ภัยไซเบอร์รูปแบบใหม่ เป็นที่น่ากังวลขึ้นเรื่อย ๆ ล่าสุด Microsoft ออกมาเตือนว่า แฮกเกอร์เริ่มใช้ Microsoft Teams เป็นช่องทางโจมตีองค์กร โดยอาศัยความน่าเชื่อถือของเครื่องมือภายในมาหลอกพนักงานโดยตรง
การโจมตีครั้งนี้ไม่ได้มาในรูปแบบอีเมลหลอก (Phishing) แบบเดิม แต่เป็นการที่แฮกเกอร์ ปลอมตัวเป็นทีม IT Helpdesk ทักแชทเหมือนคนในองค์กรจริง ๆ ทำให้หลายคนไม่ทันระวัง
จุดที่อันตรายคือ แฮกเกอร์ใช้ “เครื่องมือจริง” ทั้งหมด ทำให้พฤติกรรมดูเหมือนงาน IT ปกติ และ ตรวจจับได้ยากมาก เช่น
- โปรแกรม Remote access
- PowerShell / Command Prompt
- เครื่องมือจัดการระบบของ Windows
การโจมตีนี้ไม่ได้มาแบบตรง ๆ แล้วจบ แต่เป็นเหมือน “แผนลวงทีละขั้น” เริ่มจากข้อความธรรมดาใน Microsoft Teams ที่ดูเหมือนทีม IT ทักมาช่วยแก้ปัญหา แต่จริง ๆ แล้วคือแฮกเกอร์ที่ปลอมตัวมา
เมื่อเหยื่อหลงเชื่อ ก็จะถูกหลอกให้เปิดโปรแกรมช่วยเหลือระยะไกล เช่น Quick Assist ซึ่งเท่ากับเปิดทางให้เข้าควบคุมเครื่องได้ทันที แฮกเกอร์จะเริ่มสำรวจระบบ ตรวจสอบสิทธิ์ และหาช่องทางขยายการเข้าถึงไปยังเครื่องอื่นในองค์กร โดยอาศัยเครื่องมือปกติของระบบเพื่อไม่ให้ผิดสังเกต
และในขั้นตอนสำคัญ แฮกเกอร์จะ คัดเลือกเฉพาะข้อมูลที่มีมูลค่า ไม่ดึงข้อมูลทั้งหมด เพื่อลดโอกาสถูกตรวจจับ และทำให้การโจมตีแนบเนียนมากขึ้น
สุดท้ายคือ การนำข้อมูลออกจากระบบโดยที่ผู้ใช้งานแทบไม่รู้ตัว ซึ่งในหลายกรณี การโจมตีทั้งหมดดูเหมือนงานซัพพอร์ต IT ปกติ กว่าจะรู้ตัว ความเสียหายก็อาจลุกลามไปทั้งองค์กรแล้ว
วิธีป้องกันที่ควรทำทันที
- จำกัดหรือควบคุมการใช้เครื่องมือ Remote access
- จำกัดการใช้งาน WinRM (Windows Remote Management)
- ตรวจสอบแจ้งเตือนความปลอดภัยใน Teams
- อบรมพนักงานให้ระวังการแอบอ้างเป็น IT
สิ่งสำคัญคือ อย่าเชื่อแชทจากคนนอกง่าย ๆ และควรตรวจสอบทุกครั้งก่อนให้สิทธิ์เข้าถึงระบบ ยิ่งเครื่องมือใช้งานง่าย ก็ยิ่งต้องตั้งค่าให้ปลอดภัยมากขึ้น
เลือกใช้ Microsoft 365 ที่เหมาะกับองค์กร จะช่วยให้ใช้งานได้เต็มประสิทธิภาพและลดความเสี่ยงได้ในระยะยาว hostatom พร้อมช่วยแนะนำและดูแลให้ครบตั้งแต่เริ่มต้นจนใช้งานจริง
ที่มา: BleepingComputer
