กองเทคโนโลยีสารสนเทศ โรงเรียนนายร้อยพระจุลจอมเกล้า

Barracuda Networks ได้ออกมาเปิดเผยถึงการที่เหล่าผู้โจมตีเริ่มมุ่งเป้าไปที่องค์กรที่ใช้งาน Microsoft Office 365 โดยทำการหลอกลวงผู้ใช้งานด้วยวิธีการอันแนบเนียนหลากหลายจากการที่มีข้อมูลเชิงลึกประกอบการโจมตีมากขึ้น ดังนี้

ทำการหลอกให้ผู้ใช้งานทำการ Login ไปยังหน้า Landing Page ปลอมที่สมจริง เพื่อขโมย Username และ Password ของผู้ใช้งานคนนั้นๆ ไปทำการโจมตีภายในองค์กรต่อ
สร้าง Forwarding Rule ภายใน Microsoft Office 365 ทำให้ผู้โจมตีได้รับทราบถึงทุกๆ การสื่อสารของผู้ใช้งานที่ตกเป็นเหยื่อรายนั้นๆ
ทำการส่งไฟล์ PDF หรือหน้า Web Portal ไปยังเพื่อนร่วมงานของเหยื่อ หลอกลวงว่าต้องกรอก Username / Password ก่อนจึงจะเปิดไฟล์ได้ โดยทำการปรับแต่งเนื้อหาของไฟล์ PDF หรือ Web Portal นั้นให้เกี่ยวข้องกับงานของเหยื่อโดยตรง
ทำการส่งข้อความไปหาเพื่อนร่วมงานของเหยื่อ เพื่อรวบรวม Login หรือข้อมูลความลับต่างๆ สำหรับนำมาใช้โจมตีต่อเนื่อง

ตัวอย่างหนึ่งที่ Barracuda นำมาแสดงให้เห็นนั้นคือการสร้าง Email ปลอมแจ้งเตือนผู้ใช้งานว่า Account ถูกระงับ ให้ทำการเข้าไป Reactivate ใหม่อีกครั้งหนึ่ง หลอกให้ผู้ใช้งานเข้าไปกรอก Username และ Password นั่นเอง

โดยรวมๆ แล้ว Barracuda ได้เตือนถึงเทคนิคการโจมตี 3 กลุ่มใหญ่ๆ ที่เริ่มถูกนำมาใช้กับ Microsoft Office 365 ดังนี้

Spear Phishing ส่งอีเมล์ปลอมหลอกให้ผู้ใช้งานทำการ Reset Password ของ Microsoft Office 365
Account Compromise ใช้ Account ที่ขโมยมาได้ในการนำไปโจมตีต่ออย่างแนบเนียน
Insider Impersonation ทำการปลอมตัวเป็นเจ้าของ Account ที่ขโมยมาได้ในการติดต่อสื่อสารกับพนักงานคนอื่นๆ ในองค์กร เพื่อทำการโจมตีหรือหลอกขโมยข้อมูลในรูปแบบต่างๆ

สำหรับวิธีการป้องกันนั้น มีคำแนะนำว่าให้เปิดใช้ Multi-factor Authentication, DMARC และออปชันต่างๆ ของระบบ Email Security ให้เรียบร้อย และเหล่าผู้ดูแลระบบและผู้ใช้งานก็ควรระมัดระวังตัวให้ดี เพราะข้อมูลที่อยู่ใน Microsoft Office 365 ซึ่งเกี่ยวข้องกับการทำงานโดยตรงนี้ อาจถูกนำไปใช้ประกอบการขโมย Username/Password หรือข้อมูลความลับขององค์กรได้แนบเนียนยิ่งขึ้นกว่าแต่ก่อนเป็นอย่างมาก รวมถึงการให้ความรู้แก่พนักงานทุกคนถึงการโจมตีในลักษณะนี้ก็ถือเป็นขั้นตอนที่จำเป็นไม่น้อยเลยทีเดียว