IBM Security เปิดเผยรายงาน IBM X-Force Threat Intelligence Index ประจำปี 2563 ที่แสดงให้เห็นถึงวิวัฒนาการใหม่ๆ ของเทคนิคที่อาชญากรไซเบอร์นำมาใช้ หลังจากที่ตลอดหลายสิบปีที่ผ่านมานี้สามารถเข้าถึงข้อมูลส่วนตัวและข้อมูลบริษัทหลายหมื่นล้านเรคคอร์ด รวมถึงช่องโหว่ในซอฟต์แวร์อีกนับแสนรายการมาแล้ว โดยจากรายงานพบว่า 60% ของการเริ่มเจาะเข้าถึงเครือข่ายของผู้ตกเป็นเป้าหมายนั้น อาศัยข้อมูลประจำตัวที่ถูกขโมยมา หรือช่องโหว่ของซอฟต์แวร์ที่เคยมีการแจ้งเตือนให้ทราบแล้ว โดยที่ผู้โจมตีไม่ต้องพยายามวางแผนเพื่อใช้วิธีหลอกลวงที่แยบยลในการเข้าถึงระบบมากเหมือนเมื่อก่อน 

รายงาน IBM X-Force Threat Intelligence Index ได้ชี้ให้เห็นถึงปัจจัยที่ส่งผลต่อวิวัฒนาการต่างๆ ข้างต้น กล่าวคือ

•    การเจาะระบบครั้งแรกสำเร็จด้วยวิธีฟิชชิ่ง ถือเป็นสัดส่วน 1 ใน 3 จากเหตุที่เกิดขึ้นทั้งหมด (31%) เมื่อเทียบกับสัดส่วน 50% ในปี 2561

•    การสแกนและการโจมตีช่องโหว่คิดเป็น 30% ของเหตุทั้งหมด เมื่อเทียบกับสัดส่วนเพียง 8% ในปี 2561 โดยช่องโหว่เก่าๆ บน Microsoft Office และ Windows Server Message Block ที่เป็นที่รู้กันอยู่แล้ว ยังคงถูกโจมตีด้วยอัตราที่สูงจนน่าตกใจในปี 2562

•    จากการเฝ้าสังเกต พบว่าการใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเป็นตัวนำเข้าถึงระบบ ได้รับความนิยมเพิ่มมากขึ้นโดยคิดเป็นสัดส่วน 29% จากทั้งหมด เฉพาะในปี 2562 เพียงปีเดียว มีข้อมูลรั่วไหลกว่า 8.5 พันล้านเรคคอร์ด ทำให้มีการรับแจ้งเหตุข้อมูลรั่วไหลเพิ่มขึ้นจากปีก่อนถึง 200% ส่วนข้อมูลประจำตัวที่ถูกขโมยและถูกอาชญากรไซเบอร์นำไปใช้เป็นข้อมูลตั้งต้นนั้นก็เพิ่มสูงขึ้นเช่นกัน 

“ข้อมูลรั่วไหลปริมาณมากที่เราเห็นในทุกวันนี้ สะท้อนให้เห็นว่าอาชญากรไซเบอร์มีกุญแจที่สามารถใช้ไขเข้ามาที่บ้านหรือธุรกิจของเรามากขึ้นกว่าเดิม และผู้โจมตีก็ไม่ต้องเสียเวลาคิดหาวิธีที่แยบยลในการเจาะเข้ามายังธุรกิจเลย เพราะสามารถโจมตีได้ทันทีโดยใช้ช้อมูลแสดงตัวตนที่มีอยู่ อย่างเช่นการล็อกอินด้วยข้อมูลประจำตัวที่ขโมยมา เป็นต้น” เวนดี้ วิตมอร์ รองประธานของ IBM X-Force Threat Intelligence กล่าว “มาตรการป้องกันต่างๆ เช่น การยืนยันตัวตนหลายปัจจัย และการลงชื่อเข้าใช้แบบ single sign-on จึงมีความสำคัญมากสำหรับการรับมือกับการโจมตีทางไซเบอร์ขององค์กร และการปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้”

IBM X-Force ทำการวิเคราะห์โดยอาศัยข้อมูลเชิงลึกและข้อสังเกตที่ได้จากการเฝ้าตรวจสอบเหตุด้านซิเคียวริตี้ 7 หมื่นล้านเหตุการณ์ต่อวันในกว่า 130 ประเทศ ร่วมกับการรวบรวมและวิเคราะห์ข้อมูลจากหลายแหล่ง ไม่ว่าจะเป็น X-Force IRIS, X-Force Red, IBM Managed Security Services รวมถึงรายละเอียดการรั่วไหลของข้อมูลที่ได้มีการเปิดเผยสู่สาธารณะ นอกจากนี้ IBM X-Force ยังวางกับดักหลอกล่อสแปมทั่วโลกหลายพันแห่ง เฝ้าตรวจสอบสแปมและการโจมตีแบบฟิชชิ่งที่เกิดขึ้นในแต่ละวัน และวิเคราะห์เว็บเพจและรูปภาพหลายพันล้านรายการ เพื่อตรวจหากิจกรรมในลักษณะฉ้อโกงและการแอบอ้างชื่อแบรนด์ไปใช้ในทางมิชอบ 

