TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
เทคโนโลยี
เทคโนโลยีสารสนเทศ
ความปลอดภัยทางไซเบอร์

เมื่อแม้แต่ CEO เทคโนโลยียังตกเป็นเหยื่อฟิชชิ่ง: กำแพงมนุษย์ล้มเหลวอีกครั้ง

ทีมชุมชน BigGo
เมื่อแม้แต่ CEO เทคโนโลยียังตกเป็นเหยื่อฟิชชิ่ง: กำแพงมนุษย์ล้มเหลวอีกครั้ง

ในโลกของความปลอดภัยไซเบอร์ มีความเชื่อผิดๆ อย่างเหนียวแน่นว่ามีแต่คนที่ไม่มีความรู้ทางเทคนิคเท่านั้นที่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ภาพลวงตาที่สร้างความสบายใจนี้ได้พังทลายลงไม่นานมานี้ เมื่อ Kurt Mackey ซีอีโอของ Fly.io กลายเป็นเหยื่อรายล่าสุดของแผนการฟิชชิ่งที่ถูกวางอย่างฉลาดหลักแหลม เหตุการณ์นี้ได้จุดประกายการถกเถียงอย่างกว้างขวางเกี่ยวกับสาเหตุที่แม้แต่มืออาชีพด้านเทคโนโลยีที่มีประสบการณ์ยังคงมีความเปราะบาง และการป้องกันที่มีประสิทธิภาพจริงๆ ควรมีหน้าตาเป็นอย่างไร ในยุคที่จิตวิทยามนุษย์มักเอาชนะมาตรการป้องกันทางเทคนิค

โครงสร้างของการโจมตีแบบฟิชชิ่งยุคใหม่

อีเมลฟิชชิ่งที่หลอกซีอีโอของ Fly.io ได้นั้น เรียบง่ายแต่หลอกลวงและยอดเยี่ยมในแง่จิตวิทยา อีเมลอ้างว่าบริษัทได้โพสต์เนื้อหาที่ละเมิดข้อกำหนดการให้บริการของ X และมีข้อความข่มขู่ว่า: การลบเนื้อหาออกจากหน้าของคุณเพียงอย่างเดียวไม่ช่วยแก้ปัญหา หากคุณตัดสินใจไม่แก้ไขปัญหา หน้าของคุณอาจถูกระงับ ข้อความนี้ใช้ประโยชน์จากพายุที่สมบูรณ์แบบของความกังวลในองค์กรและความรับผิดชอบของผู้บริหาร ผู้โจมตีเข้าใจว่าปัญหาการกลั่นกรองเนื้อหาสร้างความเร่งด่วนทันที และซีอีโอรู้สึกถึงความรับผิดชอบส่วนตัวต่อการมีอยู่บนโซเชียลมีเดียของบริษัท สิ่งที่ทำให้เหตุการณ์นี้มีประสิทธิภาพเป็นพิเศษคือเวลาที่มันมาถึง – มันมาถึงไม่นานหลังจากบริษัทโพสต์มีมผ่านผู้รับจ้างจริงๆ ทำให้ข้อกล่าวหาการละเมิดดูน่าเชื่อถืออย่างยิ่ง

การตอบสนองจากชุมชนเผยให้เห็นว่าช่องทางการโจมตีเฉพาะทางนี้กลายเป็นเรื่องธรรมดามากเพียงใด ผู้ใช้หนึ่งคนระบุว่า อีเมลฟิชชิ่ง 'เนื้อหาละเมิดในโพสต์ X ของคุณ' นี้เป็นเรื่องธรรมดามาก เราได้รับอีเมลแบบนี้ประมาณสิบกว่าฉบับต่อสัปดาห์ ความซับซ้อนของการโจมตีเหล่านี้ได้พัฒนาขึ้นเกินกว่าการสะกดผิดที่เห็นได้ชัดและกราฟิกที่งุ่มง่ามในความพยายามฟิชชิ่งยุคแรกๆ แคมเปญฟิชชิ่งยุคใหม่ใช้ข้อความที่โจมตีเป้าหมายทางจิตวิทยา ซึ่งเลี่ยงการตรวจสอบอย่างมีตรรกะโดยการกระตุ้นการตอบสนองทางอารมณ์ – โดยเฉพาะความกลัวและความเร่งด่วน

