พบอีเมลขยะใน APAC มากถึง 1 ใน 4 ของอีเมลอันตรายทั่วโลกในปี 2022

อีเมลขยะ หรือ อีเมลสแปม เริ่มต้นฉบับแรกในปี 1978 อีเมลสแปมมีวิวัฒนาการครอบคลุมทั้งด้านเทคนิค ยุทธวิธี และแนวโน้มล่าสุดที่อาชญากรไซเบอร์ใช้เพื่อทำให้อีเมลนั้นดูเป็นอีเมลที่ถูกกฎหมายและเหมือนเป็นเร่งด่วนมากขึ้น ซึ่งเป็นสูตรที่มีประสิทธิภาพสำหรับล่อเหยื่อผู้ใช้ที่ไม่ช่างสงสัย

นางสาวนูชิน ชาบับ หนึ่งในนักวิจัยชั้นแนวหน้าของแคสเปอร์สกี้ ได้สำรวจภูมิทัศน์การคุกคามของสแปมในเอเชียแปซิฟิกของปีนี้ และพบว่าภูมิภาคนี้ได้รับอีเมลสแปมประสงค์ร้ายมากถึง 24% จากจำนวนอีเมลทั่วโลกที่ถูกตรวจพบและบล็อกโดยโซลูชันของแคสเปอร์สกี้ ซึ่งหมายความว่าอีเมลขยะจำนวนหนึ่งในสี่ของโลกถูกส่งไปยังคอมพิวเตอร์ในภูมิภาคเอเชียแปซิฟิก

สแปมที่เป็นอันตรายไม่ใช่การโจมตีที่มีความซับซ้อนทางเทคโนโลยี แต่เมื่อใช้ร่วมกับเทคนิควิศวกรรมโซเชียล (social engineering) ที่ซับซ้อน ก็จะเป็นภัยคุกคามร้ายแรงต่อบุคคลและองค์กรได้ อีเมลสแปมเหล่านี้ถูกส่งออกไปในปริมาณมากโดยสแปมเมอร์และอาชญากรไซเบอร์ที่ต้องการทำสิ่งใดสิ่งหนึ่งต่อไปนี้

• สร้างรายได้จากผู้รับที่มีเพียงไม่กี่เปอร์เซ็นต์ที่ตอบกลับข้อความ
• เรียกใช้ฟิชชิ่งสแกม เพื่อรับรหัสผ่าน หมายเลขบัตรเครดิต รายละเอียดบัญชีธนาคาร และอื่นๆ
• กระจายโค้ดที่เป็นอันตรายไปยังคอมพิวเตอร์ของผู้รับ

ในปี 2022 สแปมที่เป็นอันตรายที่ตรวจพบในภูมิภาคนี้จำนวนมากกว่าครึ่ง (61.1%) กำหนดเป้าหมายไปยังผู้ใช้แคสเปอร์สกี้จากเวียดนาม มาเลเซีย ญี่ปุ่น อินโดนีเซีย และไต้หวัน

ชาบับกล่าวถึงปัจจัยหลักสามประการที่ทำให้เกิดอีเมลสแปมจำนวนมากที่กำหนดเป้าหมายไปยังเอเชียแปซิฟิก ได้แก่ จำนวนประชากร การใช้บริการอิเล็กทรอนิกส์ในระดับสูง และการล็อกดาวน์จากการระบาดใหญ่

ภูมิภาคเอเชียแปซิฟิกมีประชากรเกือบ 60% ของโลก ซึ่งหมายความว่ามีโอกาสตกเป็นเหยื่อของนักต้มตุ๋นมากกว่าภูมิภาคอื่นๆ ของโลก การใช้บริการออนไลน์อย่างกว้างขวาง เช่น การซื้อของออนไลน์และแพลตฟอร์มออนไลน์อื่นๆ สำหรับกิจกรรมในแต่ละวัน ทำให้ผู้ใช้มีความอ่อนไหวต่อการตกเป็นเหยื่อของกลโกงมากขึ้น นอกจากนี้ยังมีผลพวงจากการระบาดใหญ่อย่างต่อเนื่อง ซึ่งนำไปสู่การล็อกดาวน์และการทำงานจากที่บ้านที่ต้องนำคอมพิวเตอร์ของออฟฟิศกลับบ้าน เครือข่ายในบ้านมักจะได้รับการปกป้องจากการโจมตีทางไซเบอร์น้อยกว่า

