Author: admin

Business Email Compromise (BEC) ແມ່ນ​ຫຍັງ​

Business Email Compromise (BEC) ໝາຍ​ເຖິງ​ການ​ໂຈມ​ຕີ​ຜ່ານ​ອີ​ເມວ ​ເພື່ອ​ຫຼອກ​ໃຫ້​ສູນ​ເສຍ​ລາຍ​ໄດ້​ຜ່ານ​ທາງ​ອີ​ເມວ​ ເປັນ​ລັກສະນະ​ຂອງ​ການເຮັດ​ Social Engineering ​ນອກ​ຈາກ​ການ​ຫຼອກລວງ​ທາງ​ອີ​ເມວ​ແລ້ວ​ ອາດ​ມີ​ການ​ໃຊ້​ວິທີ​ເພີ່ມເຕີມ​ເພື່ອ​ເລັ່ງ​ໃຫ້​ເຫຍື່ອຕົ​ກ​ໃຈ​ ແລະ​ ​ດຳ​ເນີນ​ການຕື່ມ​​ດ້ວຍ​ການ​ໂທລະ​ສັບ​ ຊຶ່ງ​ສະ​ຖິ​ຕິ​ຈາກ​ FBI ລະ​ບຸ​ວ່າ​ມີ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ດັ່ງ​ກ່າວ​ເລີ່ມ​ຕັ້ງ​ແຕ່​ປີ​ 2013 ໂດຍ​ທາງ​ FBI ໄດ້​ຍົກ​ຕົວ​ຢ່າງ​ສະຖານະການ​ການ​ໂຈມ​ຕີ​ແບບ​ BEC ໄວ້​ 5 ສະຖານະການ ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

ສະຖານນະການແບບ​ທີ​ 1: ເຫຍື່ອ​ຂອງ​ການ​ໂຈມ​ຕີ​ໃນ​ລັກສະນະ​ນີ້​ມັກ​ເປັນ​ອົງ​ກອນ​ທີ່​ມີການ ​ຊື້​-ຂາຍ ກັບ​ຄູ່​ຮ່ວມການຄ້າ​ຈາກ​ຕ່າງ​ປະເທດ​ ຊຶ່ງ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ເຮັດ​ອີ​ເມວ​ປອມ​ໃບ​ແຈ້ງ​ໜີ້​ ຫຼອກ​ໃຫ້​ເຫຍື່ອ​ເຊື່ອ​ວ່າ​ມີ​ການ​ປ່ຽນ​ແປງ​ເລກ​ບັນ​ຊີ ຈົນ​ເຫຍື່ອ​ຫຼົງ​ໂອນ​ເງິນ​ໄປ​ຫາບັນ​ຊີ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​.

ສະຖານນະການແບບ​ທີ​ 2: ຜູ້​ໂຈມ​ຕີ​ຈະ​ປອມ​ເປັນ​ CEO ຫຼື ​ຜູ້​ບໍລິຫານລະດັບ​ສູງ​ຕຳແໜ່ງ​ຕ່າງໆ ຂອງ​ອົງ​ກອນ ​ແລ້ວ​ກໍ່ສົ່ງ​ອີ​ເມວ​ສັ່ງ​ພ​ະນັກ​ງານ​ວ່າ​ໃຫ້​ໂອນ​ເງິນ​ດ່ວນ ​ເພື່ອ​ເຮັດ​ກິດຈະກຳ​ບາງຢ່າງ​ ໂດຍ​ອີ​ເມວ​ຂອງ​ CEO ອາດ​ຖືກ​ແຮັກ​ມາ​ກ່ອນ​ແລ້ວ​ ຫຼື ​ຜູ້​ໂຈມ​ຕີ​ໃຊ້​ວິທີ​ປອມ​ແປງ​ອີ​ເມນວ.

ສະຖານນະການ​ແບບທີ​ 3: ອີ​ເມວຂອງ​ບຸກ​ຄະລາກອນ​ທີ່​ເປັນ​ຜູ້​ຕິດ​ຕໍ່​ທຸລະກິດ​ຖືກ​ແຮັກ​ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ສົ່ງ​ອີ​ເມວຫາ​ລູກ​ຄ້າ​ຂອງ​ອົງ​ກອນ ວ່າ​ມີ​ການ​ປ່ຽນ​ແປງ​ໃຫ້​ໂອນ​ເງິນ​ໄປຫາບັນ​ຊີ​ອື່ນ​ໆ​ ເພື່ອ​ຊຳ​ລະ​ຄ່າ​ສິນ​ຄ້າ​.

ສະຖານນະການ​ແບບທີ 4: ຜູ້​ໂຈມ​ຕີ​ຕິດ​ຕໍ່​ມາຫາອົງ​ກອນ ​ໂດຍ​ຫຼອກວ່າ​ຕົນ​ເອງ​ເປັນ​ທ​ະນາຍ​ ຫຼື ​ທີ່ປຶກ​ສາ​ດ້ານ​ກົດ​ໝາຍ​ ຫຼອກວ່າ​ສາມາດ​ຊ່ວຍ​ເຫຼືອ​ອົງ​ກອນ​ດ້ານ​ກົດ​ໝາຍ​ໄດ້​ ແລ້ວ​ກົດ​ດັນ​ໃຫ້​ເຫຍື່ອ​ໂອນ​ເງິນ​ ເພື່ອ​ດຳ​ເນີນ​ການ​ດ່ວນ.​

ສະຖານນະການ​ແບບທີ 5: ຜູ້​ໂຈມ​ຕີ​ແຮັກ​ເຂົ້າ​ເຖິງ​ບັນຊີ​ອີ​ເມວ​ຂອງ​ພະ​ນັກ​ງານ​ໃນ​ອົງ​ກອນ ​ແລ້ວ​ຫຼອກ​ສອບ​ຖາມ​ເພື່ອ​ໂຈລະ​ກຳ​ຂໍ້​ມູນ​ ຊຶ່ງ​ FBI ໄດ້ລະ​ບຸ​ວ່າ​ ຮູບ​ແບບ​ນີ້​ເລີ່ມ​ຕົ້ນ​ໃນ​ລະຫວ່າງ​ປີ​ 2016.

​ທັັ້​ງ​ 5 ສະຖານະການ​ນີ້​ ເປັນພຽງ​ຕົວ​ຢ່າງ ​ໃນ​ການ​ຫຼອກລວງ​ເທົ່າ​ນັ້ນ​ ອາດ​ພົບເຫັນ​ການ​ຫຼອກລວງ​ໄດ້​ອີກ​ຫຼາຍ​ຮູບ​ແບບ​ ລວມ​ເຖິງ​ອາດ​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ອື່ນ​ໆ​ ເພື່ອ​ນຳ​ໄປ​ສູ່​ການ​ໂອນ​ເງິນ​ໄປຫາ​ບັນຊີ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ໄດ້​ອີກ.​

ຂໍ້​ມູນ​ທີ່​ໜ້າສົນ​ໃຈ​ກ່ຽວກັບ​ BEC

ລາຍ​ງານ​ກ່ຽວກັບ​ສະຖານະການ​ໄພຄຸກ​ຄາມ​ທາງ​ອີ​ເມວ​ໃນ​ Q2 2019 ຂອງ​ FireEye ລະ​ບຸ​ວ່າ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ອີ​ເມວ ​ມີ​ມັນ​ແວ​ (​Malware) ມາ​ພ້ອມ ພຽງ​ແຕ່ 14% ສ່ວນ​ອີກ​ 86% ບໍ່​ມີ​ມັນ​ແວ​​ ແຕ່​ເປັນ​ໄພ​ຄຸກ​ຄາມ​ປະ​ເພດ​ອື່ນ​ໆ​ ເຊັ່ນ: ​ອີ​ເມວ​ປອມ​ເປັນ​ CEO (CEO fraud), ອີ​ເມວປອມ​ຕົວ​ເປັນ​ຄົນ​ອື່ນ​ ແລະ​ spear phishing ໂດຍ​ມີ​ອີ​ເມວ​ໃນ​ຮູບ​ແບບ​ Business Email Compromise (BEC) ເພີ່ມ​ຂຶ້ນ​ 25%.

