ผู้ใช้ Microsoft 365 เผชิญกับภัยคุกคามฟิชชิ่งอัตโนมัติแบบใหม่

เครื่องมือฟิชชิ่งใหม่ช่วยให้อาชญากรขโมยรหัสผ่าน Microsoft 365 จากผู้ใช้ทั่วโลก บริษัทรักษาความปลอดภัย KnowBe4 เปิดเผยบริการดังกล่าวซึ่งมีชื่อว่า”Quantum Route Redirect”

บริการนี้ผ่านตัวกรองอีเมลโดยการแสดงหน้าเว็บที่ปลอดภัย อย่างไรก็ตาม ผู้ใช้ที่เป็นมนุษย์จะถูกส่งไปยังไซต์เข้าสู่ระบบปลอมที่บันทึกรายละเอียดของพวกเขา วิธีการนี้ใช้งานได้ใน 90 ประเทศ โดยมีเป้าหมายส่วนใหญ่อยู่ที่สหรัฐอเมริกา ผู้เชี่ยวชาญกล่าวว่าเครื่องมือนี้มอบอาวุธที่ทรงพลังแก่ผู้โจมตีที่มีทักษะน้อย ทำให้ใครก็ตามที่ก่ออาชญากรรมทางไซเบอร์ร้ายแรงได้ง่ายขึ้น

ห้องทดลองภัยคุกคามของ KnowBe4 อันดับแรก ระบุแคมเปญเมื่อต้นเดือนสิงหาคม โดยสังเกตการดำเนินการที่ซับซ้อนซึ่งกำหนดเป้าหมายข้อมูลประจำตัว Microsoft 365 ด้วยเหยื่อล่อที่หลากหลาย

ผู้โจมตีแอบอ้างบริการต่างๆ เช่น DocuSign ส่งประกาศเงินเดือนปลอม หรือใช้โค้ด QR ในการโจมตีแบบ”quishing”เพื่อส่งเหยื่อไปยังหน้าการเก็บเกี่ยวข้อมูลประจำตัว เครื่องมืออันทรงพลังที่ทำงานเบื้องหลังคือเรื่องทั่วไป

พบกับการเปลี่ยนเส้นทางเส้นทางควอนตัม: ฟิชชิ่งทำได้ง่าย

ด้วยการทำให้กลไกการหลบเลี่ยงที่ซับซ้อนเป็นอัตโนมัติ เครื่องมือใหม่นี้จึงปรับปรุงสิ่งที่ครั้งหนึ่งเคยเป็นกระบวนการที่มีความต้องการทางเทคนิคให้มีประสิทธิภาพยิ่งขึ้น ฟังก์ชันหลักคือระบบกรองอัจฉริยะที่แยกความแตกต่างระหว่างเครื่องสแกนความปลอดภัยอัตโนมัติและผู้ที่อาจตกเป็นเหยื่อ

เมื่อเครื่องมือรักษาความปลอดภัยสแกนลิงก์ในอีเมลฟิชชิ่ง Quantum Route Redirect จะแสดงหน้าเว็บที่ไม่เป็นอันตรายและถูกต้องตามกฎหมาย เทคนิคนี้ช่วยให้อีเมลที่เป็นอันตรายส่งผ่านชั้นความปลอดภัย เช่น เกตเวย์อีเมลที่ปลอดภัย (SEG)

บุคคลจริงที่คลิกลิงก์เดียวกันจะถูกส่งไปยังหน้าการรวบรวมข้อมูลรับรองที่เลียนแบบพอร์ทัลการเข้าสู่ระบบ Microsoft 365 โดยไม่แจ้งให้ทราบ การปิดบังขั้นสูงนี้ช่วยปกป้องโครงสร้างพื้นฐานของผู้โจมตีจากการถูกค้นพบและขึ้นบัญชีดำ

ขนาดของมันมีความสำคัญอยู่แล้ว โดย KnowBe4 สามารถระบุโดเมนได้ประมาณ 1,000 โดเมนที่โฮสต์ชุดฟิชชิ่ง ผลกระทบดังกล่าวเกิดขึ้นทั่วโลก โดยเหยื่อถูกโจมตีใน 90 ประเทศ แม้ว่าสหรัฐอเมริกาจะรับภาระหนักจากการโจมตีนี้ ซึ่งคิดเป็น 76% ของผู้ใช้ที่ได้รับผลกระทบ

แพลตฟอร์มนี้ยังมอบอินเทอร์เฟซการจัดการที่ทันสมัยให้กับผู้ใช้ทางอาญาอีกด้วย แผงผู้ดูแลระบบช่วยให้กำหนดค่ากฎการเปลี่ยนเส้นทางได้อย่างง่ายดาย ในขณะที่แดชบอร์ดนำเสนอการวิเคราะห์แบบเรียลไทม์เกี่ยวกับการรับส่งข้อมูลของเหยื่อ รวมถึงตำแหน่ง ประเภทอุปกรณ์ และข้อมูลเบราว์เซอร์

ฟีเจอร์ต่างๆ เช่น การพิมพ์ลายนิ้วมือของเบราว์เซอร์อัตโนมัติและการตรวจจับ VPN/พร็อกซีนั้นมีอยู่ในตัว ซึ่งช่วยขจัดอุปสรรคทางเทคนิคเกือบทั้งหมดสำหรับผู้ปฏิบัติงาน

การทำให้อาชญากรรมทางไซเบอร์เป็นประชาธิปไตย

การพัฒนาวิธีการโจมตีนี้ส่งสัญญาณถึงความท้าทายที่สำคัญสำหรับการรักษาความปลอดภัยขององค์กร การเปลี่ยนเส้นทางเชิงควอนตัมเป็นตัวอย่างสำคัญของ “การทำให้อาชญากรรมในโลกไซเบอร์เป็นประชาธิปไตย” ซึ่งเป็นเทรนด์ที่เครื่องมือที่ซับซ้อนถูกรวมไว้ในแพลตฟอร์ม Phishing-as-a-Service (PhaaS) ที่เป็นมิตรกับผู้ใช้

บริการดังกล่าวลดอุปสรรคในการเข้าสู่ ซึ่งช่วยให้ผู้คุกคามที่มีความเชี่ยวชาญทางเทคนิคขั้นต่ำสามารถเปิดตัวแคมเปญที่สามารถข้ามการป้องกันแบบเดิมๆ ได้

แพลตฟอร์มดังกล่าวเป็นส่วนหนึ่งของห่วงโซ่อุปทานทางอาญาที่กำลังเติบโต ซึ่งผู้โจมตีสามารถซื้อชุดอุปกรณ์สำเร็จรูปที่จัดการทุกอย่างตั้งแต่ การหลีกเลี่ยงการเก็บรวบรวมหนังสือรับรอง เทรนด์นี้ไม่ใช่เรื่องใหม่ แคมเปญก่อนหน้านี้ที่กำหนดเป้าหมาย Microsoft 365 ใช้ชุดเครื่องมือ PhaaS ที่เรียกว่า”Rockstar 2FA”เพื่อเลี่ยงผ่านการตรวจสอบสิทธิ์แบบหลายปัจจัย

เช่นเดียวกับการเปลี่ยนเส้นทางเส้นทางควอนตัม ขายเป็นการสมัครสมาชิก ทำให้เข้าถึงความสามารถขั้นสูงได้โดยเสียค่าธรรมเนียมเล็กน้อย

ความพร้อมใช้งานที่กว้างขึ้นของเครื่องมือเหล่านี้ช่วยเร่งความเร็วของการโจมตีและสอดคล้องกับคำเตือนจาก Microsoft ซึ่งตั้งข้อสังเกตว่า”AI ได้เริ่มลดแถบทางเทคนิคสำหรับการฉ้อโกงและนักแสดงอาชญากรรมในโลกไซเบอร์… ทำให้ ง่ายกว่าและราคาถูกกว่าในการสร้างเนื้อหาที่น่าเชื่อถือสำหรับการโจมตีทางไซเบอร์ในอัตราที่รวดเร็วยิ่งขึ้น”

แนวโน้มที่กว้างขึ้นของความน่าเชื่อถือด้านอาวุธ

กลยุทธ์ที่อยู่เบื้องหลังการเปลี่ยนเส้นทางเส้นทางควอนตัมเป็นส่วนหนึ่งของแนวโน้มที่กว้างกว่าและร้ายกาจมากขึ้น นั่นก็คือ การใช้อาวุธในบริการที่ถูกกฎหมายและเชื่อถือได้

อาชญากรไซเบอร์กำลังเลือกใช้โครงสร้างพื้นฐานของบริษัทที่จัดตั้งขึ้นมากขึ้น เพื่อทำให้การโจมตีของพวกเขาดูเหมือนจริงและเลี่ยงตัวกรองความปลอดภัย รายงานล่าสุดเน้นย้ำว่า มีการละเมิดแพลตฟอร์มธุรกิจที่เชื่อถือได้ เช่น QuickBooks และ Zoom เพิ่มขึ้น 67% สำหรับการโจมตีแบบฟิชชิ่ง

ผู้โจมตีเข้าใจว่าเครื่องมือรักษาความปลอดภัยและผู้ใช้มีโอกาสน้อยที่จะสงสัยการรับส่งข้อมูล มาจากโดเมนที่เป็นที่รู้จักและมีชื่อเสียง เมื่อต้นปีที่ผ่านมา แคมเปญที่คล้ายกันได้ใช้ฟีเจอร์”การรวมลิงก์”ที่นำเสนอโดยผู้จำหน่ายความปลอดภัย Proofpoint และ Intermedia ในทางที่ผิด

ด้วยการประนีประนอมบัญชีที่ได้รับการคุ้มครองโดยบริการเหล่านี้แล้ว ผู้โจมตีสามารถส่งลิงก์ที่เป็นอันตรายที่เขียนใหม่โดยอัตโนมัติด้วย URL ความปลอดภัยที่เชื่อถือได้ ซึ่งจะเป็นการฟอกข้อมูลอย่างมีประสิทธิภาพ

ลิงก์ที่เป็นอันตรายสุดท้ายมักจะถูกลบออกหลายขั้นตอนจากการคลิกครั้งแรก ซึ่งหลอกลวงทั้งซอฟต์แวร์ความปลอดภัยและผู้ใช้ที่ระมัดระวัง

การป้องกันความเป็นจริงใหม่นี้ต้องใช้ กลยุทธ์หลายชั้น แม้ว่าการฝึกอบรมการรับรู้ของผู้ใช้ยังคงมีความสำคัญ แต่ก็ไม่เพียงพออีกต่อไปเมื่อลิงก์ที่เป็นอันตรายถูกปกปิดโดยโดเมนที่เชื่อถือได้

องค์กรต่างๆ ต้องการโซลูชันการรักษาความปลอดภัยอีเมลขั้นสูงที่สามารถวิเคราะห์เนื้อหาเชิงลึกโดยใช้การประมวลผลภาษาที่เป็นธรรมชาติ ควบคู่ไปกับการกรอง URL เวลาที่คลิกและมีประสิทธิภาพ

Microsoft ได้ดำเนินการระดับแพลตฟอร์มเพื่อต่อต้านภัยคุกคามที่คล้ายคลึงกัน เช่น การตัดสินใจในปี 2025 ที่จะบล็อกรูปภาพ SVG แบบอินไลน์ใน Outlook เพื่อต่อสู้กับฟิชชิ่งที่เกิดจาก SVG

ท้ายที่สุดแล้ว การเตรียมเครื่องมืออย่างการเปลี่ยนเส้นทางควอนตัมจำเป็นต้องมีการผสมผสานระหว่างการควบคุมทางเทคนิคที่ยืดหยุ่นและขั้นตอนการตอบสนองที่รวดเร็วเมื่อข้อมูลประจำตัวถูกบุกรุกอย่างหลีกเลี่ยงไม่ได้