ข้อสังเกตที่น่าสนใจบางส่วนที่ชี้แจงไว้ในรายงาน

•    การตั้งค่าผิด — รายงานชี้ให้เห็นว่าจากจำนวนข้อมูลที่รั่วไหลมากกว่า 8.5 พันล้านเรคคอร์ดในปี 2562 นั้น มีถึง 7 พันล้านเรคคอร์ดหรือคิดเป็นสัดส่วนมากกว่า 85% ที่มีสาเหตุมาจากการตั้งค่าคลาวด์เซิร์ฟเวอร์ไม่ถูกต้อง และการกำหนดค่าระบบไม่เหมาะสม ทิ้งห่างจากปี 2561 ที่มีไม่ถึงครึ่ง

•    ภาคธนาคารโดนแรนซัมแวร์เล่นงาน — จากรายงานของปีนี้ โทรจันภาคธนาคารที่มีการใช้มากที่สุดอย่าง TrickBot เริ่มกลายเป็นตัวปูทางสู่การเข้าโจมตีด้วยแรนซัมแวร์แบบเต็มตัว โดยมีการพบโค้ดรูปแบบใหม่ที่ใช้โดยโทรจันและแรนซัมแวร์ในภาคธนาคารสูงเป็นอันดับต้นๆ เมื่อเทียบกับมัลแวร์รูปแบบอื่นๆ ที่มีการพูดถึงในรายงาน

•    ฟิชชิ่งเบนเข็มไปสู่ภาคเทคโนโลยี — แบรนด์ “10 อันดับแรก” ที่อาชญากรไซเบอร์นำไปสวมรอยเพื่อใช้ในการหลอกลวงแบบฟิชชิ่งนั้นมีทั้งแบรนด์ด้านเทคโนโลยี โซเชียลมีเดีย และบริการคอนเทนต์สตรีมมิ่งที่ใช้ตามบ้าน โดยการเปลี่ยนแปลงครั้งนี้แสดงให้เห็นว่าผู้คนหันมาเชื่อใจผู้ให้บริการด้านเทคโนโลยีมากกว่าแบรนด์ค้าปลีกและการเงินที่เคยเป็นที่น่าเชื่อถือมายาวนาน โดยแบรนด์ยอดนิยมที่ถูกนำไปแอบอ้างมากที่สุด ได้แก่ Google, YouTube และ Apple

วิวัฒนาการของการโจมตีด้วยแรนซัมแวร์ 

รายงานยังเผยให้เห็นถึงเทรนด์การโจมตีด้วยแรนซัมแวร์ที่มีเป้าหมายเป็นทั้งภาครัฐและภาคเอกชน โดยในปี 2562 นั้น พบว่ามีการใช้แรนซัมแวร์เพิ่มสูงขึ้นมาก และได้มีการส่งทีม IBM X-Force ไปช่วยแก้ไขเหตุแรนซัมแวร์ใน 13 ภาคธุรกิจทั่วโลก ซึ่งเป็นสิ่งที่ยืนยันว่าการโจมตีลักษณะนี้เกิดขึ้นได้กับทุกภาคธุรกิจ 

นอกจากหน่วยงานรัฐของสหรัฐฯ กว่า 100 แห่งจะได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมาแล้ว IBM X-Force ยังพบว่ามีการเน้นโจมตีธุรกิจในภาคค้าปลีก การผลิต และการคมนาคม อย่างเห็นได้ชัด เนื่องจากเป็นภาคธุรกิจที่ทราบกันดีว่ามีข้อมูลมากมายที่สามารถทำเงินได้ หรือยังใช้เทคโนโลยีล้าสมัยอยู่ จึงมีช่องโหว่มากมายนับไม่ถ้วน โดยจาก 80% ของการพยายามโจมตีด้วยแรนซัมแวร์ที่ได้เฝ้าสังเกตนั้น พบว่าผู้โจมตีอาศัยช่องโหว่ใน Windows Server Message Block ซึ่งเป็นกลวิธีเดียวกันกับที่ใช้ในการกระจาย WannaCry ที่ทำให้ธุรกิจหลายแห่งใน 150 ประเทศต้องเป็นอัมพาตในปี 2560

