ภัยไซเบอร์ประจำเดือน: ตรวจจับการโจมตีด้วย QR Code หลายชั้น

qr

ภัยไซเบอร์ประจำเดือน: ตรวจจับการโจมตีด้วย QR Code หลายชั้น

ตรวจจับการโจมตีด้วย QR Code หลายชั้น บทความนี้เป็นส่วนหนึ่งของซีรีส์รายเดือน “Cybersecurity Stop of the Month” ซึ่งจะเจาะลึกกลยุทธ์ที่เปลี่ยนแปลงตลอดเวลาของอาชญากรไซเบอร์ยุคใหม่ โดยมุ่งเน้นไปที่สามขั้นตอนแรกที่สำคัญในห่วงโซ่การโจมตีในบริบทของภัยคุกคามอีเมล ซีรีส์นี้มีเป้าหมายเพื่อช่วยให้คุณเข้าใจวิธีการเสริมสร้างการป้องกันของคุณเพื่อปกป้องผู้คนและปกป้องข้อมูลจากภัยคุกคามที่เกิดขึ้นใหม่ในภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไปอย่างรวดเร็ว

สามขั้นตอนแรกที่สําคัญของห่วงโซ่การโจมตี: การลาดตระเวนการประนีประนอมเบื้องต้นและการคงอยู่

สถานการณ์จำลอง

ปกติแล้ว ในการโจมตีด้วย QR code ผู้โจมตีมักจะฝัง QR code ที่เป็นอันตรายไว้ในอีเมลโดยตรง แต่ล่าสุด ผู้โจมตีได้คิดค้นกลวิธีใหม่ที่ซับซ้อนมากขึ้น ในการโจมตีหลายชั้นเหล่านี้ QR code ที่เป็นอันตรายจะถูกซ่อนอยู่ภายในไฟล์ PDF แนบที่ดูเหมือนไม่เป็นอันตรายเพื่อชะลอการตรวจจับโดยอัตโนมัติและสร้างความสับสนให้กับเครื่องมือรักษาความปลอดภัยอีเมลแบบเดิม ผู้โจมตีจะใช้กลยุทธ์หลีกเลี่ยงการตรวจจับ เช่น การเพิ่ม CAPTCHA ของ Cloudflare ซึ่งหมายความว่า เครื่องมือที่ใช้การตรวจสอบชื่อเสียง URL แบบเดิม จะประสบปัญหาในการระบุ QR code ที่เป็นอันตรายเหล่านี้

บริษัท Proofpoint ได้ค้นพบภัยคุกคามประเภทนี้ระหว่างการประเมินภัยคุกคามที่บริษัทประกอบการยานยนต์สัญชาติอเมริกันที่มีพนักงาน 11,000 คน เครื่องมือรักษาความปลอดภัยอีเมลเดิมของบริษัท (เครื่องมือรักษาความปลอดภัยอีเมลแบบใช้ API และระบบรักษาความปลอดภัยภายใน) ล้วนมีฟังก์ชันการสแกน QR code แต่ทั้งสองระบบกลับจัดประเภทอีเมลนั้นว่าปลอดภัยและส่งต่อไปยังผู้ใช้ปลายทาง

ภัยคุกคาม: การโจมตีเกิดขึ้นได้อย่างไร ?

เจาะลึกการโจมตี

1 . อีเมลนี้เป็นเหมือนกับ เหยื่อหลอกลวง ผู้โจมตีตั้งใจให้ดูเหมือนว่าอีเมลนั้นถูกต้องตามกฎหมาย โดยอาศัยช่วงเวลาเร่งด่วนของการยื่นภาษี กลยุทธ์นี้กระตุ้นให้ผู้รับเปิดไฟล์ PDF ที่แนบมา

อีเมลจากผู้ส่งถึงผู้รับ

2 . QR code อันตรายถูกฝังอยู่ภายในไฟล์ PDF ต่างจากการโจมตีด้วย QR code ทั่วไป URL ที่เป็นอันตรา ในครั้งนี้ไม่ได้ปรากฏชัดเจนในอีเมล แต่ถูกซ่อนอยู่ภายในไฟล์ PDF ที่แนบมา ด้วยความนิยมของ QR code ในปัจจุบัน สิ่งนี้อาจทำให้ผู้รับไม่รู้สึกแปลกใจ