ລາຍ​ງານ​ກ່ຽວກັບ​ສະຖານະການ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ອີ​ເມວ​ໃນ​ Q2 2019 ຂອງ​ FireEye https://www.fireeye.com/blog/products-and-services/2019/10/how-attackers-are-getting-ahead-in-the-cloud.html

FBI’s 2019 Internet Crime Report ລາຍ​ງານຫຼ້າ​ສຸດ​ຂອງ​ FBI ທີ່​ຫາກໍ່​ອອກ​ໃນ​ລະຫວ່າງ​ຕົ້ນ​ເດືອນ​ກຸມພາ​ 2020 ລະ​ບຸ​ວ່າ​ ຈາກ​ການ​ແຈ້ງ​ຄວາມ​ກ່ຽວກັບ​ການ​ໂຈມ​ຕີ​ທາງ​ໄຊ​ເບີ​ ທັງ​ໝົດ​ 467,361 ລາຍ​ການ​ ຄິດ​ເປັນ​ການ​ສູນ​ເສຍ​ເງິນ​ຫຼາຍເຖິງ​ 3.5 ພັນ​ລ້ານດອນ​ລາ​ ໂດຍ​ກວ່າເຄິ່ງ​ໜຶ່ງ​ຂອງ​ການ​ສູນ​ເສຍ​ເງິນ​ (1.77 ພັນ​ລ້ານ​ດອນ​ລາ) ເກີດ​ຈາກ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ຂອງ​ BEC.

FBI’s 2019 Internet Crime Report https://pdf.ic3.gov/2019_IC3Report.pdf https://twitter.com/iHeartMalware/status/1227314522530230272

ອົງ​ການ​ຕຳ​ຫຼວດ​ອາຊະຍາກອນ​​ລະຫວ່າງ​ປະເທດ​ (INTERPOL) ອອກ​ລາຍ​ງານ​ສະຫຼຸບໄ​ພຄຸກ​ຄາມ​ທາງ​ໄຊ​ເບີ ​​ໃນ​ພູມິພາກ​ອາ​ຊຽນ ​ເມື່ອ​ວັນທີ​ 17 ກຸມພາ​ 2020 ລະ​ບຸ​ວ່າ​ໃນ​ພູມິພາກ​ອາ​ຊຽນ​ນີ້​ ຖືກ​ໂຈມ​ຕີ​ໃນ​ລັກສະນະ​ຂອງ​ BEC ຄິດ​ເປັນ​ 5% ຂອງ​​ໂລກ​.

INTERPOL ລະ​ບຸ​ວ່າ​ການ​ຖືກ​ໂຈມ​ຕີ​ແບບ​ BEC ສ່ວນຫຼາຍຈະບໍ່ໄດ້ຮັບ​ລາຍ​ງານ​ ເພາະ​ອົງກອນຢ້ານ​ເສຍ​ຊື່​ສຽງ​ ເຮັດໃຫ້​ບໍ່​ສາມາດ​ວິ​ເຄາະ​ຂໍ້​ມູນ​ຄວາມ​ສູນ​ເສຍ​ທີ່​ແທ້​ຈິງ​ ແລະ​ ແນວ​ໂນ້ມ​ໄດ້​ ລວມເຖິງ​ການ​ນໍາ​ເງິນ​ຄືນ​ຈາກ​ BEC ມັກ​ພົບທາງ​ຕັນ​ເມື່ອ​ພົບຂະ​ບວນ​ການ​ຟອກ​ເງີນ​ ສະເລ່ຍ​ແລ້ວ​ການ​ໂຈມ​ຕີ​ BEC ທີ່​ສຳ​ເລັດ​ຈະ​ໄດ້​ເງິນ​ເກືອບ​ 130,500 ດອນ​ລາ​​ (ປະ​ມານ​ 1,161 ລ້ານ​ກີບ)

INTERPOL ວິ​ເຄາະ​ວ່າ​ການ​ໂຈມ​ຕີ​ແບບ​ BEC ຈະ​ບໍ່​ຫາຍ​ໄປ​ໃນ​ໄວ​ໆ​ນີ້​ຢ່າງ​ແນ່ນອນ​ ເພາະ​ລົງ​ທຶນ​ໜ້ອຍ​ແຕ່​ໄດ້​ເງິນ​ຫຼາຍ​ ຜູ້​ໂຈມ​ຕີ​ທີ່ ​ຫຼອກລວງໃນຮູບ​ແບບ​ອື່ນ​ໆ​ ກໍ່​ຫັນ​ມາ​ໂຈມ​ຕີ​ແບບ​ BEC ແລະ ​ບໍ່​ໂຈມ​ຕີ​ແບບ​ຫວ່ານ​ແຫ​ ເນັ້ນ​ໄປ​ທາງ​ targeted attack ເພື່ອ​ຫວັງ​ຜົນ.​

ແນວ​ທາງ​ການ​ປ້ອງ​ກັນ​ ແລະ​ ຮັບ​ມື​ການ​ໂຈມ​ຕີ​ BEC ໃນ​ລັກສະນະ​ດັ່ງ​ກ່າວ​

ຈາກ​ລັກສະນະຮູບແບບການໂຈມຕີ ທີ່ໄດ້ກ່າວມານັ້ນ​ ສາມາດ​ແບ່ງ​ອອກ​ເປັນ​ສາມພາກ​ສ່ວນ​ ດັ່ງ​ນີ້​: 

1. ຜູ້​ໂຈມ​ຕີ​ເຂົ້າ​ເຖິງ​ອີ​ເມວ​ໄດ້;​
2. ກຽມ​ຕົວ​ໂອນ​ເງິນ​;
3. ເມື່ອ​ໂອນ​ເງິນ​ໄປ​ແລ້ວ ​ພົບ​ວ່າຕົ​ກ​ເປັນ​ເຫຍື່ອ​.

ເຮົາ​ສາມາດ​ປ້ອງ​ກັນ​ການ​ເຂົ້າ​ເຖິງ​ອີ​ເມວ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ໄດ້​ຄື: 

• ກວດ​ສອບ​ການ​ເຂົ້າ​ເຖິງ​ບັນ​ຊີ​ອີ​ເມວ ​ທີ່​ຜິດ​ປົກກະຕິ​ ເຊັ່ນ:​ ການ​ກວດ​ຈັບ​ຄວາມ​ຜິດ​ປົກກະຕິ​ ເມື່ອພົບເຫັນການ​ເຂົ້າ​ສູ່​ລະບົບ​ຈາກ​ຕ່າງ​ປະເທດ​;
• ເປີດ​ໃຊ້​ງານຄຸນສົມບັດ ເພີ່ມ​ຄວາມ​ປອດ​ໄພ ​ເຊັ່ນ: ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຫຼາຍ​ຂັ້ນ​ຕອນ​;
• ກວດ​ສອບ​ ແລະ ​ປະ​ເມີນ​ຄວາມ​ປອດໄ​ພ ລະບົບ​ເປັນ​ແຕ່ລະໄລຍະ.

ເຮົາ​ສາມາດ​ເພີ່ມ​ຄວາມ​ລະ​ມັດ​ລະ​ວັງ​ໃນ​ການ​ກຽມ​ຕົວ​ໂອນ​ເງິນ ​ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂອນ​ເງິນ​ໄປຫາ​ບັນ​ຊີ​ ທີ່​ຜິດ​ໄດ້​ຄື:​

• ກວດ​ສອບ ​ແລະ ​ຢືນຢັນ​ຂໍ້​ມູນ​ບັນ​ຊີ​ປາຍ​ທາງ​;
• ກວດ​ສອບ​ຊື່​ຜູ້​ສົ່ງ​ອີ​ເມວ​ເມື່ອ​ຈະ​ໂອນ​ເງິນ​;
• ເພີ່ມຂະ​ບວນ​ການ​ກວດ​ສອບ​ອີ​ເມວຂາ​ເຂົ້າ​ ຕັ້ງ​ຄ່າ​ອີ​ເມວ​ໃຫ້​ຖືກ​ຕ້ອງ​ (SPF, DKIM, DMARC) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໄດ້ຮັບ​ອີ​ເມວ​ປອມ​;
• ເພີ່ມ​ຂະ​ບວນ​ການ​ກວດສອບ​ການ​ປ່ຽນ​ແປງ​ບັນຊີ​ ເຊັ່ນ:​ ຂໍ​ຫນັງສື​ຮັບຮອງ​ການ​ປ່ຽນ​ບັນ​ຊີ​ຢ່າງ​ເປັນ​ທາງ​ການ​.

ເມື່ອ​ເກີດ​ເຫດການ​ຂຶ້ນ​ແລ້ວ​ ອົງ​ກອນສາມາດ​ຫາ​ທາງ​ຮັບ​ມື​ດ້ວຍການ​ວິ​ເຄາະ​ປະ​ເດັນ ​ດັ່ງ​ນີ້​: 

• ຂະ​ບວນ​ການ​ໂອນ​ເງິນ​ເກີດ​ຂຶ້ນ​ໃນ​ລັກສະນະ​ໃດ​ ສາມາດ​ recall ກັບ​ມາ​ໄດ້​ ຫຼື ​ບໍ່​?;
• ກວດ​ສອບ​ທາງ​ເລືອກ​ໃນ​ການ​ລະ​ບຸ​ຫາຍອດເງິນທີ່​ໂອນ​ ແລະ ​ຂໍ​ freeze account;
• ອົງ​ກອນມີ​ການ​ຄຸ້ມ​ຄອງ​ໃນ​ກໍລະນີ ​ທີ່ເກີດຂຶ້ນ ​ຫຼື ​ບໍ່​ ເຊັ່ນ​: ມີ​ຄ່າຊົດເຊີຍ​ ທີ່​ຊ່ວຍຫຼຸດຜ່ອນ​ຄວາມ​ເສຍ​ຫາຍ​ໄດ້​.

ແຫຼ່ງ​ຄວາມ​ຮູ້​ເພີ່ມເຕີມ​

1. 1. Seven ways to spot a business email compromise in Office 365 https://expel.io/blog/seven-ways-to-spot-business-email-compromise-office-365/
   2. A #mindmap on how to detect, respond, and remediate Business Email Compromise (#BEC) fraud in #O365 + posturing recommendations. https://twitter.com/jhencinski/status/1150417878602199041?s=19
   3.  #BECareful – don’t let scammers trick you into making payments to their accounts       https://www.interpol.int/en/Crimes/Financial-crime/Business-Email-Compromise-Fraud

      ແຫຼ່ງຂໍ້ມູນ​ອ້າງ​ອີງ:​

      1. ລາຍ​ງານ​ກ່ຽວກັບ​ສະຖານະການ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ອີ​ເມວ​ໃນ​ Q2 2019 ຂອງ​ FireEye https://www.fireeye.com/blog/products-and-services/2019/10/how-attackers-are-getting-ahead-in-the-cloud.html
      2. May 04, 2017 BUSINESS E-MAIL COMPROMISE
         E-MAIL ACCOUNT COMPROMISE
         THE 5 BILLION DOLLAR SCAM
         https://www.ic3.gov/media/2017/170504.aspx
      3. September 10, 2019 BUSINESS EMAIL COMPROMISE THE $26 BILLION SCAM
         https://www.ic3.gov/media/2019/190910.aspx
      4. FBI’s 2019 Internet Crime Report https://pdf.ic3.gov/2019_IC3Report.pdf https://twitter.com/iHeartMalware/status/122731452253023027
      5. INTERPOL report highlights key cyberthreats in Southeast Asia https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-highlights-key-cyberthreats-in-Southeast-Asia

      ເອກະສານອ້າງອີງ:
      

      1. https://www.i-secure.co.th/2020/02/business-email-compromise-bec

ມັ​ນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ Maze ເປັນ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ທີ່ຈັດຢູ່ໃນກຸ່ມມັນແວຮຽກຄ່າໄຖ່ ທີ​ມີ​ຈຸດປະສົງ​ໃນ​ການ​ແຜ່ກ​ະ​ຈາຍ ​ເພື່ອ​ເຂົ້າລະ​ຫັດ​ຂໍ້​ມູນ​ຂອງ​​ເປົ້າ​ໝາຍ​ແລ້ວ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ຈະມີເປົ້າ​ໝາຍໃນ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ລັກ​ຂໍ້​ມູນ​ອອກ​ມາ​ ເພື່ອ​ສ້າງ​ເງື່ອນ​ໄຂ​ຂອງ​ການບັງຄັບຂົ່ມຂູ່ ​ແລະ ​ຮຽກ​ຄ່າ​ໄຖ່​ອີກ​ດ້ວຍ​.

Microsoft ໄດ້ລະບຸຄຳ​ທີ່ໃຊ້ເອີ້ນ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ວ່າ​ Human-operated Ransomware ຊຶ່ງສ່ວນຫນຶ່ງ​ໃນ​ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ທີ່​ສຳຄັນ​ ຄື​​ຜູ້ ປະສົງຮ້າຍລໍ​ຖ້າ​ຄວບ​ຄຸມ ​ແລະ ​ຈັດການ​ ເພື່ອ​ໃຫ້​ສາມາດ​ສ້າງ​ຜົນ​ກະທົບ​ຕໍ່​ເຫຍື່ອ ​ແລະ ​ຜົນ​ປະໂຫຍດ​ຕໍ່​ຜູ້​ບໍ່​ປະສົງ​ດີ​ໃຫ້​ໄດ້​ຫຼາຍ​ທີ່ສຸດ​.

