ประเภทของข้อความฟิชชิ่งที่สามารถหลอกอีเมลของคุณได้

แทบจะไม่มีอาชญากรรมทางไซเบอร์รูปแบบใดที่สามารถวัดได้เท่ากับฟิชชิงในแง่ของความแพร่หลายและผลกระทบทั่วโลก เป็นแนวหน้าและเป็นศูนย์กลางในแคมเปญที่เป็นอันตรายซึ่งมุ่งเป้าไปที่การรับข้อมูลการพิสูจน์ตัวตนของผู้ใช้ การเรียกเก็บเงินจากองค์กร หรือการแพร่กระจายไวรัสคอมพิวเตอร์ผ่านอีเมลหลอกลวง

การค้นพบล่าสุดของนักวิเคราะห์ด้านความปลอดภัยแสดงให้เห็นภาพรวม พบเว็บไซต์ฟิชชิ่งใหม่มากกว่า 165,772 แห่งในช่วงไตรมาสแรกของปี 2020 FBI ระบุว่าการประนีประนอมอีเมลธุรกิจ (BEC) เป็นประเภทฟิชชิ่งที่ทวีความรุนแรงขึ้นโดยมุ่งเน้นที่องค์กร สิ่งนี้ทำให้บริษัทต่างๆ สูญเสียประมาณ 5 พันล้านดอลลาร์จากการโอนเงินผ่านธนาคารที่ฉ้อฉลทุกปี

อาชญากรไซเบอร์กำลังเพิ่มประเภทของพวกเขา

สถิติที่น่าทึ่งเหล่านี้แสดงให้เห็นถึงความกว้างและความลึกของภัยพิบัติ ไม่น่าแปลกใจเลยที่บริษัทรักษาความปลอดภัยและผู้ให้บริการอีเมลจำนวนมากนำเสนอโซลูชันที่ป้องกันไม่ให้ข้อความหลอกลวงไปสิ้นสุดในกล่องจดหมายของผู้ใช้ การป้องกันที่มีประสิทธิภาพมากขึ้นกระตุ้นให้ผู้ดำเนินการแคมเปญฟิชชิ่งคิดค้นวิธีการใหม่ๆ เพื่อหลีกเลี่ยงตัวกรองแบบเดิม

การข้ามตัวกรองอีเมลกลายเป็นเรื่องสำคัญสำหรับมิจฉาชีพ พอๆ กับการปรับแต่งข้อความอันธพาล ซึ่งการเล่าเรื่องจะดึงสายใยที่ถูกต้องในมโนธรรมของผู้รับ เทคนิคต่อไปนี้ได้ปรับปรุงพฤติกรรมของผู้ให้บริการฟิชชิงเมื่อเร็วๆ นี้ เพื่อให้อีเมลของพวกเขาไม่แสดงสัญญาณอันตรายและไปถึงปลายทางแม้ว่าจะมีมาตรการตอบโต้หลักก็ตาม

แนะนำสำหรับคุณ: บทบาทของปัญญาประดิษฐ์ (AI) ในความปลอดภัยทางไซเบอร์คืออะไร

ข้อมูลรับรอง Office 365 ที่รวบรวมผ่าน Google Cloud Services

อาชญากรไซเบอร์กำลังโฮสต์ไฟล์ล่อและหน้าฟิชชิ่งบนบริการคลาวด์ยอดนิยมมากขึ้นเรื่อยๆ กลยุทธ์นี้เพิ่มชั้นความน่าเชื่อถือและความยุ่งเหยิงให้กับการหลอกลวง ทำให้ผู้ใช้ที่คำนึงถึงความปลอดภัยและระบบป้องกันตรวจจับได้ยากอย่างยิ่ง

แคมเปญที่เพิ่งค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Check Point แสดงให้เห็นว่าการฉ้อโกงประเภทนี้สามารถหลีกเลี่ยงได้อย่างไร องค์ประกอบล่อของมันคือเอกสาร PDF ที่อัปโหลดไปยัง Google ไดรฟ์ ไฟล์ที่แบ่งปันนี้อ้างว่ามีข้อมูลทางธุรกิจที่สำคัญ หากต้องการดู เหยื่อควรคลิกที่ปุ่ม "เข้าถึงเอกสาร" ซึ่งจะนำไปสู่หน้าลงชื่อเข้าใช้ที่ขอรายละเอียดการรับรองความถูกต้องของ Office 365 หรือ ID องค์กร ไม่ว่าจะเลือกตัวเลือกใด หน้าจอป๊อปอัปจะปรากฏขึ้นเพื่อขอข้อมูลการเข้าสู่ระบบ Outlook ของผู้ใช้

ทันทีที่ป้อนที่อยู่อีเมลและรหัสผ่าน เหยื่อก็จะสามารถดูไฟล์ PDF ได้ในที่สุด เป็นรายงานการตลาดที่ถูกต้องซึ่งออกโดยบริษัทที่ปรึกษาที่มีชื่อเสียงในปี 2020 นอกจากนี้ หน้าเว็บที่ปรากฏในระยะต่างๆ ของการโจมตีนี้โฮสต์บน Google Cloud Storage ดังนั้นจึงแทบไม่มีเงื่อนงำใด ๆ ที่บ่งบอกว่ามีสิ่งชั่วร้ายเกิดขึ้นอย่างชัดเจน .

ในขณะเดียวกัน หลุมพรางร้ายแรงที่ถูกบดบังด้วยความชอบธรรมที่เห็นได้ชัดเจนของอุบายนี้คือการที่มิจฉาชีพได้รับข้อมูลรับรอง Office 365 ที่ถูกต้องของเหยื่อไปพร้อมกัน เมื่ออยู่ในมือของมิจฉาชีพ ข้อมูลนี้อาจกลายเป็นฐานสำหรับการหลอกลวง BEC การจารกรรมทางอุตสาหกรรม และการเผยแพร่มัลแวร์ที่มีประสิทธิภาพ

อีเมลหลอกลวงที่แสร้งทำเป็นว่ามาจากธนาคารที่เชื่อถือได้

ในการดำเนินการเมื่อเร็วๆ นี้ สแกมเมอร์ได้สร้างข้อความปลอมที่แอบอ้างเป็นสถาบันการเงินยอดนิยม เช่น ซิตี้กรุ๊ปหรือธนาคารแห่งอเมริกา อีเมลจะแนะนำให้ผู้ใช้รีเฟรชรายละเอียดที่อยู่อีเมลโดยคลิกที่ไฮเปอร์ลิงก์ที่นำไปสู่เว็บไซต์จำลองของธนาคาร เพื่อให้การหลอกลวงดูเหมือนจริง คนร้ายใช้หน้าเพิ่มเติมเพื่อถามคำถามท้าทายความปลอดภัยของผู้รับ

ความไม่สอดคล้องที่ไม่พึงประสงค์ประการหนึ่งคืออีเมลนั้นต่ำกว่าเรดาร์ของตัวกรองส่วนใหญ่ แม้ว่าอีเมลนั้นจะถูกส่งจากที่อยู่ @yahoo.com ก็ตาม เหตุผลก็คือว่าผู้กระทำผิดมุ่งเป้าไปที่พนักงานไม่กี่คนในบริษัทหนึ่งๆ เนื่องจากโซลูชันต่อต้านฟิชชิ่งทั่วไปได้รับการปรับแต่งสำหรับข้อความที่คล้ายกันหรือเหมือนกันจำนวนมาก พวกเขาอาจมองข้ามอีเมลที่น่าสงสัยหลายฉบับ

อีกประเด็นหนึ่งคือข้อความนั้นมาจากบัญชีอีเมลส่วนบุคคล ข้อเท็จจริงนี้ขัดขวางการตรวจจับเนื่องจากเครื่องมือตรวจสอบแบบเดิม เช่น Domain-based Message Authentication, Reporting & Conformance (DMARC) ตลอดจน Sender Policy Framework (SPF) จะระบุเฉพาะอีเมลที่ปลอมแปลงโดเมนต้นทางเท่านั้น

