ShinyHunters โจมตี Charter เปิดเผยข้อมูล 4.9 ล้านเรคคอร์ดผ่าน Vishing
การรั่วไหลของข้อมูลของ Charter Communications กลับมาเป็นอุทาหรณ์เกี่ยวกับวิธีการโจมตีสมัยใหม่ที่ไฟร์วอลล์ไม่อาจหยุดยั้งได้ กลุ่มรีดไถ ShinyHunters เผยแพร่ข้อมูลที่ถูกกล่าวหาว่าขโมยมาจาก Charter Communications ยักษ์ใหญ่โทรคมนาคมเจ้าของแบรนด์ Spectrum หลังจากที่มีรายงานว่าบริษัทปฏิเสธที่จะจ่ายค่าไถ่ แม้ในตอนแรกกลุ่มนี้จะอ้างว่ามีข้อมูล 42 ล้านเรคคอร์ด แต่การวิเคราะห์โดย HaveIBeenPwned ได้ลดจำนวนเรคคอร์ดลูกค้าที่ไม่ซ้ำกันและผ่านการตรวจสอบแล้วลงเหลือประมาณ 4.9 ล้านเรคคอร์ด ข้อมูลที่รั่วไหลประกอบด้วย ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ ซึ่งเป็นข้อมูลส่วนบุคคลประเภทที่ป้อนให้กับสแกมที่ตามมาและการคุกคามแบบเจาะจงตัวบุคคล
สำหรับผู้ใช้ที่ใส่ใจความเป็นส่วนตัว รวมถึงผู้ที่ใช้ VPN เพื่อปกป้องกิจกรรมออนไลน์ การรั่วไหลครั้งนี้เป็นเครื่องเตือนใจว่า ข้อมูลละเอียดอ่อนที่สุดบางส่วนที่คุณให้ไปไม่เคยเดินทางผ่านอุโมงค์เข้ารหัสเลยแม้แต่น้อย มันอาศัยอยู่ในระบบบิลของผู้ให้บริการอินเทอร์เน็ตของคุณต่างหาก
ShinyHunters ใช้ Vishing เลี่ยงระบบความปลอดภัยทางเทคนิคของ Charter ได้อย่างไร
ช่องโหว่ในการโจมตีครั้งนี้ไม่ใช่การโจมตีแบบ zero-day หรือมัลแวร์ซับซ้อนแต่อย่างใด จากรายงานเกี่ยวกับ การโจมตีด้วย Vishing ของ ShinyHunters ที่โจมตี Charter กลุ่มนี้ใช้ Voice Phishing หรือที่เรียกกันทั่วไปว่า Vishing หลอกล่อพนักงานให้ยอมให้สิทธิ์เข้าถึงระบบภายใน ในการโจมตีแบบ Vishing ภัยคุกคามจะโทรหาพนักงานโดยตรง ปลอมเป็นเจ้าหน้าที่ไอที ผู้จัดการ หรือผู้ให้บริการที่น่าเชื่อถือ เพื่อขโมยข้อมูลรับรองหรือโน้มน้าวให้เป้าหมายอนุมัติคำขอเข้าถึงที่ไม่ชอบมาพากล
วิธีการนี้ได้ผลดีเพราะมันเล็งเป้าไปที่การตัดสินใจของมนุษย์ ไม่ใช่ช่องโหว่ของซอฟต์แวร์ การยืนยันตัวตนหลายขั้นตอน เครื่องมือตรวจจับภัยบนอุปกรณ์ปลายทาง และการเฝ้าระวังเครือข่าย อาจถูกทำให้ไร้ความหมายไปเลยเมื่อนักวิศวกรรมสังคมที่ได้รับการฝึกฝนมาอย่างดี สามารถโน้มน้าวให้พนักงานที่ใช่ ยอมมอบกุญแจให้โดยสมัครใจ ระบบป้องกันทางเทคนิคถูกออกแบบมาให้หยุดเครื่องจักร แต่ Vishing หยุดมนุษย์
ข้อมูลอะไรที่ถูกเปิดเผย และทำไม ISP จึงเก็บข้อมูลไว้มากมายขนาดนี้
