“IBM เผยรายงาน X-Force ชี้ข้อมูลประจำตัวที่ถูกขโมยและช่องโหว่ต่างๆ ถูกนำมาใช้เป็นอาวุธโจมตีธุรกิจในปี 2562”

ไอบีเอ็ม ซีเคียวริตี้ เปิดเผยรายงาน IBM X-Force Threat Intelligence Index ประจำปี 2563 ที่แสดงให้เห็นถึงวิวัฒนาการใหม่ๆ ของเทคนิคที่อาชญากรไซเบอร์นำมาใช้ หลังจากที่ตลอดหลายสิบปีที่ผ่านมานี้สามารถเข้าถึงข้อมูลส่วนตัวและข้อมูลบริษัทหลายหมื่นล้านเรคคอร์ด รวมถึงช่องโหว่ในซอฟต์แวร์อีกนับแสนรายการมาแล้ว โดยจากรายงานพบว่า 60% ของการเริ่มเจาะเข้าถึงเครือข่ายของผู้ตกเป็นเป้าหมายนั้น อาศัยข้อมูลประจำตัวที่ถูกขโมยมา หรือช่องโหว่ของซอฟต์แวร์ที่เคยมีการแจ้งเตือนให้ทราบแล้ว โดยที่ผู้โจมตีไม่ต้องพยายามวางแผนเพื่อใช้วิธีหลอกลวงที่แยบยลในการเข้าถึงระบบมากเหมือนเมื่อก่อน

รายงาน IBM X-Force Threat Intelligence Index ได้ชี้ให้เห็นถึงปัจจัยที่ส่งผลต่อวิวัฒนาการต่างๆ ข้างต้น กล่าวคือ
–        การเจาะระบบครั้งแรกสำเร็จด้วยวิธีฟิชชิ่ง ถือเป็นสัดส่วน 1 ใน 3 จากเหตุที่เกิดขึ้นทั้งหมด (31%) เมื่อเทียบกับสัดส่วน 50% ในปี 2561
–        การสแกนและการโจมตีช่องโหว่คิดเป็น 30% ของเหตุทั้งหมด เมื่อเทียบกับสัดส่วนเพียง 8% ในปี 2561 โดยช่องโหว่เก่าๆ บน Microsoft Office และ Windows Server Message Block ที่เป็นที่รู้กันอยู่แล้ว ยังคงถูกโจมตีด้วยอัตราที่สูงจนน่าตกใจในปี 2562
–        จากการเฝ้าสังเกต พบว่าการใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเป็นตัวนำเข้าถึงระบบ ได้รับความนิยมเพิ่มมากขึ้นโดยคิดเป็นสัดส่วน 29% จากทั้งหมด เฉพาะในปี 2562 เพียงปีเดียว มีข้อมูลรั่วไหลกว่า 8.5 พันล้านเรคคอร์ด ทำให้มีการรับแจ้งเหตุข้อมูลรั่วไหลเพิ่มขึ้นจากปีก่อนถึง 200% ส่วนข้อมูลประจำตัวที่ถูกขโมยและถูกอาชญากรไซเบอร์นำไปใช้เป็นข้อมูลตั้งต้นนั้นก็เพิ่มสูงขึ้นเช่นกัน

“ข้อมูลรั่วไหลปริมาณมากที่เราเห็นในทุกวันนี้ สะท้อนให้เห็นว่าอาชญากรไซเบอร์มีกุญแจที่สามารถใช้ไขเข้ามาที่บ้านหรือธุรกิจของเรามากขึ้นกว่าเดิม และผู้โจมตีก็ไม่ต้องเสียเวลาคิดหาวิธีที่แยบยลในการเจาะเข้ามายังธุรกิจเลย เพราะสามารถโจมตีได้ทันทีโดยใช้ช้อมูลแสดงตัวตนที่มีอยู่ อย่างเช่นการล็อกอินด้วยข้อมูลประจำตัวที่ขโมยมา เป็นต้น” เวนดี้ วิตมอร์ รองประธานของ IBM X-Force Threat Intelligence กล่าว “มาตรการป้องกันต่างๆ เช่น การยืนยันตัวตนหลายปัจจัย และการลงชื่อเข้าใช้แบบ single sign-on จึงมีความสำคัญมากสำหรับการรับมือกับการโจมตีทางไซเบอร์ขององค์กร และการปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้”

