กรุงเทพฯ--12 ก.พ.--โอเอซิส มีเดีย
โดย: ดร. รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าฝ่ายวิศวกรระบบ ประจำประเทศไทย กัมพูชา พม่า และลาว บริษัท ไซแมนเทค
เราพบว่า ในช่วงที่ผ่านมา ภัยคุกคามที่มุ่งเน้นโจมตีสถาบันการเงิน มีแนวโน้มเติบโตขึ้นอย่างรวดเร็วและมั่นคง โดยกลุ่มผู้ไม่ประสงค์ดี และสามารถทำกำไรได้เป็นจำนวนมากจากการโจมตีดังกล่าว โดยเฉพาะอย่างยิ่งไวรัสประเภทโทรจัน ที่มีเป้าหมายโจมตีไปยังบริการธนาคารออนไลน์, ตู้เอทีเอ็ม และเครือข่ายโอนเงินระหว่างธนาคาร โดยใช้รูปแบบการโจมตีที่หลากหลาย
ตามที่เราได้พยากรณ์ไว้ในปี 2015 เราพบว่ามีการโจมตีที่มุ่งเน้นมาทางบริษัทขนาดใหญ่ และสถาบันการเงินมากขึ้น ในระหว่างปี 2016 แม้ว่าปีนี้จะยังไม่พบหลักฐานการโจมตีขนาดใหญ่ แต่ในช่วงปี 2016 ที่ผ่านมา เราพบหลักฐานถึงการโจมตีไปยังเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่ง การโจมตีไปยังระบบ Worldwide Interbank Financial Telecommunication หรือระบบ SWIFT ที่ใช้การโอนเงินของธนาคารระหว่างประเทศ ของหลายสถาบันการเงิน คิดเป็นมูลค่าความเสียหาย หลายล้านดอลล่าร์สหรัฐ โดยกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศ เช่นกลุ่ม Lazarus เราพบว่า พบว่า 38% ของการโจมตีในช่วงปี 2016 ต่อกลุ่มสถาบันการเงิน เป็นการโจมตีไปยังกลุ่มธุรกิจการเงินขนาดใหญ่
โดยกลุ่มคนร้ายส่วนใหญ่ เลือกใช้วิธีการโจมตีผ่านอีเมล์แคมเปญไปยังกลุ่มเป้าหมายแบบสุ่มในวงกว้าง โดยไม่ได้เจาะจงเป้าหมายใดเป็นพิเศษ ถึงแม้ว่าอัตราการโจมตีกลุ่มสถาบันการเงิน ที่ตรวจพบในช่วงปี 2016 จะลดลง 36% แต่สาเหตุมาจากการที่ การโจมตีถูกตรวจพบตั้งแต่ช่วงเริ่มต้นจำนวนหนึ่ง และการที่กลุ่มคนร้ายเลือกทำการโจมตีแบบมุ่งหวังผลต่อกลุ่มเป้าหมายที่เลือกไว้
ในจำนวนการโจมตีที่ตรวจพบ 1.2 ล้านครั้งในปีที่ผ่านมา พบว่าเป็นการโจมตีนี้มุ่งเน้นที่กลุ่มสถาบันการเงินเป็นจำนวนมากกว่าการโจมตีประเภทเรียกค่าไถ่ ถึง 2.5 เท่า ตัวอย่างเช่น เราตรวจพบการโจมตีของโทรจัน Ramnit (W32.Ramnit) ที่ใช้โจมตีสถาบันทางการเงิน เพียงตัวเดียว เป็นจำนวนเท่ากับการโจมตีของไวรัสประเภทเรียกค่าไถ่ทั้งหมดรวมกัน โดยกลุ่มของโทรจันส่วนใหญ่ที่มุ่งเน้นโจมตีกลุ่มสถาบันการเงิน ที่ตรวจพบ มักจะอยู่ในสามตระกูลนี้คือ Ramnit, Bebloh (Trojan.Bebloh), และ Zeus (Trojan.Zbot) ซึ่งการโจมตีจากทั้งสามตระกูลนี้ คิดเป็น 86% ของการโจมตีกลุ่มสถาบันการเงินในช่วงปี 2016 ทั้งหมด อย่างไรก็ตาม