เวกเตอร์การโจมตีฟิชชิงที่พบบ่อย:

  • การเตือนเกี่ยวกับการละเมิดเนื้อหาจากแพลตฟอร์มโซเชียลมีเดีย
  • แบบสำรวจความพึงพอใจด้าน IT ปลอม
  • อีเมลแจ้งรับรางวัล/ของขวัญปลอม
  • คำขอชำระค่าภาษีนำเข้าจากบริษัทขนส่ง
  • อุปกรณ์ USB ที่ทิ้งไว้ในลานจอดรถ (ฟิชชิงทางกายภาพ)

เหตุใดการฝึกอบรมด้านความปลอดภัยจึงไม่เพียงพอ

ข้อสรุปอันท่วมท้นจากผู้เชี่ยวชาญด้านเทคนิคคือ การฝึกอบรมเกี่ยวกับฟิชชิ่งแบบดั้งเดิมให้ความมั่นใจที่ผิดๆ แทนที่จะเป็นการป้องกันที่แท้จริง ผู้ใช้หลายคนแบ่งปันประสบการณ์เกี่ยวกับการจำลองสถานการณ์ฟิชชิ่งที่ซับซ้อนซึ่งหลอกแม้แต่พนักงานที่ตระหนักรู้ด้านความปลอดภัยอย่างสม่ำเสมอ ผู้ใช้หนึ่งคนที่ทำงานด้านต่อต้านฟิชชิ่งอธิบายว่าบริษัทของพวกเขามาถึงจุดที่ไม่มีใครเปิดอีเมลใดๆ หรือคลิกลิงก์ใดๆ เลย – ส่งผลให้เกิดปัญหาด้านการดำเนินงานสำหรับการสื่อสารของฝ่าย HR ที่ถูกต้องตามกฎหมายและการฝึกอบรมประจำปี

หากคุณไม่เคยอ่านอีเมลของคุณเลย มันก็ยากที่พวกเขาจะหลอกคุณด้วยอีเมลฟิชชิ่งได้

ความขัดแย้งของแนวทางนี้เน้นย้ำถึงปัญหาพื้นฐาน: เมื่อมาตรการความปลอดภัยเข้มงวดมากจนขัดขวางการดำเนินงานปกติ พนักงานจะพัฒนาวิธีการแก้ปัญหาเฉพาะหน้าที่ท้ายที่สุดแล้วสร้างช่องโหว่ใหม่ขึ้นมา ผู้ใช้คนอื่นชี้ไปที่การวิจัยที่ยืนยันว่าการฝึกอบรมเกี่ยวกับฟิชชิ่งไม่ได้ผล โดยอ้างอิงถึงการศึกษาเชิงวิชาการที่ตั้งคำถามถึงประสิทธิผลของแคมเปญสร้างความตระหนักรู้เมื่อเทียบกับการโจมตีทางวิศวกรรมสังคมที่มุ่งมั่น

ความจริงทางเทคนิคของความเปราะบางของมนุษย์

ผู้เชี่ยวชาญด้านเทคนิคในการสนทนาเน้นย้ำอย่างสม่ำเสมอว่าทุกคนสามารถถูกฟิชชิ่งได้ภายใต้สถานการณ์ที่เหมาะสม ผู้ใช้หนึ่งคนแบ่งปันประสบการณ์ที่เกือบจะตกเป็นเหยื่อของตัวเอง: ฉันเกือบถูกฟิชชิ่งแล้ว (ไม่ได้ดูโดเมนใกล้ชิดพอที่จะสังเกตเห็นเครื่องหมายเน้นเสียงเล็กๆ เหนือตัว 's' ในชื่อโดเมน) การโจมตีนี้ได้ผลเพราะมันใช้ประโยชน์จากพฤติกรรมปกติของมนุษย์ภายใต้ความเครียด – การรีบเร่งเพื่อแก้ปัญหา การคิดในแง่ดี และความไว้วางใจอินเทอร์เฟซที่คุ้นเคย