IBM X-Force ทำการวิเคราะห์โดยอาศัยข้อมูลเชิงลึกและข้อสังเกตที่ได้จากการเฝ้าตรวจสอบเหตุด้านซิเคียวริตี้ 7 หมื่นล้านเหตุการณ์ต่อวันในกว่า 130 ประเทศ ร่วมกับการรวบรวมและวิเคราะห์ข้อมูลจากหลายแหล่ง ไม่ว่าจะเป็น X-Force IRIS, X-Force Red, IBM Managed Security Services รวมถึงรายละเอียดการรั่วไหลของข้อมูลที่ได้มีการเปิดเผยสู่สาธารณะ นอกจากนี้ IBM X-Force ยังวางกับดักหลอกล่อสแปมทั่วโลกหลายพันแห่ง เฝ้าตรวจสอบสแปมและการโจมตีแบบฟิชชิ่งที่เกิดขึ้นในแต่ละวัน และวิเคราะห์เว็บเพจและรูปภาพหลายพันล้านรายการ เพื่อตรวจหากิจกรรมในลักษณะฉ้อโกงและการแอบอ้างชื่อแบรนด์ไปใช้ในทางมิชอบ

ข้อสังเกตที่น่าสนใจบางส่วนที่ชี้แจงไว้ในรายงานมีดังนี้
–        การตั้งค่าผิด — รายงานชี้ให้เห็นว่าจากจำนวนข้อมูลที่รั่วไหลมากกว่า 8.5 พันล้านเรคคอร์ดในปี 2562 นั้น มีถึง 7 พันล้านเรคคอร์ดหรือคิดเป็นสัดส่วนมากกว่า 85% ที่มีสาเหตุมาจากการตั้งค่าคลาวด์เซิร์ฟเวอร์ไม่ถูกต้อง และการกำหนดค่าระบบไม่เหมาะสม ทิ้งห่างจากปี 2561 ที่มีไม่ถึงครึ่ง
–        ภาคธนาคารโดนแรนซัมแวร์เล่นงาน— จากรายงานของปีนี้ โทรจันภาคธนาคารที่มีการใช้มากที่สุดอย่าง TrickBot เริ่มกลายเป็นตัวปูทางสู่การเข้าโจมตีด้วยแรนซัมแวร์แบบเต็มตัว โดยมีการพบโค้ดรูปแบบใหม่ที่ใช้โดยโทรจันและแรนซัมแวร์ในภาคธนาคารสูงเป็นอันดับต้นๆ เมื่อเทียบกับมัลแวร์รูปแบบอื่นๆ ที่มีการพูดถึงในรายงาน
–        ฟิชชิ่งเบนเข็มไปสู่ภาคเทคโนโลยี — แบรนด์ “10 อันดับแรก” ที่อาชญากรไซเบอร์นำไปสวมรอยเพื่อใช้ในการหลอกลวงแบบฟิชชิ่งนั้นมีทั้งแบรนด์ด้านเทคโนโลยี โซเชียลมีเดีย และบริการคอนเทนต์สตรีมมิ่งที่ใช้ตามบ้าน โดยการเปลี่ยนแปลงครั้งนี้แสดงให้เห็นว่าผู้คนหันมาเชื่อใจผู้ให้บริการด้านเทคโนโลยีมากกว่าแบรนด์ค้าปลีกและการเงินที่เคยเป็นที่น่าเชื่อถือมายาวนาน โดยแบรนด์ยอดนิยมที่ถูกนำไปแอบอ้างมากที่สุด ได้แก่ Google, YouTube และ Apple