จากการจับกุมกลุ่มคนร้าย การเข้าทำลายระบบควบคุมการโจมตีของเจ้าหน้าที่ และการเปลี่ยนแปลงโยกย้ายกลุ่มของเหล่าคนร้าย ทำให้มีการเปลี่ยนแปลงขนาดใหญ่ขึ้นในช่วงปีที่ผ่านมา ตัวอย่างเช่น การโจมตีของ Bebloh ได้หายไปในปี 2017 หลังการ เข้าทำลายเครือข่ายระบบควบคุม Avalanche แม้ว่าเราจะยังตรวจพบโทรจันที่ถูกดัดแปลงเวอร์ชั่นใหม่ จากตระกูลเหล่านี้บ้าง แต่ก็เป็นการโจมตีขนาดย่อย เฉพาะกิจเท่านั้น โดยคนร้ายใช้วิธีการส่งเมล์ที่ถูกปลอมแปลง (scam) และแนบไฟล์โทรจันดัดแปลงเหล่านี้ไปโดยตรง ไม่ได้มีลูกเล่นใดๆ ตัวอย่างเช่น มีการตรวจพบตัวอย่างของ Bebloh เพียงตัวเดียว จากแคมเปญการโจมตีจำนวน 55,000 ครั้งในช่วงปี 2016
ในปี 2016 ประเทศญี่ปุ่นคือ กลุ่มเป้าหมายหลักของโทรจัน Bebloh และ Snifula (Trojan.Snifula) คิดเป็นจำนวนถึง 90% ของกิจกรรมทั้งหมดของโทรจันในกลุ่มนี้ และยังไม่มีความแน่ชัดว่าเหตุใดคนร้ายกลุ่มนี้จึงเปลี่ยนเป้าหมายหลักของตนเอง แต่มีเครื่องบ่งชี้ว่าพวกเขาได้ใช้เครือข่ายทรัพยากรร่วมกัน ในการโจมตีเป้าหมายที่คล้ายคลึงกันในประเทศญี่ปุ่น อย่างไรก็ตาม จากรายงานพบว่า เป้าหมายใหญ่สุดระดับโลกของการโจมตี ที่ถูกตรวจพบโดยไซแมนเทค ยังคงเป็นสถาบันทางการเงิน ของประเทศสหรัฐอเมริกา ตามมาด้วยประเทศโปแลนด์ และประเทศญี่ปุ่นตามลำดับ
วิธีการโจมตีของโทรจันที่มุ่งเน้นโจมตีสถาบันทางการเงิน ยังไม่มีการเปลี่ยนแปลงมากนัก และคล้ายคลึงกับโทรจันทั่วไป โดยวิธีการแพร่กระจายส่วนใหญ่ยังคงเป็นสแปมเมล์ ที่แนบไฟล์นกต่อ (dropper) ที่ใช้ดาวน์โหลดโทรจันตัวจริงเอาไว้ และการโจมตีผ่านชุดเครื่องมือโจมตีช่องโหว่ทางเว็บ (web exploit toolkits) โดยวิธีการโจมตีที่แพร่หลายที่สุด ในปี 2016 เป็นการโจมตีโดยอีเมล์ที่ถูกปลอมแปลง โดยอาจใช้ไฟล์แนบ Microsoft Office ที่ฝังมาโครไวรัสเอาไว้, อย่างไรก็ตามการฝังไฟล์แนบประเภท Microsoft Virtual Basic Scripting (VBS) หรือ Javascript (JS) ก็ถูกใช้ในการโจมตีในวงกว้างเช่นเดียวกัน นอกจากนั้นเรายังพบการโจมตีโดยใช้ไฟล์ Microsoft Office ที่ไม่ใช้วิธีฝังมาโคร แต่ใช้วิธีฝังวัตถุ OLE object เอาไว้ แล้วเขียนวิธีหลอกให้ผู้ใช้งาน ดับเบิ้ลคลิกเพื่อเรียกให้ไวรัสทำงาน ตัวอย่างเช่น Necurs botnet (Backdoor.Necurs) ซึ่งถูกส่งแพร่กระจายไปมากกว่า 1.8 ล้านครั้งภายในวันเดียวกัน ของปี 2016 ใช้วิธีการแนบไฟล์ JS script downloader ซึ่งเป็นหนึ่งในตัวอย่างแคมเปญการโจมตีที่เป็นที่น่าจับตามอง