นางสาวนูชิน ชาบับ นักวิจัยด้านความปลอดภัยอาวุโส ทีมวิจัยและวิเคราะห์ระดับโลก แคสเปอร์สกี้ กล่าวว่า “ตั้งแต่ปี 2018 จำนวนอีเมลสแปมที่เป็นอันตรายที่โซลูชั่นของเราตรวจพบได้ลดลงทีละน้อยหลังจากที่มีจำนวนสูงสุดในปี 2019 อย่างไรก็ตาม สิ่งนี้ไม่ได้หมายความว่ากล่องจดหมายของเราสะอาดและปลอดภัยยิ่งขึ้น การตรวจสอบอย่างต่อเนื่องของเราเกี่ยวกับภัยคุกคามถาวรขั้นสูง (APT) ในปัจจุบันและที่เกิดใหม่ที่ปฏิบัติการในเอเชียแปซิฟิก แสดงให้เห็นว่าผู้คุกคามที่มีชื่อเสียงเหล่านี้ส่วนใหญ่ใช้ฟิชชิ่งแบบกำหนดเป้าหมายที่เรียกว่า spearphishing เพื่อเจาะเข้าสู่ระบบขององค์กร”

ตัวอย่างล่าสุดของ APT ที่กำหนดเป้าหมายหน่วยงานหลักในเอเชียแปซิฟิกผ่านอีเมลที่เป็นอันตรายที่ซับซ้อนคือ ผู้ก่อภัยคุกคาม “Sidewinder” ตั้งแต่เดือนตุลาคม พ.ศ. 2021 ผู้ก่อภัยคุกคามได้ใช้โค้ด JS ใหม่ที่เป็นอันตรายกับโดเมนเซิร์ฟเวอร์ C2 ที่เพิ่งสร้างขึ้น ผู้โจมตีหรือที่รู้จักในชื่อ Rattlesnake หรือ T-APT4 กำหนดเป้าหมายไปยังเหยื่อด้วยอีเมลหลอกลวงทางอินเทอร์เน็ตที่มีไฟล์ RTF และ OOXML ที่เป็นอันตราย

“Sidewinder” เป็นที่รู้จักจากการกำหนดเป้าหมายเป็นหน่วยงานด้านการทหาร การป้องกันประเทศ และการบังคับใช้กฎหมาย การต่างประเทศ ไอที และหน่วยงานด้านการบินในเอเชียกลางและใต้ Sidewinder ถือเป็นหนึ่งในผู้คุกคามที่คุกคามมากที่สุดในภูมิภาคเอเชียแปซิฟิก ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังพบเอกสารสเปียร์ฟิชชิงซึ่งดูเหมือนว่าจะมุ่งเป้าไปที่เป้าหมายในอนาคตในสิงคโปร์อีกด้วย

ลักษณะสำคัญบางประการของผู้คุกคามนี้ที่ทำให้โดดเด่นเหนือสิ่งอื่นใดคือ จำนวนที่แท้จริง ความถี่สูง และการโจมตีอย่างต่อเนื่อง และคอลเล็กชันขนาดใหญ่ของส่วนประกอบที่เป็นอันตรายที่เข้ารหัสที่ใช้ในการปฏิบัติการ ผู้เชี่ยวชาญของแคสเปอร์สกี้ซึ่งติดตาม Sidewinder มาตั้งแต่ปี 2012 ตรวจพบการโจมตีแบบสเปียร์ฟิชชิงมากกว่าหนึ่งพันครั้งโดยผู้ก่อภัยคุกคาม APT รายนี้ตั้งแต่เดือนตุลาคม 2020

Sidewinder ยังคงขยายขอบเขตการล่อเหยื่อและเพิ่มพูนกลยุทธ์ฟิชชิงอย่างต่อเนื่อง

ตัวอย่างเช่น เพื่อลดความสงสัยที่เกิดจากเอกสารสเปียร์ฟิชชิงบางฉบับที่ไม่มีเนื้อหาที่เป็นข้อความ กลุ่มผู้คุกคามได้ดำเนินการตามความพยายามครั้งแรกในการโจมตีเหยื่อ ซึ่งเป็นอีเมลสเปียร์ฟิชชิงที่มีไฟล์เจาะช่องโหว่ RTF ที่เป็นอันตราย พร้อมด้วยอีเมลอื่นที่คล้ายคลึงกัน แต่ในกรณีนี้ ชื่อของเอกสารที่เป็นอันตรายคือ “_Apology Letter.docx” และมีข้อความที่อธิบายว่าอีเมลฉบับก่อนหน้านี้ถูกส่งไปโดยผิดพลาด และกำลังติดต่อมาเพื่อขอโทษสำหรับความผิดพลาดนั้น

ชาบับกล่าวเสริมว่า “มีกลุ่ม APT ที่มีการจัดการอย่างดีอีกหลายกลุ่ม เช่น Sidewinder ที่อัปเกรดเครื่องมือและยุทธวิธีอย่างต่อเนื่องเพื่อกำหนดเป้าหมายเหยื่อรายใหญ่ในเอเชียแปซิฟิกผ่านอีเมลขยะและฟิชชิงที่น่าเชื่อถือ นัยสำหรับเอ็นเทอร์ไพรซ์และองค์กรภาครัฐ นี่คืออีเมลอันตรายที่เมื่อคลิกเพียงครั้งเดียวก็สามารถทำลายการป้องกันที่ซับซ้อนที่สุดของคุณได้ และโดยปกติ APT อย่าง Sidewinder นี้ต้องการเปิดเพียงประตูเดียว แพร่เชื้อเพียงแค่เครื่องเดียว และจากนั้นก็สามารถซ่อนตัวและไม่ถูกตรวจจับได้ในระยะยาว”

APT กำหนดเป้าหมายที่มีข้อมูลละเอียดอ่อน ซึ่งไม่จำเป็นต้องเป็นหน่วยงานของรัฐ สถาบันการเงินรายใหญ่ หรือบริษัทพลังงาน

อันตรายที่สำคัญของการโจมตี APT คือแม้ว่าองค์กรจะค้นพบภัยคุกคามที่ดูเหมือนจะหายไปในทันที แค่แฮ็กเกอร์อาจเปิดแบ็คดอร์ไว้หลายบานเพื่อกลับมาโจมตีได้อีก การปกป้องกล่องจดหมายจึงมีความสำคัญ เพราะเป็นจุดเริ่มต้นที่ผู้คุกคามมักจะหาประโยชน์เพื่อตั้งหลักในเครือข่ายขององค์กร

พนักงานในทุกระดับจำเป็นต้องตระหนักถึงภัยคุกคาม เช่น อีเมลปลอมอาจส่งไปยังกล่องจดหมายของตน นอกจากการให้ความรู้แล้ว เทคโนโลยีที่เน้นการรักษาความปลอดภัยอีเมลก็เป็นสิ่งจำเป็น

แคสเปอร์สกี้ขอแนะนำให้บริษัทเอกชนและบริษัทต่างๆ ติดตั้งโซลูชันการป้องกันฟิชชิ่งบนเซิร์ฟเวอร์อีเมลเช่นเดียวกับเวิร์กสเตชันของพนักงาน เพื่อให้สามารถค้นหาฟิชชิ่งที่อาจเกิดขึ้นได้ โดยไม่ลดความปลอดภัยที่แท้จริงของบริษัท

เอ็นเทอร์ไพรซ์ควรใช้ซอฟต์แวร์รักษาความปลอดภัยขั้นสูงที่สามารถตรวจจับการโจมตี APT ที่ซับซ้อนได้

สำหรับรัฐบาล ชาบับแนะนำให้กำหนดกฎเกณฑ์เกี่ยวกับสแปมที่ดีกว่าเพื่อควบคุมความเสี่ยงจากสแปม “จำนวนอีเมลสแปมจากองค์กรที่ถูกกฎหมายน้อยลง หมายความว่าผู้ใช้ไม่ค่อยได้รับอีเมลที่ไม่คาดคิดทุกวัน และระมัดระวังตัวมากขึ้นเมื่อตกเป็นเป้าหมายด้วยอีเมลฟิชชิงสเปียร์ที่เป็นอันตราย” ชาบับกล่าว