Tags:
Node Thumbnail

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

เหตุการณ์ของ Cloudflare เริ่มขึ้นในวันที่ 20 กรกฎาคม หลังทีมความปลอดภัยได้รับแจ้งจากพนักงานว่ามี SMS phishing หลอกให้ล็อกอินหน้าเว็บของบริษัท และมีพนักงานอย่างน้อย 76 คนได้รับข้อความนี้เข้าทั้งเบอร์ส่วนตัว เบอร์ของที่ทำงาน และเบอร์คนในครอบครัว ตอนนี้ยังไม่ชัดเจนว่าแฮ็กเกอร์ได้รายชื่อและเบอร์โทรมาได้อย่างไร

Cloudflare บอกว่าเทรนให้พนักงานทุกคนรายงานสิ่งที่น่าสงสัยไปยังทีมเฝ้าระวังความปลอดภัย (Security Incident Response Team - SIRT) อยู่เสมอ ปกติแล้ว 90% ของรายงานไม่ใช่ภัยคุกคาม แต่บริษัทก็กระตุ้นให้พนักงานส่งรายงานเยอะๆ เหลือดีกว่าขาด (over-reporting) ซึ่งรอบนี้การรายงานเข้าเป้า

ข้อความใน SMS หลอกให้กดลิงก์ไปยังหน้าล็อกอิน Cloudflare Okta ทาง cloudflare-okta.com (หมายเหตุ: Okta เป็นบริษัททำโซลูชันเรื่องการยืนยันตัวตน ซึ่ง Cloudflare ใช้งานอยู่จริงๆ การใช้โดเมนเนมมีคำว่า okta จึงน่าเชื่อถือสำหรับคนที่รู้จักบริษัทนี้) ทาง Cloudflare โดนโจมตีลักษณะนี้บ่อยๆ อยู่แล้ว จึงมีระบบมอนิเตอร๋ว่ามีใครจดทะเบียนโดเมนเนมที่มีคำว่า cloudflare หรือไม่ และไล่ปิดโดเมนเหล่านี้เพื่อป้องกันการนำไปใช้หลอกลวง แต่กรณีนี้ โดเมนเพิ่งถูกจดก่อนส่งลิงก์ทาง SMS เพียง 40 นาที ทำให้ทีมตรวจสอบโดเมนเนมตามไปปิดไม่ทัน

หน้าเว็บ phishing ของแฮ็กเกอร์ฝากไว้บน DigitalOcean โดยทำหน้าตาเลียนแบบหน้าล็อกอินมาตรฐานของ Okta และมีช่องให้ใส่บัญชีผู้ใช้-รหัสผ่าน

จากการวิเคราะห์พบว่า เมื่อพนักงานถูกหลอกให้ใส่รหัสผ่านแล้ว รหัสจะถูกส่งไปยังแฮ็กเกอร์ผ่าน Telegram แบบเรียลไทม์ แฮ็กเกอร์จะนำรหัสผ่านนี้ไปล็อกอินเข้าระบบจริงๆ อีกที

จากนั้นหน้าเว็บปลอมจะขึ้นหน้าจอให้ใส่ OTP ทาง SMS ทันที เพื่อหลอกให้ผู้ใช้กรอก OTP ที่ได้จากระบบของจริง แล้วส่งผ่าน Telegram ให้แฮ็กเกอร์นำ OTP ไปกรอกบนหน้าเว็บจริงให้ทันเวลา expire ของรหัส OTP ได้สำเร็จ

Cloudflare บอกว่าเทคนิคนี้ช่วยให้แฮ็กเกอร์เอาชนะการล็อกอิน 2 ปัจจัย (two-factor authentication) ในกรณีส่วนใหญ่ได้ เพราะองค์กรส่วนมากคิดว่าแข็งแรงพอแล้ว แต่แฮ็กเกอร์มีวิธีเอาชนะได้สำเร็จ ซึ่งมีพนักงานอย่างน้อย 3 คนโดนหลอกสำเร็จ และกรอกรหัสผ่านลงไปในหน้าเว็บปลอม

อย่างไรก็ตาม ระบบยืนยันตัวตนของ Cloudflare ไม่ได้ใช้ OTP แต่ใช้กุญแจความปลอดภัยของฮาร์ดแวร์แบบ FIDO-2 (เช่น Yubikey) ที่ซื้อแจกให้พนักงานทุกคน ดังนั้นเทคนิคการทำ phishing ที่ซับซ้อนแบบนี้จึงทำอะไร Cloudflare ไม่ได้ เพราะกุญแจฮาร์ดแวร์แข็งแกร่งกว่ามากนั่นเอง

จากการตรวจสอบอย่างละเอียด Cloudflare ไม่พบการเจาะระบบที่สำเร็จแต่อย่างใด

หลังจากเกิดเหตุการณ์นี้ Cloudflare บล็อคการเข้าถึงโดเมนเนมนี้ทันที, บังคับตัดเซสชันและรีเซ็ตรหัสผ่านของพนักงาน 3 คนที่โดนหลอก, ประสานงานกับ DigitalOcean เพื่อปิดเซิร์ฟเวอร์ และยึดโดเมนเนม, แชร์ข้อมูลการโจมตีครั้งนี้ให้องค์กรอื่นๆ ที่อาจโดนแบบเดียวกัน

ที่มา - Cloudflare Blog

Get latest news from Blognone