วันพุธที่ 3 พฤศจิกายน พ.ศ. 2564

เทคนิคการ Hack Email Account แบบ Social Engineering และการป้องกัน

 จากที่ผมเองมีประสบการณ์ดูและระบบ Zimbra Server ให้กับองค์กรหลายๆที่ มาเป็นเวลาหลายปี ปัญหาหลักหนึ่งที่เจอ ก็คือ Account บน Zimbra  ถูก Hack โดยผู้ไม่หวังดี  โดยในช่วงแรกจะใช้วิธี Brute force โดยเหล่า hacker จะใช้โปรแกรมพยายามเดา Password ของ Account บน Zimbra ที่ Password ถูกตั้งไว้ไม่ซับซ้อน ซึ่งผมได้เคยเขียนบทความที่เกี่ยวกับเรื่องนี้ไปแล้วหลายบทความ ลองหาอ่านดูย้อนหลังได้ครับ 

    หลังจากที่ได้ทำการให้ความรู้กับลูกค้าและแก้ปัญหาไปแล้ว ปัญหา Account ถูก Hack ของลูกค้าผมได้ลดน้อยลงและหายไปอยู่หลายปีครับ แต่ในช่วงหลังๆ ตั้งแต่ปี 2019 เป็นต้นมา ผมเจอว่า ลูกค้าของผมหลายๆที่ ที่ได้มีการตั้ง Password  ที่ซับซ้อนก็ยังโดน Hack ได้ ซึ่งหลังๆ เจอได้บ่อยขึ้นเรื่อยๆ จากการตรวจสอบและวิเคราะห์ พบว่า Hacker ใช้วิธีการ Email Social Engineering คือ ส่ง Email เข้ามาหลอกถาม Password  และก็มีคนหลงเชื่อและป้อน Password ให้เค้าไปเยอะเสียด้วย 


 Social Engineering คืออะไร 

    สรุปแบบง่ายๆ เป็น Email หลอกลวง หรือ Phishing Email รูปแบบหนึ่ง โดยจุดประสงค์หลัก คือการหลอกถาม Password นั่นเองครับ วิธีนี้ไม่ได้เป็นเรื่องใหม่ แต่เป็นเทคนิคดั้งเดิมของ Hacker ที่เอาประยุกต์เอามาใช้กับการ Hack Email Account ครับ โดยผู้ไม่หวังดี จะส่ง Email ไปยัง Email Address เป้าหมาย เพื่อ หลอกถาม Password 

 โดยวิธีการที่หลอกให้เราบอก Password มีหลายหลายรูปแบบครับ เช่น 

  • เป็น Link ฝังมากับ Email 
  • เป็น ไฟล์แนบ ที่แนบมากับ Email 
  • หรืออาจจะเป็นหน้าจอ ฝังมาในเนื้อ Email เลย 
ส่วนข้อความ ส่วนใหญ่เป็นภาษาอังกฤษ แต่เคยเจอเป็นภาษาไทยก็มี โดยข้อความหลอกจะมีหลายรุปแบบ ตัวอย่างเช่น
  • ระบบคุณไม่ได้ใช้งานนาน ให้ป้อน password เพื่อยืนยันตัวตน ไม่งั้น email account จะถูกลบทิ้งภายใน xxx วัน 
  • email account คุณ เนื้อที่ใช้งานใกล้เต็ม ของป้อน password เพื่อยืนยันการเพิ่มเนื้อที่ใช้งานให้ 
  • กรณีที่เป็นไฟล์แนบ ก็จะหลอกประมาณว่า เป็นไฟล์สำคัญ เช่น invoice จากคู่ค้า อะไรทำนองนี้เมื่อเราเปิดไฟล์ จะมีการถาม Password ของ Email Account เพื่อปลดล็อกการเข้ารหัส



ตัวอย่างหน้าจอหลอกถาม Password 

ตัวอย่างนี้ email จะถูกส่งมาโดยมีไฟล์แนบ ชื่อ Copy Payment slip xls.html และหลอกให้เราเปิดไฟล์แนบนี้  


ถ้าเปิดไฟล์แนบ จะมีหน้าจอหลอกถาม password ตามนี้ 



นอกจากนี้ ยังมี Email หลอกถาม password อีกหลายรูปแบบ ซึ่งผมเคยได้เขียนบทความไว้แล้ว ตามนี้ 