ฟิชชิ่งเมล์เป็นอีกตัวอย่างหนึ่งของการโจมตี ที่หลอกให้ผู้ใช้งาน เข้าใจว่าถูกส่งจากบริการที่พวกเขาใช้งานอยู่ และเปิดเผยรายละเอียดส่วนตัวของตนกับผู้โจมตี จากรายงานพบว่าในช่วงปี 2016 มีการโจมตีในรูปแบบ ฟิชชิ่งเมล์เพิ่มขึ้นอย่างมาก โดยจะพบได้จากในอัตราส่วน 1 ใน 3,000 ของอีเมล์ที่เราได้รับ แต่ในปี 2017 รายงานการโจมตีแบบฟิชชิ่ง ลดลงมาอยู่ที่อัตราส่วน 1 ใน 9,138 ของอีเมล์ที่เราได้รับ เนื่องจากในปัจจุบัน บรรดาสถาบันทางการเงินเริ่มมีการปรับตัวมาใช้ระบบ ยืนยันตัวตนแบบสองชั้นมากขึ้น (2 factor authentication) ไม่ได้ใช้รหัสผ่านธรรมดาเพียงอย่างเดียว ทำให้ฟิชชิ่งเมล์ที่หลอกเอารหัสผ่านแบบธรรมดาไม่ค่อยได้ผลต่อการโจมตีระบบของสถาบันทางการเงิน อย่างไรก็ตามสำหรับระบบซื้อขายออนไลน์ส่วนใหญ่ยังคงมีจุดอ่อน ต่อการโจมตีประเภทนี้ ซึ่งเป้าหมายเป็นได้ทั้งรายละเอียดส่วนตัว และเลขบัตรเครดิต
จากรายงานในปี 2016 การโจมตีต่อระบบตู้เอทีเอ็ม และระบบ point of sales (POS) ก็เป็นอีกพื้นที่หนึ่งที่มีการโจมตีเพิ่มขึ้น โดยเฉพาะอย่างยิ่ง ไวรัสที่มุ่งเน้นโจมตีระบบเอทีเอ็มที่มีประวัติยาวนานกว่า 10 ปี และยังคงอยู่ ซึ่งการโจมตีที่มุ่งเน้นเป้าหมายสถาบันการเงิน เราตรวจพบการโจมตีระบบเอทีเอ็มจากเครือข่ายภายในของสถาบันการเงินเอง โดยกลุ่มตระกูลโทรจันเอทีเอ็ม และ POS ที่มีชื่อเสียงได้แก่ Ploutus (Backdoor.Ploutus), Flokibot, Trojan.Skimer, FastPOS (Infostealer.Fastpos), Infostealer.Poslit, Infostealer.Donpos, Infostealer.Jackpos, Infostealer.Scanpos, และ Backdoor.Pralice นับตั้งแต่มีการอัพเกรดระบบมาใช้บัตรเอทีเอ็มในรูปแบบ Chip & Pin ทั่วทั้งโลก พบว่า การโจมตีในรูปแบบเก่าอย่างการขโมยอ่านข้อมูลจากแถบแม่เหล็กลดลง เนื่องจากเป็นการโจมตีที่ไม่มีประสิทธิภาพอีกต่อไป เมื่อมองมาที่การโจมตีระบบเอทีเอ็ม เราตรวจพบการโจมตีที่ทวีความซับซ้อนและหลากหลายมากขึ้น ในบางครั้งคนร้ายต้องการการเข้าถึงโดยตรงที่หน้าเครื่องเอทีเอ็ม โดยการขโมย หรือทำลายกุญแจเพื่อเปิดฝาครอบตู้ส่วนเครื่องด้านบน
ตัวอย่างเช่นการโจมตีของ Plotus เมื่อคนร้ายสามารถเข้าถึงพอร์ตเชื่อมต่อ USB หรือ เครื่องอ่านซีดีรอม คนร้ายก็จะสามารถติดตั้งไวรัส และเชื่อมต่อ keyboard เข้ากับระบบเพื่อสั่งงาน, มีอีกตัวอย่างการโจมตีที่คล้ายๆ กัน คือคนร้ายสามารถเข้าถึงพอร์ต USB ด้านหลังของเครื่องคอมพิวเตอร์ที่ใช้ในการ check-in ของทางโรงแรม เพื่อทำการติดตั้งไวรัส หรือเหตุการณ์ที่คนร้ายสามารถติดตั้งระบบ sniffer เพื่อขโมยข้อมูล