แม้แต่ตัวจัดการรหัสผ่าน ซึ่งมักถูกยกย่องว่าเป็นเกราะป้องกันหลัก กลับพิสูจน์ว่าไม่เพียงพอในกรณีนี้ ซีอีโอคัดลอกข้อมูลประจำตัวด้วยตนเองจาก 1Password เมื่อระบบกรอกอัตโนมัติไม่ทำงาน – เป็นเหตุการณ์ทั่วไปที่ผู้ใช้คาดหวังจากเว็บไซต์ที่ถูกต้องตามกฎหมายซึ่งมีขั้นตอนการตรวจสอบสิทธิ์ที่ซับซ้อน ดังที่ผู้ใช้หนึ่งคนให้ความเห็นว่า เป็นเรื่องปกติเกินไปที่เว็บไซต์จะเปลี่ยนเส้นทางไปยังโดเมนแยกบางโดเมนสำหรับการลงชื่อเข้าใช้ ซึ่งไม่ใช่โดเมนที่ใช้ลงทะเบียนในตอนแรก ทำให้ผู้ใช้เคยชินกับ 'โอ้ ต้องคัดลอกรหัสผ่านอีกแล้ว' เป็นสิ่งที่เกิดขึ้นตามปกติโดยสิ้นเชิง

ทำไมการป้องกันแบบดั้งเดิมมักล้มเหลว:

  • ตัวจัดการรหัสผ่านสามารถถูกหลีกเลี่ยงได้ผ่านการกรอกข้อมูลรับรองด้วยตนเอง
  • รหัส TOTP (Time-based One-Time Password) สามารถถูกฟิชชิงได้เหมือนกับรหัสผ่านทั่วไป
  • แบนเนอร์เตือนภัยในอีเมลกลายเป็นสิ่งที่มองไม่เห็นเนื่องจากการใช้งานมากเกินไป
  • เว็บไซต์ที่ถูกต้องตามกฎหมายมักใช้โดเมนหลายโดเมนสำหรับการยืนยันตัวตน ซึ่งฝึกให้ผู้ใช้เพิกเฉยต่อความไม่ตรงกันของโดเมน

เส้นทางสู่การป้องกันที่แท้จริง

การสนทนาในชุมชนชี้ไปในทิศทางเดียวกันอย่างสม่ำเสมอว่าการตรวจสอบสิทธิ์ที่ต้านทานฟิชชิ่งเป็นทางออกเดียวที่เชื่อถือได้ เทคโนโลยีเช่น FIDO2 security keys และ passkeys ทำงานผ่านการตรวจสอบสิทธิ์ซึ่งกันและกัน – อุปกรณ์ของคุณยืนยันตัวตนของเว็บไซต์ด้วยการเข้ารหัสก่อนที่จะปล่อยข้อมูลประจำตัว แนวทางทางเทคนิคนี้ขจัดองค์ประกอบมนุษย์ออกจากสมการความปลอดภัย ป้องกันไม่ให้ข้อมูลประจำตัวถูกส่งไปยังเว็บไซต์ปลอม โดยไม่คำนึงว่าผู้ใช้จะคลิกลิงก์อะไร

ผู้ใช้หลายคนเน้นย้ำว่าองค์กรควรมุ่งเน้นไปที่การรักษาความปลอดภัยระบบตรวจสอบสิทธิ์ของพวกเขา แทนที่จะพยายามฝึกอบรมผู้ใช้ให้ตรวจจับความพยายามฟิชชิ่งที่ซับซ้อนขึ้นเรื่อยๆ ดังที่ผู้เชี่ยวชาญด้านความปลอดภัยหนึ่งคนระบุ คุณไม่ได้เอาชนะฟิชชิ่งด้วยการฝึกอบรมคนไม่ให้คลิกสิ่งต่างๆ หมายถึง บอกพวกเขาไม่ให้คลิกก็ดีอยู่! แต่ในที่สุด ภายใต้แรงกดดันอย่างต่อเนื่อง ทุกคนก็คลิก มีวิทยาศาสตร์รองรับเรื่องนี้ ทางออกเกี่ยวข้องกับการนำระบบที่ต้นทุนของความล้มเหลวถูกลดลงผ่านการควบคุมทางเทคนิคที่เหมาะสม แทนที่จะพึ่งพาความสมบูรณ์แบบของมนุษย์

การสนทนายังเน้นย้ำถึงความสำคัญของการปฏิบัติตามมาตรการความปลอดภัยอย่างสม่ำเสมอในทุกระบบ Fly.io มี MFA ที่ต้านทานฟิชชิ่งอย่างแข็งแกร่งปกป้องโครงสร้างพื้นฐานหลักของพวกเขา แต่บัญชี Twitter ของพวกเขายังคงอยู่นอกขอบเขตความปลอดภัยนี้เพราะพวกเขามีปัญหาในการมอง Twitter อย่างจริงจัง สิ่งนี้สร้างช่องโหว่แบบเดียวกับที่ผู้โจมตีมองหา – เป้าหมายมูลค่าสูงที่มีการป้องกันที่อ่อนแอกว่า

วิธีการยืนยันตัวตนที่ป้องกันฟิชชิงได้:

  • FIDO2 Security Keys (YubiKey ฯลฯ)
  • Passkeys (เก็บไว้ใน password managers หรือ platform authenticators)
  • การใช้งานโปรโตคอล WebAuthn
  • MFA แบบฮาร์ดแวร์ที่ทำการยืนยันตัวตนแบบสองทาง

มองไปข้างหน้า

เหตุการณ์นี้ทำหน้าที่เป็นเครื่องเตือนใจที่จริงจังว่าในความปลอดภัยไซเบอร์ ความสะดวกสบายมักจะเอาชนะความปลอดภัย และระบบเก่าสร้างช่องโหว่ที่คงอยู่ เมื่อองค์กรต่างๆ พึ่งพาแพลตฟอร์มบุคคลที่สามและโซเชียลมีเดียสำหรับการดำเนินธุรกิจมากขึ้นเรื่อยๆ พวกเขาต้องขยายมาตรฐานความปลอดภัยของพวกเขาไปยังระบบเหล่านี้ หรือยอมรับความเสี่ยงที่จะถูกโจมตี

การสนทนาในชุมชนชี้ให้เห็นว่าเรากำลังอยู่ที่จุดเปลี่ยนที่ passkeys และ hardware security keys กำลังกลายเป็นสิ่งจำเป็นแทนที่จะเป็นตัวเลือก ด้วยแพลตฟอร์มหลักๆ ในตอนนี้ที่สนับสนุนเทคโนโลยีเหล่านี้ องค์กรมีข้ออ excuse น้อยลงสำหรับการรักษาวิธีการตรวจสอบสิทธิ์ที่เปราะบาง อนาคตของการป้องกันฟิชชิ่งดูเหมือนจะอยู่ที่การนำมนุษย์ออกจากวงจรการตัดสินใจทั้งหมด ผ่านการยืนยันด้วยการเข้ารหัสที่ทำงานโดยไม่คำนึงว่าเว็บไซต์ปลอมจะดูน่าเชื่อถือเพียงใด

บทเรียนสุดท้ายจากเหตุการณ์นี้ไม่ใช่ที่ซีอีโอด้านเทคโนโลยีต้องการการฝึกอบรมที่ดีกว่า – แต่เป็นระบบใดๆ ที่พึ่งพาการตื่นตัวของมนุษย์จะล้มเหลวในที่สุด ดังที่ผู้ใช้หนึ่งคนสรุปสถานการณ์ได้อย่างสมบูรณ์แบบ: หากมันเกิดขึ้นกับ Kurt ได้ มันก็สามารถเกิดขึ้นกับใครก็ได้ กลยุทธ์ความปลอดภัยที่มีประสิทธิภาพที่สุดคือการยอมรับความผิดพลาดของมนุษย์และสร้างระบบที่ปกป้องผู้ใช้จากตัวพวกเขาเอง

อ้างอิง: Kurt Got Got

ข่าวที่เกี่ยวข้อง