ໃນ​ທາງ​ເຕັກ​ນິກ​ແລ້ວ​ ຄວາມ​ແຕກ​ຕ່າງ​ລະຫວ່າງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ປະຕິບັດການ​ແບບ​ທົ່ວ​ໄປ ​ຊຶ່ງ​ອາໄສ​ການສ້າງ​ເງື່ອນ​ໄຂ​ເພື່ອ​ບັງຄັບຂົ່ມຂູ່​ດ້ວຍ​ການ​ເຂົ້າລະ​ຫັດ​ໄຟ​ລ໌​ ຫຼື​ Classic ransomware campaign ກັບ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ກຸ່ມ​ປະຕິບັດການ​ແບບ​ Human-operated ransomware ມີ​ລາຍລະອຽດ​ດັ່ງ​ລຸ່ມນີ້​:

1. ເວລາ​ທີ່​ໃຊ້​ໃນ​ປະຕິບັດການ​ (Operation time):

• Classic ransomware campaign: ຈຸດ​ອ່ອນ​ສຳຄັນ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ແລະ​ ປະຕິບັດການ​ແບບ​ທົ່ວ​ໄປ​ ຊຶ່ງ​ອາໄສ​ການສ້າງ​ເງື່ອນ​ໄຂ​ ເພື່ອບັງຄັບຂົ່ມຂູ່​ດ້ວຍ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌ ຢູ່​ໃນ​ຈຸດ​ທີ່ຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຖືກ​ກວດ​ພົບ​ ຫຼື ​ຖືກ​ຂັດ​ຂວາງ​ກ່ອນທີ່ຈະ​ດຳ​ເນີນ​ການ​ສຳເລັດ​​. ດັ່ງ​ນັ້ນ​, ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ຈະ​ດຳ​ເນີນ​ການ​ສຳເລັດ​ໃຫ້​ໄວ ​ແລະ ​ຫຼີກ​ລ່ຽງ​ການ​ທີ່​ຈະ​ຖືກ​ກວດ​ຈັບ​ໃຫ້​ໄດ້​ຫຼາຍ​ທີ່ສຸດ​ ເຮັດໃຫ້​ການ​ກວດ​ຈັບ​ນັ້ນ​ຈະ​ສາມາດ​ເຮັດ​ໄດ້​ສະເພາະ​ໃນ​ຊ່ວງ​ເວລາ​ທີ່​ມີ​ການເຮັດວຽກ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ເທົ່າ​ນັ້ນ​.
• Human-operated ransomware: ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ປະຕິບັດການ​ໃນ​ກຸ່ມ​ນີ້​ ມີ​ການ​ສະແດງ​ພຶດຕິກຳ​ຂອງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ ເຄື່ອນ​ຍ້າຍ​ຕົວ​ເອງ​ໄປຫາລະບົບ​ອື່ນ​ ພະຍາຍາມ​ຍົກ​ລະດັບ​ສິດທິ ​ແລະ​ ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ຄ້າຍ​ກັບ​ພຶດຕິກຳ​ຂອງ​ກຸ່ມ​ Advanced Persistent Threat (APT) ທີ່​ມີ​ເປົ້າ​ໝາຍ​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ ເຮັດ​ໃຫ້​ຂອບແຂດ ​ແລະ ໄລ​ຍະ​ເວລາ​ໃນ​ການ​ປະຕິບັດການ​ນັ້ນ​ຍາວນານ ​ແລະ ​ອາດຈະ​ເພີ່ມ​ໂອ​ກາດ​ໃນ​ການ​ກວດ​ຈັບ​ຄວາມ​ຜິດ​ປົກກະຕິ​ຈາກ​ພຶດຕິກຳ​ໄດ້ອີກ​ດ້ວຍ​.

2. ຫຼັກ​ຖານ​ຫຼັງ​ຈາກ​ການ​ໂຈມ​ຕີ​ (Operation time):

• Classic ransomware campaign: ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ສະແດງ​ຕົວ​ກໍ່​ຕໍ່​ເມື່ອຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ສຳເລັດ​​ແລ້ວ​ ຜ່ານ​ທາງ​ Ransom note ຫຼື ​ຂໍ້ຄວາມ​ ຊຶ່ງ​ອະທິບາຍ​ເຫດການ​ ແລະ ​ຂັ້ນ​ຕອນ​​ ດ້ວຍ​ຂໍ້​ມູນ​ໃນ​ Ransom note ດັ່ງ​ກ່າວ​ ການ​ລະ​ບຸ​ຫາປະ​ເພດ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ຜົນ​ກະທົບ​ອື່ນ​ໆ​ ທີ່​ອາດ​ເກີດ​ຂຶ້ນ​ຈຶ່ງ​ສາມາດ​ເຮັດ​ໄດ້​ໂດຍ​ງ່າຍ​.
• Human-operated ransomware: ເນື່ອງ​ຈາກ​ໄລຍະ​ເວລາ​ຂອງ​ປະຕິບັດການ​ທີ່​ດົນນານ ​ແລະ ​ໂອ​ກາດ​ທີ່​ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ຖືກ​ກວດ​ພົບ​ລະຫວ່າງ​ດຳ​ເນີນ​ການ​ ໂດຍ​ທີ່ຍັງ​ບໍ່​ມີ​ຫຼັກ​ຖານ​ເຊັ່ນ:​ Ransom note ຢ່າງ​ຊັດເຈນ​ ຈຶ່ງ​ມີ​ໂອ​ກາດ​​ສູງ​ທີ່ຈະສົ່ງ​ຜົນ​ໃຫ້​ການ​ລະ​ບຸປະ​ເພດ​ຂອງ​ໄພ​ຄຸກ​ຄາມ ​ແລະ ​ຜົນ​ກະທົບ​ຂອງ​ເຫດການ​ນັ້ນ​ເຮັດ​ໄດ້​ຍາກ​ ການ​ຮັບ​ມື ​ແລະ ​ຕອບສະໜອງ​ເຫດການ​ໃນ​ລັກສະນະ​ນີ້ ​ຈຳ​ເປັນ​ຕ້ອງ​ປະ​ເມີນ​ເຖິງ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ວ່າ ​ເຫດການ​ດັ່ງ​ກ່າວ​ອາດຈະຈົບ​ທີ່​ມີ​ການ​ໃຊ້​ Ransomware ໃນ​ທີ່ສຸດ​.​

v  ພຶດຕິກຳ​ຂອງ​ Maze Ransomware

Microsoft ​ໄດ້​ເປີດ​ເຜີຍ​ພຶດຕິກຳ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ Human-operated Ransomware ລວມທັງ​ພຶດຕິກຳ​ຂອງ​ Maze ໃນ​ບົດ​ຄວາມ​ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ຊຶ່ງສາມາດ​ສະຫຼຸບ​ໂດຍສັງເຂບ​ໄດ້​ດັ່ງ​ນີ້​:

ໝາຍ​ເຫດ​: ຂໍ້​ມູນ​ພຶດຕິກຳ​ຂອງ​ໄພຄຸກ​ຄາມ​ສາມາດ​ປ່ຽນ​ແປງ​ໄດ້​ຕະຫຼອດ​ເວລາ​ ແນະ​ນຳ​ໃຫ້​ເກັບກໍານຳ​ຂໍ້​ມູນ​ເຫຼົ່າ​ນີ້​ໄວ້ເພື່ອໃຊ້ງານໃຫ້ເກີດປະໂຫຍດຕໍ່ໄປ ຊຶ່ງມີ​ການຈັດ​ລຳ​ດັບ​ຄວາມ​ສຳຄັນ​, ປະ​ເມີນ​ຄວາມ​ພ້ອມ​ໃນ​ການ​ກວດ​ຈັບ​ ແລະ​ ຕອບສະໜອງ​ ແລະ​ດຳ​ເນີນ​ການ​ຕາມ​ທີ່​ວາງ​ແຜນ​.​

