พฤติกรรมเสี่ยงของผู้ใช้ที่เป็นประตูสู่การโจมตี Ransomware บน OneDrive และอีเมลองค์กร

ความคล่องตัวของบริการ Cloud อย่าง Microsoft OneDrive และระบบอีเมลองค์กรได้กลายเป็นรากฐานสำคัญของการดำเนินงาน ความสะดวกสบายเหล่านี้กลับมาพร้อมกับภัยคุกคามที่ซ่อนเร้น โดยเฉพาะอย่างยิ่งเมื่อพฤติกรรมของผู้ใช้งานบางประการกลายเป็นช่องโหว่สำคัญที่เปิดโอกาสให้ Ransomware สามารถแทรกซึมและสร้างความเสียหายได้อย่างง่ายดาย การตระหนักถึงพฤติกรรมเสี่ยงเหล่านี้จึงเป็นปราการด่านแรกในการปกป้องข้อมูลสำคัญขององค์กรจากการถูกล็อกและเรียกค่าไถ่

ภัยคุกคามจาก Ransomware ไม่ได้เริ่มต้นจากช่องโหว่ทางเทคนิคเพียงอย่างเดียว แต่บ่อยครั้งมีจุดกำเนิดจาก “พฤติกรรม” ของผู้ใช้งานที่ไม่ทันต่อภัยคุกคามทางไซเบอร์ การเข้าใจถึงพฤติกรรมเสี่ยงเหล่านี้จะช่วยให้องค์กรสามารถวางแผนและดำเนินการป้องกันได้อย่างมีประสิทธิภาพ

1. การเปิดไฟล์แนบหรือคลิกลิงก์ในอีเมลโดยขาดความระมัดระวัง: อีเมล Phishing ยังคงเป็นเวกเตอร์โจมตีหลักที่ผู้โจมตีใช้ในการแพร่กระจาย Ransomware ไฟล์แนบที่ดูเหมือนปกติ หรือ URL ที่แฝงตัวอยู่ในเนื้อหาอีเมล อาจซ่อนมัลแวร์ร้ายแรงที่พร้อมทำงานทันทีเมื่อผู้ใช้คลิกหรือเปิดไฟล์
   • ตัวอย่าง: การเปิดไฟล์แนบที่อ้างว่าเป็นใบแจ้งหนี้ในรูปแบบ .doc โดยไม่ตรวจสอบแหล่งที่มา ซึ่งอาจมี Macro ที่ฝังมัลแวร์และเริ่มกระบวนการเข้ารหัสทันที
2. การใช้รหัสผ่านที่อ่อนแอหรือการใช้รหัสผ่านซ้ำ: ผู้ประสงค์ร้ายสามารถใช้เทคนิคการโจมตีแบบ Brute-force หรือ Credential Stuffing เพื่อเข้าถึงบัญชี OneDrive หรืออีเมลของพนักงาน หากรหัสผ่านมีความซับซ้อนต่ำหรือถูกใช้ซ้ำในหลายบัญชี เมื่อเข้าถึงได้แล้ว ผู้โจมตีสามารถอัปโหลดไฟล์ Ransomware โดยตรง หรือใช้บัญชีที่ถูกบุกรุกเป็นฐานในการแพร่กระจายไปยังส่วนอื่น ๆ ของระบบ

3. การซิงโครไนซ์ OneDrive โดยไม่มีการควบคุมเวอร์ชัน (Version Control): เมื่อเครื่องคอมพิวเตอร์ของผู้ใช้งานติด Ransomware และไฟล์ถูกเข้ารหัส หากมีการตั้งค่าให้ OneDrive ทำการซิงโครไนซ์ไฟล์โดยอัตโนมัติ ไฟล์ที่ถูกเข้ารหัสเหล่านั้นจะถูกอัปโหลดไปยัง Cloud ทันที ซึ่งอาจส่งผลให้ไฟล์เวอร์ชันก่อนหน้าที่ยังไม่ถูกเข้ารหัสเสียหายไปด้วย หากไม่มีระบบควบคุมเวอร์ชันที่มีประสิทธิภาพ การกู้คืนข้อมูลจึงเป็นไปได้ยาก

4. การใช้อุปกรณ์ส่วนตัวที่ไม่มีการควบคุมความปลอดภัยในการเข้าถึงทรัพยากรองค์กร: การอนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัว (Bring Your Own Device – BYOD) ในการเข้าถึงอีเมลหรือ OneDrive ขององค์กรโดยไม่มีการติดตั้ง Endpoint Security ที่เหมาะสม อาจนำไปสู่ความเสี่ยง หากอุปกรณ์ส่วนตัวนั้นติดมัลแวร์ มัลแวร์เหล่านั้นก็สามารถแพร่กระจายเข้าสู่ระบบขององค์กรผ่านการเชื่อมต่อได้

5. การละเลยการอัปเดตซอฟต์แวร์และระบบปฏิบัติการ: ช่องโหว่ด้านความปลอดภัยที่ถูกค้นพบในระบบปฏิบัติการ (เช่น Windows), ชุดโปรแกรม Microsoft 365 (รวมถึง Outlook และ OneDrive), หรือซอฟต์แวร์อื่น ๆ มักถูกผู้โจมตีใช้เป็นช่องทางในการแทรกซึมและติดตั้ง Ransomware หากองค์กรไม่มีกระบวนการ Patching และอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ ก็จะตกอยู่ในความเสี่ยง