PDF ที่แนบมาพร้อมรหัส QR ที่ฝังไว้

3 . ผู้โจมตีวางอุบายอีกชั้นด้วยการใช้ CAPTCHA ของ Cloudflare ที่หน้า Landing Page จาก URL ของ QR code เพื่อปิดบังภัยคุกคามเบื้องหลัง ขั้นตอนนี้มุ่งหวังที่จะหลีกเลี่ยงเครื่องมือตรวจสอบความปลอดภัยที่อาศัยการวิเคราะห์ชื่อเสียงของ URL เพียงอย่างเดียว

Cloudflare CAPTCHA บนหน้า Landing Page ของ URL รหัส QR

4 . หลังจากผ่านการทดสอบ CAPTCHA ไปแล้ว QR code ที่เป็นอันตรายจะนำไปสู่หน้า Landing Page ปลอมที่สร้างขึ้นมาเพื่อขโมยข้อมูลประจำตัวของผู้ใช้ การโจรกรรมข้อมูลประจำตัวเหล่านี้อาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีของผู้ใช้ได้ ซึ่งพวกเขาสามารถใช้ช่องทางนี้ในการแพร่กระจายการโจมตีภายในองค์กรเพื่อขยายผล (Lateral Movement) หรือ พวกเขาอาจนำข้อมูลที่ขโมยไปใช้หลอกลวงพันธมิตรหรือซัพพลายเออร์

Proofpoint ป้องกันการโจมตีประเภท QR code ที่มี CAPTCHA นี้ได้อย่างไร แต่ Proofpoint มีเทคโนโลยีหลายอย่างที่อาจนำมาใช้ป้องกันการโจมตี

ระบบการอ่านรหัส QR อย่างการแยกรูปเป็นตัวอักษร (OCR) หรือเทคนิคอื่นๆ มีบทบาทสำคัญในการป้องกันภัยคุกคามจาก QR code จริง แต่ การสแกน QR code ทำหน้าที่เพียงแค่ดึง URL ที่ซ่อนอยู่ภายในออกมาเท่านั้น มันไม่ได้ทำหน้าที่ในการตรวจสอบว่า QR code นั้นปลอดภัยหรือเป็นอันตราย

เครื่องมือรักษาความปลอดภัยอีเมลจำนวนมากที่มีอยู่ในบริษัท automotive ก็อ้างว่าสามารถแยกแยะรหัส QR และดึง URL ออกมาเพื่อวิเคราะห์ได้ แต่ เครื่องมือเหล่านี้มีข้อจำกัดตรงที่ไม่สามารถสแกนหา URL ภายในรูปภาพที่แนบมาในอีเมลได้ มีเพียงไม่กี่เครื่องมือที่มีความสามารถในการวิเคราะห์ URL อย่างละเอียดในระดับเดียวกับ Proofpoint

Proofpoint ไม่ได้หยุดอยู่แค่การสแกน QR code เท่านั้น แต่เรายังผสมผสานมันเข้ากับระบบตรวจจับหลายชั้น (multilayered detection stack) ที่ใช้เทคนิคปัญญาประดิษฐ์ (AI) และการเรียนรู้ของเครื่อง (ML) ขั้นสูง เพื่อทำความเข้าใจบริบทของการติดต่อสื่อสารผ่านอีเมล เราบูรณาการเทคนิคการวิเคราะห์ภัยคุกคามเชิงลึกและระบบแยกแยะด้วยกล่องทราย (sandboxing) เข้าด้วยกันอย่างแนบแน่น เพื่อให้แน่ใจว่าสามารถตรวจจับภัยคุกคามจาก QR code ขั้นสูงได้อย่างแม่นยำ

นี่คือสิ่งที่เราใช้ในการตรวจจับและหยุดยั้งภัยคุกคามนี้

  • การสแกนรหัส QR: Proofpoint ใช้การสแกนรหัส QR เพื่อแปลงรูปภาพให้เป็นรูปแบบที่เครื่องจักรอ่านได้ ซึ่งช่วยให้เราสามารถดึง URL ที่ซ่อนอยู่ในการโจมตครั้งนี้มาเพื่อวิเคราะห์เพิ่มเติม การสแกนรหัส QR ของเรารรองรับสถานการณ์ต่างๆ มากมาย รวมถึงไฟล์ PDF, เนื้อหาอีเมล, รูปภาพ, ไฟล์ Microsoft Word และอื่นๆ อีกมากมาย การรองรับการสแกนรหัส QR มีบทบาทสำคัญพื้นฐานในการป้องกันภัยคุกคามประเภทนี้
  • ตัวชี้วัดทางพฤติกรรม: Proofpoint วิเคราะห์พฤติกรรมของผู้ใช้ บริบทของอีเมล และเนื้อหาเชิงธีมของอีเมล ซึ่งสิ่งเหล่านี้ช่วยให้เราสามารถตรวจจับรูปแบบที่บ่งบอกว่าอีเมลมีโอกาสเป็นอันตรายสูง
  • การแยกแยะ URL ด้วยกล่องทราย (URL sandboxing): เมื่อ Proofpoint สกัด URL ออกมาได้ เราจะนำ URL นั้นไปวิเคราะห์ภายในสภาพแวดล้อมที่ปลอดภัยจำลอง (sandbox) ภายในแซนด์บ็อกซ์นี้ Proofpoint สามารถวิเคราะห์สิ่งต่างๆ