การโจมตีด้วยแรนซัมแวร์สร้างความเสียหายให้แก่องค์กรต่างๆ มากกว่า 2 แสนล้านบาทในปี 2562 โดยที่ผลประโยชน์ตกไปอยู่ในมือผู้ไม่หวังดีและเหตุการณ์ลักษณะนี้ยังไม่มีทีท่าว่าจะลดลงในปี 2563 ทั้งนี้ ในรายงานที่ไอบีเอ็มร่วมทำกับ Intezer นั้น ระบุว่ามีการพบโค้ดมัลแวร์ใหม่ในโค้ดของโทรจันภาคธนาคารถึง 45% และพบในโค้ดของแรนซัมแวร์ถึง 36% โดยการสร้างโค้ดใหม่ขึ้นมานั้นแสดงให้เห็นว่าผู้โจมตียังคงให้ความสำคัญกับการหาวิธีหลบเลี่ยงการตรวจจับอยู่

ในขณะเดียวกัน IBM X-Force ยังสังเกตเห็นความสัมพันธ์ที่ใกล้ชิดระหว่างแรนซัมแวร์และโทรจันที่ใช้ในภาคธนาคาร โดยมีการใช้โทรจันดังกล่าวเพื่อเบิกทางให้กับการใช้แรนซัมแวร์ในการโจมตีเป้าหมายที่มีมูลค่าสูง ซึ่งแสดงให้เห็นว่ามีการใช้งานแรนซัมแวร์ในรูปแบบที่หลากหลายมากขึ้น ตัวอย่างเช่น มัลแวร์ที่มีการใช้ในภาคธุรกรรมทางการเงินมากที่สุดตามรายงานอย่าง TrickBot นั้น ต้องสงสัยว่าเป็นตัวการปล่อย Ryuk เข้าสู่เครือข่ายองค์กร ในขณะที่โทรจันภาคธนาคารอีกหลายตัว เช่น QakBot, GootKit และ Dridex ต่างก็หันมาใช้แรนซัมแวร์เพื่อเพิ่มความหลากหลายเช่นกัน  

ผู้ไม่หวังดีแอบอ้างบริษัทเทคโนโลยีและโซเชียลมีเดียในการหลอกลวงแบบฟิชชิ่ง

เมื่อผู้ใช้งานทั่วไปเริ่มจับทางอีเมลฟิชชิ่งได้ กลวิธีฟิชชิ่งหลายๆ แบบก็ตกเป็นเป้าหมายเสียเอง โดยไอบีเอ็มได้ร่วมมือกับ Quad9 และสังเกตเห็นแนวโน้มการฟิชชิ่งในรูปแบบที่ผู้โจมตีสวมรอยเป็นแบรนด์ด้านเทคโนโลยีสำหรับผู้บริโภค พร้อมใส่ลิงค์ที่ดูน่าสนใจ โดยใช้บริษัทเทคโนโลยี โซเชียลมีเดีย และคอนเทนต์สตรีมมิ่ง ในการหลอกล่อให้ผู้ใช้คลิกลิงค์อันตรายด้วยวิธีการแบบฟิชชิ่ง 

เกือบ 60% ของแบรนด์ที่ถูกแอบอ้างและตรวจพบ 10 อันดับแรกนั้นใช้โดเมนของ Google และ YouTube ในขณะที่ Apple (15%) และ Amazon (12%) ก็ถูกแอบอ้างโดยผู้โจมตีที่หวังจะขโมยข้อมูลที่ทำเงินได้ของผู้ใช้ โดยจากการประเมินของ IBM X-Force พบว่าสาเหตุหลักที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมายคือข้อมูลที่ทำเงินได้ที่แบรนด์เหล่านี้จัดเก็บไว้

Facebook, Instagram และ Netflix เองก็ติด 10 อันดับแรกของแบรนด์ที่ถูกแอบอ้างมากที่สุด แต่อยู่ในอัตราที่ต่ำกว่ามาก ทั้งนี้อาจเนื่องมาจากการที่บริการเหล่านี้มักไม่ค่อยเก็บข้อมูลที่ทำเงินได้ไว้โดยตรง นอกจากนี้ ผู้โจมตียังหวังพึ่งการใช้ข้อมูลประจำตัวซ้ำในการเข้าถึงบัญชีที่ทำเงินได้สูง โดย IBM X-Force ตั้งข้อสังเกตว่าการใช้รหัสผ่านเดิมซ้ำบ่อยๆ ได้ น่าจะเป็นปัจจัยที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมาย ทั้งนี้ ข้อมูลจาก Future of Identity Study ของไอบีเอ็ม ชี้ให้เห็นว่า 41% ของชาวมิลเลนเนียลใช้รหัสผ่านเดิมซ้ำหลายครั้ง ในขณะที่กลุ่มเจน Z ใช้รหัสผ่านเฉลี่ยเพียง 5 รหัส ซึ่งแสดงให้เห็นถึงอัตราการใช้รหัสผ่านซ้ำที่สูงมาก 

