- นี่เป็นข้อความที่ร้ายแรงและควรได้รับการปฏิบัติโดยลูกค้า Microsoft ทั้งหมด
- บริษัท Redmond ออกคำเตือนเกี่ยวกับฟิชชิ่ง SEABORGIUM อย่างแท้จริง
- บุคคลที่สามที่เป็นอันตรายสามารถแทรกซึมระบบของคุณโดยใช้อีเมล OneDrive ที่สร้างขึ้น
เมื่อคุณคิดว่าล่าสุด Patch Tuesday อัพเดทความปลอดภัย ครอบคลุมช่องว่างเกือบทั้งหมดในตารางการป้องกันของ Microsoft ยักษ์ใหญ่ด้านเทคโนโลยีนำเสนอข่าวที่น่าอึดอัดใจมากขึ้น
Threat Intelligence Center หรือ MSTIC ของบริษัท Redmond ได้ออกคำเตือนอย่างจริงจังเกี่ยวกับแคมเปญฟิชชิ่งที่เรียกว่า ซีบอร์เจียม.
นี่ไม่ใช่สิ่งแปลกใหม่สำหรับผู้เชี่ยวชาญด้านความปลอดภัย เนื่องจากโครงการนี้มีมาตั้งแต่ปี 2560 โดยพื้นฐานแล้ว Microsoft ได้สร้างสิ่งสำคัญ โพสต์บล็อก เกี่ยวกับซีบอร์เจียม
เรากำลังจะแสดงให้คุณเห็นถึงวิธีการดำเนินการโดยดูจากคำแนะนำที่ครอบคลุมซึ่งอาจช่วยให้ผู้ที่มีแนวโน้มจะเป็นเหยื่อหลีกเลี่ยงได้
รูปแบบฟิชชิ่งของ SEABORGIUM ทำงานอย่างไร
เรารู้ว่าคุณคงสงสัยว่าอะไรทำให้แคมเปญฟิชชิ่งนี้เป็นอันตรายต่อผู้ใช้ Microsoft
คุณควรรู้ว่าจริง ๆ แล้วเป็นวิธีที่บุคคลที่สามที่เป็นอันตรายเริ่มต้นการโจมตี ประการแรก มีคนเห็นพวกเขาทำการสอดแนมหรือสังเกตการณ์ผู้ที่อาจเป็นเหยื่ออย่างละเอียดโดยใช้โปรไฟล์โซเชียลมีเดียที่ฉ้อโกง
เป็นผลให้มีการสร้างที่อยู่อีเมลจำนวนมากเพื่อเลียนแบบ ID จริงของบุคคลจริงเพื่อติดต่อกับเป้าหมายที่เลือก
ไม่เพียงเท่านั้น อีเมลที่อาจเป็นอันตรายยังสามารถมาจากบริษัทรักษาความปลอดภัยที่สำคัญ ซึ่งเสนอให้ความรู้แก่ผู้ใช้เกี่ยวกับความปลอดภัยทางไซเบอร์
Microsoft ยังระบุด้วยว่าแฮกเกอร์ SEABORGIUM ส่ง URL ที่เป็นอันตรายโดยตรงในอีเมลหรือผ่านไฟล์แนบ ซึ่งมักจะเลียนแบบบริการโฮสต์เช่น OneDrive ของ Microsoft
นอกจากนี้ ยักษ์ใหญ่ด้านเทคโนโลยียังได้สรุปการใช้ชุดฟิชชิ่ง EvilGinx ในกรณีนี้ใช้เพื่อขโมยข้อมูลประจำตัวของผู้ที่ตกเป็นเหยื่อ
ตามที่บริษัทกล่าวไว้ ในกรณีที่ง่ายที่สุด SEABORGIUM จะเพิ่ม URL ให้กับเนื้อหาของอีเมลฟิชชิ่งโดยตรง
อย่างไรก็ตาม ในบางครั้ง บุคคลที่สามที่ประสงค์ร้ายใช้ประโยชน์จากตัวย่อ URL และการเปลี่ยนเส้นทางแบบเปิดเพื่อทำให้ URL ของพวกเขาสับสนจากเป้าหมายและแพลตฟอร์มการป้องกันแบบอินไลน์
อีเมลจะแตกต่างกันไปตามการติดต่อส่วนตัวปลอมที่มีข้อความไฮเปอร์ลิงก์และอีเมลแชร์ไฟล์ปลอมที่เลียนแบบแพลตฟอร์มต่างๆ
มีการสังเกตแคมเปญ SEABORGIUM เพื่อใช้ข้อมูลประจำตัวที่ถูกขโมยและลงชื่อเข้าใช้บัญชีอีเมลของเหยื่อโดยตรง
ดังนั้น จากประสบการณ์ของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ตอบสนองต่อการบุกรุกจากผู้ดำเนินการนี้ในนามของลูกค้าของเรา บริษัทยืนยันว่ากิจกรรมต่อไปนี้เป็นเรื่องปกติ:
- การกรองข้อมูลข่าวกรอง: SEABORGIUM ได้รับการตรวจพบการกรองอีเมลและไฟล์แนบจากกล่องจดหมายของเหยื่อ
- การตั้งค่าการเก็บรวบรวมข้อมูลถาวร: ในบางกรณี พบว่า SEABORGIUM ตั้งค่ากฎการส่งต่อจากกล่องจดหมายของเหยื่อไปยังบัญชี Dead Drop ที่ควบคุมโดยนักแสดง ซึ่งนักแสดงสามารถเข้าถึงข้อมูลที่รวบรวมได้ในระยะยาว มากกว่าหนึ่งครั้ง เราสังเกตว่านักแสดงสามารถเข้าถึงข้อมูลรายชื่อผู้รับจดหมายสำหรับกลุ่มที่มีความละเอียดอ่อน เช่น แวะเวียนมาจากอดีตเจ้าหน้าที่ข่าวกรอง และเก็บข้อมูลจากรายชื่อผู้รับจดหมายเพื่อติดตามเป้าหมายและ การกรองออก
- เข้าถึงผู้สนใจ: มีหลายกรณีที่ตรวจพบ SEABORGIUM โดยใช้บัญชีปลอมเพื่ออำนวยความสะดวกในการโต้ตอบกับ เฉพาะบุคคลที่สนใจ และเป็นผลให้ รวมอยู่ในการสนทนา ซึ่งบางครั้งโดยไม่เจตนา เกี่ยวข้องกับหลายฝ่าย ลักษณะของการสนทนาที่ระบุในระหว่างการสอบสวนโดย Microsoft แสดงให้เห็นข้อมูลที่ละเอียดอ่อนซึ่งถูกแบ่งปันซึ่งอาจให้คุณค่าทางปัญญา
จะทำอย่างไรเพื่อป้องกันตัวเองจากซีบอร์เจียม?
เทคนิคทั้งหมดที่กล่าวถึงข้างต้นที่ Microsoft กล่าวว่าถูกใช้โดยแฮกเกอร์สามารถบรรเทาได้จริงโดยการใช้ข้อควรพิจารณาด้านความปลอดภัยที่ให้ไว้ด้านล่าง:
- ตรวจสอบการตั้งค่าการกรองอีเมล Office 365 เพื่อให้แน่ใจว่าคุณบล็อกอีเมลปลอม สแปม และอีเมลที่มีมัลแวร์
- กำหนดค่า Office 365 เพื่อปิดใช้งานการส่งต่ออีเมลอัตโนมัติ
- ใช้ตัวบ่งชี้ของการประนีประนอมเพื่อตรวจสอบว่ามีอยู่ในสภาพแวดล้อมของคุณหรือไม่และประเมินการบุกรุกที่อาจเกิดขึ้น
- ตรวจสอบกิจกรรมการรับรองความถูกต้องทั้งหมดสำหรับโครงสร้างพื้นฐานการเข้าถึงระยะไกล โดยเน้นที่บัญชีโดยเฉพาะ กำหนดค่าด้วยการรับรองความถูกต้องด้วยปัจจัยเดียว เพื่อยืนยันความถูกต้องและตรวจสอบสิ่งผิดปกติใดๆ กิจกรรม.