บทเรียนที่ได้รับ : เราเรียนรู้อะไรจากกรณีนี้

เคสนี้สะท้อนให้เห็นถึงการพัฒนาเทคนิคการฟิชชิ่งที่ใช้รหัส QR และเน้นย้ำถึงความสำคัญของการใช้ระบบรักษาความปลอดภัยอีเมลแบบหลายชั้น ต่อไปนี้คือประเด็นสำคัญที่ควรถอดจำ:

  • ใช้ความระมัดระวังกับทุกคำขอให้สแกน QR code อย่าสแกน QR code โดยอัตโนมัติ: ไม่ว่าจะได้รับ QR code จากไหน ควรคิดก่อนสแกน โดยเฉพาะอย่างยิ่ง QR code ที่มาในอีเมลที่คุณไม่ได้ร้องขอ อย่าไว้ใจไฟล์ PDF, รูปภาพ หรือคำขอสแกน QR code อื่น ๆ โดยอัตโนมัติ: ไฟล์เหล่านี้อาจมี QR code ที่เป็นอันตรายฝังอยู่ ตรวจสอบที่มา ของไฟล์หรือ QR code ก่อน จะสแกน
  • กลลวงแอบอ้างข้อมูลประจำตัว (Phishing) มักจะสร้างความรู้สึกเร่งด่วน และมักจะใช้ช่วงเวลาที่สำคัญกับผู้คน เช่น ฤดูกการยื่นภาษี มาเป็นจุดโจมตี
  • อย่าพึ่งพาแค่ชื่อเสียงของ URL ชื่อเสียงของ URL (URL reputation): บริษัทด้านความปลอดภัยมักจะมีฐานข้อมูล URL ที่เป็นอันตราย โดยจะเก็บประวัติการใช้งานของ URL นั้น ๆ ในแง่ของความปลอดภัย
  • ลงทุนกับระบบรักษาความปลอดภัยที่ครอบคลุม เลือกใช้เครื่องมือที่ผสมผสานเทคโนโลยีต่างๆ เข้าด้วยกัน เพื่อรับมือกับภัยคุกคามทางอีเมลที่พัฒนาอย่างต่อเนื่อง
  • การอบรมความรู้ด้านความปลอดภัย เสริมสร้างพลังให้พนักงานของคุณ ในการระบุ QR code ที่น่าสงสัย ตั้งคำถามกับคำขอที่ไม่คาดคิด และรายงานสิ่งเหล่านี้ไปยังฝ่าย IT หรือแผนกที่เกี่ยวข้องอย่างกระตือรือร้น

Proofpoint ปกป้องคุณด้วยระบบรักษาความปลอดภัยที่ยึดผู้ใช้งานเป็นศูนย์กลาง (Human-Centric Security)

ตัวอย่างการโจมตีด้วย QR code แบบหลายชั้นในเคสนี้ พยายามที่จะเลี่ยงการป้องกันแบบเดิม แต่ Proofpoint และระบบรักษาความปลอดภัยที่ยึดผู้ใช้งานเป็นศูนย์กลางของเรา สามารถหยุดยั้งมันได้ทัน ความสามารถขั้นสูงด้าน Threat Intelligence (ข้อมูลข่าวกรองด้านภัยคุกคาม) และการตรวจจับ เช่น การสแกน QR code, OCR (การแยกรูปเป็นตัวอักษร), AI วิเคราะห์พฤติกรรม และ URL sandboxing (การแยกแยะ URL ด้วยกล่องทราย) ช่วยให้เราสามารถระบุกลลวงนี้ได้อย่างรวดเร็ว และปกป้องผู้ใช้จากอันตราย

ข้อมูลจาก : www.proofpoint.com

Naruemon Paengjaem
Naruemon Paengjaem