หลุมพรางโจรไซเบอร์ Kaspersky เตือนตั้งการ์ดรู้เท่าทัน

เมื่อผู้คนและกิจกรรมทางธุรกิจจะถูกล็อกดาวน์ ทำให้ช่องทางออนไลน์กลายเป็นหัวใจสำคัญของการดำเนินกิจการต่าง ๆ และเป็นแรงผลักดันให้ภัยคุกคามทางไซเบอร์ยิ่งเพิ่มสูงขึ้นตาม “วิทาลีคัมลัก” ผู้อำนวยการทีมวิเคราะห์และวิจัยระดับโลก ประจำภูมิภาคเอเชีย-แปซิฟิก หรือทีม GReAT ของ Kaspersky เปิดเผยว่า ตั้งแต่มีการแพร่ระบาดของไวรัสโควิด-19 อาชญากรทางไซเบอร์ได้อาศัยประโยชน์จากสถานการณ์นี้ด้วยการปล่อย “มัลแวร์” ที่ใช้ชื่อเกี่ยวกับไวรัสโควิด-19 ซึ่งดึงดูดให้ “เหยื่อ” ไม่ว่าจะเป็นผู้ใช้งานทั่วไปหรือระดับองค์กร “คลิกเปิด” มัลแวร์และเกิดการส่งต่อ รวมถึงแพร่กระจายไปยังเน็ตเวิร์กต่าง ๆ

“มัลแวร์บางตัวเป็นมัลแวร์ที่ตกรุ่น คือ ถูกปล่อยมาตั้งเมื่อ 7 ปีที่แล้ว แต่ยังสามารถแพร่ระบาดได้อย่างกว้างขวางในเวลานี้ เพียงแค่ตั้งชื่อไฟล์ที่เกี่ยวข้องกับโควิด-19”

โควิด-19 ดึงดูดเหยื่อ

จากสถิติที่ Kaspersky เฝ้าระวังเครือข่าย พบว่ามีจำนวนเว็บไซต์ที่ถูกโปรแกรมแอนติไวรัสของแคสเปอร์สกี้สั่งบล็อก เนื่องจากมีความเสี่ยงที่จะเผยแพร่มัลแวร์, โจมตีด้วยวิธี social engineering รวมถึงการฟิชชิ่ง ด้วยการตั้งคีย์เวิร์ดของเว็บที่เกี่ยวกับโควิด-19 เพิ่มขึ้นตั้งแต่ต้นปีมีนับเป็นล้าน ๆ รายการ ขณะที่มัลแวร์ที่ตั้งชื่อไฟล์ที่โยงกับโควิด-19 ซึ่งถูกตรวจพบโดยแอนติไวรัสของแคสเปอร์สกี้มีจำนวนเพิ่มสูงขึ้นอย่างพุ่งพรวด

“การทำ e-Mail scam โดยการเขียนเนื้อหาและรายละเอียดที่เกี่ยวกับโควิด-19 และฝากมัลแวร์เอาไว้ เช่น ไฟล์มัลแวร์ที่ตั้งชื่อว่า “AVAILABLE COVID-19 VACCINE” หรือ “CLOSE DOWNORDER FROM CDC” เป็นวิธีการที่สามารถหลอกให้คนอ่านเปิดไฟล์ดังกล่าวได้ง่าย”

ขณะที่อาชญากรรมทางไซเบอร์ระดับสูงประเภท advanced persistent threat (APT) ก็ใช้ประโยชน์จากโควิด-19 เช่นกัน อาทิ การแพร่มัลแวร์ผ่านไฟล์ที่มีเนื้อหาเกี่ยวกับ “คำแนะนำด้านสุขภาพสำหรับการป้องกันโควิด-19” หรือการใช้โลโก้ของ WHO องค์การอนามัยโลก มาดึงดูดให้คนตกเป็นเหยื่อ รวมไปถึงการหลอกลวงผ่านการซื้อทางออนไลน์สำหรับการแพทย์ ยา และอุปกรณ์อื่น ๆ

“การแพทย์” ตกเป็นเหยื่อ

และแม้ว่าคอมพิวเตอร์ทุกเครื่องที่มีช่องโหว่ของระบบหรือมีช่องโหว่จากการใช้งานจะเป็นเป้าหมายของการโจมตี แต่ “หน่วยงานทางการแพทย์” คือเป้าหมายสำคัญ โดยมีรายงานจาก

