างเป็นฝ่ายสนับสนุนไอที ผู้ขาย หรือผู้บริหารได้อย่างน่าเชื่อถือ เป้าหมายของผู้โจมตีคือการจัดการกับคน ไม่ใช่เครื่องจักร และคนนั้นยากต่อการแก้ไขยิ่งกว่ามาก
ในสถานการณ์ Vishing ทั่วไป ผู้โทรจะสร้างความเร่งด่วน สร้างความน่าเชื่อถือปลอม และนำเป้าหมายให้มอบข้อมูลรับรองตัวตน อนุมัติการเปลี่ยนแปลงบัญชี หรือคลิกลิงก์ที่ติดตั้งมัลแวร์ เมื่อผู้โจมตีได้รับข้อมูลรับรองที่ถูกต้องสำหรับแพลตฟอร์มอย่าง Salesforce พวกเขาสามารถเคลื่อนไหวผ่านสภาพแวดล้อมได้อย่างเงียบๆ ดึงข้อมูลออกไปโดยไม่กระตุ้นการแจ้งเตือนที่ชัดเจน การโจมตีต่อ Cushman & Wakefield เป็นไปตามรูปแบบที่พบเห็นในหลายอุตสาหกรรม: วิศวกรรมสังคมเป็นจุดเข้า และข้อมูลบนคลาวด์เป็นรางวัล
นี่คือเหตุผลที่แน่ชัดว่าทำไมมาตรการรักษาความปลอดภัยทางเทคนิคเพียงอย่างเดียวจึงไม่เพียงพอ การฝึกอบรมการตระหนักรู้ของพนักงาน ขั้นตอนการตรวจสอบที่เข้มงวดสำหรับคำขอที่ละเอียดอ่อน และโปรโตคอลที่ชัดเจนเกี่ยวกับการเปลี่ยนแปลงข้อมูลรับรอง มีความสำคัญเท่าเทียมกับการควบคุมด้านซอฟต์แวร์ใดๆ องค์กรที่มองว่าความปลอดภัยเป็นปัญหาทางเทคนิคล้วนๆ กำลังปล่อยให้มีช่องโหว่ขนาดใหญ่เท่าตัวคนในการป้องกันของตน
เหตุผลที่ต้องมีการรักษาความปลอดภัยในการสื่อสารแบบหลายชั้น
เหตุการณ์ Cushman & Wakefield ตั้งคำถามที่กว้างขึ้นเกี่ยวกับวิธีที่องค์กรจัดการการสื่อสารที่ละเอียดอ่อน เมื่อการเข้าถึงระบบที่เก็บระเบียนข้อมูลหลายแสนรายการสามารถให้สิทธิ์ได้ผ่านทางโทรศัพท์ นั่นหมายความว่าช่องทางการสื่อสารเองก็เป็นส่วนหนึ่งของพื้นผิวการโจมตี ช่องทางการสื่อสารที่เข้ารหัสและตรวจสอบแล้วเพิ่มความยุ่งยากที่ผู้โจมตีต้องเอาชนะ พร้อมทั้งสร้างเส้นทางการตรวจสอบที่การโทรศัพท์แบบไม่เข้ารหัสไม่มี
แนวทางปฏิบัติด้านการสื่อสารที่ปลอดภัยมีความสำคัญในทุกระดับขององค์กร ซึ่งรวมถึงการใช้การส่งข้อความที่เข้ารหัสสำหรับการประสานงานภายใน การตรวจสอบให้แน่ใจว่าพนักงานระยะไกลเข้าถึงระบบที่ละเอียดอ่อนผ่านการเชื่อมต่อที่ปลอดภัยและผ่านการรับรองตัวตน และการกำหนดขั้นตอนการตรวจสอบนอกช่องทางปกติก่อนดำเนินการตามคำขอใดๆ ที่เกี่ยวข้องกับข้อมูลรับรองหรือการเข้าถึงระบบ แนวทางปฏิบัติเหล่านี้ไม่ได้จำกัดเฉพาะองค์กรขนาดใหญ่: ธุรกิจทุกขนาดที่จัดการข้อมูล PII ของลูกค้าในแพลตฟอร์มคลาวด์เผชิญกับความเสี่ยงพื้นฐานเดียวกัน
กลุ่ม ShinyHunters ซึ่งก่อนหน้านี้เชื่อมโยงกับการละเมิดข้อมูลระดับสูงในหลายภาคส่วน กำลังเพิ่มกิจกรรมในการมุ่งเป้าไปยังฐานข้อมูลที่โฮสต์บนคลาวด์มากขึ้น การที่พวกเขาอ้างว่าใช้ช่องทาง Telegram เพื่อประกาศการอ้างสิทธิ์เกี่ยวกับ Cushman & Wakefield เน้นให้เห็นว่าการดำเนินการเหล่านี้กลายเป็นเรื่องสาธารณะและโจ่งแจ้งเพียงใด ในขณะเดียวกัน การอ้างสิทธิ์แยกของ Qilin แสดงให้เห็นว่าอาจเป็นได้ว่าบริษัทถูกมุ่งเป้าโดยผู้กระทำหลายรายที่ใช้ประโยชน์จากการเข้าถึงเริ่มต้นเดียวกัน หรือกลุ่มแรนซัมแวร์กำลังอ้างความเกี่ยวข้องโดยฉวยโอกาสเพื่อกดดันให้บริษัทยอมจ่ายเงิน
