กรณีศึกษาของ SPRC และ ภัยจาก Spear Phishing & Email Spoofing
ย้อนไปเมื่อวันที่ 21 กุมภาพันธ์ 2563 ที่ผ่านมา บริษัท บริษัท สตาร์ ปิโตรเลียม รีไฟน์นิ่ง จำกัด (มหำชน) หรือ SPRC ได้ออกหนังสือ "คำอธิบายและวิเคราะห์ของฝ่ายจัดการ ประจำปี สิ้นสุดวันที่ 31 ธ.ค. 2562" โดยมีการเผยแพร่ผ่านทางเวบไซต์ของ กลต.
ในเอกสารดังกล่าว ได้มีการเปิดข้อมูลผลประกอบการของปี 2562 โดยจุดที่น่าสนใจอยู่ตรงหัวข้อ "ค่าใข้จ่ายในการบริหาร" ที่ระบุว่า ค่าใช้จ่ายในการบริหารในไตรมาสที่ 4 ของปี 2562 ได้เพิ่มขึ้นอย่างมากผิดปกติเมื่อเทียบกับในไตรมาสที่ผ่าน ๆ มา
คือสูงขึ้นมาจาก 8 ล้านดอลล่าร์สหรัฐ เป็น 31 ล้านดอลลาร์สหรัฐ
ซึ่งสาเหตุหลักนั้น ทาง SPRC ได้อธิบายว่าเกิดจากการที่บริษัท "ถูกโจมตีทางธุรกรรมทางอีเมล์ในช่วงปลายปีที่ผ่านมา" ทำให้มีการชำระเงินไปยังบัญชีที่ไม่ถูกต้อง
สรุปคือ SPRC โอนเงินราว ๆ 22 ล้านดอลล่าร์สหรัฐ ไปผิดบัญชี
เอกสารระบุต่อไปว่า หลังทราบเหตุ SPRC ได้ทำงานร่วมกับผู้เชี่ยวชาญในการเรียกคืนเงินจำนวนดังกล่าว แต่ก็ได้มีการรับรู้ค่าความเสียหายในงบการเงินไตรมาส 4 ที่ผ่านมาเอาไว้ก่อน
ซึ่งในขณะที่ผมกำลังเขียนบทความนี้ ยังไม่มีข่าวความคืบหน้าอะไรเพิ่มเติม ยกเว้นเรื่องที่ กลต. ก็ได้เรียกร้องให้ คณะกรรมการตรวจสอบ และผู้ตรวจสอบบัญชีชี้แจงครับ
หากมีการเผยแพร่ผลของการชี้แจงออกมาเมื่อไหร่ ก็คงจะได้นำกลับมาคุยกันต่อครับ
ลักษณะการโจมตี "ทางธุรกรรมทางอีเมล์" ที่ SPRC ประสบมานี้ ผมขอตั้งสมมติฐานว่าน่าจะเป็น การโจมตีทางไซเบอร์ (Cyber Attack) ประเภทที่เรียกว่า Spear Phishing และ Email Spoofing ครับ
ซึ่งก่อนจะอธิบายถึง 2 การโจมตีทั้งสองแบบ และแชร์วิธีการป้องกันให้ฟังนั้น ยังมีอีก 2 คำที่เราต้องเข้าใจตรงกันก่อน
คำแรกคือ "Social Engineering"
คำนี้หมายถึง เทคนิคทางจิตวิทยาของเหล่ามิจฉาชีพ ที่ใช้กลอุบายต่าง ๆ หลอกให้เหยื่อ กระทำการบางอย่าง หรือเปิดเผยความลับให้รับรู้ ซึ่งกลอุบายที่ใช้จะเน้นไปที่ปฏิกริยาตอบสนองของมนุษย์ต่อสังคมในแบบต่าง ๆ ที่พอจะคาดเดาได้ เช่น