6. การขาดระบบสำรองข้อมูล (Backup) ที่แยกออกจากระบบหลัก: หลายองค์กรยังคงเก็บข้อมูลสำรองไว้ในตำแหน่งที่ใกล้เคียงกับไฟล์หลัก หรือแม้กระทั่งในโฟลเดอร์เดียวกันกับไฟล์ที่ซิงโครไนซ์กับ OneDrive ซึ่งหมายความว่าเมื่อเกิดการโจมตีด้วย Ransomware ข้อมูลสำรองเหล่านั้นก็อาจถูกเข้ารหัสไปพร้อมกับข้อมูลหลัก ทำให้ไม่สามารถกู้คืนระบบได้โดยไม่ต้องจ่ายค่าไถ่


• ในปี 2023 บริษัทแห่งหนึ่งในทวีปยุโรปประสบปัญหาการโจมตีด้วย Ransomware ที่เริ่มต้นจากการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ของพนักงาน เนื่องจากมีการตั้งค่าให้ OneDrive ทำการซิงโครไนซ์ไฟล์โดยอัตโนมัติ ไฟล์ที่ถูกเข้ารหัสจึงถูกอัปโหลดไปยัง Cloud อย่างรวดเร็ว ส่งผลให้ข้อมูลทั้งหมดที่จัดเก็บอยู่ใน OneDrive ถูกเข้ารหัสตามไปด้วย แม้ว่าองค์กรจะมีระบบ Cloud Backup แต่เนื่องจากการซิงโครไนซ์เกิดขึ้นอย่างรวดเร็ว ไฟล์สำรองที่ยังไม่ถูกเข้ารหัสจึงมีอยู่น้อยมาก ทำให้การกู้คืนข้อมูลเป็นไปได้ยากและเสียค่าใช้จ่ายสูง (อ้างอิงจากข้อมูลของ Microsoft)

• การใช้ระบบตรวจสอบและกรองอีเมลขั้นสูง (Email Filtering + Advanced Threat Protection – ATP): การใช้โซลูชันที่สามารถวิเคราะห์และบล็อกอีเมลที่เป็นอันตราย รวมถึงการตรวจสอบไฟล์แนบและ URL ในอีเมลก่อนที่ผู้ใช้จะเข้าถึง
• การบังคับใช้การยืนยันตัวตนแบบสองปัจจัย (Two-Factor Authentication – 2FA) สำหรับบัญชีอีเมลและ OneDrive: การเพิ่มชั้นการรักษาความปลอดภัยนี้จะช่วยป้องกันการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต แม้ว่าผู้โจมตีจะทราบรหัสผ่าน
• การดำเนินการอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ: การ Patching ช่องโหว่ด้านความปลอดภัยเป็นสิ่งสำคัญในการลดความเสี่ยงจากการถูกโจมตี
• การใช้ระบบสำรองข้อมูลที่แยกออกจาก OneDrive และระบบหลัก (เช่น Immutable Backup): การมีสำเนาข้อมูลที่ปลอดภัยและไม่สามารถเปลี่ยนแปลงได้ ซึ่งเก็บไว้นอกระบบหลัก จะช่วยให้สามารถกู้คืนข้อมูลได้ในกรณีที่เกิดการโจมตี
• การติดตั้ง Endpoint Protection และ Anti-Ransomware บนอุปกรณ์ของพนักงานทุกคน: การมีระบบรักษาความปลอดภัยที่ปลายทางจะช่วยป้องกันและตรวจจับมัลแวร์ก่อนที่จะสามารถสร้างความเสียหายได้
• การฝึกอบรมและสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับพนักงาน: การให้ความรู้เกี่ยวกับกลลวงของ Phishing Email และแนวทางการป้องกันเบื้องต้นเป็นสิ่งสำคัญในการลดความเสี่ยงจาก Human Error

หลายองค์กรอาจมองข้ามพฤติกรรมเล็กน้อยของผู้ใช้งาน ซึ่งอาจกลายเป็นจุดเริ่มต้นของความเสียหายทางไซเบอร์ครั้งใหญ่ ไม่ว่าจะเป็นการคลิกไฟล์แนบในอีเมลที่ไม่น่าไว้วางใจ การตั้งค่าการซิงโครไนซ์อัตโนมัติโดยไม่มีการควบคุม หรือการใช้รหัสผ่านที่คาดเดาง่าย หากองค์กรไม่ตระหนักถึงความเสี่ยงเหล่านี้และปรับเปลี่ยนพฤติกรรมของผู้ใช้งานอย่างจริงจัง บริการ Cloud ที่มีประโยชน์อย่าง OneDrive และระบบอีเมลที่ใช้ในการสื่อสารเป็นประจำทุกวัน ก็อาจกลายเป็นเครื่องมือที่ผู้โจมตีใช้ในการสร้างความเสียหายร้ายแรงได้ในชั่วข้ามคืน การให้ความรู้ การติดตั้งระบบป้องกันที่เหมาะสม และการสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์จึงเป็นสิ่งจำเป็นอย่างยิ่ง