28 กันายน 2566 | กนิษฐา พุ่มผล
ในอดีตที่ผ่านมา พบการลวงพิชชิ่งด้วยเทคนิค ZeroPoint อยู่บ้าง แต่จากรายงานล่าสุดระบุเป็นครั้งแรกที่นำ ZeroPoint มาใช้ด้วยวิธีการใหม่ โดย Jan Kopriva, ISC Sans ประกาศเตือนถึงกลลวงใหม่ที่สร้างความแตกต่าง และเพิ่มประสิทธิภาพของโจมตีด้วยฟิชชิ่งที่ถูกเผยแพร่และนำไปใช้งานอย่างกว้างขวาง
วิธีการโจมตีแบบ ZeroFont ได้เคยถูกบันทึกไว้โดย Avanan ตั้งแต่ปี 2018 ว่าเป็นเทคนิคการโจมตีฟิชชิ่งที่อาศัยช่องโหว่ของ AI และระบบ NLP (Natural Language Processing) ที่นำมาใช้วิเคราะห์ข้อความเพื่อความปลอดภัยในระบบอีเมล
เทคนิคนี้เป็นการแทรกคำหรือตัวอักขระที่ถูกซ่อนไว้ในอีเมลโดยกำหนดขนาด Font Size ให้มีค่าเป็น 0 ซึ่งจะทำให้ข้อความเหล่านั้นไม่สามารถมองเห็นได้ด้วยสายตาของมนุษย์แต่ยังคงสามารถอ่านได้โดยระบบ NLP ดังนั้น การโจมตีลักษณะนี้มุ่งเป้าเพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย (Security Filter) โดยการเพิ่มข้อความที่ไม่อาจมองเห็นได้ ซึ่งเป็นการผสมผสานกันระหว่างข้อความที่อาจมีพิรุธ ร่วมกับการแปลความหมายของ AI และผลการตรวจสอบด้านความปลอดภัย
Avanan ได้เตือนไว้ตั้งแต่ปี 2018 ว่าเทคนิค ZeroFont สามารถข้ามผ่านตรวจจับของ Microsoft Office 365 APT (Advanced Threat Protection) ได้ แม้ว่าอีเมลจะมีข้อความที่แสดงเป็น Malicious บรรจุอยู่ก็ตาม โดยสอดคล้องกับฟิชชิ่งอีเมลซึ่งค้นพบโดย Kopriva ที่พบว่า ผู้โจมตีดำเนินการโดยใช้เทคนิค ZeroFont เพื่อโจมตีโดยการจัดการกับข้อความที่ถูก Preview บนโปรแกรม EMail Client ที่ได้รับการใช้งานอย่างแพร่หลาย เช่น Microsoft Outlook เป็นต้น และยิ่งพิเศษไปกว่านั้น เมื่อการแสดงข้อความทั้งในส่วน EMail Listing Pane และส่วน Preview Pane มีความแตกต่างกัน
จากภาพข้างต้น พบว่า ในพื้นที่ EMail Listing Pane จะปรากฎข้อความ “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM” ในขณะที่ข้อความขึ้นต้นของอีเมลนี้ในส่วนของ Preview/Reading Pane กลับแสดงข้อความ “Job Offer | Employment Opportunity.” แทน
ความไม่สอดคล้องกันข้างต้นนี้ เป็นผลมาจากการใช้เทคนิค ZeroFont เพื่อซ่อนข้อความลวงในส่วนต้นของฟิชชิ่งอีเมล์ โดยอ้างว่าอีเมลนี้ผ่านการตรวจสอบด้านความปลอดภัยเป็นที่เรียบร้อยแล้ว ซึ่งผู้ใช้งานจะไม่สามารถมองเห็นข้อความดังกล่าวได้ ในขณะที่โปรแกรม Outlook สามารถตรวจพบข้อความและนำมาแสดงผล (Preview) ภายใน EMail Listing Pane ได้
เป้าหมายของ ZeroFont คือ เพื่อสร้างความเข้าใจผิดให้แก่ผู้ใช้งานว่าข้อความดังกล่าวผ่านการกลั่นกรอง ตรวจสอบด้านความปลอดภัยมาแล้ว ส่งผลให้ผู้ใช้มีความมั่นใจ เปิดและดำเนินการตามข้อความที่ระบุไว้ภายใน
นอกเหนือจาก Outlook แล้ว ยังอาจมีโปรแกรม EMail Client อื่นๆ ที่อาจแสดงข้อความ Preview โดยปราศจากการตรวจสอบขนาดของตัวอักษร (Font Size) จึงแนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อใช้งาน EMail Client อื่นๆ ด้วย | Bleeping Computer
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา