เรียนรู้เกี่ยวกับวิธีการโจมตีแบบฟิชชิ่ง Adversary-in-the-Middle

การโจมตีแบบฟิชชิ่งถือเป็นเรื่องปกติมากในขณะนี้ อาชญากรไซเบอร์วิธีการนี้สามารถขโมยข้อมูลได้อย่างมีประสิทธิภาพมากและไม่ต้องการงานจำนวนมากในระดับรากหญ้า อย่างไรก็ตาม ฟิชชิ่งยังมาในหลายรูปแบบ หนึ่งในนั้นคือการโจมตีแบบฟิชชิ่งแบบ Adversary-in-the-Middle แล้วการโจมตีแบบฟิชชิ่ง Adversary-in-the-Middle คืออะไร? และคุณจะหลีกเลี่ยงได้อย่างไร?

การโจมตีฝ่ายตรงข้ามตรงกลางคืออะไร?

การโจมตีแบบฟิชชิ่ง Adversary-in-the-Middle (AiTM) เกี่ยวข้องกับการไฮแจ็กคุกกี้เซสชันเพื่อขโมยข้อมูลส่วนบุคคลและแม้แต่ข้ามชั้นการตรวจสอบสิทธิ์

คุณอาจเคยได้ยินเกี่ยวกับคุกกี้มาก่อน ปัจจุบัน เว็บไซต์ส่วนใหญ่ที่คุณคลิกจะขอความยินยอมจากคุณในการใช้คุกกี้เพื่อปรับแต่งประสบการณ์ออนไลน์ของคุณให้ดียิ่งขึ้น กล่าวโดยสรุป คุกกี้ติดตามกิจกรรมออนไลน์ของคุณเพื่อทำความเข้าใจนิสัยของคุณ เป็นไฟล์ข้อความขนาดเล็กของข้อมูลที่สามารถส่งไปยังเซิร์ฟเวอร์ของคุณทุกครั้งที่คุณคลิกบนเว็บไซต์ใหม่ จึงทำให้บางฝ่ายสามารถตรวจสอบกิจกรรมของคุณได้

คุกกี้มีหลายประเภท บางอย่างก็จำเป็นและบางอย่างก็ไม่จำเป็น การโจมตี AiTM เกี่ยวข้องกับคุกกี้เซสชัน คุกกี้เหล่านี้เป็นคุกกี้ชั่วคราวที่จัดเก็บข้อมูลผู้ใช้ระหว่างเซสชันเว็บ คุกกี้เหล่านี้จะหายไปทันทีเมื่อคุณปิดเบราว์เซอร์

เช่นเดียวกับสิ่งที่เกิดขึ้นในฟิชชิ่ง การโจมตีแบบฟิชชิ่ง AiTM เริ่มต้นจากการที่อาชญากรไซเบอร์สื่อสารกับเป้าหมาย ซึ่งโดยปกติจะผ่านทางอีเมล์ การหลอกลวงเหล่านี้ยังใช้เว็บไซต์ที่เป็นอันตรายเพื่อขโมยข้อมูลอีกด้วย

การโจมตี AiTM เป็นปัญหาเร่งด่วนสำหรับผู้ใช้ Microsoft 365 โดยผู้โจมตีติดต่อกับเป้าหมายและขอให้พวกเขาลงชื่อเข้าใช้บัญชี 365 ของตน ผู้ประสงค์ร้ายจะแอบอ้างเป็นที่อยู่อย่างเป็นทางการของ Microsoft ในการโจมตีแบบฟิชชิ่งนี้ ซึ่งเป็นเรื่องปกติในการโจมตีแบบฟิชชิ่งเช่นกัน

เป้าหมายที่นี่ไม่ใช่แค่การขโมยข้อมูลการเข้าสู่ระบบเท่านั้น แต่ยังข้าม เลเยอร์การรับรองความถูกต้องแบบหลายปัจจัย (MFA) หรือ การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)ของเหยื่อ อีกด้วย คุณลักษณะเหล่านี้เป็นคุณลักษณะด้านความปลอดภัยที่ใช้ในการยืนยันการเข้าสู่ระบบบัญชีโดยขออนุญาตจากอุปกรณ์หรือบัญชีแยกต่างหาก เช่น สมาร์ทโฟนหรืออีเมลของคุณ