จากพอร์ต LAN ที่ว่างอยู่ภายในร้านค้าปลีก ซึ่งทำให้คนร้ายสามารถอ่านข้อมูลของบัตรเครดิตที่ไหลผ่านในเครือข่ายได้ การโจมตีด้วยการเข้าถึงโดยตรงที่หน้าเครื่องเอทีเอ็ม ยังเป็นไปได้อีกหลายรูปแบบ ดังตัวอย่างที่มีรายงานเข้ามาในปี 2017 คนร้ายทำการเจาะรูที่ตู้ เพื่อเชื่อมสายเข้าถึงระบบเชื่อมต่อภายใน และฝังไมโครชิฟราคาถูกแบบง่ายๆ ที่สามารถส่งคำสั่งให้ตู้ทำการปล่อยเงินออกมา
เรายังค้นพบแนวโน้มรูปแบบการโจมตีของไวรัส ที่พยายามหลบซ่อนตัวเอง รวมทั้งการเปลี่ยนเส้นทางการโจมตี เพื่อหลีกเลี่ยงจากการตรวจสอบของผู้เชี่ยวชาญ และในบางครั้งคนร้ายถึงขนาด ลงทุนเลียนแบบการล็อคอินของพนักงานทั่วไปของระบบ เพื่อสั่งการโอนเงินจำนวนมากโดยตรง หากตรวจพบระบบโอนเงินของสถาบันการเงินที่น่าสนใจ เพื่อหลีกเลี่ยงระบบตรวจจับภายในระบบเครือข่ายการโจมตีของไวรัสบนมือถือแอนดรอยในปัจจุบันเอง ก็มีรูปแบบการโจมตีที่น่าสนใจ โดยพยายาม สร้างหน้าจอเลียนแบบ และซ้อนทับโปรแกรมของสถาบันการเงิน เมื่อตรวจพบขั้นตอนการโอนเงิน เพื่อเปลี่ยนเส้นทางให้ผู้ใช้งานทำการโอนเงินให้คนร้ายแทน หรือสร้างโปรแกรมเลียนแบบโปรแกรมตัวจริงของสถาบันการเงิน แล้วหลอกให้ผู้ใช้งานดาวน์โหลดไปใช้ เราตรวจพบมากกว่า 170 โปรแกรม ที่ถูกเจาะจงโจมตีโดยไวรัสเหล่านี้ ทั้งนี้สงครามในด้านมือถือยังคงดำเนินต่อไป ทางสถาบันการเงินเอง ก็พยายามปรับใช้ระบบยืนยันตัวตนแบบสองชั้นกันมากขึ้น เพื่อลดความเสี่ยง รวมทั้งทางแอนดรอยเองก็มีการพัฒนาระบบปฏิบัติการเพิ่มเติม เพื่อให้การโจมตีทำได้ยากขึ้น ทางคนร้ายเองก็มีการเปลี่ยนกลับมาใช้วิธีพื้นฐาน อย่างการหลอกลวงผู้ใช้งานโดยตรง เพื่อให้อนุญาตให้คนร้ายทำการโอนเงินได้สำเร็จ ซึ่งจะเห็นได้ว่าแม้ระบบจะรัดกุมเพียงใด จุดอ่อนที่สุดก็คือผู้ใช้งานในระบบนั่นเอง แม้ว่าจะอัพเกรดระบบมาใช้เทคโนโลยีล่าสุด แข็งแกร่งที่สุด ก็ยังพ่ายแพ้ต่อการหลอกลวง ต่อผู้ใช้งานของระบบโดยตรง
ทั้งนี้ หากคนร้ายสามารถเข้าถึงเครือข่ายภายในได้สำเร็จ ส่วนมากคนร้ายจะพยายามเสาะหาบัญชีผู้ใช้อื่นๆ เพิ่มเติม เพื่อให้การโจมตีมีประสิทธิภาพสูงสุด ได้ผลกำไรมากที่สุดเท่าที่เป็นไปได้ เช่น คนร้ายอาจจะขโมยบัญชีผู้ใช้ของระบบธนาคารออนไลน์, รายละเอียดข้อมูลส่วนตัว หรือรหัสผ่านของระบบอื่นๆ ที่เรามักจะเก็บไว้ภายในเครื่อง ที่คนร้ายเจาะได้สำเร็จและเมื่อคนร้ายเจาะระบบได้สำเร็จ พวกเขาสามารถนำข้อมูลที่ขโมยมาใช้ในการแพร่กระจายไวรัสในระบบเพิ่มเติม หรืออาจจะนำข้อมูลเหล่านั้น