การแยกแยะโดเมนที่ถูกแอบอ้างเป็นเรื่องที่ยากมาก และผู้โจมตีเองก็หวังพึ่งจุดแข็งในเรื่องนี้ โดยเมื่อรวมบัญชีทั้งหมดจากแบรนด์ 10 อันดับแรกที่ถูกแอบอ้างตามที่ระบุไว้ในรายงานแล้ว  พบว่ามีบัญชีรวมกันถึง 1 หมื่นล้านบัญชี ทำให้ผู้ไม่หวังดีมีเป้าหมายให้เลือกโจมตีหลากหลายกลุ่ม และยิ่งเป็นการเพิ่มโอกาสที่ผู้ใช้ที่ไม่ระวังจะคลิกลิงก์ที่ดูไม่มีพิษมีภัยจากแบรนด์ที่ถูกแอบอ้างอีกด้วย 

ข้อสรุปสำคัญเพิ่มเติมที่มีการชี้แจงในรายงาน

•    ธุรกิจค้าปลีกกลับมาอยู่ในลิสต์กลุ่มอุตสาหกรรมเป้าหมาย: ธุรกิจค้าปลีกพุ่งขึ้นมาเป็นธุรกิจที่ถูกโจมตีมากที่สุดเป็นอันดับ 2 ในรายงานของปีนี้ สูสีกับบริการทางการเงิน ซึ่งครองอันดับ 1 มานาน 4 ปีติดต่อกัน การโจมตีของกลุ่ม Magecart ถือเป็นการโจมตีธุรกิจในภาคค้าปลีกที่รุนแรงที่สุด มีเว็บไซต์อีคอมเมิร์ซที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าวในช่วงฤดูร้อนปี 2562 ถึง 80 แห่ง โดยอาชญากรไซเบอร์พุ่งเป้าไปที่ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้ (PII) ของลูกค้า ข้อมูลบัตรชำระเงิน หรือแม้แต่ข้อมูลโปรแกรมสมาชิกสะสมคะแนนที่มีมูลค่า นอกจากนี้เมื่อพิจารณาจากข้อมูลเชิงลึกที่ได้จากการที่ไอบีเอ็มเข้าไปช่วยรับมือกับเหตุการณ์ต่างๆ ยังพบว่ามีการโจมตีธุรกิจค้าปลีกด้วยแรนซัมแวร์สูงมาก 

•    การโจมตีระบบที่ใช้ควบคุมเครื่องจักรในอุตสาหกรรมต่างๆ (Industrial Control System หรือ ICS) และเทคโนโลยีส่วนปฏิบัติการ (Operational Technology หรือ OT) พุ่งสูงเป็นประวัติการณ์: ในปี 2562 นั้น เทคโนโลยีส่วนปฏิบัติการตกเป็นเป้าหมายการโจมตีเพิ่มขึ้นถึง 2000% เมื่อเทียบกับปีก่อน เรียกได้ว่าเป็นปีที่มีการโจมตีโครงสร้างพื้นฐาน ICS และ OT สูงที่สุดนับตั้งแต่ปี 2559 เป็นต้นมา และการโจมตีส่วนใหญ่ที่สังเกตเห็นนั้น เป็นการใช้ช่องโหว่ที่ทราบอยู่แล้วภายในฮาร์ดแวร์ SCADA และ ICS ร่วมกับการพยายามเข้าถึงบัญชีผู้ใช้จำนวนมากด้วยรหัสผ่านที่คนมักใช้ไม่กี่รหัส (Password-spraying)

•    อเมริกาเหนือและเอเชียคือภูมิภาคที่ตกเป็นเป้าหมายมากที่สุด: ภูมิภาคเหล่านี้ถูกโจมตีมากที่สุด อีกทั้งยังได้รับความเสียหายจากข้อมูลรั่วไหลมากที่สุดในปีที่ผ่านมา โดยมีข้อมูลรั่วไหลมากกว่า 5 พันล้านเรคคอร์ด และ 2 พันล้านเรคคอร์ดตามลำดับ 

รายงาน IBM X-Force Threat Intelligence Index รวบรวมข้อมูลที่ไอบีเอ็มได้จัดเก็บในปี 2562 เพื่อให้รายละเอียดเชิงลึกเกี่ยวกับสถานการณ์ด้านภัยคุกคามทั่วโลก และเป็นแหล่งให้ผู้ที่ทำงานด้านซิเคียวริตี้ได้ทราบข้อมูลภัยคุกคามที่เกี่ยวข้องกับองค์กรของตนมากที่สุด โดยสามารถดาวน์โหลดรายงานฉบับเต็มได้ที่ https://ibm.biz/downloadxforcethreatindex