... คนเรามักจะไม่สอบถามเซ้าซี้คนมีอำนาจเหนือกว่า มิจฉาชีพก็โทรศัพท์มาหา และเลียนเสียง หรืออ้างว่าเป็นหัวหน้างานเพื่อสั่งการ หรือขอข้อมูลด่วนจากเหยื่อ
... คนเรามักคล้อยตามคนอื่น ๆ ทำให้มิจฉาชีพที่ทำงานเป็นขบวนการเช่นแก๊งค์ตกทองสามารถหลอกลวงเหยื่อได้ หรือหากคนรู้จักของเราเป็นคนรับรองความเชื่อมั่น เราก็มักจะเชื่อว่าคนที่ถูกรับรองไม่ใช่มิจฉาชีพ โดยหารู้ไม่ว่าคนรู้จักของเราคนนั้น ก็อาจจะโชคร้ายกำลังถูกหลอกอยู่เหมือนกัน
... คนเรามักจะหลงเชื่อคนที่เรารู้สึกชอบ นั่นคือสาเหตุที่มิจฉาชีพมากมาย ใช้รูปร่างหน้าตาที่หน้าหลงใหลเป็นเครื่องมือได้
แต่ถ้ามักจะถูกสาวสวยหลอกแบบผู้เขียน อันนี้ไม่นับนะครับ
ต่อมาคำที่ 2 คือคำว่า "Phishing"
Phishing เป็นเทคนิค Social engineering ประเภทหนึ่ง โดยเน้นไปที่การล้วงเอาความลับ จากเหยื่อผ่านการสื่อสารแบบอิเล็กทรอนิกส์
ถามว่า ทำไมต้องเฉพาะการสื่อสารแบบอิเล็กทรอนิกส์ ?
นั่นเพราะโดยธรรมชาติแล้ว การสื่อสารผ่านช่องทางแบบนี้ คู่สนทนาทั้ง 2 ฝ่ายต่างก็แสดงตัวตนผ่าน "ตัวตนเทียม" ไม่ว่าจะเป็น Email Address หรือ Website ซึ่งต่างก็ถูกปลอมแปลงได้ง่าย
ตัวอย่างเช่น
Website จริงคือ www.antifraud.in.th
มิจฉาชีพก็สร้าง Website ปลอมชื่อ www.antifruad.in.th
(สังเกตว่า a กับ u สลับกัน)
จริง ๆ แล้วคำว่า Phishing เป็นการเล่นคำให้ออกเสียงเหมือน Fishing ที่แปลว่าตกปลา เพราะ เหยื่อที่ถูกหลอกก็เหมือนกับปลาที่ฮุบเหยื่อนั่นแหละครับ
กลับมาที่ลักษณะของการโจมตีทางไซเบอร์ที่เราตั้งข้อสังเกตกัน
แบบแรกคือ "Spear-Phishing"
คำว่า Spear แปลว่า "หอก" ดังนั้น Spear-Phishing ก็หมายถึงการโจมตีแบบ Phishing นั่นแหละครับ แต่มีการ "พุ่ง" ไปยังเป้าหมายที่แน่ชัด นั่นคือมีการเจาะจงเลือกเหยื่อไว้ก่อนหน้านี้อยู่แล้ว ไม่ได้หลอกคนทั่วไปแบบ Phishing ตามปกติ
ส่วนอีกแบบ "Email Spoofing"
คือคำว่า Spoofing นั้น หมายถึงการปลอมแปลงตัว ดังนั้น Email Spoofing ก็คือการปลอมแปลงตัวตนด้วยการใช้ Email ปลอมและสวมรอยเป็นผู้อื่น