มาขายในเครือข่ายเว็บใต้ดินของพวกคนร้าย โดยเฉพาะอย่างยิ่ง รหัสบัตรเครดิต มักจะเป็นสินค้ายอดนิยมอันดับหนึ่งในเว็บใต้ดิน ในขณะที่บัญชีผู้ใช้ระบบออนไลน์ของลูกค้าธนาคาร จะมีมูลค่าขึ้นอยู่กับเงินในบัญชีที่มีอยู่ ตัวอย่างเช่น ถ้าบัญชีมีเงิน 1000 ดอลล่าร์สหรัฐ จะสามารถขายได้ราวๆ 10 ดอลล่าร์สหรัฐ1 ถ้าหากมีเงินมากกว่านี้ ก็จะสามารถขายได้แพงกว่านี้เป็นต้น คนร้ายไม่ได้เจาะจงเฉพาะลูกค้าของธนาคารเท่านั้น สถาบันการเงินเองก็ตกเป็นเป้าหมายด้วยเช่นกัน ตัวอย่างเช่น การพยายามฉ้อโกงสั่งโอนเงินจำนวนมากผ่านระบบโอนเงินระหว่างธนาคาร โดยไม่ได้รับอนุญาต ดังนั้นสถาบันการเงินเองต้องรับศึกทั้งสองด้าน คือทั้งการโจมตีไปยังลูกค้าของสถาบันเอง และการโจมตีมายังเครือข่ายของสถาบันโดยตรง
ทั้งนี้หากถูกเจาะระบบได้สำเร็จ ทางบริษัทที่โดน คงไม่ได้สูญเสียเพียงแค่เกี่ยวกับเรื่องเงินทองเท่านั้น หากแต่ชื่อเสียงที่สั่งสมมา ต้องถูกทำลายไป รวมไปถึงความเชื่อมั่นของลูกค้าอีกด้วย ซึ่งอย่างหลังนี่เอง ที่ต้องใช้เวลา และความเพียรพยายามเป็นอย่างมากในการสร้างขึ้นมา ต้องถูกทำลายไปในคราวเดียวกัน เราคาดหวังว่า ปัญหาการโจมตีสถาบันการเงิน จะเหลือแต่ปัญหาระดับผู้ใช้งานเท่านั้นในอนาคต แต่ดูแนวโน้มแล้วพบว่า ทางคนร้ายเองยังคงมุ่งเน้นโจมตีมายังเครือข่ายของสถาบันการเงินเพิ่มมากขึ้น และพยายามใช้กระบวนการหลอกลวง, ปลอมแปลงตัวบุคคล เพื่อหลอกลวง เจ้าหน้าที่ของสถาบันการเงินอีกด้วย ระบบการป้องกันต่างๆ จึงเป็นสิ่งจำเป็น แม้ว่าจะไม่สามารถป้องกันได้ 100% อย่างน้อยก็ช่วยลดพื้นที่ในการโจมตีของคนร้ายลง ตัวอย่างเช่น การโจมตีผ่านทางอีเมล์ และเว็บไซต์ที่ฝังไวรัส เป็นการโจมตีพื้นฐานของคนร้าย ดังนั้นหากเราวางระบบป้องกันความปลอดภัยที่เชื่อถือได้ เพื่อป้องกันสาเหตุดังกล่าว ก็จะช่วยลดปัญหาการโจมตีลงได้เป็นอย่างมาก การสร้างระบบป้องกันความปลอดภัยแบบหลายชั้น จะช่วยลดความเสี่ยงจากการโจมตีได้เป็นอย่างดี
ทางไซแมนเทคเองก็มีกลยุทธ์ในการป้องกันภัยคุกคาม, ไวรัส รวมทั้งไวรัสที่มุ่งเน้นโจมตีสถาบันการเงิน โดยแบ่งเป็นสามขั้นตอน คือ
- การป้องกัน: หยุดการโจมตี ตั้งแต่ขั้นตอนการพยายามบุกรุก, การพยายามแพร่เชื้อ และป้องกันความเสียหายที่อาจจะเกิดขึ้น
- การจำกัดความเสียหาย: หยุดยั้งการแพร่ระบาดของไวรัส จำกัดขอบเขตของความเสียหาย กรณีที่การโจมตีประสบความสำเร็จ
- การตอบสนอง: มีกระบวนการในการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น เรียนรู้การโจมตี และยกระดับการป้องกัน