Phishing Campaigns
การจำลอง Phishing แบบระบุเป้าหมาย เพื่อวัดแนวโน้มการหลงกลของพนักงาน ตรวจสอบการตรวจจับและการตอบสนอง และขับเคลื่อนการฝึกอบรมให้ตรงจุดยิ่งขึ้น
Phishing ยังคงเป็นช่องทาง Initial Access ที่พบบ่อยที่สุดในการเจาะระบบจริง แคมเปญ Phishing ช่วยวัดว่าองค์กรรับมือภัยนี้ได้ดีแค่ไหนจริง ๆ โดยไม่ใช่แค่ดูเปอร์เซ็นต์ของผู้ใช้ที่กดลิงก์ แต่ดูว่าจะเกิดอะไรขึ้นต่อ เมื่อ Credentials, รหัส MFA หรือ Session Token ถูก Hacker ขโมยไปแล้ว
ขอบเขตงานมีตั้งแต่แคมเปญแบบสร้างความตระหนักรู้ (วงกว้าง ความซับซ้อนต่ำ เน้นการฝึกอบรม) ไปจนถึงแคมเปญแบบ Red Team ที่ระบุเป้าหมาย (Bypass MFA, การขโมย Session Token, การปลอมตัวแบบ BEC และการส่ง Payload เพื่อปฏิบัติการขั้นต่อไป) ระดับความซับซ้อน ขอบเขต และการมองเห็นของ Blue Team ทั้งหมดกำหนดไว้ชัดเจนตั้งแต่ต้น
ลูกค้าส่วนใหญ่มักจับคู่ Targeted Campaign รายปีกับ Awareness Campaign ที่ทีมภายในดำเนินการเป็นประจำ เพื่อวัดความอ่อนไหวต่อการโจมตีตามเวลา พร้อมคงความเข้มของการทดสอบเชิงเทคนิคไว้
ความเสี่ยงที่ต้องพิจารณา
เหตุการณ์ระบบถูกบุกรุกส่วนใหญ่เริ่มต้นจาก Phishing
ปีแล้วปีเล่า Phishing ยังคงเป็นช่องทาง Initial Access อันดับหนึ่ง รวมถึงในสภาพแวดล้อมที่มี MFA ซึ่งปัจจุบัน Hacker หันมาขโมย Session Token แทนรหัสผ่านเป็นเรื่องปกติ
การฝึกอบรมสร้างความตระหนักรู้โดยไม่มีการทดสอบจริง เป็นเพียงแค่การคาดหวังลม ๆ แล้ง ๆ เท่านั้น
โครงการฝึกอบรมอาจทำให้รู้สึกว่าเกิดประสิทธิผล แต่หากขาดการวัดผลเป็นระยะ ก็จะไม่มีหลักฐานใดที่พิสูจน์ได้ว่าการอบรมนั้นสามารถเปลี่ยนพฤติกรรมของพนักงานได้จริง
สิ่งที่เราทดสอบ
Campaign types
- General phishing
- Spear phishing
- Whaling
- Bypass MFA / การขโมย Session Token
- BEC-style impersonation
- Vishing และ Smishing (ในกรณีที่อยู่ในขอบเขต)
Programme phases
- Pre-engagement planning
- การออกแบบและพัฒนาแคมเปญ
- Execution and monitoring
- Analysis and reporting
- การ Debrief และฝึกอบรมหลังจบงาน
ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
ความสำเร็จในการหลบเลี่ยงระบบยืนยันตัวตนแบบหลายปัจจัย (MFA Bypass Success)
การขโมย Session Token ผ่านชุดเครื่องมือ Phishing แบบ Reverse Proxy ที่เจาะผ่าน MFA ได้ทั้งแบบ TOTP และแบบกดยืนยันผ่านแอป
ความล้มเหลวของกระบวนการทำงานหลังจากมีการกดลิงก์ (Process Breakdowns Post-Click)
อีเมล Phishing ที่พนักงานรายงานเข้ามาไหลไปรวมที่กล่องจดหมายกลางซึ่งไม่มีใครเฝ้าดู, ไม่มีการรีเซ็ต Credential อัตโนมัติเมื่อพบการรั่วไหล และ Help Desk ออก Token MFA ใหม่ให้โดยไม่ตรวจสอบตัวตนผู้ขอ
ความเสี่ยงหรือแนวโน้มความหลงกลของกลุ่มผู้ใช้งานที่มีสิทธิ์สูง (High-Privilege Susceptibility)
ผู้บริหารหรือผู้ใช้ที่มีสิทธิ์สูงกดลิงก์มากกว่าพนักงานทั่วไป ซึ่งเป็นการกระจายความเสี่ยงที่อันตรายที่สุด
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
คำถามจากผู้สนใจใช้บริการ
คุณมีการทดสอบการหลบเลี่ยงระบบยืนยันตัวตนแบบหลายปัจจัย (MFA Bypass) ด้วยหรือไม่? +
มี และปัจจุบันแทบจะเป็นค่าเริ่มต้นของการทดสอบ เพราะ Hacker ยุคใหม่ Bypass MFA ผ่านชุดเครื่องมือ Phishing แบบ Reverse Proxy เป็นเรื่องปกติ การทดสอบด้วยโมเดล Phishing ยุคก่อนปี 2020 ที่ไม่มีการ Bypass MFA จึงไม่สมจริงอีกต่อไป
กระบวนการอนุมัติแคมเปญการทดสอบภายในองค์กรมีขั้นตอนอย่างไร? +
การวางแผนก่อนเริ่มงานครอบคลุมผู้เกี่ยวข้องฝ่ายกฎหมาย ฝ่ายบุคคล และฝ่ายสื่อสารองค์กร โดย Rules of Engagement กำหนดชัดเจนว่าใครอยู่ในหรือนอกขอบเขต เนื้อหาแบบใดยอมรับได้ และจะเปิดเผยผลอย่างไรหลังจบแคมเปญ
ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก
ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน