ไมโครซอฟท์กำลังใช้กลยุทธ์หลอกลวงเพื่อรับมือกับผู้ที่ทำฟิชชิง (phishing) โดยสร้างเท็นแนนท์ฮันนีพอต (honeypot tenants) ที่ดูสมจริงพร้อมการเข้าถึง Azure เพื่อดึงดูดอาชญากรไซเบอร์เข้ามา เพื่อรวบรวมข้อมูลเกี่ยวกับพวกเขา
ด้วยข้อมูลที่รวบรวมได้ ไมโครซอฟท์สามารถทำแผนที่โครงสร้างพื้นฐานที่เป็นอันตราย เข้าใจการปฏิบัติการฟิชชิงที่ซับซ้อนมากขึ้น ขัดขวางแคมเปญในวงกว้าง ระบุอาชญากรไซเบอร์ และทำให้กิจกรรมของพวกเขาช้าลงอย่างมาก
กลยุทธ์นี้และผลกระทบที่สร้างความเสียหายต่อกิจกรรมฟิชชิงได้รับการอธิบายที่งานประชุม BSides Exeter โดย Ross Bevington วิศวกรซอฟต์แวร์ด้านความปลอดภัยหลักของไมโครซอฟท์ ซึ่งเรียกตัวเองว่า "หัวหน้าฝ่ายหลอกลวง" ของไมโครซอฟท์
Bevington ได้สร้าง "ฮันนีพอตแบบผสมที่มีการโต้ตอบสูง" บนเว็บไซต์ code.microsoft.com ที่ปัจจุบันได้ปิดตัวลงแล้ว เพื่อรวบรวมข่าวกรองเกี่ยวกับภัยคุกคามจากทั้งอาชญากรไซเบอร์ที่มีทักษะต่ำ ไปจนถึงกลุ่มที่เกี่ยวข้องกับรัฐซึ่งพุ่งเป้าไปที่โครงสร้างพื้นฐานของ Microsoft
การสร้างภาพลวงตาของความสำเร็จในการฟิชชิง
ปัจจุบัน Bevington และทีมของเขาต่อสู้กับการฟิชชิงโดยใช้เทคนิคการหลอกลวง โดยใช้สภาพแวดล้อมเท็นแนนท์ทั้งหมดของ Microsoft เป็นฮันนีพอต ซึ่งมีชื่อโดเมนที่ปรับแต่งขึ้นเอง บัญชีผู้ใช้หลายพันบัญชี และกิจกรรมต่าง ๆ เช่น การสื่อสารภายในและการแชร์ไฟล์
โดยทั่วไปแล้ว บริษัทหรือผู้วิจัยจะตั้งค่าฮันนีพอตและรอให้อาชญากรไซเบอร์ค้นพบและดำเนินการโจมตี นอกจากจะช่วยเบี่ยงเบนผู้โจมตีออกจากสภาพแวดล้อมจริงแล้ว ฮันนีพอตยังช่วยรวบรวมข่าวกรองเกี่ยวกับวิธีที่ใช้ในการเจาะระบบ ซึ่งสามารถนำไปใช้ในเครือข่ายที่แท้จริงได้
แม้แนวคิดของ Bevington จะมีลักษณะคล้ายกัน แต่แตกต่างตรงที่เขาเป็นฝ่ายบุกเข้าไปหาผู้โจมตีเอง แทนที่จะรอให้อาชญากรค้นพบทางเข้า ในการบรรยายที่งาน BSides Exeter ผู้วิจัยกล่าวว่าแนวทางเชิงรุกนี้ประกอบด้วยการเข้าไปในเว็บไซต์ฟิชชิงที่ Microsoft Defender ระบุไว้ และพิมพ์ข้อมูลรับรองจากเท็นแนนท์ที่เป็นฮันนีพอต
เนื่องจากข้อมูลรับรองเหล่านี้ไม่ได้รับการป้องกันด้วยการยืนยันตัวตนแบบสองปัจจัย (2FA) และเท็นแนนท์ถูกเติมเต็มด้วยข้อมูลที่ดูสมจริง ผู้โจมตีจึงสามารถเจาะเข้ามาได้ง่าย และเสียเวลาในการหาว่ามีอะไรผิดปกติหรือไม่
ไมโครซอฟท์ระบุว่าตรวจสอบเว็บไซต์ฟิชชิงประมาณ 25,000 แห่งทุกวัน โดยป้อนข้อมูลรับรองของฮันนีพอตในเว็บไซต์เหล่านั้นประมาณ 20% ส่วนที่เหลือจะถูกบล็อกโดย CAPTCHA หรือกลไกป้องกันบอทอื่น ๆ
เมื่อผู้โจมตีเข้าสู่เท็นแนนท์ปลอม ซึ่งเกิดขึ้นใน 5% ของกรณี จะมีการเปิดระบบบันทึกที่ละเอียดเพื่อติดตามทุกการกระทำของพวกเขา เพื่อศึกษาเทคนิคและขั้นตอนการโจมตี
ข้อมูลข่าวกรองที่รวบรวมได้รวมถึงที่อยู่ IP, เบราว์เซอร์, ตำแหน่งที่ตั้ง, รูปแบบพฤติกรรม, การใช้ VPN หรือ VPS และชุดเครื่องมือฟิชชิงที่พวกเขาใช้งาน
นอกจากนี้ เมื่อผู้โจมตีพยายามโต้ตอบกับบัญชีปลอมในสภาพแวดล้อม Microsoft จะทำให้การตอบสนองช้าลงมากที่สุดเท่าที่จะทำได้
เทคโนโลยีการหลอกลวงในปัจจุบันทำให้ผู้โจมตีเสียเวลาไป 30 วันก่อนที่จะรู้ตัวว่าพวกเขาเจาะเข้าสู่สภาพแวดล้อมปลอม ในระหว่างนั้น ไมโครซอฟท์จะรวบรวมข้อมูลที่นำไปปฏิบัติได้ ซึ่งสามารถนำไปใช้โดยทีมรักษาความปลอดภัยอื่น ๆ เพื่อสร้างโปรไฟล์ที่ซับซ้อนขึ้นและเพิ่มประสิทธิภาพการป้องกัน
Bevington กล่าวว่ามีเพียงน้อยกว่า 10% ของที่อยู่ IP ที่พวกเขารวบรวมผ่านวิธีนี้ ที่สามารถเชื่อมโยงกับข้อมูลในฐานข้อมูลภัยคุกคามที่รู้จักอื่น ๆ วิธีนี้ช่วยให้รวบรวมข้อมูลข่าวกรองเพียงพอที่จะระบุการโจมตีว่าเป็นกลุ่มที่มีแรงจูงใจทางการเงิน หรือแม้กระทั่งกลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น กลุ่มภัยคุกคาม Midnight Blizzard (Nobelium) ของรัสเซีย
แม้ว่าหลักการใช้การหลอกลวงเพื่อปกป้องทรัพยากรจะไม่ใช่เรื่องใหม่ และหลายบริษัทพึ่งพาฮันนีพอตหรือวัตถุแจ้งเตือนเพื่อตรวจจับการบุกรุกและติดตามแฮกเกอร์ แต่ไมโครซอฟท์ได้ค้นพบวิธีใช้ทรัพยากรของตนในการล่าหากลุ่มผู้โจมตีและวิธีการของพวกเขาในวงกว้าง
Ref : bleepingcomputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น