- ต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับผู้ใช้ทุกคนที่มาจากทุกสถานที่รวมถึงการรับรู้ สภาพแวดล้อมที่เชื่อถือได้และโครงสร้างพื้นฐานที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด แม้กระทั่งในสภาพแวดล้อมที่มาจากภายในองค์กร ระบบ
- ใช้ประโยชน์จากการใช้งานที่ปลอดภัยยิ่งขึ้น เช่น โทเค็น FIDO หรือ Microsoft Authenticator ด้วยการจับคู่ตัวเลข หลีกเลี่ยงวิธีการ MFA ทางโทรศัพท์เพื่อหลีกเลี่ยงความเสี่ยงที่เกี่ยวข้องกับการใส่ซิม
สำหรับลูกค้า Microsoft Defender สำหรับลูกค้า Office 365:
- ใช้ Microsoft Defender for Office 365 เพื่อเพิ่มการป้องกันฟิชชิ่งและการครอบคลุมภัยคุกคามใหม่ๆ และตัวแปรที่หลากหลาย
- เปิดใช้งาน Zero-hour auto purge (ZAP) ใน Office 365 เพื่อกักกันอีเมลที่ส่งเพื่อตอบสนองต่อภัยคุกคามที่ได้รับใหม่ อัจฉริยะและต่อต้านข้อความฟิชชิ่ง สแปม หรือมัลแวร์ที่เป็นอันตรายซึ่งส่งไปแล้ว ไปยังกล่องจดหมาย
- กำหนดค่า Defender สำหรับ Office 365 เพื่อตรวจสอบลิงก์อีกครั้งเมื่อคลิก Safe Links ให้การสแกน URL และการเขียนข้อความอีเมลขาเข้าใหม่ในโฟลว์อีเมล และการตรวจสอบเวลาคลิกของ URL และลิงก์ในข้อความอีเมล แอปพลิเคชัน Office อื่นๆ เช่น Teams และตำแหน่งอื่นๆ เช่น SharePoint Online การสแกน Safe Links เกิดขึ้นนอกเหนือจากการป้องกันสแปมและมัลแวร์ปกติในข้อความอีเมลขาเข้าใน Exchange Online Protection (EOP) การสแกน Safe Links สามารถช่วยปกป้ององค์กรของคุณจากลิงก์ที่เป็นอันตรายซึ่งใช้ในการฟิชชิงและการโจมตีอื่นๆ
- ใช้โปรแกรมจำลองการโจมตีใน Microsoft Defender สำหรับ Office 365 เพื่อเรียกใช้แคมเปญฟิชชิงและการโจมตีด้วยรหัสผ่านที่จำลองได้จริงแต่ปลอดภัยภายในองค์กรของคุณ เรียกใช้การจำลองแบบ spear-phishing (การเก็บเกี่ยวข้อมูลรับรอง) เพื่อฝึกผู้ใช้ปลายทางจากการคลิก URL ในข้อความที่ไม่พึงประสงค์และเปิดเผยข้อมูลประจำตัวของพวกเขา
เมื่อคำนึงถึงสิ่งนี้แล้ว คุณควรคิดให้รอบคอบก่อนเปิดเอกสารแนบประเภทใดก็ตามที่มาในอีเมลจากแหล่งที่น่าสงสัย
คุณอาจคิดว่าการคลิกง่ายๆ นั้นไม่เป็นอันตราย แต่แท้จริงแล้ว ผู้โจมตีจำเป็นต้องแทรกซึม ประนีประนอม และใช้ประโยชน์จากข้อมูลของคุณเท่านั้น
คุณสังเกตเห็นกิจกรรมที่น่าสงสัยเมื่อเร็ว ๆ นี้หรือไม่? แบ่งปันประสบการณ์ของคุณกับเราในส่วนความคิดเห็นด้านล่าง
![Antivirus สามารถตรวจจับ Phishing ได้หรือไม่? [แนวทางป้องกัน]](/f/f7cd85f8e58b419c47d4b6b379d151ed.png?width=300&height=460)
![Antivirus สามารถตรวจจับ Phishing ได้หรือไม่? [แนวทางป้องกัน]](/f/4f6460d1d25f95007e1883c581a48b1e.jpg?width=300&height=460)