เหนือสิ่งอื่นใด หน้าฟิชชิ่งข้อมูลรับรองที่เลียนแบบเว็บไซต์อย่างเป็นทางการของธนาคารผ่านการตรวจสอบทั้งหมดด้วยสีที่บินได้ นั่นเป็นเพราะเพิ่งจดทะเบียนใหม่จึงยังไม่ถูกขึ้นบัญชีดำ นอกจากนี้ยังใช้ใบรับรอง SSL ที่ถูกต้อง ลิงก์ฟิชชิงเปลี่ยนเส้นทางผู้ใช้โดยใช้บริการค้นหาที่ถูกต้องของ Yahoo นิสัยใจคอทั้งหมดนี้ รวมกับแรงกดดันเล็กน้อยที่กำหนดในข้อความ ช่วยเพิ่มอัตราความสำเร็จของแคมเปญนี้

เปิดเครื่องรูดไฟล์แนบและติดไวรัส

ผู้คุกคามบางคนปกปิดสิ่งที่แนบมาที่เป็นอันตรายในไฟล์เก็บถาวรอันธพาลเพื่อขัดขวางการตรวจจับ โดยปกติแล้ว ไฟล์ ZIP จะมาพร้อมกับพารามิเตอร์ “End of Central Directory” (EOCD) หนึ่งพารามิเตอร์ ชี้ไปที่องค์ประกอบสุดท้ายของโครงสร้างไฟล์เก็บถาวร สิ่งที่อาชญากรไซเบอร์ทำคือใช้วัตถุ ZIP ที่มีค่า EOCD พิเศษอยู่ภายใน หมายความว่าไฟล์มีโครงสร้างไฟล์เก็บถาวรที่คลุมเครือ

เมื่อประมวลผลด้วยเครื่องมือคลายการบีบอัดที่ประกอบเป็น Secure Email Gateway (SEG) ไฟล์แนบ ZIP จะดูไม่เป็นพิษเป็นภัย เนื่องจากส่วนประกอบ "ปลาเฮอริ่งแดง" เป็นองค์ประกอบเดียวที่ได้รับการตรวจสอบ ผลที่ตามมาจากเล่ห์เหลี่ยมนี้ ไฟล์ที่แยกออกมาจะแอบรันโทรจันธนาคารบนเครื่องของผู้รับ

หายไปในการแปล

กลอุบายทั่วไปอีกประการหนึ่งคือการหลอกลวงตัวกรองอีเมลโดยการฝังข้อความในภาษาต่างประเทศ การป้องกันบางอย่างได้รับการกำหนดค่าให้สแกนข้อความขาเข้าเพื่อหาเนื้อหาที่น่าสงสัยในภาษาอังกฤษหรือภาษาแม่ของผู้ใช้เท่านั้น

ด้วยเหตุนี้ มิจฉาชีพอาจสร้างอีเมลฟิชชิงเป็นภาษารัสเซียและใส่เคล็ดลับว่า “ใช้ Google แปลภาษา” เป็นผลให้ข้อความส่งไปยังกล่องจดหมายและเหยื่ออาจติดเบ็ดหลังจากอ่านข้อความที่แปล

คุณอาจชอบ: 17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่ดูด

การแก้ไขรหัส HTML ของอีเมล

อีกวิธีหนึ่งสำหรับข้อความฟิชชิ่งที่จะเล็ดรอดโดยระบบป้องกันคือการย้อนกลับสตริงข้อความในโค้ด HTML จากนั้นจึงแสดงข้อมูลไปข้างหน้าเพื่อให้ผู้รับดูเหมือนปกติอย่างสมบูรณ์ เนื่องจากเนื้อหาของซอร์สโค้ดที่บิดเบือนไม่ทับซ้อนกับเทมเพลตฟิชชิ่งที่รู้จัก SEG มักจะเพิกเฉยต่อข้อความดังกล่าว

