WhatsApp Phishing Attack รูปแบบใหม่! เมื่อเอกสารธุรกิจปลอมกลายเป็นช่องทางติดตั้งมัลแวร์ในองค์กร

ภัยคุกคามไซเบอร์ไม่ได้มาแค่ทางอีเมลอีกต่อไป

เมื่อพูดถึงการโจมตีแบบ Phishing หลายองค์กรอาจนึกถึงอีเมลปลอมที่ส่งลิงก์หรือไฟล์อันตรายมาให้พนักงานเปิดใช้งาน แต่ในปัจจุบัน ผู้โจมตีได้ขยายช่องทางการโจมตีไปยังแพลตฟอร์มการสื่อสารยอดนิยมอย่าง WhatsApp, Microsoft Teams, Telegram และแอปพลิเคชันแชตอื่น ๆ ที่ถูกใช้ในการติดต่อธุรกิจเป็นประจำ

ล่าสุด Microsoft ได้เปิดเผยการโจมตีรูปแบบใหม่ที่อาศัย WhatsApp เป็นช่องทางในการส่งเอกสารธุรกิจปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์บนเครื่องคอมพิวเตอร์ โดยมีเป้าหมายทั้งผู้ใช้งานทั่วไปและพนักงานในองค์กร

การโจมตีลักษณะนี้สะท้อนให้เห็นว่า Cybercriminals กำลังปรับเปลี่ยนกลยุทธ์อย่างต่อเนื่อง และองค์กรจำเป็นต้องขยายขอบเขตการป้องกันจาก "Email Security" ไปสู่ "Communication Security" อย่างเต็มรูปแบบ

WhatsApp Phishing Attack คืออะไร?

WhatsApp Phishing Attack เป็นรูปแบบการโจมตีที่ผู้ไม่หวังดีใช้บัญชี WhatsApp ส่งข้อความพร้อมไฟล์แนบหรือเอกสารที่ดูน่าเชื่อถือ เช่น

• ใบเสนอราคา (Quotation)
• ใบแจ้งหนี้ (Invoice)
• เอกสารจัดส่งสินค้า
• เอกสารสัญญาทางธุรกิจ
• เอกสารเกี่ยวกับการจัดซื้อจัดจ้าง
• รายงานหรือเอกสารภายในองค์กร

เนื่องจาก WhatsApp ถูกใช้งานอย่างแพร่หลายในการติดต่อธุรกิจ ผู้ใช้งานจำนวนมากจึงมักลดความระมัดระวังลงเมื่อได้รับไฟล์จากบุคคลที่ดูเหมือนเป็นลูกค้า คู่ค้า หรือผู้ติดต่อทางธุรกิจ

ผู้โจมตีจึงอาศัยความเชื่อมั่นนี้เป็นจุดอ่อนในการหลอกให้เหยื่อเปิดไฟล์อันตราย

เทคนิคการโจมตีที่ใช้ในแคมเปญนี้

จากการวิเคราะห์ของ Microsoft พบว่าผู้โจมตีใช้กระบวนการโจมตีหลายขั้นตอน (Multi-Stage Attack Chain) เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย

ขั้นตอนที่ 1: ส่งเอกสารปลอมผ่าน WhatsApp

เหยื่อจะได้รับข้อความพร้อมไฟล์ที่อ้างว่าเป็นเอกสารทางธุรกิจที่ต้องดำเนินการเร่งด่วน

ตัวอย่างข้อความ เช่น

• กรุณาตรวจสอบใบเสนอราคา
• เอกสารการจัดส่งสินค้า
• รายละเอียดการชำระเงิน
• Purchase Order ใหม่

ข้อความเหล่านี้ถูกออกแบบมาเพื่อกระตุ้นให้เหยื่อรีบเปิดไฟล์โดยไม่ตรวจสอบให้ละเอียด

ขั้นตอนที่ 2: เรียกใช้ไฟล์อันตราย

เมื่อเปิดไฟล์ดังกล่าว ระบบจะเรียกใช้งานสคริปต์ VBScript (VBS) หรือไฟล์ที่มีการซ่อนโค้ดอันตรายไว้ภายใน

สคริปต์เหล่านี้จะเริ่มกระบวนการดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี

ขั้นตอนที่ 3: ติดตั้ง Payload เพิ่มเติม

หลังจากได้รับสิทธิ์ในการทำงานบนเครื่องของเหยื่อแล้ว มัลแวร์จะดาวน์โหลดเครื่องมือเพิ่มเติมเพื่อใช้ในการ

• ควบคุมเครื่องจากระยะไกล
• ขโมยข้อมูล
• ติดตั้ง Backdoor
• สำรวจระบบภายในองค์กร
• เตรียมความพร้อมสำหรับการโจมตีในขั้นต่อไป

ขั้นตอนที่ 4: สร้าง Persistence

ผู้โจมตีจะพยายามสร้างกลไกที่ทำให้มัลแวร์ยังคงทำงานอยู่แม้เครื่องจะถูกรีสตาร์ต

ส่งผลให้สามารถกลับเข้ามาควบคุมเครื่องได้ในอนาคตโดยไม่ต้องส่งไฟล์โจมตีใหม่อีกครั้ง

ทำไมการโจมตีผ่าน WhatsApp จึงน่ากังวล?

1. ผู้ใช้งานมักเชื่อถือข้อความในแอปแชตมากกว่าอีเมล

หลายองค์กรมีระบบป้องกันอีเมลที่เข้มงวด เช่น

• Secure Email Gateway
• Anti-Spam
• Anti-Phishing
• Email Sandboxing

แต่การสนทนาผ่าน WhatsApp มักไม่ได้ผ่านระบบตรวจสอบในระดับเดียวกัน

ทำให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิมได้ง่ายขึ้น

2. รองรับการโจมตีแบบ Social Engineering

ผู้โจมตีสามารถปลอมตัวเป็น

• ลูกค้า
• คู่ค้า
• ผู้บริหาร
• ฝ่ายจัดซื้อ
• ผู้ให้บริการภายนอก

เพื่อเพิ่มความน่าเชื่อถือและโน้มน้าวให้เหยื่อดำเนินการตามคำสั่ง

3. พนักงานใช้มือถือและคอมพิวเตอร์ร่วมกัน

ปัจจุบันหลายองค์กรใช้งาน WhatsApp Web หรือเชื่อมต่อ WhatsApp กับคอมพิวเตอร์โดยตรง

ทำให้การเปิดไฟล์จากแอปแชตบนเครื่องทำงานกลายเป็นความเสี่ยงที่เพิ่มขึ้นอย่างมาก

ผลกระทบที่อาจเกิดขึ้นต่อองค์กร

หากการโจมตีประสบความสำเร็จ องค์กรอาจเผชิญกับผลกระทบดังต่อไปนี้

การรั่วไหลของข้อมูลสำคัญ

ผู้โจมตีสามารถเข้าถึง

• ข้อมูลลูกค้า
• ข้อมูลทางการเงิน
• เอกสารภายใน
• ทรัพย์สินทางปัญญา

ซึ่งอาจนำไปสู่ความเสียหายทางธุรกิจและชื่อเสียงขององค์กร

การโจมตีแบบ Ransomware

เครื่องที่ถูกบุกรุกอาจกลายเป็นจุดเริ่มต้นของการแพร่กระจายแรนซัมแวร์ไปยังระบบอื่นภายในองค์กร

ส่งผลให้ข้อมูลถูกเข้ารหัสและไม่สามารถใช้งานได้

การยึดครองบัญชีผู้ใช้งาน

ผู้โจมตีอาจขโมยข้อมูลรับรอง (Credentials) และนำไปใช้เข้าถึงระบบสำคัญอื่น ๆ เช่น

• Microsoft 365
• VPN
• ERP
• CRM
• Cloud Services

ความเสียหายด้านกฎหมายและ Compliance

องค์กรที่ถูกละเมิดข้อมูลอาจต้องเผชิญกับ

• การแจ้งเหตุข้อมูลรั่วไหล
• ค่าปรับตามข้อกำหนด PDPA
• การสูญเสียความเชื่อมั่นจากลูกค้า

วิธีป้องกัน WhatsApp Phishing Attack ในองค์กร

1. สร้าง Cybersecurity Awareness ให้พนักงาน

พนักงานควรได้รับการอบรมให้สามารถสังเกต

• ข้อความผิดปกติ
• ผู้ส่งที่ไม่คุ้นเคย
• ไฟล์แนบที่ไม่ได้คาดหมาย
• คำขอเร่งด่วนผิดปกติ

การสร้างความตระหนักรู้ยังคงเป็นแนวป้องกันด่านแรกที่สำคัญที่สุด

2. ใช้ Endpoint Detection and Response (EDR)

โซลูชัน EDR สามารถช่วยตรวจจับพฤติกรรมที่น่าสงสัย เช่น

• การเรียกใช้สคริปต์ผิดปกติ
• การดาวน์โหลด Payload
• การสร้าง Persistence
• การเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก

ก่อนที่ภัยคุกคามจะลุกลามภายในองค์กร

3. ใช้นโยบาย Zero Trust Security

Zero Trust เป็นแนวคิดที่ไม่เชื่อถือผู้ใช้งานหรืออุปกรณ์ใดโดยอัตโนมัติ

ทุกการเข้าถึงต้องผ่านการตรวจสอบและยืนยันตัวตน

ช่วยลดความเสี่ยงหากเครื่องใดเครื่องหนึ่งถูกโจมตีสำเร็จ

4. จำกัดการใช้งาน Script ที่ไม่จำเป็น

องค์กรควรพิจารณา

• ปิดการใช้งาน VBScript
• จำกัดการเรียกใช้งาน PowerShell
• ใช้ Application Control

เพื่อลดโอกาสในการรันโค้ดอันตราย

5. เฝ้าระวังด้วย Managed Security Services

การมีทีม Security Operations Center (SOC) ที่คอยเฝ้าระวังเหตุการณ์ตลอด 24 ชั่วโมง จะช่วยให้สามารถตรวจพบและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว

โดยเฉพาะการโจมตีที่เกิดจากช่องทางใหม่ ๆ ที่อาจหลุดรอดจากการป้องกันแบบดั้งเดิม

การโจมตีผ่าน WhatsApp ที่ใช้เอกสารธุรกิจปลอมเป็นเพียงตัวอย่างหนึ่งของการพัฒนาเทคนิค Cyber Attack ที่ซับซ้อนมากขึ้นในปัจจุบัน ผู้โจมตีไม่ได้จำกัดอยู่เพียงการส่งอีเมลฟิชชิงอีกต่อไป แต่กำลังใช้ทุกช่องทางการสื่อสารที่พนักงานใช้งานในชีวิตประจำวัน

องค์กรจึงควรยกระดับการป้องกันทั้งด้านเทคโนโลยี กระบวนการ และบุคลากร ผ่านการอบรม Cybersecurity Awareness การใช้โซลูชัน Endpoint Protection และการเฝ้าระวังภัยคุกคามโดยผู้เชี่ยวชาญ เพื่อให้สามารถรับมือกับภัยคุกคามยุคใหม่ได้อย่างมีประสิทธิภาพ

การป้องกันที่ดีที่สุดไม่ใช่การรอให้ถูกโจมตี แต่คือการเตรียมความพร้อมก่อนที่เหตุการณ์จะเกิดขึ้น

#WhatsAppPhishing #CyberSecurity #PhishingAttack #ภัยคุกคามไซเบอร์ #ความมั่นคงปลอดภัยไซเบอร์
#SecurityAwareness #EndpointSecurity #ThreatDetection #ZeroTrust #ManagedSecurityServices #SOC #EDR #DataProtection #BigFish