สำนักข่าวต่างประเทศ พบว่าทั้งหน่วยงานสาธารณสุขและโรงพยาบาลถูกโจมตี อาทิ การโจมตีที่เกิดขึ้นที่โรงพยาบาลของสาธารณรัฐเช็ก ซึ่งส่งผลให้โรงพยาบาลจำเป็นต้องสั่งปิดระบบไอทีของโรงพยาบาลทั้งหมด รวมถึงองค์การระดับโลกอย่าง WHO ก็เคยถูกโจมตีเช่นกั

ฉะนั้น สิ่งที่จะป้องกันได้ในช่วงที่ทุกคนต้องทำงานนอกออฟฟิศ ได้แก่ การนำ security gateway มาใช้กับพนักงานทุกคน, การให้พนักงานติดตั้งและเปิดใช้งานโปรแกรมแอนตีไวรัส และ endpoint detection and response (EDR) รวมถึงการใช้งานระบบการยืนยันตัวตนแบบ 2 ชั้น “2 factor authentication” และต้องยืนยันตัวตนแบบไบโอเมตริกอีกชั้นหนึ่ง เป็นต้น

การเปิดให้พนักงานเข้าถึงเดสก์ทอประยะไกลหรือเซิร์ฟเวอร์ผ่าน RDP (เดสก์ทอประยะไกล), FTP (โปรโตคอลการถ่ายโอนไฟล์) หรือที่คล้ายกัน จำเป็นต้องคำนึงถึงการรักษาความปลอดภัยอย่างมาก หากเป็นไปได้ควรใช้ Microsoft one drive แบบคลาวด์ที่ปลอดภัยเพื่อแชร์ไฟล์จะดีกว่า เพราะคอมพิวเตอร์ที่ใช้งานตามบ้าน มีจุดอ่อนที่อาจเป็นอันตรายต่อเครือข่ายขององค์กรธุรกิจได้มาก

วิดีโอคอนเฟอเรนซ์อีกเป้าหมาย

ส่วนการประชุมวิดีโอคอนเฟอเรนซ์ แนะนำให้องค์กรต่าง ๆ เรียกใช้เซิร์ฟเวอร์วิดีโอเฉพาะในสถานที่ของบริษัท อย่าใช้เซิร์ฟเวอร์ฟรี หรือระบบคลาวด์ เว้นแต่จะมั่นใจในระบบซีเคียวริตี้ได้ ซึ่ง Kaspersky ใช้ระบบของ Microsoft teams ส่วนแอปพลิเคชั่น Zoom แม้จะเป็นที่นิยม แต่มีข้อพึงระวัง เพราะยิ่งมีผู้ใช้งานมาก ก็ยิ่งตกเป็นเป้าหมายของอาชญากรทางไซเบอร์ได้ง่ายที่จะใช้เป็นช่องทางแพร่มัลแวร์, สปายแวร์ และอื่น ๆ

โดยในช่วงก่อนหน้านี้ Kaspersky พบว่าในแอปพลิเคชั่นการประชุมทางไกลที่ได้รับความนิยม เช่น Zoom, WebEx และ Slack มีการตรวจพบภัยคุกคาม 200 รายการ ภัยคุกคามที่พบบ่อยที่สุด คือ Adware รองลงมาคือ DealPly และ DownloadSponsor

“มั่นใจว่าอาชญากรไซเบอร์กำลังพยายามค้นหาช่องโหว่ด้านความปลอดภัยในแอปพลิเคชั่น Zoom ซึ่งโจรไซเบอร์ยังสามารถใช้ประโยชน์จากผู้ใช้งาน Zoom ได้ด้วย และหากหน่วยงานรัฐบาลหันมาใช้ Zoom กันมาก ยิ่งเป็นแหล่งดึงดูดพิเศษสำหรับแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ เพื่อจะเข้าไปเจาะหาข้อมูลของรัฐบาลต่าง ๆ ได้”

ฉะนั้น หากจะใช้ Zoom ไม่ควรใช้กับข้อมูลที่มีความอ่อนไหวมาก และไม่ควรใช้งานกับบริการคลาวด์ไม่ใช่เป็นไพรเวตคลาวด์

ขอบคุณที่มาเนื้อหาข้อมูลจาก