244/69 (IT) ประจำวันพุธที่ 6 พฤษภาคม 2569
นักวิจัยจาก Kaspersky เปิดเผยรายงานการค้นพบแคมเปญโจมตีทางไซเบอร์ที่เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยกลุ่มแฮกเกอร์ได้หันมาใช้ประโยชน์จากบริการ Amazon Simple Email Service (SES) ซึ่งเป็นระบบส่งอีเมลที่ถูกกฎหมายและได้รับความน่าเชื่อถือ เพื่อส่งอีเมลฟิชชิงจำนวนมหาศาลเจาะระบบองค์กร สาเหตุหลักมาจากการหลุดรอดของคีย์การเข้าถึง (AWS IAM Access Keys) ตามแหล่งข้อมูลสาธารณะต่าง ๆ เช่น GitHub, ไฟล์ .ENV หรือ S3 buckets ทำให้ผู้ไม่หวังดีสามารถใช้บอทอัตโนมัติอย่าง TruffleHog ค้นหาและสวมรอยส่งอีเมลอันตรายได้ ซึ่งจากหลักฐานส่วนหัวของอีเมล (Email Headers) โดยจะเห็นได้ชัดว่าอีเมลถูกส่งผ่านเซิร์ฟเวอร์ของ Amazon จริง ส่งผลให้อีเมลลวงโลกเหล่านี้สามารถเล็ดลอดผ่านระบบตรวจสอบการยืนยันตัวตนมาตรฐานทั้ง SPF, DKIM และ DMARC ไปได้อย่างง่ายดาย
ยุทธวิธีที่กลุ่มอาชญากรไซเบอร์ใช้มีความแนบเนียนและซับซ้อนสูงมาก โดยมุ่งเน้นไปที่การหลอกลวงพนักงานระดับองค์กร (BEC – Business Email Compromise) ผ่านการสร้างหน้าเว็บและอีเมลปลอมที่ดูสมจริง พวกเขามักจะส่งการแจ้งเตือนการเซ็นเอกสารที่เลียนแบบบริการอย่าง DocuSign หรือแนบเอกสารทางบัญชี เช่น ใบสรุปกรมธรรม์และแบบฟอร์มภาษี W-9 ปลอม โดยมียอดเรียกเก็บเงินสูงถึง 199,000 ดอลลาร์สหรัฐฯ เพื่อกดดันและหลอกล่อให้แผนกการเงินหลงเชื่อทำรายการโอนเงิน นอกจากนี้ แฮกเกอร์ยังมีการปลอมแปลงประวัติการโต้ตอบอีเมล เพื่อให้ดูเหมือนว่าเป็นการติดต่อทางธุรกิจที่ต่อเนื่องและถูกต้องตามปกติอีกด้วย
ภัยคุกคามนี้ถือเป็นความท้าทายอย่างยิ่งสำหรับทีมรักษาความปลอดภัยไซเบอร์ เนื่องจากการบล็อกหมายเลข IP Address ของผู้ไม่หวังดีนั้นไม่สามารถป้องกันได้อย่างมีประสิทธิภาพ เพราะจะส่งผลกระทบให้ระบบบล็อกอีเมลปกติทั้งหมดที่ส่งผ่าน Amazon SES ไปด้วย เพื่อเป็นการรับมือ ผู้เชี่ยวชาญแนะนำให้องค์กรต่าง ๆ กำหนดสิทธิ์การเข้าถึงระบบตามหลักการให้สิทธิ์เท่าที่จำเป็น เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) หมั่นเปลี่ยนคีย์การเข้าถึงอย่างสม่ำเสมอ และจำกัดการเข้าถึงตามระดับไอพีและรหัสผ่าน ขณะที่ทาง Amazon ได้แนะนำให้ผู้ใช้งานปฏิบัติตามแนวทางความปลอดภัยอย่างเคร่งครัด และหากพบการนำทรัพยากร AWS ไปใช้ในทางที่ผิด สามารถรายงานปัญหาไปยังทีม AWS Trust & Safety ได้ทันที