1. Maze ມັກ​ສະແດງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ດ້ວຍ​ການ​ໂຈມ​ຕີ​ຜ່ານ​ບໍລິການ​ Remote Desktop ຊຶ່ງ​ຕັ້ງ​ຄ່າ​ໄວ້​ແບບບໍ່ປອດໄພ ໃນ​ຂະນະ​ທີ່​ມັນ​ແວ​ກຸ່ມ​ອື່ນ​ມີ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ ​ຊຶ່ງ​​ມີ​ການ​ເປີດ​ເຜີຍ​ມາ​ກ່ອນ​ແລ້ວ​ ເຊັ່ນ: ຊ່ອງ​ໂຫວ່​ໃນ​ Citrix Application Delivery Controller (CVE-2019-19781) ຫຼື ​ຊ່ອງ​ໂຫວ່​ໃນ​ Pulse Secure VPN (CVE-2019-11510) Microsoft ​ຍັງມີ​ການລະ​ບຸ​ວ່າ​ເປົ້າ​ໝາຍ​ຫຼັກ​ຂອງ​ Maze ຄື​ການ​ໂຈມ​ຕີກຸ່ມ​ຜູ້​ໃຫ້​ບໍລິການ​ (Managed Service Provider) ເພື່ອ​ໃຊ້​ເປັນ​ຊ່ອງ​ທາງ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ຜູ້​ໃຊ້​ບໍລິການ​ໃນ​ກຸ່ມ​ທຸລະກິດ​ນີ້​ອີກດ້ວຍ​;
2. Maze ໃຊ້​ໂປຣ​ແກຣມ​ Mimikatz ໃນ​ການ​ລະ​ບຸ​ຫາ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ໃນ​ລະບົບ​ ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ນີ້​ຈະ​ຖືກ​ໃຊ້ ​ເພື່ອ​ເຂົ້າ​ເຖິງ​ລະບົບ​ອື່ນ​ໆ​;
3. ຂະ​ບວນ​ການ​ເຄື່ອນ​ຍ້າຍ​ຕົວ​ເອງ​ໃນ​ລະບົບ​ພາຍ​ໃນ​ຂອງ​ອົງ​ກອນ​ມັກ​ເກີດ​ຂຶ້ນ​ຜ່ານ​ການ​ໃຊ້​ໂປຣ​ແກຣມ​ Cobalt Strike ຊຶ່ງ​ເຕັກ​ນິກ ​ແລະ ​ວິທີ​ການ​ທີ່​ Cobalt Strike ຮອງ​ຮັບ​ນັ້ນ​ ​ສ່ວນ​ໃຫຍ່​ເປັນ​ເຕັກ​ນິກ​​ທີ່​ຮູ້​ຈັກ​ກັນ​ຢູ່​ແລ້ວ​ ເຊັ່ນ: ການ​ໂຈມ​ຕີ​ແບບ​ Pass-the-Hash, WinRM ຫຼື ​ການ​ໃຊ້​ PsExec ໃນ​ການ​ເຂົ້າ​ເຖິງ​ດ້ວຍ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ທີ່​ໄດ້​ມາ​;
4. ຂະ​ບວນ​ການ​ຝັງ​ຕົວ​ຂອງ​ Maze ມີ​​ການ​ໃຊ້​ຄຸນສົມບັດ​ Scheduled Tasks ຮ່ວມ​ກັບ​ການ​ໃຊ້​ຄຳ​ສັ່ງ​ PowerShell ຊຶ່ງ​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ໄປ​ແລ້ວ​ໄດ້​ Maze ຍັງມີ​ການ​ໃຊ້​ຄຸນສົມບັດ WinRM ໃນ​ການ​ຄວບ​ຄຸມ​ລະບົບ​ເມື່ອ​ໄດ້​ບັນຊີ ​ທີ່ມີ​ສິດ​ທິຂອງ​ Domain admin ອີກດ້ວຍ​;
5. Maze ມີ​ການ​ແກ້​ໄຂ​ການຕັ້ງ​ຄ່າ​ໃນ​ Group Policy ຫຼາຍ​ລາຍ​ການ ​ເພື່ອ​ຊ່ວຍ​ອຳ​ນວຍ​ຄວາມສະດວກ​ໃນ​ການ​ໂຈມ​ຕີ​.

ນອກ​ຈາກ​ຂໍ້​ມູນ​ການ​ວິ​ໄຈຈາກ ​Microsoft, FireEye ຍັງ​ໄດ້​ລະ​ບຸ​ຂໍ້​ມູນ​ພຶດຕິກຳ​ເພີ່ມເຕີມ​ຂອງ​ປະຕິບັດການ​ Maze ຊຶ່ງ​ພົບ​ກຸ່ມ​ຂອງ​ພຶດຕິກຳ​ ທີ່​ແຕກ​ຕ່າງ​ກັນ​ໃນ​ການ​ແຜ່ກ​ະ​ຈາຍ ​ແລະ ​ສາມາດ​ໃຊ້​​ຊີ້ບອກ​ໃຫ້​ເຫັນ​ວ່າ​ຜູ້​ຢູ່​ເບື້ອງ​ຫຼັງ​ໃນ​ການ​ປະຕິບັດການ​ຂອງ​ Maze ອາດ​ມີ​ຫຼາຍກວ່າ​ໜຶ່ງ​ກຸ່ມ​ (https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html)

v  ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ກວດ​ຈັບ ​ແລະ​ ປ້ອງ​ກັນ​ໄພ​ຄຸກ​ຄາມ​

1. ໃນ​ກໍລະນີ​ທີ່​ກວດ​ພົບ​ພຶດຕິກຳ​ຕ້ອງ​ສົງໄສ,​ ພິຈາລະນາ​ການເຮັດ​ Endpoint segmentation ໂດຍ​ການ​ກຳນົດ​ Policy ຂອງ​ Windows Firewall ຫຼື ​ດ້ວຍ​ອຸປະກອນ​ອື່ນ​ໆ​ ເພື່ອ​ຈຳ​ກັດ​ການ​ຕິດ​ຕໍ່​ລະຫວ່າງ​ Host ​ຫາກ​ມີ​ການ​ພະຍາຍາມ​ຕິດ​ຕໍ່​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ຜ່ານ​ທາງ​ໂປຣ​ໂຕຄອນ (protocol);
2. ໃນ​ກໍລະນີ​ທີ່​ກວດ​ພົບ​ພຶດຕິກຳ​ໜ້າສົງໄສ​ ພິຈາລະນາ​ການເຮັດ​ Endpoint segmentation ໂດຍ​ການ​ຈຳ​ກັດ​ ຫຼື ​ປິດ​ການ​ໃຊ້​ງານ​ຄຸນສົມບັດ Administrative shares ໄດ້​ແກ່​ ADMIN$ (ໃຊ້​ໂດຍ​ PsExec), C$, D$ ແລະ​ IPC$ ອົງ​ກອນຄວນ​ມີ​ການ​ປະ​ເມີນ​ຄວາມ​ສ່ຽງ​ກ່ອນ​ດຳ​ເນີນ​ການ​ ເນື່ອງ​ຈາກ​ການ​ຈຳ​ກັດ​ ຫຼື ​ປິດ​ການ​ໃຊ້​ງານ​ຄຸນສົມບັດ​ດັ່ງ​ກ່າວ​ ອາດ​ສົ່ງ​ຜົນ​ຕໍ່​ການ​ເຮັດ​ວຽກຂອງ​ລະບົບ​ພາຍ​ໃນ​ອົງ​ກອນ;
3. ຈຳ​ກັດ​ການ​ໃຊ້​ງານ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃນ​ລະບົບ​ ໃນ​ກໍລະນີ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​;
4. ຕັ້ງ​ຄ່າ​ຫາກ​ມີ​ການ​ໃຊ້​ Remote Desktop Protocol (RDP) ໂດຍ​ໃຫ້​ພິຈາລະນາ​ປະ​ເດັນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

• ຈຳ​ກັ​ດ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ອິນ​ເຕີ​ເນັດ​ ຫຼື ​ໃນ​ກໍລະນີ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ເຂົ້າ​ເຖິງ​ ໃຫ້​​ກຳນົດ​ໝາຍ​ເລກ​ໄອ​ພີ​ແອດ​ເດສ (IP Address) ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້ ​ຜ່ານ​ Windows Firewall;
• ພິຈາລະນາ​ໃຊ້​ງານ​ Multi-factor authentication ທັງ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ໃຊ້​ງານ​ Remote Desktop Gateway ຫຼື ​ເຕັກ​ໂນ​ໂລຊີ​ອື່ນ​ໆ​ ທີ່​ກ່ຽວ​ຂ້ອງ​;
• ຈຳ​ກັດ​ສິດທິ ​ແລະ​ ການ​ຈຳ​ກັດ​ບັນຊີ​ຜູ້​ໃຊ້​ງານ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ຈາກ​ໄລຍະ​ໄກ​ຜ່ານ​ໂປຣ​ໂຕຄອນ;​
• ໃນ​ກໍລະນີ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ໃຊ້​ງານ​ Remote Desktop Protocol (RDP) ຈາກ​ອິນ​ເຕີ​ເນັດ​ ໃຫ້​ພິຈາລະນາ​ໃຊ້​ງານ​ Network Leveal Authentication (NLA) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ເດົາ​ສຸ່ມລະ​ຫັດ​ຜ່ານ​ ​ຫາກ​ມີ​ການ​ໃຊ້​ງານ​ NLA ຄວນ​ກວດ​ສອບ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ລະບົບ​ທີ່​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ນັ້ນ​ຮອງ​ຮັບ​ການ​ໃຊ້​ງານ​ ແລະ ​ບໍ່​ຄວນ​ໃຊ້​ຄຸນສົມບັດ​ CredSSP ເພື່ອ​ປ້ອງ​ກັນ​ການ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕົວ​ຕົນ​ໄວ້​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ລະບົບ​.
• ​ຕັ້ງ​ຄ່າ​ Group Policy ເພື່ອ​ຄວບ​ຄຸມ​ສິດທິ​ໃນ​ການ​ໃຊ້​ຕາມ​ຄວາມ​ເໝາະ​ສົມ​ ເຊັ່ນ:​ ​ຕັ້ງ​ຄ່າ​ເພື່ອ​ປ້ອງ​ກັນ​ການ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕົວ​ຕົນ ​ທີ່​ບໍ່​ໄດ້​ຖືກ​ປົກ​ປ້ອງ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຜ່ານ​ທາງ​ Group Policy ຫຼື ​ການຕັ້ງ​ຄ່າ registry​ ລວມທັງ​ດຳ​ເນີນ​ການຕັ້ງ​ຄ່າ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຄວາມ​ເຂັ້ມແຂງ​ຂອງ​ລະຫັດ​ຜ່ານບັນ​ຊີ​ຜູ້​ໃຊ້​ງານ​ ໃນ​ Group Policy;

5. ຕິ​ດ​ຕັ້ງຊອບແວ​ປ້ອງ​ກັນ​ມັນ​ແວ​ເທິງ​ເຄື່ອງຄອມພິວເຕີທຸກເຄື່ອງ​ໃນ​ອົງ​ກອນ, ອັບ​ເດດ​ຂໍ້​ມູນ ​ແລະ ​ເວີ​ຊັ່ນຂອງ​ຊອບແວໃຫ້ໃໝ່ຫຼ້າສຸດ​ ສະເໝີ​;

6. ພິຈາລະນາ​ການ​ໃຊ້​ງານ​ຂໍ້​ມູນ​ຕົວຊີ້ບອກ​ໄພ​ຄຸກ​ຄາມ​ (Indicator of Compromise — IOC) ເພື່ອ​ຊ່ວຍ​ເຝົ້າ​ລະ​ວັງ ​ແລະ ​ກວດ​ຈັບ​            ການ​ໄພ​ຄຸກ​ຄາມ​ ແຫຼ່ງ​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ຄົ້ນ​ຫາ​ຂໍ້​ມູນ​ຕົວຊີ້ບອກໄພ​ຄຸກ​ຄາມ​ຂອງ​ Maze ມີ​ຕາມ​ລາຍ​ການ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

• ຄົ້ນ​ຫາ​ຂ່າວ ​ແລະ​ IOC ທັງ​ໝົດ​ຂອງ​ Maze ດ້ວຍ​ APT & Malware CSE;
• ແນະ​ນຳ​ ລາຍ​ງານ​ການ​ວິ​ເຄາະ​ພຶດຕິກຳ​ຂອງ​ Maze ຈາກ​ FireEye;
• ແນະ​ນຳ​ ລາຍ​ງານ​ການ​ວິ​ເຄາະ​ການ​ເຮັດ​ວຽກ​ຂອງ​ໄຟ​ລ໌​ມັນ​ແວ​​ໃນ​ປະຕິບັດການ​ Maze ໂດຍ​ McA.

ເອກະສານອ້າງອີງ:

1. https://www.i-secure.co.th/2020/06/threat-information-maze-ransomware/

ອົງກອນໃດໜຶ່ງ ຈະມີຄວາມປອດໄພທາງໄຊເບີ ບໍ່ພຽງແຕ່ຈະມີບຸກຄະລາກອນດ້ານໄອທີ ທີ່ມີຄວາມຮູ້ຄວາມສາມາດໃນການຮັກສາຄວາມປອດໄພທາງໄຊເບີ ແຕ່ທຸກຄົນໃນອົງກອນຈະຕ້ອງນໍາໃຊ້ອິນເຕີເນັດ, ອຸປະກອນໄອທີ ແລະ ເຄື່ອງມືຕ່າງໆ ຢ່າງລະມັດລະວັງ ພ້ອມກັບມີຄວາມຮູ້ພື້ນຖານທີ່ຈະປ້ອງກັນຕົນເອງຈາກໄພຄຸກຄາມທາງໄຊເບີ.

ທາງ​ແຮັກ​ເກີ​ (Hacker) ເອງ ກໍ່ໄດ້​ມີ​ການ​ປັບປ່ຽນ​ກົນ​ລະຍຸດ​ໃນ​ການ​ຫຼອກລວງ ເພື່ອດຶງດູດ ແລະ ຊວນໃຫ້ເຫຍື່ອ ມີຄວາມສົນໃຈໄດ້​ງ່າຍ​ຂຶ້ນ​ ເຮັດໃຫ້​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ແບບ​ Phishing ຍາກ​ຂຶ້ນເລື້ອຍໆ​ ເຊັ່ນການ​ນຳໃຊ້​ປະໂຫຍດ​ຈາກຂ່າວ​ທີ່​ໄດ້ຮັບ​ຄວາມ​ສົນ​ໃຈ​ໃນ​ປັດຈຸບັນ​ ເຊັ່ນ​: ການ​ລະ​ບາດ​ຂອງ ​ໂຄ​ວິດ​-19.