ความผิดพลาดที่ร้ายกาจอย่างมากของเทคนิคนี้หมุนรอบ Cascading Style Sheets (CSS) ซึ่งเป็นเครื่องมือที่ใช้เสริมเอกสารเว็บด้วยองค์ประกอบสไตล์ เช่น ขนาดและสีแบบอักษร สีพื้นหลัง และการเว้นวรรค ความผิดพลาดเกิดจากการจัดการ CSS ที่ไม่ถูกต้องเพื่อรวมสคริปต์ละตินและอารบิกในโค้ด HTML ดิบ สคริปต์เหล่านี้ไหลไปในทิศทางตรงกันข้าม ทำให้มิจฉาชีพสามารถบรรลุผลย้อนกลับของข้อความที่กล่าวถึงข้างต้นได้ง่ายขึ้น เป็นผลให้ข้อความหลอกลวงการป้องกันในขณะที่มนุษย์สามารถอ่านได้

การใช้บัญชี SharePoint ที่ถูกแฮ็กในทางที่ผิด

แก๊งฟิชชิ่งบางรายใช้ประโยชน์จากบัญชี SharePoint ที่ถูกบุกรุกเพื่อเริ่มดำเนินการหลอกลวง ตรรกะที่ชั่วร้ายขึ้นอยู่กับความจริงที่ว่า SEG เชื่อถือโดเมนที่เกี่ยวข้องกับแพลตฟอร์มการทำงานร่วมกันที่มีชื่อเสียงจาก Microsoft ลิงก์ในเนื้อหาอีเมลจะนำไปสู่ไซต์ SharePoint ดังนั้นระบบรักษาความปลอดภัยจึงถือว่าไม่เป็นอันตรายและเพิกเฉยต่อข้อความ

สิ่งที่จับได้คืออาชญากรเปลี่ยนหน้า Landing Page เพื่อแสดงเอกสาร OneNote ที่หลบๆ ซ่อนๆ ซึ่งจะเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งข้อมูลรับรองที่พรางตัวเป็นแบบฟอร์มการเข้าสู่ระบบ OneDrive for Business รายละเอียดการตรวจสอบสิทธิ์ที่ผู้ใช้ไม่สงสัยป้อนจะถูกส่งไปยังเซิร์ฟเวอร์ของมิจฉาชีพทันที

เพิ่มความตระหนักในการฟิชชิ่งของคุณให้ปลอดภัย

ตัวกรองอีเมลนั้นคุ้มค่ากับเกลืออย่างไม่ต้องสงสัย พวกเขาล้างข้อความร่างจำนวนมากที่ส่งไปยังกล่องจดหมายของคุณ อย่างไรก็ตาม บทเรียนที่คุณควรเรียนรู้จากการโจมตีในโลกแห่งความจริงที่อธิบายไว้ข้างต้นคือการพึ่งพาระบบเหล่านี้โดยไม่มีเงื่อนไขถือเป็นธุรกิจที่มีความเสี่ยง

“คุณควรทำการบ้านและปฏิบัติตามคำแนะนำพิเศษเพื่อปรับปรุงสุขอนามัยการต่อต้านฟิชชิ่งส่วนบุคคลของคุณ” – ในการสัมภาษณ์ล่าสุดที่กล่าวถึงโดย Andrew Gitt ผู้เชี่ยวชาญด้านเทคโนโลยีอาวุโส ผู้ร่วมก่อตั้ง และหัวหน้าฝ่ายวิจัยของ VPNBrains

แอนดรูว์ยังให้คำแนะนำต่อไปนี้ในการสัมภาษณ์ของเขา:

• หลีกเลี่ยงการคลิกลิงก์ที่มาถึงอีเมล
• อย่าเปิดไฟล์แนบที่ได้รับจากคนแปลกหน้า
• ก่อนพิมพ์ชื่อผู้ใช้และรหัสผ่านของคุณในหน้าลงชื่อเข้าใช้ ตรวจสอบให้แน่ใจว่าเป็น HTTPS กับ HTTP
• หากอีเมลดูถูกต้องและคุณตัดสินใจเสี่ยงที่จะคลิกลิงก์ที่ฝังไว้ ให้ตรวจสอบ URL เพื่อหาข้อผิดพลาดและรางวัลอื่นๆ ก่อน
• อ่านอีเมลขาเข้าอย่างระมัดระวัง และตรวจสอบข้อความในอีเมลเพื่อหาข้อผิดพลาดในการสะกด ไวยากรณ์ และเครื่องหมายวรรคตอน หากคุณสังเกตเห็นข้อผิดพลาดดังกล่าว ข้อความดังกล่าวน่าจะเป็นการหลอกลวง
• เพิกเฉยและทิ้งอีเมลที่กดดันให้คุณทำบางสิ่ง ตัวอย่างเช่น นักฟิชเชอร์มักกำหนดเส้นตายเพื่อให้ผู้คนพลาดพลั้ง อย่าตกหลุมพรางดังกล่าว
• ระวังอีเมลที่มีเนื้อหาผิดไปจากบรรทัดฐานในแง่ของหน้าที่การงานประจำวันของคุณ
• หากคุณได้รับข้อความจากผู้จัดการอาวุโสที่ขอให้โอนเงินผ่านธนาคาร ให้ตรวจสอบอีกครั้งโดยติดต่อบุคคลนั้นทางโทรศัพท์หรือติดต่อด้วยตนเอง มีโอกาสที่คุณกำลังติดต่อกับผู้แอบอ้างที่เข้าใช้บัญชีอีเมลของเพื่อนร่วมงาน
• คำนึงถึงข้อมูลที่คุณแชร์บนโซเชียลเน็ตเวิร์ก ผู้ประสงค์ร้ายเชี่ยวชาญในการดำเนินการข่าวกรองโอเพ่นซอร์ส (OSINT) ดังนั้นพวกเขาจึงอาจเปิดเผยข้อมูลส่วนบุคคลของคุณที่เปิดเผยต่อสาธารณะเพื่อต่อต้านคุณ
• หากคุณเป็นผู้บริหาร อย่าลืมตั้งค่าโปรแกรมการฝึกอบรมการรับรู้ฟิชชิ่งสำหรับพนักงานของคุณ
• เปิดใช้งานไฟร์วอลล์และติดตั้งซอฟต์แวร์รักษาความปลอดภัยออนไลน์ที่มีประสิทธิภาพพร้อมคุณสมบัติป้องกันฟิชชิ่งในตัว

คุณอาจชอบ: วิธีปกป้องพีซีของคุณจากการโจมตีทางไซเบอร์ การติดตาม และมัลแวร์

คำสุดท้าย

เมื่อใดก็ตามที่หมวกขาวออกกลไกป้องกันใหม่ๆ อาชญากรไซเบอร์จะพยายามอย่างเต็มที่เพื่อชิงไหวชิงพริบ แนวโน้มการรักษาความปลอดภัยที่เกิดขึ้นใหม่และมีความเป็นไปได้สูงในเรื่องนี้คือการใช้ปัญญาประดิษฐ์และการเรียนรู้ของเครื่องเพื่อระบุความพยายามในการฟิชชิ่ง หวังว่าแนวทางนี้จะทำให้การป้องกันนำหน้าเวกเตอร์โจมตีไปหนึ่งก้าวไม่ว่าจะซับซ้อนเพียงใด

สำหรับตอนนี้ สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือระมัดระวังตัวและใช้ประโยชน์จากเครื่องมือป้องกันฟิชชิ่งแบบดั้งเดิมซึ่งใช้งานได้อย่างมหัศจรรย์ในกรณีส่วนใหญ่