ซึ่งจริง ๆ แล้วก็เป็นยุทธวิธี (Tactic) หนึ่งของ Spear-Phishing นั่นเอง เพราะเหยื่อที่ถูก "พุ่งเป้า" ก็คือผู้รับ หรือ ผู้ส่ง Email ที่ถูก "Spoof" นั่นเอง
สำหรับกรณีศึกษา Spear Phishing หรือ Email Spoofing ที่เคยเจอมา ก็พบว่าพฤติการณ์ของการกระทำผิดมีลักษณะคล้าย ๆ กันดังนี้
1. บริษัทที่ตกเป็นเหยื่อ กำลังมีการติดต่อสื่อสารกับ คู่ค้าต่าง ๆ ไม่ว่าจะเป็น Supplier หรือ ลูกค้า ในเรื่องการจ่ายเงินค่าสินค้า (ในฐานะลูกค้า) หรือ การรับโอนเงินค่าสินค้า (ในฐานะผู้ขาย) ซึ่งการสื่อสารโดยมากจะกระทำผ่าน Email
2. ในระหว่างที่มีการสื่อสารกัน หรือ อาจจะก่อนหน้านั้นด้วยซ้ำ ตัวแฮคเกอร์ สามารถ "เข้าถึง" บทสนทนา หรือ ข้อความใน Email เหล่านั้นได้ด้วยเทคนิคบางอย่าง เมื่อเข้าถึงแล้วก็เฝ้าจับตาดูพฤติกรรม และการพูดคุยของเหยื่อจนกระทั่งสบโอกาส
3. โอกาสที่ว่าคือ การเข้าสวมรอยเป็นฝ่ายใดฝ่ายหนึ่งในจังหวะของการสนทนาที่เหมาะสม ซึ่งก็มักจะเป็นช่วงหัวเลี้ยงหัวต่อของการพูดคุยกัน เช่น เมื่อต้องมีการจ่าย หรือโอนเงินให้กัน และในบางครั้ง มิจฉาชีพก็จะต้องสวมรอยเป็นทั้งสองฝั่ง เพื่อไม่ให้เหยื่อฝั่งใดฝั่งหนึ่งรู้ตัว และแจ้งเตือนซึ่งกันและกัน
4. เมื่อแฮคเกอร์ เข้าไปแทรกแซงการสื่อสารระหว่างเหยื่อแล้ว ก็จะให้ข้อมูลที่คลาดเคลื่อน เพื่อหลอกลวงให้เหยื่อทำในสิ่งที่ตนต้องการ ซึ่งโดยมากคือ การขอเปลี่ยนเลขที่บัญชีในการรับโอนเงิน โดยอ้างเหตุผลต่าง ๆ นานา เพื่อให้เหยื่อหลงเชื่อ
5. เมื่อผู้รอรับเงินตัวจริงเริ่มทักท้วง ทำให้เกิดการตรวจสอบ ซึ่งส่วนใหญ่กว่าเหยื่อจะรู้ตัวก็สูญเงินไปเป็นจำนวนมากแล้ว
แล้วแฮคเกอร์มีเทคนิคอะไรบ้างในการ "เข้าถึง" บทสนทนา หรือข้อความใน Email ระหว่างขั้นที่ 2 ข้างต้น
วิธีที่พบบ่อยคือ การ Hack เข้าไปที่ Email ของฝ่ายใดฝ่ายหนึ่ง ซึ่งเกิดจากการที่เครื่อง Computer ของเหยื่อ ดันไปติด Malware ที่สามารถขโมยเอา Password ของระบบ Email และส่งออกไปที่ Hacker ได้
ความจริงแล้ว การขโมย Password ทำได้อีกหลายแบบโดยไม่ต้องใช้ Malware ด้วยซ้ำ แต่ไว้มีโอกาสผมจะมาเล่าให้ฟัง
หลังจากที่แฮคเกอร์เข้าถึงบทสนทนาของเหยื่อได้ เมื่อสบโอกาสก็จะเข้าสวมรอยเป็นคู่สนทนา และตามมาด้วยการใช้อีกหลาย ๆ วิธีเพื่อหลอกลวง และหลอกล่อเหยื่อในขั้นตอนที่ 4
ซึ่งตัวอย่างที่พบบ่อย คือการจด Domain ปลอม เพื่อเบี่ยนเบน Email ของคู่สนทนาให้วิ่งมาที่ตนเอง แทนที่จะไปถึงปลายทาง เช่น
ปกติ นาย A ใช้ Email ชื่อ AAA@antant.com คุยกับนาย B ที่ใช้ Email ชื่อ BBB@beebee.com
เมื่อแฮคเกอร์สบโอกาส ก็แทรกตัวเข้าไปด้วยการใช้ Email address ปลอม
เช่น ทำการส่ง Email จาก AAA@anlant.com ให้กับ นาย B และส่ง Email จาก BBB@beeebee.com ให้นาย A
จากนั้นก็หลอกล่อ จนกระทั่งเหยื่อหลงเชื่อทำสิ่งที่ตนเองต้องการ เช่น ยอมโอนเงินไปยังเลขที่บัญชีใหม่ เพราะหลงเชื่อตามอ้างว่าเลขที่บัญชีเดิมกำลังถูกตรวจสอบ หรือ มีการเปลี่ยนเลขที่บัญชีธนาคารไปแล้ว
บางท่านอาจจะสงสัยว่า ทำไมการเปลี่ยนบัญชีธนาคาร ถึงไม่ต้องขอหลักฐานเพิ่มเลยเหรอ?
คำตอบคือ แน่นอน ฝั่งผู้จ่ายเงินก็ต้องมีการขอหลักฐานในการเปลี่ยนแปลงเลขที่บัญชี เช่น หนังสือแจ้งจากผู้มีอำนาจลงนามพร้อมตราประทับ
แต่ทราบหรือไม่ว่า เหยื่อหลาย ๆ ราย กลับยอมรับหนังสือหลักฐานที่ว่า ในรูปแบบ Electronic ผ่านทาง Email ซึ่งแฮคเกอร์ก็เพียงแค่ทำเอกสารปลอมส่ง Email กลับมายืนยันเท่านั้นเอง
คือ เราควรตระหนักว่า การปลอมเอกสารแบบ Electronic ในยุคนี้ทำได้ง่ายมาก แถมบางครั้ง Hacker เข้ามาสอดแนม Email ของเหยื่อเป็นเวลานาน นานพอที่จะได้เห็นเอกสารตัวจริงหลาย ๆ แบบ พร้อม Template ด้วยซ้ำ ซึ่งนั่นทำให้การปลอมเอกสารฉบับใหม่ขึ้นมาก็ไม่ได้ใช่เรื่องยากอะไรเลย
หากมองเผิน ๆ พฤติการณ์นี้ก็ดูเป็นภัยทางไซเบอร์ทั่วไป เพราะเกี่ยวข้องกับการใช้ Email ...
ทำให้เวลามีเหตุส่วนใหญ่ ผู้คนก็มองว่าเป็นปัญหาด้าน IT Security ที่ปล่อยปละละเลย ให้แฮคเกอร์เข้ามารู้เห็นการสื่อสารที่เป็นความลับได้
คือคนไอที ก็โดนแบบนี้เสมอครับ น่าอาภัพนัก
แต่ถ้าหากเราจะมองอย่างเป็นกลางจริง ๆ ก็จะพบว่าปัญหานั้นอาจจะไม่ได้เกิดจาก IT Security เพียงอย่างเดียว
อยากให้ลองนึกถึง Swiss Cheese Model ซึ่งเป็นทฤษฎีที่ใช้อธิบายถึงการเกิดอุบัติเหตุว่า ...