ໃນໄລຍະປີທີ່ຜ່ານມາ ຈຳ​ນ​ວນ​ອີ​ເມ​ວຫຼອກລວງ ​ມີການເຕີບໃຫຍ່ ແລະ ຂະຫຍາຍຕົວ ​ຢ່າງ​ກ້າວ​ກະ​ໂດດ​ຊຶ່ງ​ບໍລິສັດ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ​​ F5 Labs ລາຍ​ງານ​ວ່າ ໄດ້ພົບເຫັນ​ຄວາມ​ພະຍາຍາມໃນການ​ໂຈມ​ຕີ​ແບບ​ Phishing ​ເພີ່ມ​ຂຶ້ນຫຼາຍເຖິງ​ 220% ໃນ​ປີ​ 2020.

ຂັ້ນຕອນ ແລະ ວິທີງ່າຍໆ ໃນການສັງເກດວ່າເປັນອີເມວຫຼອກລວງຈາກການໂຈມຕີ Phishing ຫຼື ບໍ່ ນັ້ນ ໂດຍທົ່ວໄປມັກຈະມີສັນຍານບອກ ຫຼື ມີເນື້ອໃນ ດັ່ງຕໍ່ໄປນີ້:

1. ຄົນທີ່ເປີດອ່ານອີເມວ ທີ່ບໍ່​​ມີ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃນ​ບໍລິສັດ​ທີ່​ອ້າງ​ເຖິງ​
ຖ້າ​ເຈົ້າ​ໄດ້ຮັບ​ຂໍ້ຄວາມ​ໃນຮູບແບບທີ່ວ່າ​ “ກະລຸນາ​ອັບ​ເດດ​ຂໍ້​ມູນ​ບັນຊີ​ PayPal” ແຕ່​ເຈົ້າ​ບໍ່ເຄີຍມີ​ບັນ​ຊີ​ PayPal ມາ​ກ່ອນ​​ ສິ່ງນີ້ຖືວ່າເປັນ​ສັນຍາ​ນຂອງ​ Phishing ​ທີ່​ຊັດເຈນ​ຫຼາຍ​, ​ເຈົ້າ​ອາດຈະ​ຢ້ານ​ວ່າ​ ມີ​ໃຜ​ຄົນອື່ນ​ມາ​ເປີດ​ບັນ​ຊີ​ໂດຍໃຊ້ຊື່ຂອງ​ເຈົ້າ​ ຫຼື ບໍ່,​ ແຕ່ກໍ່​ບໍ່​ຄວນ​ເປີດ​ອີ​ເມ​ວດັ່ງ​ກ່າວ​ ຄວນສອບ​ຖາມ​ກັບ​ບໍລິສັດ​ໂດຍ​ກົງ​ຈະດີກວ່າ​.

2. ບັນ​ຊີ​ອີ​ເມ​ວຂອງ​ເຈົ້າ​ບໍ່​ໄດ້​ໃຊ້​ເປັນ​ອີ​ເມ​ວໃນການ​ຕິດ​ຕໍ່​ກັບ​ບໍລິສັດ​ທີ່​ລະ​ບຸ​ໄວ້
ສົມ​ມຸດວ່າ ​ຖ້າ​ເຈົ້າ​ມີ​ບັນ​ຊີ​ PayPal ແຕ່​ບໍ່​ໄດ້​ເຊື່ອມ​ຕໍ່​ກັບ​ບັນ​ຊີ​ອີ​ເມ​ວທີ່​ເຈົ້າ​ໄດ້ຮັບ​ຂໍ້ຄວາມ ລວມທັງບໍ່​ເຄີຍບອກ​ທີ່​ຢູ່​ອີ​ເມ​ວ​ນີ້​ໃຫ້​ບໍລິສັດ​ຮູ້​ ບໍລິສັດ​ກໍ່​ບໍ່​ຄວນທີ່​ຈະ​ສົ່ງ​ມາ​ທີ່​ອີ​ເມ​ວນີ້​ໄດ້​.

3. ທີ່​ຢູ່​ອີ​ເມ​ວສຳລັບ​ຕອບ​ກັບ ທີ່ມີຄວາມ​ຜິດ​ປົກກະຕິ​
ຖື​ເປັນ​ຈຸດ​ທີ່​ເຮົາຈະບໍ່ຄ່ອຍໄດ້ສັງເກດເບິ່ງ​ ແຕ່​ກໍ່​ເປັນ​ຈຸດ​ທີ່ສາມາດຢືນຢັນວ່າເປັນ​ອີ​ເມ​ວ​ຫຼອກລວງ​ໄດ້​ຊັດເຈນ​ທີ່ສຸດ​ ເພາະ​ເມື່ອ​ເຈົ້າ​ໄດ້ຮັບ​ອີ​ເມ​ວຈາກ​ບໍລິສັດ​ທີ່​ຮູ້​ຈັກ​​ ອີ​ເມ​ວ​ນັ້ນ​ກໍ່​ຄວນ​ຈະມາ​ຈາກ​ທີ່​ຢູ່​ອີ​ເມ​ວຂອງ​ບໍລິສັດ​ນັ້ນ​ໂດຍ​ກົງ​ ເຊັ່ນ: ​ຖ້າ​ເປັນ​ໃບ​ບິນຈາກ​ Netflix ກໍ​່ຄວນ​ມາ​ຈາກ​ billing@netflix.com.

4. ເປັນ​ອີ​ເມ​ວ​ທີ່ຮ້ອງຂໍໃຫ້​ເຈົ້າ​ຢືນຢັນ​ຂໍ້​ມູນ​ສ່ວນ​ຕົວ​
ເຖິງແມ່ນ​ວ່າ​ເບິ່ງແລ້ວເຫັນເປັນໜ້າ​ເຊື່ອ​ຖື​ ແຕ່ກໍ່ຕ້ອງ​ຄິດ​ດີ​ໆ​ກ່ອນ​ ບໍລິສັດ​ທີ່​ມີ​ຊື່​ສຽງ​ຈະ​ບໍ່​ເຄີຍ​ຮ້ອງ​ຂໍ​ຂໍ້​ມູນ​ສ່ວນ​ຕົວ​ທີ່​ສຳຄັນ​ຢ່າງ​ເຊັ່ນ: ​ເລກ​ປະ​ກັນ​ສັງຄົມ​, ເລກ​ບັນ​ຊີທະ​ນາ​ຄານ​ ຫຼື ລະ​ຫັດ​ PIN ​ຕ່າງ​ໆ​ ຜ່ານ​ອີ​ເມວ​ ເຖິງວ່າຈະ​ໜ້າ​ເຊື່ອ​ຖື​ຫຼາຍ​ເທົ່າ​ໃດ​ ກໍ​ໍ່ຫ້າມ​ກົດ​ລິ້ງ​ໃນ​ອີ​ເມ​ວ​ເພື່ອ​ບອກ​ຂໍ້​ມູນ​ສ່ວນ​ຕົວ​ເ​ດັ​ດຂາດ​.

5. ເປັນ​ອີ​ເມ​ວ​ທີ່​ໃຊ້​ພາສາ​ບໍ່ຖືກຫຼັກໄວຍາກອນ​
ເຊັ່ນ​: ການ​ພິມ​ຜິດ​ໆ​ ຖືກ​ໆ​, ການ​ເລືອກ​ໃຊ້​ຄຳເວົ້າທີ່​ບໍ່​ເໝາະ​ສົມ,​ ການຍະຫວ່າງ​ປະ​ໂຫຍກ​ແບບແປກ​ໆ​ ຈົນ​ສັງເກດໄດ້​ວ່າ ກ​ານ​ຂຽນ​ອີ​ເມ​ວ​ບໍ່​ແມ່ນ​ເຈົ້າ​ຂອງ​ພາສາ​ເປັນຄົນຂຽນ ແນ່ນອນ​ວ່າ​ບໍລິສັດ​ທີ່​ມີ​ຊື່​ສຽງ​ຈະ​ບໍ່​ປ່ອຍ​ອີ​ເມ​ວແບບ​ນີ້​ອອກ​ມາ​ແນ່ນອນ​ ເນື່ອງ​ຈາກຈະຕ້ອງມີການ​ກວດ​ສອບອີເມວ​ກ່ອນທີ່ຈະ​ສົ່ງ​.

6. ມີ​ໄຟ​ລ໌​ແນບ ໜ້າສົງໄ​ສ​
ເຖິງແມ່ນວ່າ​ອີ​ເມ​ວທີ່​ມີ​ໄຟ​ລ໌​ແນບ​ນັ້ນ​ເປັນ​ເລື່ອງ​ປົກກະຕິ​ ແຕ່​ເຮົາ​ກໍ່​ຄວນ​ຕັ້ງ​ຂໍ້​ສັງເກດໄວ້ກ່ອນ​ ຖ້າ​ເຈົ້າ​ພົບ​ອີ​ເມ​ວ​ທີ່​ມີ​ໄຟ​ລ໌​ແນບ​ແປກ​ໆ​ ໃຫ້​ເຝົ້າ​ລະ​ວັງ​ໄວ້​ກ່ອນ​ ເນື່ອງ​ຈາກ​ບໍລິສັດ​ທີ່​ມີ​ຊື່​ສຽງ​ມັກ​ຮ້ອງ​ຂໍ​ໃຫ້​ເຈົ້າ​ດາວ​ໂຫຼດ​ຂໍ້​ມູນ​ຈາກ​ເວັບ​ບໍລິສັດ​ໂດຍ​ກົງ​ຫຼາຍກວ່າ​ສົ່ງ​ໄຟ​ລ໌​ແນບ​ມາ​ໃຫ້​

7. ເປັນ​ຂໍ້ຄວາມ​ທີ່​ຂຽນ​ວ່າ​ “ດ່ວນ​ຫຼາຍ​”
ເຕັກ​ນິກ​ທີ່ຜູ້​ຫຼອກລວງ​ນິຍົມ​ໃຊ້​ ​ຄື​ການສ້າງ​ແຮງ​ກົດ​ດັນ​ໃຫ້​ຕ້ອງ​ຈັດການ​ຢ່າງ​ໃດ​ຢ່າງ​ໜຶ່ງ​ໃນ​ທັນ​ທີ​ ເຊັ່ນ:​ ອ້າງ​ວ່າ​ເຈົ້າ​ບໍ່​ໄດ້​ຊຳ​ລະ​ເງິນ​ຕາມ​ກຳນົດ​, ​ເປັນ​ໜີ້​​ພາກສ່ວນ​ລັດ​ ຫຼື ​​ເຈົ້າ​ຖືກ​ບັນ​ທຶກ​ພາບ​ຜ່ານ​ກ້ອງ​ແລັບ​ທອບ​ຂອງ​ຕົນເອງ​ ເປັນ​ຕົ້ນ.​

8. ອີ​ເມ​ວທີ່​ບໍ່​ໄດ້​ລະ​ບຸ​ຊື່​ເຈົ້າ​ ຕອນກ່າວ​ທັກ​ທາຍ​ໃນປະ​ໂຫຍກ​ທຳອິດ
ຕົວຢ່າງ​ອີ​ເມ​ວທີ່ກ່າວ​ໂດຍລວມ​ ວ່າ​ “Dear valued customer” ຫຼື​ “ສະບາຍດີໝູ່ຮັກ​” ຂໍ້ຄວາມຈໍາພວກ​ນີ້​ເປັນ​ສັນຍາ​ນ​ອັນຕະລາຍ​ວ່າ​ເປັນ​ອີ​ເມ​ວ​ທີ່​ບໍ່​ໄດ້​ມາ​ຈາກ​ຕົ້ນ​ທາງ​ທີ່​ຮູ້​ຈັກ​ເຈົ້າ​ ຫຼື ​ເຮັດວຽກ​ຮ່ວມ​ກັບ​ເຈົ້າ​ເປັນ​ປະຈຳ​.

9. ອີ​ເມ​ວ​ທີ່​ສົ່ງ​ມາ​ ມີແຕ່ລິ້ງຢ່າງດຽວ​
ຖ້າ​ເນື້ອໃນອີ​ເມ​ວມາ​ໃນຮູບແບບ​ ລິ້ງ​ ຫຼື ຮູບ​ພາບ​ໃຫຍ່​ໆ​ ທີ່​ເລື່ອນ​ເມົ້າ​ໄປ​ບ່ອນໃດກໍ່​ເປັນ​ໄອ​ຄອນ​ນິ້ວ​ມືໃຫ້ກົດ ​ທີ່​ຄືກັນກັບ​ອີ​ເມ​ວ ​ລວມທັງ​ສະເພາະ​ເປັນ​ລິ້ງ​​ URL ຂະໜາດ​ໃຫຍ່​ ນັ້ນສະແດງໃຫ້ເຫັນວ່າ ອາດຈະ​ເປັນ​ອີ​ເມ​ວ​ອັນຕະລາຍ​ທີ່​ພະຍາຍາມ​ຫຼອກ​ລໍ້​ໃຫ້​ພຽງແຕ່​ກົດເມົ້າ​ແບບ​ສຸ່ມ​ ກໍ່​ຖືກ​ດູດ​ໄປ​ໂຫຼດ​ໄວ​ຣັສ ​ຫຼື ​ມັນ​ແວ​ (Malware) ​ໄດ້.​

10. ເປັນ​ອີ​ເມ​ວຈາກ​ໂດ​ເມນ​ສາທາລະນະ​
ຖ້າ​ເຈົ້າ​ໄດ້ຮັບ​ອີ​ເມ​​ວທີ່​ອ້າງ​ວ່າ​ມາ​ຈາກ​ທຸລະກິດ​ທີ່​ຮູ້​ຈັກ​ກັບເຈົ້າ​ ແຕ່​ທີ່​ຢູ່​ອີ​ເມ​ວດັ່ງກ່າວແມ່ນມາຈາກການໃຊ້​ໂດ​ເມນ (Domain) ​ສາທາລະນະ​ ເຊັ່ນ: @gmail.com ຫຼື​ @outlook.com ກໍ່​ຖື​ເປັນ​ອີກ​ສັນຍາ​ນ​ອັນຕະລາຍ​ ໂດຍສະເພາະບໍລິສັດຂະໜາດໃຫຍ່ ​ທີ່​ມີ​ຊື່​ສຽງ​.

ເອກະສານອ້າງອີງ:

https://www.itpro.co.uk/security/scams/355013/10-quick-tips-for-identifying-phishing-emails
https://www.enterpriseitpro.net/10-quick-tips-for-identifying-phishing-emails/