Microsoft เปิดเผยปฏิบัติการฟิชชิ่งขโมยโทเค็นขนาดใหญ่
Microsoft เปิดเผยแคมเปญฟิชชิ่งขนาดใหญ่ที่เจาะระบบโทเค็นการยืนยันตัวตนของผู้ใช้มากกว่า 35,000 รายใน 13,000 องค์กร ผู้โจมตีแอบอ้างเป็นผู้ส่งอย่างเป็นทางการโดยใช้อีเมลธีม "จรรยาบรรณ" ที่จัดทำอย่างมืออาชีพ ซึ่งเป็นกลวิธีวิศวกรรมสังคมที่ออกแบบมาเพื่อให้ดูเป็นเรื่องปกติและน่าเชื่อถือในกล่องจดหมายขององค์กร บริษัทด้านการดูแลสุขภาพ บริการทางการเงิน และเทคโนโลยีได้รับผลกระทบหนักที่สุด ทำให้นี่เป็นหนึ่งในการเปิดเผยการโจรกรรมข้อมูลประจำตัวที่สร้างผลกระทบมากที่สุดในช่วงหลังที่ผ่านมา
สิ่งที่ทำให้แคมเปญนี้แตกต่างจากฟิชชิ่งทั่วไปคือการมุ่งเน้นขโมยโทเค็นการยืนยันตัวตนแทนที่จะเป็นรหัสผ่านโดยตรง โทเค็นคือข้อมูลประจำตัวดิจิทัลขนาดเล็กที่ยืนยันว่าผู้ใช้ได้ล็อกอินแล้ว และการดักจับโทเค็นสามารถให้สิทธิ์ผู้โจมตีเข้าถึงบัญชีได้อย่างเต็มรูปแบบโดยไม่จำเป็นต้องรู้รหัสผ่าน ซึ่งหมายความว่าแม้แต่ผู้ใช้ที่มีรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันก็อาจถูกเจาะได้ หากโทเค็นเซสชันของพวกเขาถูกดักจับ
เหตุใดการขโมยโทเค็นการยืนยันตัวตนจึงเป็นอันตรายอย่างยิ่ง
ฟิชชิ่งแบบดั้งเดิมมักพยายามหลอกให้ผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่านในหน้าล็อกอินปลอม การขโมยโทเค็นไปไกลกว่านั้น เมื่อผู้โจมตีได้โทเค็นการยืนยันตัวตนที่ใช้งานได้ พวกเขามักสามารถข้ามการตรวจสอบความปลอดภัยได้ทั้งหมด รวมถึงการยืนยันตัวตนแบบหลายปัจจัย (MFA) บางรูปแบบที่ตรวจสอบตัวตนเฉพาะตอนล็อกอินเท่านั้น เนื่องจากระบบถือว่าเซสชันได้รับการยืนยันแล้ว จึงไม่มีอะไรต้องตรวจสอบซ้ำ
สิ่งนี้น่าเป็นห่วงเป็นพิเศษสำหรับองค์กรในอุตสาหกรรมที่มีการกำกับดูแล เช่น การดูแลสุขภาพและการเงิน ซึ่งข้อมูลที่ละเอียดอ่อน บันทึกลูกค้า และระบบการเงินอยู่เบื้องหลังการล็อกอินเหล่านั้น โทเค็นที่ถูกขโมยเพียงอันเดียวสามารถทำหน้าที่เป็นกุญแจหลักสู่อีเมล พื้นที่จัดเก็บข้อมูลบนคลาวด์ เครื่องมือภายใน และแพลตฟอร์มการสื่อสารของพนักงาน ตราบเท่าที่โทเค็นนั้นยังใช้งานได้
รูปลักษณ์ที่เป็นมืออาชีพของอีเมลหลอกลวงทำให้ยากต่อการป้องกันในระดับมนุษย์ยิ่งขึ้น การแจ้งเตือน "จรรยาบรรณ" มีความน่าเชื่อถือและความเร่งด่วน ซึ่งเป็นสองปัจจัยที่เป็นเลเวอร์ที่เชื่อถือได้ในวิศวกรรมสังคม พนักงานถูกปลูกฝังให้ถือข้อความเหล่านี้อย่างจริงจัง ซึ่งนั่นคือเหตุผลที่ผู้โจมตีเลือกรูปแบบนั้น
สิ่งนี้หมายความว่าอะไรสำหรับคุณ
หากคุณทำงานในองค์กร โดยเฉพาะในด้านการดูแลสุขภาพ การเงิน หรือเทคโนโลยี แคมเปญนี้เป็นเครื่องเตือนใจที่ชัดเจนว่าภัยคุกคามจากฟิชชิ่งมีความซับซ้อนมากขึ้น การคลิกลิงก์ในอีเมลที่ออกแบบมาอย่างดีและล็อกอินในสิ่งที่ดูเหมือนพอร์ทัลที่ถูกต้องอาจเปิดเผยโทเค็นเซสชันของคุณโดยที่คุณไม่รู้ตัวว่ามีอะไรผิดพลาด
การป้องกันหลายชั้นทำงานร่วมกันเพื่อลดความเสี่ยงนี้:
การยืนยันตัวตนแบบหลายปัจจัยยังคงจำเป็น แม้ว่าเทคนิคการขโมยโทเค็นขั้นสูงสามารถข้าม MFA บางการใช้งานได้ แต่คีย์ความปลอดภัยฮาร์ดแวร์และการยืนยันตัวตนแบบพาสคีย์นั้นยากต่อการหลบเลี่ยงมากกว่า SMS หรือรหัสผ่านแบบแอป องค์กรควรให้ความสำคัญกับมาตรฐาน MFA ที่ทนทานต่อฟิชชิ่ง เช่น FIDO2 ทุกที่ที่เป็นไปได้
การป้องกันในระดับเครือข่ายเพิ่มชั้นการป้องกันอีกชั้น VPN เข้ารหัสการรับส่งข้อมูลระหว่างอุปกรณ์ของคุณกับอินเทอร์เน็ตในวงกว้าง ซึ่งจำกัดความสามารถของผู้โจมตีในการดักจับข้อมูลระหว่างการส่งบนเครือข่ายที่ไม่น่าเชื่อถือ เมื่อพนักงานทำงานจากระยะไกลหรือเชื่อมต่อผ่าน Wi-Fi สาธารณะ การรับส่งข้อมูลที่ไม่ได้เข้ารหัสมีความเสี่ยงต่อการถูกดักจับ การทำความเข้าใจว่าโปรโตคอล VPNแต่ละตัวจัดการการเข้ารหัสและการสร้างอุโมงค์อย่างไรสามารถช่วยให้องค์กรและบุคคลเลือกการกำหนดค่าที่เสริมความแข็งแกร่งของการเชื่อมต่ออย่างแท้จริง แทนที่จะเพียงแค่เพิ่มภาพลักษณ์ของความปลอดภัย
การตรวจสอบอีเมลมีความสำคัญมากกว่าที่เคย แม้แต่ผู้ใช้ที่มีความเชี่ยวชาญด้านเทคนิคควรหยุดคิดก่อนคลิกลิงก์ในการแจ้งเตือนทางอีเมลที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งที่มีความเร่งด่วนหรืออำนาจทางการบริหาร การยืนยันคำขอผ่านช่องทางแยกต่างหาก การเข้าถึงพอร์ทัลอย่างเป็นทางการโดยตรงแทนที่จะใช้ลิงก์อีเมล เป็นนิสัยที่ต้องใช้ความพยายามน้อยแต่มีคุณค่าในการป้องกันอย่างแท้จริง
อายุการใช้งานโทเค็นและการจัดการเซสชันสมควรได้รับความสนใจ ทีมรักษาความปลอดภัยควรตรวจสอบว่าโทเค็นการยืนยันตัวตนมีอายุการใช้งานนานแค่ไหน และบังคับใช้ช่วงเวลาเซสชันที่สั้นลงสำหรับแอปพลิเคชันที่ละเอียดอ่อน ยิ่งโทเค็นใช้งานได้นานเท่าใด โทเค็นที่ถูกขโมยก็สามารถถูกนำไปใช้ได้นานเท่านั้น
บทสรุปสำหรับองค์กรและบุคคล
การเปิดเผยของ Microsoft ครั้งนี้เป็นแรงกระตุ้นที่มีประโยชน์ในการตรวจสอบแนวปฏิบัติด้านความปลอดภัยในปัจจุบัน มากกว่าจะเป็นเหตุผลให้ตื่นตระหนก แคมเปญการโจรกรรมข้อมูลประจำตัวในระดับนี้ประสบความสำเร็จเพราะพวกเขาใช้ประโยชน์จากช่องว่างระหว่างความตระหนักและการลงมือทำ มีขั้นตอนที่เป็นรูปธรรมบางอย่างที่ควรดำเนินการทันที:
- ตรวจสอบการตั้งค่า MFA และเปลี่ยนไปใช้วิธีการยืนยันตัวตนที่ทนทานต่อฟิชชิ่งทุกที่ที่เป็นไปได้
- ตรวจสอบให้แน่ใจว่าพนักงานที่ทำงานจากระยะไกลใช้ VPN บนเครือข่ายที่ไม่น่าเชื่อถือเพื่อเข้ารหัสการรับส่งข้อมูลระหว่างการส่ง หากคุณไม่แน่ใจว่าโปรโตคอลใดเหมาะกับรูปแบบภัยคุกคามของคุณมากที่สุด การตรวจสอบวิธีที่แต่ละตัวจัดการความปลอดภัยและประสิทธิภาพเป็นจุดเริ่มต้นที่ใช้งานได้จริง
- ฝึกอบรมพนักงานให้รับรู้กลวิธีวิศวกรรมสังคม รวมถึงอีเมลที่ใช้อำนาจ เช่น ประกาศนโยบายและการเตือนความจำเรื่องจรรยาบรรณ
- สอบถามทีม IT หรือทีมรักษาความปลอดภัยเกี่ยวกับนโยบายโทเค็นเซสชันและว่าช่วงเวลาหมดอายุที่สั้นลงนั้นเป็นไปได้สำหรับระบบที่สำคัญหรือไม่
ไม่มีการควบคุมเพียงอย่างเดียวที่จะขจัดความเสี่ยงได้ทั้งหมด แต่การรวมสุขอนามัยการยืนยันตัวตน การเชื่อมต่อเครือข่ายที่เข้ารหัส และความตระหนักของผู้ใช้เข้าด้วยกันสร้างแรงเสียดทานที่มีความหมายสำหรับผู้โจมตี องค์กรที่ไม่ได้รับผลกระทบจากแคมเปญนี้น่าจะมีมาตรการเหล่านี้อย่างน้อยบางส่วน ส่วนองค์กรที่ได้รับผลกระทบในตอนนี้มีภาพที่ชัดเจนว่าควรมุ่งเน้นที่ไหน
