ภัยคุกคามใหม่! ทำไมผู้โจมตีถึง "Phishing" ผ่าน LinkedIn? 5 เหตุผลที่คุณต้องรู้!
การโจมตีแบบ Phishing (ฟิชชิ่ง) ไม่ได้จำกัดอยู่แค่ในกล่องอีเมลอีกต่อไปแล้ว! ข้อมูลล่าสุดชี้ให้เห็นว่า 1 ใน 3 ของการโจมตี Phishing ในปัจจุบันเกิดขึ้นผ่านช่องทางที่ไม่ใช่อีเมล เช่น โซเชียลมีเดีย, เครื่องมือค้นหา และแอปพลิเคชันส่งข้อความต่างๆ
โดยเฉพาะอย่างยิ่ง LinkedIn ได้กลายเป็นแหล่งเพาะพันธุ์ชั้นดีของการโจมตี Phishing ซึ่งมีเหตุผลที่น่าสนใจ ผู้โจมตีได้ดำเนินกลยุทธ์ "Spear-Phishing" (ฟิชชิ่งแบบเจาะจงเป้าหมาย) ที่ซับซ้อน มุ่งเป้าไปที่ผู้บริหารระดับสูงของบริษัท โดยเฉพาะอย่างยิ่งในกลุ่มธุรกิจการเงินและเทคโนโลยี
แม้ว่า LinkedIn จะเป็นแอปส่วนตัว แต่ก็ถูกใช้เพื่อวัตถุประสงค์ในการทำงานบ่อยครั้ง เข้าถึงผ่านอุปกรณ์ของบริษัท และผู้โจมตีก็มุ่งเป้าไปที่บัญชีธุรกิจอย่าง Microsoft Entra และ Google Workspace ดังนั้น ภัย Phishing ผ่าน LinkedIn จึงเป็นภัยคุกคามสำคัญที่องค์กรธุรกิจต้องเตรียมพร้อมรับมือ
นี่คือ 5 เหตุผลหลักที่ทำให้ผู้โจมตีเลือกใช้ LinkedIn ในการทำ Phishing และทำไมมันถึงมีประสิทธิภาพสูง
1. เลี่ยงผ่านเครื่องมือรักษาความปลอดภัยแบบดั้งเดิม
การส่งข้อความส่วนตัว (DM) บน LinkedIn สามารถ เลี่ยงผ่านเครื่องมือรักษาความปลอดภัยอีเมล ที่องค์กรส่วนใหญ่ใช้ในการป้องกัน Phishing ได้อย่างสมบูรณ์ ทีมรักษาความปลอดภัยไม่มีการมองเห็นหรือควบคุมการสื่อสารเหล่านี้ พนักงานเข้าถึง LinkedIn บนแล็ปท็อปและโทรศัพท์ที่ใช้ทำงาน ทำให้ผู้โจมตีสามารถส่งข้อความถึงพวกเขาได้โดยไม่มีความเสี่ยงที่จะถูกดักจับ
ที่แย่ไปกว่านั้นคือ ชุดเครื่องมือ Phishing สมัยใหม่ใช้เทคนิคการอำพราง (obfuscation) การต่อต้านการวิเคราะห์ และการหลีกเลี่ยงการตรวจจับ เพื่อหลีกเลี่ยงการควบคุมการต่อต้าน Phishing ที่ตรวจสอบหน้าเว็บ (เช่น บอตรักษาความปลอดภัย) หรือการวิเคราะห์การรับส่งข้อมูลเว็บ (เช่น Web Proxy) สิ่งนี้ทำให้องค์กรส่วนใหญ่ต้องพึ่งพาเพียงการฝึกอบรมผู้ใช้และการรายงานเท่านั้น ซึ่งเป็นสถานการณ์ที่ไม่ดีนัก
แม้ผู้ใช้จะรายงานการโจมตี Phishing บน LinkedIn แล้ว องค์กรก็แทบจะทำอะไรไม่ได้ ไม่เหมือนอีเมล ที่ไม่สามารถเรียกคืน (Recall) หรือกักกัน (Quarantine) ข้อความเดียวกันที่ส่งถึงผู้ใช้หลายคนได้ สิ่งที่ทำได้คือการรายงานบัญชีผู้โจมตี และบล็อก URL ที่เกี่ยวข้อง ซึ่งผู้โจมตีมักจะหมุนเวียนโดเมนอย่างรวดเร็ว ทำให้การบล็อกเป็นการเล่นเกม "ตีตัวตุ่น" ที่เสียเปรียบ