เมื่อเจอ Email หลอกถาม password ต้องทำอย่างไร 
  • ระดับผู้ใช้งานทั่วไป  ก็อย่าป้อน password ที่หน้าจอที่หลอกถามเรานะครับ
    •  ถ้า Email เหมือนจะส่งจากผู้ดุและระบบ ให้ถามผู้ดูแลระบบก่อนว่า เป็น Email ที่ระบบหรือผู้ดูและระบบหรือต้นทางตั้งใจส่งจริงๆ หรือไม่ (ซึ่งส่วนใหญ่เกือบ 100% ไม่ใช่ เพราะผู้ดูแลระบบของ Zimbra สามารถจัดการ account ใน Zimbra ได้โดยที่ไม่ต้องรู้ Password ของ User) 
    • ถ้า Email ถูกส่งจากคนที่เรารู้จัก ให้สอบถามก่อนว่าเค้าตั้งใจส่งมาจริงๆหรือเปล่า เพราะเป็นไปไปได้ว่า Account ของคนส่งถูก Hack และกลายเป็นที่กระจาย Email ทำนองนี้ออกไปแล้ว 
    • แต่ถ้าเป็น Email ที่ส่งมาจาก Email Address ที่เราไม่รู้จัก แนวโน้มว่าจะเป็น email หลอก ให้ลบทิ้งไปเลย 

สุดท้าย อย่าเผลอให้ Password ของ Email Account ไป  Account ของคุณจะกลายเป็น Account ที่ใช้ส่ง Spam ในอนาคต
  • ระดับผู้ดูแลระบบ 
    โดยปกติแล้ว การส่ง Email ประเภทนี้ เค้าจะส่งเป็นชุด ไปยังองค์กรเป้าหมาย เมื่อมี Account ในองค์กรได้รับ Email ทำนองนี้ แนวโน้มที่ Account อื่นๆ ในองค์กรจะได้รับ Email เดียวกันนี้ เป็นไปได้ค่อนข้างสูง ดังนั้น สิ่งที่ผู้ดุและระบบควรจะต้องทำ มีดังนี้ 
    1. แจ้ง user คนอื่นๆ ในองค์กร ให้ทราบ
      เมื่อมี User สอบถามมาเกี่ยวกับ Email ที่น่าสงสัย และพบว่าเป็น Email พวกนี้  แจ้งให้ User ทุกคนในองค์กรทราบว่า Email ที่อาจจะได้รับ เป็น Email หลอกถาม Password ถ้าเจอให้ลบทิ้ง หรือถ้าไม่แน่ใจ ให้สอบถามกลับมา ส่วนใหญ่ Email ประเภทนี้ในการส่งแต่ละรอบ จะส่งจาก Email address หรือ Domain เดียวกัน, Subject เนื้อหา รูปแบบ จะคล้ายๆ กันครับ ทำให้ระบุได้ไม่ยาก
    2. Setup firewall ให้ block การเชื่อมต่อจากเครื่องในองค์กรไปยัง Server ที่หลอกถามข้อมูล
      ถ้าตรวจสอบได้ว่า Link ที่แนบมากับ Email ชี้ไปที่ server ไหน และ Firewall ขององค์กร สามารถตั้งค่าให้ Block การเชื่อมต่อ ออกไปยัง Server ของ URL ที่หลอกถาม Password ได้ ก็ให้ทำการ Block เลยครับ วิธีการนี้เผื่อว่ามี User ในองค์กรที่ไม่ทราบ เผลอเชื่อมต่อไปยัง URL ที่จะหลอกถาม password จะได้ทำไม่ได้ 
      แต่วิธีการนี้ ก็ป้องกันไม่ได้ 100% นะครับ เพราะหลายๆ องค์กร User สามารถใช้งาน Email ผ่าน Mail client จากภายนอกองค์กรได้ ทำให้เราไม่สามารถปิดกั้นการเชื่อมต่อไปยัง server ที่หลอกถาม Password ได้ทุกกรณี
    3. Scan หาและลบ Email หลอกถาม Password ที่ได้รับออกจากทุก account  
      วิธีการนี้เป็นท่ายากครับ คือต้องเขียน Script บน Zimbra Server ไล่ scan หา Email หลอกถาม password ใน account ทั้งหมดบนเครื่อง Zimbra โดยดูจาก Email address ผู้ส่ง หรือ subject ของ Email
      อย่างไรก็ตาม วิธีนี้จะได้ผลถ้าเราทำการลบ Email พวกนี้ ก่อนที่ User เปิดอ่านเท่านั้น 

Mail Gateway ช่วยกรอง Email ทำนองนี้ได้หรือไม่ 

หลายๆ องค์กรมีการตั้ง Mail Gateway เพื่อกรอง Spam mail ก่อนที่จะผ่านเข้ามายัง Mail Server ขององค์กร คำถามคือ อุปกรณ์พวกนี้ สามารถช่วยกรอง Email ที่หลอกถาม Password ได้หรือไม่ 
ส่วนตัวผม คิดว่าสามารถกรองได้ระดับหนึ่งครับ แต่ไม่ 100%  จากประสบการณ์ก็ยังเจอว่า Mail Gateway ยี่ห้อดังๆ ก็ยังมี Email หลอกถาม Password หลุดเข้ามาได้ เพราะ hacker ก็จะพยายามหา เทคนิคและช่องทางใหม่ๆ ที่ให้ Email ที่ไม่ดีเหล่านี้ หลุดรอดผ่านเข้าไปถึง User ได้  การให้ความรู้ กับ User ให้ระวัง Email เหล่านี้อยู่เสมอ น่าจะเป็นคำตอบที่ดีที่สุดครับ