วิวัฒนาการของการโจมตีด้วยแรนซัมแวร์
รายงานยังเผยให้เห็นถึงเทรนด์การโจมตีด้วยแรนซัมแวร์ที่มีเป้าหมายเป็นทั้งภาครัฐและภาคเอกชน โดยในปี 2562 นั้น พบว่ามีการใช้แรนซัมแวร์เพิ่มสูงขึ้นมาก และได้มีการส่งทีม IBM X-Force ไปช่วยแก้ไขเหตุแรนซัมแวร์ใน 13 ภาคธุรกิจทั่วโลก ซึ่งเป็นสิ่งที่ยืนยันว่าการโจมตีลักษณะนี้เกิดขึ้นได้กับทุกภาคธุรกิจ

นอกจากหน่วยงานรัฐของสหรัฐฯ กว่า 100 แห่งจะได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมาแล้วIBM X-Force ยังพบว่ามีการเน้นโจมตีธุรกิจในภาคค้าปลีก การผลิต และการคมนาคม อย่างเห็นได้ชัด เนื่องจากเป็นภาคธุรกิจที่ทราบกันดีว่ามีข้อมูลมากมายที่สามารถทำเงินได้ หรือยังใช้เทคโนโลยีล้าสมัยอยู่ จึงมีช่องโหว่มากมายนับไม่ถ้วน โดยจาก 80% ของการพยายามโจมตีด้วยแรนซัมแวร์ที่ได้เฝ้าสังเกตนั้น พบว่าผู้โจมตีอาศัยช่องโหว่ใน Windows Server Message Block ซึ่งเป็นกลวิธีเดียวกันกับที่ใช้ในการกระจาย WannaCryที่ทำให้ธุรกิจหลายแห่งใน 150 ประเทศต้องเป็นอัมพาตในปี 2560

การโจมตีด้วยแรนซัมแวร์สร้างความเสียหายให้แก่องค์กรต่างๆ มากกว่า 2 แสนล้านบาทในปี 2562 โดยที่ผลประโยชน์ตกไปอยู่ในมือผู้ไม่หวังดีและเหตุการณ์ลักษณะนี้ยังไม่มีทีท่าว่าจะลดลงในปี 2563 ทั้งนี้ ในรายงานที่ไอบีเอ็มร่วมทำกับIntezerนั้น ระบุว่ามีการพบโค้ดมัลแวร์ใหม่ในโค้ดของโทรจันภาคธนาคารถึง 45% และพบในโค้ดของแรนซัมแวร์ถึง 36% โดยการสร้างโค้ดใหม่ขึ้นมานั้นแสดงให้เห็นว่าผู้โจมตียังคงให้ความสำคัญกับการหาวิธีหลบเลี่ยงการตรวจจับอยู่

ในขณะเดียวกัน IBM X-Force ยังสังเกตเห็นความสัมพันธ์ที่ใกล้ชิดระหว่างแรนซัมแวร์และโทรจันที่ใช้ในภาคธนาคาร โดยมีการใช้โทรจันดังกล่าวเพื่อเบิกทางให้กับการใช้แรนซัมแวร์ในการโจมตีเป้าหมายที่มีมูลค่าสูง ซึ่งแสดงให้เห็นว่ามีการใช้งานแรนซัมแวร์ในรูปแบบที่หลากหลายมากขึ้น ตัวอย่างเช่น มัลแวร์ที่มีการใช้ในภาคธุรกรรมทางการเงินมากที่สุดตามรายงานอย่าง TrickBot นั้น ต้องสงสัยว่าเป็นตัวการปล่อย Ryuk เข้าสู่เครือข่ายองค์กร ในขณะที่โทรจันภาคธนาคารอีกหลายตัว เช่น QakBot, GootKit และ Dridex ต่างก็หันมาใช้แรนซัมแวร์เพื่อเพิ่มความหลากหลายเช่นกัน  

