เว็บไซต์ bleepingcomputer.com รายงานเมื่อ ๑๘ ม.ค. ๖๔ ว่า สำนักงานสอบสวนกลางของสหรัฐฯ (FBI) แจ้งเตือน การโจมตีแบบ Vishing (Voice Phishing - Vishing) ซึ่งเป็นเทคนิคการใช้เสียงของบุคคลที่น่าเชื่อถือโทรศัพท์หลอกลวงให้เหยื่อเปิดเผยข้อมูลสำคัญ เช่น บัญชีผู้ใช้งานระบบเครือข่ายภายในเพื่อเข้าถึงเครือข่ายภายในขององค์กรด้วย การเชื่อมต่อระยะไกล (VPN) จากนั้นแฮกเกอร์จะยกระดับสิทธิ์ของบัญชีผู้ใช้ที่ขโมยได้เพื่อเข้าถึงข้อมูลสำคัญขององค์กรเป้าหมาย
การโจมตีแบบ Vishing เกิดขึ้นในช่วง COVID-19 ระบาดจนทำให้พนักงานต้องทำงานจากบ้าน (Work from home) และส่งผลให้การตรวจสอบการเข้าใช้งานเครือข่ายภายในองค์กรผ่าน VPN ของผู้ใช้ไม่ได้รับการตรวจสอบอย่างเข้มงวด แฮกเกอร์ได้เห็นถึงช่องโหว่ความปลอดภัยนี้จึงสร้างเว็บไซต์ที่มีลักษณะคล้ายหน้าจอเข้าสู่ระบบ VPN ขององค์กร แล้วใช้การโทรศัพท์หลอกล่อให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่านในหน้าเว็บปลอมดังกล่าว หลังจากได้ข้อมูลแล้ว แฮกเกอร์จะเข้าสู่ระบบ VPN ทำให้เข้าถึงเครือข่ายภายในองค์กร แล้วลาดตระเวนในเครือข่ายเพื่อหาข้อมูลผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลระดับสูงเพื่อแสวงหาประโยชน์จากข้อมูล
FBI ได้เผยแพร่คำแนะนำในการป้องกันการโจมตีไว้ดังนี้
- ประยุกต์ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (Multiple-Factor Authentication) สำหรับเข้าถึงบัญชีของพนักงานและลดโอกาสโดนโจมตี
- เมื่อมีการจ้างพนักงานใหม่ควรกำหนดสิทธิ์การเข้าถึงเครือข่ายในระดับสิทธิ์น้อยที่สุด และการตรวจสอบการเข้าถึงเครือข่ายของพนักงานทุกคนเป็นระยะสามารถลดความเสี่ยงจากการถูกบุกรุกผ่านจุดอ่อนภายในเครือข่ายได้อย่างมาก
-การสแกนและตรวจสอบการเข้าถึงโดยไม่ได้รับอนุญาตหรือการแก้ไขเชิงรุกสามารถช่วยตรวจจับการบุกรุกที่อาจเกิดขึ้นได้เพื่อป้องกันหรือลดการสูญหายของข้อมูล
- ควรใช้การแบ่งส่วนเครือข่ายเพื่อแยกเครือข่ายขนาดใหญ่เครือข่ายหนึ่งออกเป็นเครือข่ายขนาดเล็กหลายเครือข่ายซึ่งช่วยให้ผู้ดูแลระบบสามารถควบคุมการรับส่งข้อมูลของเครือข่ายได้
- ควรมีการสร้างบัญชีผู้ดูแลระบบสองบัญชี: บัญชีหนึ่งมีสิทธิ์ระดับผู้ดูแลระบบเพื่อทำการเปลี่ยนแปลงหรือปรับปรุงระบบ และอีกบัญชีใช้สำหรับอีเมล การอัปเดตระบบ และการจัดทำรายงาน
ทั้งนี้ Vishing (หรือที่เรียกว่า Voice phishing) เป็นการโจมตีทางวิศวกรรมสังคม (Social Engineering) ที่ผู้โจมตีแอบอ้างเป็นหน่วยงานที่เชื่อถือได้ในระหว่างการโทรด้วยเสียงเพื่อชักชวนให้เป้าหมายเปิดเผยข้อมูลที่ละเอียดอ่อนเช่นข้อมูลทางการเงิน หรือข้อมูลยืนยันตัวตนเพื่อเข้าสู่ระบบเครือข่ายขององค์กร