อาชญากรไซเบอร์จะใช้พร็อกซีเซิร์ฟเวอร์เพื่อสื่อสารกับ Microsoft และโฮสต์หน้าเข้าสู่ระบบ 365 ปลอม พร็อกซีนี้อนุญาตให้ผู้โจมตีขโมยคุกกี้เซสชันและข้อมูลประจำตัวของเหยื่อได้ เมื่อเหยื่อป้อนข้อมูลประจำตัวลงในเว็บไซต์ที่เป็นอันตราย มันจะขโมยคุกกี้เซสชันเพื่อให้การรับรองความถูกต้องที่ผิดพลาด สิ่งนี้ทำให้ผู้โจมตีสามารถข้ามข้อกำหนด 2FA หรือ MFA ของเหยื่อได้ ทำให้พวกเขาสามารถเข้าถึงบัญชีของพวกเขาได้โดยตรง

วิธีป้องกันการโจมตีฟิชชิ่ง AiTM

แม้ว่าการโจมตีแบบฟิชชิ่ง AiTM จะแตกต่างจากการโจมตีแบบฟิชชิ่งทั่วไป แต่คุณยังคงสามารถใช้วิธีการที่คล้ายกันเพื่อป้องกันได้

เริ่มต้นด้วยลิงก์ที่ให้ไว้ในอีเมลของคุณ หากคุณได้รับอีเมลจากผู้ส่งที่เชื่อว่าเชื่อถือได้โดยบอกว่าคุณต้องใช้ลิงก์ที่ให้ไว้เพื่อเข้าสู่บัญชีออนไลน์บัญชีใดบัญชีหนึ่งของคุณ โปรดใช้ความระมัดระวัง นี่เป็นกลยุทธ์ฟิชชิ่งแบบคลาสสิกและสามารถดักจับเหยื่อได้จำนวนมาก โดยเฉพาะอย่างยิ่งหากผู้โจมตีใช้ภาษาที่โน้มน้าวใจหรือเร่งด่วนเพื่อกระตุ้นให้เป้าหมายลงชื่อเข้าใช้บัญชีของตนโดยเร็วที่สุด

ดังนั้น หากคุณได้รับอีเมลที่มีลิงก์ประเภทใดก็ตาม โปรดตรวจสอบให้แน่ใจว่าคุณได้เรียกใช้ผ่านไซต์ทดสอบลิงก์ก่อนที่จะคลิก สิ่งที่ดีที่สุดคือ หากอีเมลแจ้งว่าคุณต้องลงชื่อเข้าใช้บัญชีของคุณ เพียงค้นหาหน้าเข้าสู่ระบบในเบราว์เซอร์ของคุณและเข้าถึงบัญชีของคุณที่นั่น ด้วยวิธีนี้ คุณจะสามารถดูได้ว่ามีปัญหาใดๆ ที่คุณต้องแก้ไขในบัญชีของคุณหรือไม่ โดยไม่ต้องคลิกลิงก์ที่ให้มาใดๆ

คุณควรหลีกเลี่ยงการเปิดไฟล์แนบใดๆ ที่ส่งถึงคุณจากที่อยู่ที่ไม่คุ้นเคย แม้ว่าผู้ส่งจะอ้างว่าเป็นบุคคลที่น่าเชื่อถือก็ตาม ไฟล์แนบที่เป็นอันตรายยังสามารถใช้ในการโจมตีแบบฟิชชิ่ง AiTM ได้ ดังนั้นคุณต้องระวังสิ่งที่คุณเปิด

สรุปก็คือ หากคุณไม่ต้องการเปิดไฟล์แนบจริงๆ ก็ปล่อยมันไว้ตรงนั้น

ในทางกลับกัน หากคุณต้องการเปิดไฟล์แนบ ให้ทำการทดสอบสั้นๆ ก่อนดำเนินการ คุณควรดูประเภทไฟล์ของไฟล์แนบเพื่อพิจารณาว่าไฟล์นั้นน่าสงสัยหรือไม่ ตัวอย่างเช่น เป็น ที่ทราบกันว่าไฟล์ .pdf , .doc , zipและ.xlsถูกนำมาใช้ในไฟล์แนบที่เป็นอันตราย ดังนั้นควรระวังหากไฟล์แนบนั้นเป็นหนึ่งในประเภทไฟล์เหล่านี้

เหนือสิ่งอื่นใด ให้ตรวจสอบบริบทของอีเมล หากผู้ส่งอ้างว่าไฟล์แนบมีเอกสาร เช่น ใบแจ้งยอดธนาคาร แต่ไฟล์นั้นมีนามสกุล .mp3 คุณอาจกำลังเผชิญกับไฟล์แนบฟิชชิ่งที่อาจเป็นอันตราย เนื่องจากไฟล์MP3จะไม่ถูกนำมาใช้เป็นเอกสาร

อย่าลืมตรวจสอบนามสกุลไฟล์

ดูที่อยู่ผู้ส่งของอีเมลที่น่าสงสัยที่คุณได้รับ แน่นอนว่าที่อยู่อีเมลทุกแห่งไม่ซ้ำกัน ดังนั้นผู้โจมตีจึงไม่สามารถใช้ที่อยู่อีเมลบริษัทอย่างเป็นทางการของคุณเพื่อติดต่อกับคุณได้ เว้นแต่จะถูกแฮ็ก ในกรณีของฟิชชิ่ง ผู้โจมตีมักจะใช้ที่อยู่อีเมลที่ดูคล้ายกับที่อยู่อย่างเป็นทางการขององค์กร

ตัวอย่างเช่น หากคุณได้รับอีเมลจากบุคคลที่อ้างว่าเป็น Microsoft แต่คุณสังเกตเห็นว่าที่อยู่เขียนว่า "micr0s0ft" แทนที่จะเป็น "Microsoft" แสดงว่าคุณกำลังประสบกับการหลอกลวงแบบฟิชชิ่ง อาชญากรจะเพิ่มตัวอักษรหรือตัวเลขเพิ่มเติมให้กับที่อยู่อีเมลเพื่อให้ดูคล้ายกับที่อยู่ที่ถูกต้องตามกฎหมาย

คุณสามารถระบุได้ว่าลิงก์นั้นน่าสงสัยหรือไม่โดยการตรวจสอบลิงก์นั้น เว็บไซต์ที่เป็นอันตรายมักมีลิงก์ที่ดูผิดปกติ ตัวอย่างเช่น หากอีเมลแจ้งว่าลิงก์ที่ให้ไว้จะนำคุณไปยังหน้าลงชื่อเข้าใช้ของ Microsoft แต่ URL ระบุว่านี่เป็นเว็บไซต์ที่แตกต่างไปจากเดิมอย่างสิ้นเชิง แสดงว่าเป็นกลโกงอย่างชัดเจน การตรวจสอบโดเมนของเว็บไซต์จะมีประโยชน์อย่างยิ่งในการป้องกันฟิชชิ่ง

สุดท้ายนี้ หากคุณได้รับอีเมลจากแหล่งที่เป็นทางการซึ่งเต็มไปด้วยข้อผิดพลาดด้านการสะกดและไวยากรณ์ คุณอาจถูกหลอกลวงได้ บริษัทอย่างเป็นทางการมักจะตรวจสอบให้แน่ใจว่าอีเมลของพวกเขาเขียนอย่างถูกต้อง ในขณะที่อาชญากรไซเบอร์บางครั้งอาจเลอะเทอะในเรื่องนี้ ดังนั้นหากอีเมลที่คุณได้รับมีการเขียนเลอะเทอะ โปรดใช้ความระมัดระวังในการดำเนินการต่อไป

ฟิชชิ่งเป็นที่นิยมอย่างมากและใช้เพื่อกำหนดเป้าหมายทั้งบุคคลและองค์กร ซึ่งหมายความว่าไม่มีใครปลอดภัยจากภัยคุกคามนี้อย่างแท้จริง ดังนั้น เพื่อหลีกเลี่ยงการโจมตีแบบฟิชชิ่งและการหลอกลวงโดยทั่วไปของ AiTM โปรดพิจารณาเคล็ดลับที่ให้ไว้ข้างต้นเพื่อรักษาข้อมูลของคุณให้ปลอดภัย