Salesforce ประกาศกร้าว! ปฏิเสธจ่ายค่าไถ่แฮกเกอร์ หลังถูกขู่ปล่อยข้อมูลลูกค้าเกือบพันล้านรายการ
ในตลาดที่การโจมตีแบบ Extortion (การขู่กรรโชก) กลายเป็นอาวุธหลักของอาชญากรไซเบอร์ มีคำถามสำคัญที่ผู้นำองค์กรทั่วโลกต้องเผชิญ: เราควรจ่ายค่าไถ่หรือไม่? ล่าสุด Salesforce ยักษ์ใหญ่ด้านซอฟต์แวร์ CRM ได้ส่งสัญญาณที่ชัดเจนไปยังโลกไซเบอร์ โดยประกาศอย่างเป็นทางการว่า บริษัท “จะไม่เข้าร่วม, เจรจา หรือจ่ายค่าไถ่” ใด ๆ ตามข้อเรียกร้องจากกลุ่มแฮกเกอร์ที่อ้างว่าขโมยข้อมูลลูกค้าไปเกือบ 1 พันล้านรายการ
การตัดสินใจที่กล้าหาญนี้เกิดขึ้นหลังจากกลุ่มแฮกเกอร์ซึ่งเชื่อมโยงกับกลุ่มอาชญากรรมชื่อดังอย่าง ShinyHunters และ Scattered Spider ได้เปิดเว็บไซต์เผยแพร่ข้อมูล เพื่อกดดันให้ Salesforce และบริษัทลูกค้ากว่า 39 แห่ง (รวมถึง FedEx, Disney, และ Toyota) ต้องยอมจ่ายเงินก่อนถึงกำหนดเส้นตายที่ตั้งไว้
แกะรอยการโจมตี: ไม่ใช่ช่องโหว่ของแพลตฟอร์ม แต่เป็น ‘วิศวกรรมสังคม’
Salesforce ย้ำว่าเหตุการณ์นี้ไม่ได้เกิดจากช่องโหว่ใน แพลตฟอร์มหลักของ Salesforce แต่เป็นการโจมตีที่มุ่งเป้าไปที่จุดอ่อนที่สำคัญที่สุด นั่นคือ ‘ปัจจัยมนุษย์’ โดยอาชญากรใช้กลยุทธ์ที่ซับซ้อนถึงสองรูปแบบ:
1. Vishing: การฟิชชิ่งด้วยเสียงและการปลอมเป็นพนักงาน IT
ในแคมเปญแรก แฮกเกอร์ใช้เทคนิค Vishing (Voice Phishing) โดยการโทรศัพท์ไปหาพนักงานและปลอมตัวเป็นพนักงานฝ่ายไอที พวกเขาหลอกให้พนักงานติดตั้งแอปพลิเคชัน Data Loader ของ Salesforce เวอร์ชันอันตราย ซึ่งเมื่อได้รับอนุญาตให้เชื่อมต่อเข้าสู่ระบบขององค์กร แฮกเกอร์ก็จะสามารถดึงข้อมูลจำนวนมหาศาลออกมาได้ทันที วิธีนี้ส่งผลกระทบต่อบริษัทใหญ่ ๆ กว่า 39 แห่ง
2. Supply Chain Attack ผ่านแอปพลิเคชันบุคคลที่สาม
ในแคมเปญที่สอง แฮกเกอร์ได้เจาะระบบของ SalesLoft Drift ซึ่งเป็นแอปพลิเคชันของบุคคลที่สามที่ถูกรวมเข้ากับ Salesforce เพื่อใช้ในงานบริการลูกค้า เมื่อแฮกเกอร์สามารถขโมย OAuth Tokens จากแอปฯ นี้ได้ พวกเขาก็ได้รับสิทธิ์ในการเข้าถึงและขโมยข้อมูลลูกค้าจากบริษัทที่ใช้การเชื่อมต่อนี้ ซึ่งคาดว่ามีองค์กรที่ได้รับผลกระทบสูงถึงกว่า 760 แห่ง
ข้อมูลที่ถูกขู่ปล่อย และกลยุทธ์กดดันที่ไม่เคยมีมาก่อน
ข้อมูลที่ถูกขู่ปล่อยส่วนใหญ่ประกอบด้วย ข้อมูลติดต่อลูกค้า, ข้อมูลสนับสนุนด้าน IT พื้นฐาน และในบางกรณีรวมถึง Access Tokens ที่สำคัญสำหรับการเข้าถึงระบบ แฮกเกอร์อ้างว่ามีบันทึกเกือบ 1 พันล้านรายการ และได้ใช้กลยุทธ์กดดันทางจิตวิทยาที่น่าสนใจ:
- การยื่นคำขาดคู่: ขู่เรียกค่าไถ่จากทั้ง Salesforce เอง เพื่อให้คุ้มครองลูกค้าทั้งหมด และเรียกค่าไถ่จากลูกค้าแต่ละรายโดยตรง
- การระดมพลกดดัน: กลุ่มแฮกเกอร์เสนอเงิน 10 ดอลลาร์ในรูปแบบ Bitcoin ให้กับสมาชิก Telegram ของพวกเขา เพื่อให้ช่วยส่งอีเมลไปขู่ผู้บริหารระดับสูงของบริษัทที่ตกเป็นเหยื่อ เป็นการใช้ Crowdsourced Pressure เพื่อเพิ่มความตื่นตระหนก
บทสรุปและข้อคิดสำหรับองค์กร
การตัดสินใจของ Salesforce ที่ไม่จ่ายค่าไถ่ เป็นการส่งสารที่หนักแน่นว่าองค์กรใหญ่จะไม่ยอมจำนนต่อการคุกคาม ซึ่งเป็นแนวทางที่ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์สนับสนุน เพราะการจ่ายค่าไถ่มักจะถูกนำไปใช้เป็นทุนในการโจมตีครั้งต่อไป
บทเรียนสำคัญที่สุดจากเหตุการณ์นี้คือ: แม้แต่แพลตฟอร์มที่แข็งแกร่งที่สุดก็ไม่สามารถต้านทาน ‘วิศวกรรมสังคม’ ได้ องค์กรต่าง ๆ ควรดำเนินการทันทีเพื่อ:
- เพิ่มการฝึกอบรม Vishing: สอนพนักงานให้ตระหนักถึงการโทรศัพท์หลอกลวงที่ปลอมตัวเป็นฝ่าย IT
- ตรวจสอบแอปพลิเคชันที่เชื่อมต่อ: ผู้ดูแลระบบควรทำการ Audit (ตรวจสอบ) และเพิกถอนสิทธิ์ของแอปพลิเคชันบุคคลที่สามที่ไม่ได้ใช้งานหรือมีที่มาไม่ชัดเจนบนระบบ CRM อย่างสม่ำเสมอ
- บังคับใช้ MFA: ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีที่มีสิทธิ์เข้าถึงข้อมูลสำคัญทั้งหมด
องค์กรของคุณได้เตรียมรับมือกับภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่พนักงาน (End-User) อย่างจริงจังแล้วหรือยัง?
แหล่งข่าวจาก https://www.cybersecuritydive.com/news/salesforce-refuses-extortion-demands-hacking/802355/