ผู้ไม่หวังดีแอบอ้างบริษัทเทคโนโลยีและโซเชียลมีเดียในการหลอกลวงแบบฟิชชิ่ง
เมื่อผู้ใช้งานทั่วไปเริ่มจับทางอีเมลฟิชชิ่งได้ กลวิธีฟิชชิ่งหลายๆ แบบก็ตกเป็นเป้าหมายเสียเอง โดยไอบีเอ็มได้ร่วมมือกับ Quad9 และสังเกตเห็นแนวโน้มการฟิชชิ่งในรูปแบบที่ผู้โจมตีสวมรอยเป็นแบรนด์ด้านเทคโนโลยีสำหรับผู้บริโภค พร้อมใส่ลิงค์ที่ดูน่าสนใจ โดยใช้บริษัทเทคโนโลยี โซเชียลมีเดีย และคอนเทนต์สตรีมมิ่ง ในการหลอกล่อให้ผู้ใช้คลิกลิงค์อันตรายด้วยวิธีการแบบฟิชชิ่ง

เกือบ 60% ของแบรนด์ที่ถูกแอบอ้างและตรวจพบ 10 อันดับแรกนั้นใช้โดเมนของ Google และ YouTube ในขณะที่ Apple (15%) และ Amazon (12%) ก็ถูกแอบอ้างโดยผู้โจมตีที่หวังจะขโมยข้อมูลที่ทำเงินได้ของผู้ใช้ โดยจากการประเมินของ IBM X-Force พบว่าสาเหตุหลักที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมายคือข้อมูลที่ทำเงินได้ที่แบรนด์เหล่านี้จัดเก็บไว้

Facebook, Instagram และ Netflix เองก็ติด 10 อันดับแรกของแบรนด์ที่ถูกแอบอ้างมากที่สุด แต่อยู่ในอัตราที่ต่ำกว่ามาก ทั้งนี้อาจเนื่องมาจากการที่บริการเหล่านี้มักไม่ค่อยเก็บข้อมูลที่ทำเงินได้ไว้โดยตรง นอกจากนี้ ผู้โจมตียังหวังพึ่งการใช้ข้อมูลประจำตัวซ้ำในการเข้าถึงบัญชีที่ทำเงินได้สูง โดย IBM X-Force ตั้งข้อสังเกตว่าการใช้รหัสผ่านเดิมซ้ำบ่อยๆ ได้ น่าจะเป็นปัจจัยที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมาย ทั้งนี้ ข้อมูลจาก Future of Identity Studyของไอบีเอ็ม ชี้ให้เห็นว่า 41% ของชาวมิลเลนเนียลใช้รหัสผ่านเดิมซ้ำหลายครั้ง ในขณะที่กลุ่มเจน Z ใช้รหัสผ่านเฉลี่ยเพียง 5 รหัส ซึ่งแสดงให้เห็นถึงอัตราการใช้รหัสผ่านซ้ำที่สูงมาก

การแยกแยะโดเมนที่ถูกแอบอ้างเป็นเรื่องที่ยากมาก และผู้โจมตีเองก็หวังพึ่งจุดแข็งในเรื่องนี้ โดยเมื่อรวมบัญชีทั้งหมดจากแบรนด์ 10 อันดับแรกที่ถูกแอบอ้างตามที่ระบุไว้ในรายงานแล้ว พบว่ามีบัญชีรวมกันถึง 1 หมื่นล้านบัญชี ทำให้ผู้ไม่หวังดีมีเป้าหมายให้เลือกโจมตีหลากหลายกลุ่ม และยิ่งเป็นการเพิ่มโอกาสที่ผู้ใช้ที่ไม่ระวังจะคลิกลิงก์ที่ดูไม่มีพิษมีภัยจากแบรนด์ที่ถูกแอบอ้างอีกด้วย