ภัยคุกคามผ่านโทรศัพท์

เมื่อการทำงานระยะไกล หรือการทำงานนอกสถานที่กลายเป็นเรื่องปกติในปัจจุบัน ทุกคนต่างคุ้นเคยกับการทำงานลักษณะนี้จนแทบจะไม่ใช่ New Normal สำหรับบางบริษัทที่ต้องทำงานผ่านระบบ VPN (Virtual Private Network) หรือ “เครือข่ายส่วนตัวเสมือน” วันนี้ระบบของท่านเตรียมรับภัยคุกคามนี้หรือยังครับ

Vishing (วิชชิง) คือภัยที่มีเป้าหมายคือการขโมยบัญชีผู้ใช้ผ่านการใช้งาน VPN บางท่านอาจจะรู้จัก Phishing (ฟิชชิง) มาก่อน ทั้งสองอย่างนี้มีลักษณะคล้ายกันครับ แต่ว่า Vishing นั้นจะเป็นการล่อลวงผ่านการใช้โทรศัพท์พูดคุยกับเหยื่อ ในขณะที่ Phishing จะเป็นการใช้อีเมลหรือเว็บไซต์ครับ

Vishing ถือว่าเป็นวิธีการโจมตีที่มีประสิทธิภาพ อันตราย และแพร่หลายอย่างมาก จนทำให้รัฐบาลสหรัฐอเมริกาต้องออกมาแจ้งเตือน พร้อมทั้งให้คำแนะนำวิธีการป้องกันกับการจู่โจมรูปแบบนี้ โดยในเดือนที่ผ่านมา ทีมแฮกเกอร์ได้จู่โจมเหยื่อด้วยการให้แฮกเกอร์หนึ่งคนโทรไปหลอกสอบถามข้อมูล ในขณะที่แฮกเกอร์อีกคนขโมยชื่อผู้ใช้งาน รหัสผ่าน และรหัสยืนยันตัวตน จากหน้าเว็บปลอมที่ทำขึ้นให้เหมือนกับหน้าเว็บสำหรับเข้าใช้งาน VPN ของบริษัทที่เหยื่อทำงานอยู่นั่นเอง จนแฮกเกอร์สามารถเอารหัสเหล่านั้นไปใช้เข้าระบบของบริษัทได้ในภายหลัง

ซึ่งในบางครั้งพนักงานที่ตกเป็นเหยื่อก็ได้เผลอบอกรหัสยืนยันตัวตนหรือ OTP (One-time password) ให้กับแฮกเกอร์ ไม่ว่าจะด้วยเป็นอุบัติเหตุหรือความเข้าใจผิดว่าเป็นการแจ้งก่อนที่จะเข้าใช้ระบบ Help Desk โดยจุดประสงค์ของเหล่าแฮกเกอร์ที่เลือกใช้วิธีการ Vishing ก็เพื่อให้สามารถเข้าถึงระบบของบริษัทที่ตกเป็นเหยื่อได้เป็นระยะยาวในระหว่างที่พวกเขาปลอมตัวเป็นฝ่าย IT Help Desk ของบริษัทที่เหยื่อทำงานอยู่ จากนั้นเหล่าแฮกเกอร์ก็จะกลายเป็นนายหน้าในการขายบัญชีการเข้าถึง และขายให้กับสมาชิกของกลุ่มที่ชอบทำการยึดบัญชีผู้ใช้ในโลกไซเบอร์ ไม่ว่าจะเพื่อขโมยสกุลเงินดิจิตอล (Cryptocurrency) หรือเพื่อการโอ้อวด นักวิจัยพบว่ากลุ่มเป้าหมายส่วนใหญ่คือ สถาบันการเงินและการแลกเปลี่ยนสกุลเงินดิจิทัล, กลุ่มธุรกิจด้านโทรคมนาคมและมือถือ, ผู้ให้บริการ SSO (Single Sign-On) และผู้ให้บริการสื่อสังคม

Vishing มีอัตราการจู่โจมที่สำเร็จสูง โดยส่วนใหญ่ทีมแฮกเกอร์จะดำเนินการตามการจ้างงาน หรือการจ่ายค่าหัวให้เมื่อผู้จ้างต้องการเจาะจงให้ลงมือขโมยบัญชีผู้ใช้งานของบริษัท หรือพนักงานที่ทำงานนอกสถานที่ หรือทำงานที่บ้าน (Work from Home)

การป้องกันให้บริษัทอยู่รอดปลอดภัย ไม่ตกเป็นเหยื่อของ Vishing เริ่มต้นจากการปรับนโยบายการใช้ VPN ใหม่, แจ้งเตือนพนักงานให้ทราบถึงวิธีการโจมตีที่เรียกว่า Vishing อีกทั้งยังเลือกใช้วิธีการทางเทคนิคในการป้องกันไม่ว่าจะเป็นการติดตั้ง X.509 Certificates ใน Browser เพื่อใช้ในการพิสูจน์ตัวตน การปรับระบบอุปกรณ์พกพา (Mobile Device Management) เพื่อช่วยให้พนักงานได้ใช้งานบนหน้าเว็บ VPN ของจริง

ยังมีอีกหลายวิธีที่จะช่วยป้องกันบริษัทจาก Vishing เช่น การแบ่งสิทธิ์การเข้าใช้งานแบบ Role-based Access แต่วิธีที่ง่ายและทรงประสิทธิภาพคือการจัด Security Awareness Training ที่บริษัทควรจัดให้มีอย่างต่อเนื่อง เพื่อให้พนักงานตระหนักรู้และไม่ตกเป็นเหยื่อ จนสร้างช่องโหว่ให้ภัยคุกคามเข้ามาสร้างความเสียหายให้บริษัทได้ครับ