สิ่งที่เหตุการณ์นี้หมายความต่อคุณ
สำหรับบุคคลทั่วไป ความกังวลที่เร่งด่วนที่สุดคือข้อมูลของคุณอาจอยู่ในจำนวน 500,000 ระเบียนที่ถูกบุกรุกใน Salesforce หรือไม่ หากคุณเคยมีการติดต่อกับ Cushman & Wakefield ในฐานะลูกค้า ผู้เช่า หรือพันธมิตรทางธุรกิจ ควรตรวจสอบบัญชีของคุณสำหรับกิจกรรมที่ผิดปกติและระวังความพยายาม Phishing ที่อาจตามมาซึ่งใช้รายละเอียดส่วนตัวของคุณเพื่อให้ดูน่าเชื่อถือ
สำหรับองค์กร เหตุการณ์นี้เป็นแรงกระตุ้นให้ตรวจสอบวิธีการให้และเพิกถอนการเข้าถึงแพลตฟอร์ม CRM บนคลาวด์ คำถามสำคัญที่ต้องถาม ได้แก่: พนักงานสามารถอนุมัติการเปลี่ยนแปลงข้อมูลรับรองหรือการส่งออกข้อมูลโดยอาศัยเพียงคำขอทางโทรศัพท์เท่านั้นได้หรือไม่? ขั้นตอนการตรวจสอบสำหรับการดำเนินการที่ละเอียดอ่อนได้รับการบันทึกและปฏิบัติตามอย่างสม่ำเสมอหรือไม่? แผนการตอบสนองต่อเหตุการณ์ของคุณคำนึงถึงวิศวกรรมสังคมในฐานะจุดเข้าหรือไม่?
การละเมิดข้อมูลของ Cushman & Wakefield เป็นการเตือนว่าวัฒนธรรมด้านความปลอดภัยมีความสำคัญเท่ากับเครื่องมือด้านความปลอดภัย ไม่มีการลงทุนด้านเทคโนโลยีใดที่สามารถชดเชยได้อย่างสมบูรณ์สำหรับพนักงานที่ไม่ได้รับการฝึกอบรมให้รู้จักและรายงานสายโทรศัพท์ที่น่าสงสัย
ข้อแนะนำที่นำไปปฏิบัติได้:
- ฝึกอบรมพนักงานโดยเฉพาะเกี่ยวกับกลยุทธ์ Vishing ไม่ใช่แค่ Email Phishing การโจมตีผ่านเสียงต้องการทักษะการจดจำที่แตกต่างกัน
- ใช้การตรวจสอบหลายขั้นตอนสำหรับคำขอใดๆ ที่เกี่ยวข้องกับข้อมูลรับรอง การเปลี่ยนแปลงบัญชี หรือการเข้าถึงข้อมูลจำนวนมาก โดยไม่คำนึงว่าผู้โทรฟังดูน่าเชื่อถือเพียงใด
- ตรวจสอบว่าใครมีสิทธิ์เข้าถึงแพลตฟอร์มคลาวด์อย่าง Salesforce และใช้หลักการของสิทธิ์น้อยที่สุด: ผู้ใช้ควรเข้าถึงเฉพาะสิ่งที่พวกเขาต้องการอย่างแท้จริง
- สร้างช่องทางภายในที่ชัดเจนและเชื่อถือได้สำหรับพนักงานในการตรวจสอบคำขอที่น่าสงสัยก่อนดำเนินการ
- ตรวจสอบกิจกรรมการส่งออกข้อมูลที่ผิดปกติในสภาพแวดล้อม CRM และที่เก็บข้อมูลบนคลาวด์ เนื่องจากการเข้าถึงระเบียนข้อมูลในปริมาณมากมักตรวจพบได้ก่อนที่การดึงข้อมูลจะเสร็จสมบูรณ์
องค์ประกอบด้านมนุษย์ยังคงเป็นช่องโหว่ที่ถูกใช้ประโยชน์มากที่สุดในการรักษาความปลอดภัยขององค์กร การปิดช่องว่างนั้นต้องอาศัยการลงทุนในคน กระบวนการ และแนวทางปฏิบัติด้านการสื่อสารที่ผ่านการตรวจสอบ ไม่ใช่แค่ซอฟต์แวร์ที่ดีกว่า
