"Whaling Attack" - อย่าเสียเวลากับปลาซิวปลาสร้อย มาจับปลาวาฬกันดีกว่า
ผมเคยเขียนเกี่ยวกับ "Phishing Attack" ไว้ซักพักหนึ่งแล้ว ถ้าสนใจลองไปอ่านกันอีกได้ที่นี่ครับ
แต่ถ้าจะสรุปสั้น ๆ Phishing Attack ก็คือเทคนิค Social engineering ประเภทหนึ่ง ที่เน้นการล้วงเอาความลับ จากเหยื่อผ่านการสื่อสารแบบอิเล็กทรอนิกส์
ซึ่งที่เจอกันบ่อยก็คือการใช้ Email ครับ
แต่ยังมี Phishing Attack อีกแบบ ที่สร้างความเสียหายได้มากที่สุด ซึ่งเรียกว่า "Whaling Attack"
แล้ว Whaling Attack คืออะไร ?
พูดง่าย ๆ ก็คือเป็น Phishing Attack แบบที่เหยื่อ หรือเป้าหมายของอาชญกร ไม่ใช่บุคคลทั่ว ๆ ไป แต่เป็นผู้บริหารระดับสูงขององค์กร
ถ้า Phishing Attack คือการเปรียบเปรยว่าเป็นเหมือนการตกปลา
Whaling Attack คือการ "ล่าปลาวาฬ" นั่นแหละครับ
เหยื่อตัวใหญ่ และ(ดูเหมือนจะ)จับยาก แต่ถ้าได้ซักตัว ก็สบายกันไปได้อีกนาน
ผมก็เคยเจอกรณีที่ผู้บริหารระดับ C-Suite ขององค์กรข้ามชาติแห่งหนึ่ง โดนหลอกให้โอนเงินไปยังบัญชีโจรที่ต่างประเทศ
เรื่องของเรื่องก็คือ ณ​ ขณะนั้นกำลังมี "การประมูลงาน" ที่สำคัญระดับประเทศอยู่ ซึ่งข่าวการประมูลนี้เป็นที่รู้กันทั่วไป และแน่นอนว่าโจรก็ย่อมรู้
เมื่อเจอปลาวาฬเป้าหมาย โจรก็ Impersonate หรือ "ปลอมตัว" เป็นผู้บริหารระดับสูงคนหนึ่งขององค์กรที่กำลังอยู่ในสถานที่ประมูลงาน โดยใช้ Phising Email ส่งถึงผู้บริหารด้านการเงินคนหนึ่งที่อยู่ที่บริษัท โดยเนื้อหาแจ้งว่าในการประมูลงานนั้น จำเป็นต้องมี "Facilitation Payment" จำนวนหนึ่งให้เจ้าหน้าที่รัฐ เพื่อให้การพิจารณาเป็นประโยชน์กับองค์กร
Facilitation Payment พูดสั้น ๆ คือ "ค่าหล่อลื่น" หรือ "สินบน" ประเภทหนึ่งนั่นเอง แต่รายละเอียดคืออะไรไปอ่านที่นี่ได้
จากคำอธิบายของเหยื่อ ด้วยความที่การประมูลกำลังดุเดือดเข้าด้ายเข้าเข็ม อยู่ในระหว่างการชี้แจงข้อมูลสำคัญ แถมเนื้อหา Email ก็น่าเชื่อถือตรงกับเหตุการณ์ที่กำลังเกิด แม้ว่าอันที่จริง เรื่องราวมันก็หาอ่านได้จากข่าว แล้วใส่ไข่นิดหน่อยให้ดูเหมือนมาจากเหตุการณ์จริง แต่นั่นก็ทำให้ตัวผู้รับก็เชื่อว่าผู้ส่งเป็นตัวจริง เพราะ Email address ก็ปลอมได้แนบเนียน
สรุปว่าเชื่อ โอนเงินไปเรียบร้อย แม้ว่าเป็นจำนวนไม่มาก แต่จะแจ้งความก็ไม่ได้เพราะที่มาของเรื่อง "มันน่าอับอาย"
สรุปว่าเสร็จโจรครับ
แนวทางป้องกันภัยคุกคามลักษณะนี้ ก็มีหลายวิธีที่ไม่ต้องอาศัยเทคโนโลยีอะไรช่วย ซึ่งผมเล่าไว้แล้วใน Post ก่อนหน้า ซึ่งสิ่งสำคัญคือการสร้าง Awareness หรือสร้างความตระหนักให้ User ในองค์กรมีความเข้าใจและระมัดระวังการหลอกเอาข้อมูลด้วยวิธีแบบนี้
แต่ที่เอา Whaling Attack มาเล่าให้ฟังก็เพราะอยากให้มองว่า นี่คือเป้าหมายหลักของอาชญากรที่มักจะถูกมองข้าม
ตัวอย่างเช่น เมื่อเดือนก่อนผมได้พบเจ้าหน้าที่ฝ่าย IT Security ของบริษัทใหญ่แห่งหนึ่ง และได้มีการแลกเปลี่ยนความรู้เกี่ยวกับแนวทางในการสร้าง Awareness ที่ทางองค์กรนั้นใช้อยู่ เช่น การทำ Phishing Campaign ด้วยการส่ง Email เพื่อ "หลอก" พนักงานว่ามีการแจกรางวัล และให้ใส่ข้อมูลสำคัญเช่น User หรือ Password
เจ้าหน้าที่ท่านนั้นเล่าให้ฟังอย่างสนุกสนาน ว่าใช้มุกประเภทไหน "ตก" เหยื่อ และสร้างความตื่นตัวได้ขนาดไหน
ผมก็เลยถามไปว่า แล้วมีพวกผู้บริหารระดับสูงโดนหลอกบ้างไหม ?
คำตอบที่ได้ก็น่าตกใจ เพราะเจ้าหน้าที่ท่านนั้นบอกว่า
"โอย ผมยังไม่กล้าส่งให้ผู้ใหญ่ ๆ หรอกพี่ กลัวจะถูกตำหนิว่าทำท่านเสียเวลา หรือเสียหน้า ถ้าเกิดท่าน ๆ โดนหลอก"
ก็เป็นซะอย่างนี้ครับ "ปลาวาฬ" เลยถูกล่ากันอยู่เป็นประจำครับ
ขอบคุณมากครับ
  • 4
โฆษณา