2. ง่าย ประหยัด และขยายผลได้ง่ายสำหรับผู้โจมตี
การทำ Phishing ผ่าน LinkedIn นั้นเข้าถึงได้ง่ายกว่าการโจมตีผ่านอีเมลมาก
ในการโจมตีด้วยอีเมล ผู้โจมตีมักจะต้องสร้างโดเมนอีเมลล่วงหน้า และใช้เวลาในการ "วอร์มอัพ" เพื่อสร้างชื่อเสียงของโดเมนให้ผ่านตัวกรองอีเมล แต่ใน LinkedIn มันง่ายกว่ามากที่จะเข้ายึดครองบัญชีที่ถูกต้องตามกฎหมาย
- 60% ของข้อมูลรับรอง (Credentials) ที่ได้จาก Infostealer Logs มีความเชื่อมโยงกับบัญชีโซเชียลมีเดีย ซึ่งหลายบัญชีขาดการยืนยันตัวตนแบบหลายปัจจัย (MFA) เนื่องจากผู้ใช้ไม่นิยมเปิดใช้ในแอปส่วนตัว
- การยึดบัญชีที่ถูกกฎหมายทำให้ผู้โจมตีมีฐานการเปิดตัวที่น่าเชื่อถือ สามารถแทรกซึมเข้าสู่เครือข่ายที่มีอยู่ของบัญชีนั้น และใช้ประโยชน์จากความไว้วางใจที่มีอยู่
- เมื่อรวมกับการใช้ข้อความส่วนตัวที่ขับเคลื่อนด้วย AI ทำให้ผู้โจมตีสามารถขยายการเข้าถึงบน LinkedIn ได้อย่างง่ายดาย
3. เข้าถึงเป้าหมายที่มีมูลค่าสูงได้ง่าย
เหมือนที่นักขายทุกคนรู้ การหาข้อมูลเป้าหมาย (Recon) บน LinkedIn เป็นเรื่องง่ายดาย มันง่ายมากที่จะกำหนดแผนผังโปรไฟล์ LinkedIn ขององค์กร และเลือกเป้าหมายที่เหมาะสม LinkedIn เป็นเครื่องมือสำคัญสำหรับทีม Red Team และผู้โจมตีในการประเมินเป้าหมาย Social Engineering เช่น การตรวจสอบตำแหน่งงานเพื่อประเมินว่าบัญชีใดมีสิทธิ์การเข้าถึงที่ต้องการ
ยิ่งไปกว่านั้น ไม่มีการคัดกรองหรือกรองข้อความ LinkedIn ไม่มีระบบป้องกันสแปม ทำให้เป็นช่องทางที่ตรงที่สุดในการเข้าถึงผู้ติดต่อที่ตั้งใจไว้ และเป็นหนึ่งในสถานที่ที่ดีที่สุดในการเปิดตัวการโจมตี Spear-Phishing ที่มุ่งเป้าหมายสูง
4. ผู้ใช้มีแนวโน้มที่จะหลงกลได้ง่ายกว่า
ธรรมชาติของแอปพลิเคชันเครือข่ายมืออาชีพอย่าง LinkedIn คือการที่ผู้คนคาดหวังว่าจะได้เชื่อมต่อและโต้ตอบกับบุคคลภายนอกองค์กร ในความเป็นจริงแล้ว ผู้บริหารระดับสูงมีแนวโน้มที่จะเปิดและตอบข้อความ DM ใน LinkedIn มากกว่าอีเมลสแปม
โดยเฉพาะอย่างยิ่ง เมื่อรวมกับการยึดบัญชี ข้อความจากผู้ติดต่อที่รู้จักจะยิ่งมีแนวโน้มที่จะได้รับการตอบกลับมากขึ้น มันเทียบเท่ากับการยึดบัญชีอีเมลของผู้ติดต่อทางธุรกิจที่มีอยู่ ซึ่งเป็นต้นเหตุของการรั่วไหลของข้อมูลมาหลายครั้งในอดีต