ที่มา: Wikipedia
".. การเกิดอุบัติเหตุนั้น มาจากความผิดพลาดหลายอย่างรวมกัน โดยสามารถเปรียบเทียบแผ่นชีสสวิสแต่ละแผ่นเสมือนกับเครื่องป้องกันอุบัติเหตุ เช่น อุปกรณ์ป้องกันอันตราย ,กฏระเบียบความปลอดภัย เป็นต้น ส่วนรูบนแผ่นชีส ก็เปรียบเสมือนความผิดพลาดต่าง ๆ ที่เกิดขึ้นได้ ในขณะที่ลูกศรสีแดง คือ อันตรายที่เกิดขึ้น ดังนั้นอุบัติเหตุจะเกิดขึ้นได้ ก็ต่อเมื่อมีอันตรายเกิดขึ้น พร้อม ๆ กับที่มีความผิดพลาดต่าง ๆ เกิดขึ้นพร้อมกัน ..."
(ที่มา: http://www.thaiworkforce.com)
เราปฏิเสธไม่ได้ว่า IT Security นั้นสำคัญแน่นอน เป็นชีสแผ่นหนึ่งที่หากมีรูรั่ว ก็ทำให้เกิดเรื่องได้
แต่ Cheese อีกแผ่นที่สำคัญไม่แพ้กันคือ กระบวนการทางบัญชีและการเงินขาจ่าย (Account Payable) ต่างหากที่ควรจะรัดกุมไม่น้อยกว่ากัน
สมมติว่าเราเปลี่ยนจากการใช้ Email เป็นการใช้โทรศัพท์คุยกันเรื่องการโอนเงินชำระค่าสินค้า หากเสียงทางโทรศัพท์ของปลายสายไม่ใช่คนเดืมที่เคยค้าขายด้วย แต่เขายืนยันว่าเขาเป็นตัวจริง เราก็ต้องตรวจสอบเพิ่มเติมด้วยวิธีอื่น ๆ จะกว่าจะแน่ใจว่าเราสามารถทำธุรกรรมต่อได้
แต่พอเป็น Email น่าแปลกที่เรากลับไปเชื่อข้อความที่ใคร ๆ ก็พิมพ์ได้ แล้วก็ทึกทักเอาเองว่าเป็นคนเดิม ๆ ที่เราเคยรู้จักตลอดกันมานั่นแหละ ที่เป็นคนส่ง
คือผมไม่ได้เข้าข้างคนทำงานด้าน IT นะ แต่ต้องยอมรับว่ามันไม่ใช่ปัญหาด้าน IT Security เพียงอย่างเดียวหรอกครับ
แล้ววิธีการป้องกันภัยคุกคามเหล่านี้ มีอะไรบ้าง
เนื่องจาก Cheese มีหลายแผ่น หลายชั้น วิธีป้องกันก็ต้องอาศัยหลายภาคส่วน ไม่ใช่แค่ IT Security อย่างเดียว และต่อไปนี้คือคำแนะนำที่ผมรวบรวมมาจากหลาย ๆ แหล่งครับ
1) ไม่เปิด Link ที่แนบมาใน Email เนื่องจากมีโอกาสสูงที่จะถูกหลอกลวง เพราะ Link ที่มองเห็นใน Email อาจจะดูเหมือนว่าเป็นเว็บไซต์ที่น่าเชื่อถือ แต่เมื่อ Click ไปแล้ว Link นั้นอาจจะพาเราไปที่ Website ปลอมที่เตรียมไว้เพื่อหลอกให้กรอกข้อมูลความลับก็เป็นได้
คือการสร้าง Link นั้นสามารถกำหนดให้แสดงข้อความอะไรก็ได้ หรือเป็นรูปภาพอะไรก็ได้ตามต้องการ โดยที่ข้อความหรือรูปภาพนั้นชี้ไปยัง Link ปลอมที่เป็นอันตราย แต่เราไม่ทันสังเกต
2) พึงระวัง Email ที่ขอให้กรอกข้อมูลส่วนบุคคล โดยเฉพาะหากเป็น Email ที่มาจากสถาบันการเงิน ทั้งนี้ธนาคารหลายแห่งได้แจ้งอย่างชัดเจนว่า ธนาคารไม่มีนโยบายในการขอให้ลูกค้าเปิดเผยเลขประจำตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ ผ่านทาง Email โดยเด็ดขาด
ทั้งนี้ ให้รวมถึงการที่มีผู้ใดอ้างว่าเป็นสถาบันการเงิน และติดต่อมาถามถึงข้อมูลสำคัญทางโทรศัพท์ เช่น ชื่อผู้ใช้ รหัสผ่าน โดยให้ระลึกไว้เสมอว่า ฝ่ายบริการลูกค้า หรือ เร่งรัดหนี้สิน จะไม่ถามเกี่ยวกับข้อมูลเหล่านั้นเด็ดขาด
3) ไม่เปิด Link ที่แนบมาใน Email เนื่องจากในปัจจุบัน ผู้โจมตีมีเทคนิคมากมายในการปลอมชื่อผู้ส่งให้เหมือนมาจากองค์กรนั้นจริง ๆ หากต้องการเข้าใช้งานเว็บไซต์นั้น ขอให้พิมพ์ URL ด้วยตัวเอง
4) สังเกตให้แน่ใจว่า Website ที่ใช้งานเป็นแบบ HTTPS ก่อนจะให้ข้อมูลส่วนบุคคลที่สำคัญ เช่น เลขบัตรเครดิต หรือ ข้อมูลอื่น ๆ ที่สามารถใช้เพื่อขอ Password ใหม่ได้
5) เปลี่ยน Password อยู่เสมอ และไม่ให้ Password กับเพื่อนร่วมงาน หรือผู้อื่นโดยเด็ดขาด
6) ลบ Email น่าสงสัยออกไป เพื่อไม่ให้พลั้งเผลอกดเปิดในครั้งถัดไป
7) ไม่เปิด File แนบที่มากับ Email หรือใช้ USB Drive ที่ไม่น่าปลอดภัยหากยังไม่ได้ติดตั้งโปรแกรม Anti-Virus, Anti-Spam และ Firewall ที่ถูกต้อง เนื่องจากผลพลอยได้อย่างหนึ่งของการติดตั้ง Firewall คือสามารถทำการยับยั้งไม่ให้ Malware ต่าง ๆ แอบส่งข้อมูลออกไปจากระบบได้
นอกจากนี้ ควรหมั่น Update โปรแกรมดังกล่าวให้เป็นรุ่นปัจจุบันเสมอ
8) ปรับปรุงกระบวนการทางบัญชี การเงิน และการจัดซื้อ โดยไม่อ้างอิงหลักฐานประกอบกิจกรรมสำคัญ ๆ จากการสื่อสารผ่านวิธีการเดียว เช่น ปกติใช้แต่ Email ก็ต้องเพิ่มช่องทาง Fax หรือ โทรศัพท์ด้วย หรือ ปกติใช้แต่โทรศัพท์ ก็อาจจะต้องขอ Email หรือ ใช้ Video call เลย
สรุปคือหากเป็นขั้นตอนที่สำคัญ ควรยืนยันสถานการณ์ และบุคคลให้แน่ชัดเสียก่อน อย่าให้ตัวเองถูกมิจฉาชีพกดดัน หรือ ครอบงำให้ทำสิ่งที่เราไม่แน่ใจครับ
ทั้งหมดนี้ น่าจะพอเป็นแนวทางป้องกันไม่ให้องค์กรของท่านตกเป็นเหยื่อรายต่อไป
แต่ก็อย่าลืมนะครับ ว่ามาตรการป้องกันจะทำได้จริง และเกิดผลดีที่สุด ก็ต่อเมื่อมีการสร้างความตระหนักให้กับทุกคนในองค์กรอย่างทั่วถึง เพื่อให้เกิดการปฏิบัติจริงตามมาตรการอย่างสม่ำเสมอครับ
ขอให้ทุกคนที่อ่านจนจบ ติดตาม และแชร์ต่อ นั้น แคล้วคลาดปลอดภัยจากภัยทางไซเบอร์ และ COVID-19 ด้วยครับ
- 3
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