ISP อยู่ในตำแหน่งที่ได้รับสิทธิพิเศษอย่างยิ่งในระบบนิเวศข้อมูล เพื่อให้บริการได้ พวกเขาจำเป็นต้องมีข้อมูลยืนยันตัวตน ได้แก่ ชื่อตามกฎหมาย ที่อยู่ที่ให้บริการ ที่อยู่สำหรับออกบิล และหมายเลขโทรศัพท์เป็นอย่างต่ำ จากประวัติบัญชี พวกเขาอาจมีบันทึกการชำระเงิน รหัสอุปกรณ์ และรูปแบบการใช้บริการอีกด้วย ข้อมูลเหล่านี้อยู่ในฐานข้อมูลที่ต้องให้ทีมบริการลูกค้า ระบบบิล และทีมสนับสนุนทางเทคนิคเข้าถึงได้ ซึ่งนั่นคือสิ่งที่การโจมตีแบบ Vishing ที่สำเร็จสามารถปลดล็อกได้นั่นเอง
เรคคอร์ด 4.9 ล้านชุดที่ได้รับการยืนยันจาก HaveIBeenPwned นั้น หมายถึงผู้คนที่ข้อมูลกำลังหมุนเวียนอยู่ในเครือข่ายนายหน้าข้อมูล และอาจกำลังถูกนำไปใช้สร้างสรรค์ phishing ครั้งใหม่ ๆ ต่อให้เรคคอร์ดหนึ่งจะมีแค่ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ ข้อมูลทั้งสามอย่างนี้ก็เพียงพอที่จะสร้างเรื่องราวบังหน้าให้น่าเชื่อถือ สำหรับการหลอกลวงซ้ำที่เล็งเป้าไปที่บุคคลเหล่านั้นโดยตรง
ทำไม VPN ถึงไม่ช่วยป้องกันการโจมตีทางวิศวกรรมสังคม
VPN เข้ารหัสการรับส่งข้อมูลที่วิ่งระหว่างอุปกรณ์ของคุณกับอินเทอร์เน็ต ปกปิดกิจกรรมการท่องเว็บจาก ISP และป้องกันการสอดแนมระดับเครือข่าย นั่นคือการปกป้องที่มีคุณค่าแท้จริง แต่มันไม่ได้ช่วยปกป้องข้อมูลบัญชีที่ ISP มีอยู่ก่อนแล้วแม้แต่น้อย ก่อนที่การเชื่อมต่อใด ๆ จะเริ่มขึ้นด้วยซ้ำ
เวลาคุณสมัครบริการอินเทอร์เน็ต คุณให้ข้อมูลส่วนตัวเป็นส่วนหนึ่งของความสัมพันธ์ตามสัญญา ข้อมูลนั้นมีอยู่ในระบบของ Charter อยู่แล้ว ไม่ว่าคุณจะใช้ VPN กับการเชื่อมต่อนั้นหรือไม่ก็ตาม การโจมตีแบบ Vishing ที่มุ่งเป้าไปที่พนักงานภายในของ Charter ไม่ได้เข้าไปยุ่งกับการรับส่งข้อมูลที่เข้ารหัสของคุณเลยแม้แต่น้อย มันมุ่งตรงไปยังฐานข้อมูลที่เก็บบันทึกการออกบิลและข้อมูลบัญชีของคุณ การรั่วไหลของข้อมูลของ Charter Communications สะท้อนให้เห็นข้อจำกัดเชิงโครงสร้าง ผู้ใช้ VPN ก็ไม่ได้รับการยกเว้นจากการรั่วไหลของข้อมูลจาก ISP เพราะข้อมูลที่มีความเสี่ยงนั้นมีอยู่ก่อนเครื่องมือความเป็นส่วนตัวใด ๆ ที่พวกเขาอาจเลือกใช้
นี่ไม่ได้หมายความว่า VPN ไม่มีประสิทธิภาพ แต่มันหมายความว่ามันช่วยแก้ปัญหาเฉพาะบางอย่าง และปัญหานั้นไม่ใช่การโจมตีทางวิศวกรรมสังคม หรือการโจมตีโดยใช้สิทธิ์จากภายใน
ขั้นตอนที่ผู้ใช้ที่ใส่ใจความเป็นส่วนตัวสามารถลงมือทำได้ทันที
หากคุณเป็นลูกค้าของ Charter หรือ Spectrum ขั้นตอนเร่งด่วนที่สุดคือตรวจสอบว่าเรคคอร์ดของคุณปรากฏในฐานข้อมูลการรั่วไหลที่เปิดเผยต่อสาธารณะหรือไม่ นอกจากนั้นยังมีการกระทำที่เป็นรูปธรรมที่ควรทำ ไม่ว่าคุณจะปรากฏในชุดข้อมูลนี้หรือไม่ก็ตาม
- ระวังการโจมตีด้วย Vishing ที่เล็งเป้ามายังคุณโดยตรง อาชญากรที่ได้ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ของคุณ มักใช้ข้อมูลนั้นเพื่อปลอมเป็นธนาคาร ISP หรือหน่วยงานรัฐในการติดต่อกลับ จงเคลือบแคลงใจกับสายโทรเข้าที่ไม่คาดคิดซึ่งขอให้คุณยืนยันรายละเอียดบัญชีหรืออนุมัติการดำเนินการใด ๆ
- เปิดความตระหนักรู้เรื่องการปลอมแปลงหมายเลข หมายเลขที่โชว์บนหน้าจอไม่ใช่ตัวบ่งชี้ที่เชื่อถือได้ว่าใครเป็นผู้โทรจริง ให้มองว่าสายที่ไม่คาดคิดที่ขอข้อมูลละเอียดอ่อนนั้นน่าสงสัยเสมอ แม้ว่าหมายเลขนั้นจะดูคุ้นตาก็ตาม
- ใช้ข้อมูลติดต่อที่ไม่ซ้ำกันเท่าที่เป็นไปได้ บริการที่สร้างหมายเลขโทรศัพท์แบบปิดบังหรืออีเมลแฝง จะช่วยจำกัดความเสียหายไม่ให้การรั่วไหลครั้งหนึ่งลุกลามไปสู่การรั่วไหลอื่น ๆ
- ตรวจสอบบัญชี ISP ของคุณว่ามีการเปลี่ยนแปลงที่คุณไม่ได้ทำหรือไม่ หากที่อยู่ หมายเลขติดต่อ หรือข้อมูลการชำระเงินถูกเปลี่ยนโดยที่คุณไม่รู้ นั่นอาจเป็นสัญญาณว่ามีบางคนใช้ข้อมูลที่รั่วไหลของคุณไปแล้ว
- อายัดเครดิตหากคุณยังไม่เคยทำ ดูเหมือนว่าการรั่วไหลครั้งนี้จะไม่มีหมายเลขประกันสังคม เมื่อพิจารณาจากรายงานในปัจจุบัน แต่การจับคู่ข้อมูลที่อยู่และหมายเลขโทรศัพท์ที่รั่วไหล กับชุดข้อมูลที่เคยรั่วไหลอื่น ๆ เป็นกลวิธีที่พบบ่อยสำหรับการโจรกรรมข้อมูลประจำตัว
สำหรับรายละเอียดที่สมบูรณ์มากขึ้นเกี่ยวกับลำดับเวลาการรั่วไหล และสิ่งที่ Charter ยืนยันต่อสาธารณะ รายงานการโจมตีด้วย Vishing ของ ShinyHunters ให้บริบทที่ลึกขึ้นว่าเหตุการณ์นี้คลี่คลายอย่างไร และบริษัทเปิดเผยอะไรบ้าง
การรั่วไหลของข้อมูลของ Charter Communications เป็นเครื่องเตือนว่า การปกป้องความเป็นส่วนตัวของคุณต้องคิดให้ไกลกว่าเครื่องมือใดเครื่องมือหนึ่งเพียงตัวเดียว VPN, รหัสผ่านที่แข็งแกร่ง และการยืนยันตัวตนสองขั้นตอนล้วนสำคัญ แต่องค์กรที่คุณแบ่งปันข้อมูลด้วยยังคงเป็นปัจจัยเสี่ยงที่อยู่นอกเหนือการควบคุมโดยตรงของคุณ การเข้าใจว่าข้อมูลของคุณอยู่ที่ไหน และเข้าถึงได้อย่างไร คือก้าวแรกสู่การจัดการความเสี่ยงนั้นอย่างมีประสิทธิภาพ