- ในบางกรณีล่าสุด ผู้ติดต่อเหล่านั้นเป็นพนักงานร่วมงาน นั่นหมายถึงผู้โจมตีสามารถยึดบัญชีบริษัทของพนักงานคนหนึ่งและใช้บัญชีนั้นโจมตีผู้บริหารระดับสูง (C-Suite) ของคุณได้
- เมื่อรวมกับข้ออ้างที่เหมาะสม (เช่น การขออนุมัติเร่งด่วน หรือการทบทวนเอกสาร) โอกาสประสบความสำเร็จก็จะเพิ่มขึ้นอย่างมาก
5. ผลตอบแทนที่อาจได้รับนั้นมหาศาล
แม้ว่าการโจมตีเหล่านี้จะเกิดขึ้นบนแอป "ส่วนตัว" แต่ผลกระทบก็ไม่ได้ถูกจำกัด การโจมตี Phishing ส่วนใหญ่มุ่งเน้นไปที่แพลตฟอร์มคลาวด์ขององค์กรหลัก เช่น Microsoft และ Google หรือผู้ให้บริการด้านข้อมูลเฉพาะทาง (Identity Providers) เช่น Okta
การยึดบัญชีใดบัญชีหนึ่งเหล่านี้ไม่ได้เพียงให้สิทธิ์เข้าถึงแอปหลักและข้อมูลเท่านั้น แต่ยังช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จาก SSO (Single Sign-On) เพื่อลงชื่อเข้าใช้แอปที่เชื่อมต่ออื่น ๆ ที่พนักงานคนนั้นลงชื่อเข้าใช้ด้วย ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงฟังก์ชันทางธุรกิจหลักและชุดข้อมูลเกือบทั้งหมดในองค์กรของคุณ
การประนีประนอมบัญชีเดียวสามารถบานปลายเป็นการรั่วไหลทั่วทั้งธุรกิจที่มีมูลค่าหลายล้านดอลลาร์ได้อย่างรวดเร็ว
กรณีศึกษาที่น่าสนใจ: ในการรั่วไหลของข้อมูล Okta ปี 2023 ผู้โจมตีใช้ประโยชน์จากข้อเท็จจริงที่ว่าพนักงาน Okta ได้ลงชื่อเข้าใช้โปรไฟล์ Google ส่วนตัวบนอุปกรณ์ทำงาน ซึ่งหมายความว่าข้อมูลรับรองใดๆ ที่บันทึกไว้ในเบราว์เซอร์ของพวกเขาจะถูกซิงค์ไปยังอุปกรณ์ส่วนตัวของพวกเขาด้วย เมื่ออุปกรณ์ส่วนตัวของพวกเขาถูกแฮ็ก บัญชีงานของพวกเขาก็ถูกแฮ็กตามไปด้วย
Phishing ไม่ได้อยู่แค่ในกล่องจดหมายแล้ว!
การทำงานสมัยใหม่เกิดขึ้นบนเครือข่ายแอปพลิเคชันอินเทอร์เน็ตแบบกระจายศูนย์ และช่องทางการสื่อสารที่หลากหลายนอกเหนือจากอีเมล ทำให้การหยุดผู้ใช้จากการโต้ตอบกับเนื้อหาที่เป็นอันตรายทำได้ยากขึ้นกว่าเดิมมาก
ผู้โจมตีสามารถส่งลิงก์ผ่านแอปส่งข้อความโต้ตอบแบบทันที, โซเชียลมีเดีย, SMS, โฆษณาที่เป็นอันตราย และฟังก์ชันการส่งข้อความในแอป รวมถึงการส่งอีเมลโดยตรงจากบริการ SaaS เพื่อหลีกเลี่ยงการตรวจสอบผ่านอีเมล
การ Phishing ได้ย้ายออกจากกล่องจดหมายแล้ว — และสิ่งสำคัญคือการรักษาความปลอดภัยก็ต้องย้ายตามไปด้วยเช่นกัน องค์กรจำเป็นต้องมีโซลูชันที่ตรวจจับและบล็อก Phishing ในทุกแอปพลิเคชันและทุกช่องทางการนำส่ง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก