ข่าวนี้กล่าวถึงการโจมตีแบบ Social Engineering ที่ซับซ้อน ซึ่งผู้โจมตีสามารถเปลี่ยนเส้นทางการจ่ายเงินเดือนของพนักงานได้สำเร็จ โดยไม่ต้องใช้มัลแวร์หรือเจาะเครือข่ายขององค์กร ผู้โจมตีได้ปลอมแปลงตัวเป็นพนักงานและหลอกลวงทีม Help Desk (ทั้งฝ่าย Payroll, IT และ HR) ให้รีเซ็ตรหัสผ่านและลงทะเบียนอุปกรณ์ Multi-Factor Authentication (MFA) ใหม่ ด้วยการรวบรวมข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ ทำให้ผู้โจมตีสามารถเข้าถึงและแก้ไขข้อมูลการฝากเงินโดยตรงของพนักงานได้ ซึ่งเน้นย้ำถึงความเปราะบางของกระบวนการที่พึ่งพามนุษย์เป็นหลัก
Severity: สูง
System Impact:
- ระบบ Help Desk (ฝ่าย Payroll, IT, HR)
- สภาพแวดล้อม Azure Active Directory ขององค์กร
- ระบบ Payroll
- บัญชีธนาคารของพนักงาน
Technical Attack Steps:
- ผู้โจมตีรวบรวมข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะจากแพลตฟอร์มโซเชียลมีเดียของพนักงานเป้าหมาย
- ผู้โจมตีปลอมเป็นพนักงานเพื่อติดต่อทีม Help Desk ที่ดูแลระบบการจ่ายเงิน, ไอที และทรัพยากรบุคคล
- ผู้โจมตีใช้ข้อมูลที่รวบรวมมาเพื่อตอบคำถามยืนยันตัวตน และโน้มน้าวเจ้าหน้าที่ Help Desk ให้รีเซ็ตรหัสผ่านและลงทะเบียนอุปกรณ์ Multi-Factor Authentication (MFA) ใหม่
- ผู้โจมตีโทรกลับหลายครั้งเพื่อเรียนรู้รูปแบบคำถามยืนยันตัวตนที่แตกต่างกัน เพื่อเพิ่มโอกาสความสำเร็จในการโจมตีครั้งต่อไป
- ผู้โจมตีลงทะเบียนที่อยู่อีเมลภายนอกเป็นวิธีการยืนยันตัวตนในสภาพแวดล้อม Azure Active Directory ขององค์กร เพื่อสร้างกลไกการคงอยู่และรักษาการเข้าถึง
- เมื่อเข้าถึงบัญชีได้ ผู้โจมตีจะเปลี่ยนแปลงข้อมูลการฝากเงินโดยตรงของพนักงานหลายคน
- เงินเดือนของพนักงานที่ถูกบุกรุกจะถูกเปลี่ยนเส้นทางไปยังบัญชีธนาคารที่ผู้โจมตีควบคุม
- กิจกรรมฉ้อโกงไม่ถูกตรวจจับเป็นเวลาหลายสัปดาห์ เนื่องจากใช้ข้อมูลรับรองที่ถูกต้องและการยืนยันตัวตนแบบ MFA ที่ถูกเปลี่ยนเส้นทาง ทำให้ธุรกรรมดูเหมือนเป็นปกติ
Recommendations:
Short Term:
- ทบทวนและเสริมสร้างกระบวนการยืนยันตัวตนของ Help Desk สำหรับการรีเซ็ตรหัสผ่านและการลงทะเบียน MFA ใหม่ให้เข้มงวดมากขึ้น
- บังคับใช้มาตรการ MFA ที่แข็งแกร่งและทนทานต่อการโจมตีแบบ re-enrollment เช่น การใช้ FIDO2 security keys หรือแอปพลิเคชัน OTP ที่มีการผูกกับอุปกรณ์
- จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยแก่พนักงานทุกคน โดยเน้นย้ำถึงภัยคุกคามจากการโจมตีแบบ Social Engineering
- ตรวจสอบบันทึกการเข้าถึงและกิจกรรมใน Azure Active Directory และระบบ Payroll อย่างเร่งด่วนเพื่อหาบัญชีที่ถูกบุกรุกเพิ่มเติม
Long Term:
- ดำเนินการทดสอบการเจาะระบบ (Penetration Test) โดยเน้นการโจมตีแบบ Social Engineering เป็นประจำ เพื่อระบุจุดอ่อนในกระบวนการและบุคลากร
- ปรับปรุงและทำให้ขั้นตอนการทำงานที่เกี่ยวข้องกับการเข้าถึงหรือเปลี่ยนแปลงข้อมูลที่ละเอียดอ่อนเป็นแบบอัตโนมัติ เพื่อลดการพึ่งพามนุษย์ให้น้อยที่สุด
- ลงทุนในโซลูชัน Identity and Access Management (IAM) ที่มีนโยบายการควบคุมการเข้าถึงที่เข้มงวดสำหรับการเปลี่ยนแปลงข้อมูลสำคัญ
- ส่งเสริมวัฒนธรรมความปลอดภัยภายในองค์กร โดยให้ความรู้และฝึกอบรมอย่างต่อเนื่องเกี่ยวกับภัยคุกคามทางไซเบอร์ที่พัฒนาขึ้น
- พิจารณานำเสนอระบบ Single Sign-On (SSO) ที่มีประสิทธิภาพ เพื่อลดจำนวนรหัสผ่านที่พนักงานต้องจัดการ และลดความเสี่ยงจากการโจมตีที่เกี่ยวข้องกับรหัสผ่าน
Source: https://cybersecuritynews.com/attackers-redirected-employee-paychecks/
Share this content: