Cisco Talos ทีมงานด้านความปลอดภัยของซิสโก้รายงานถึงเหตุการณ์ที่บริษัทเองถูกเจาะระบบเมื่อเดือนพฤษภาคมที่ผ่านมา โดยพนักงานรายหนึ่งถูกแฮกบัญชีกูเกิล และพนักงานเก็บรหัสผ่านเอาไว้ในบัญชีกูเกิลทำให้คนร้ายซิงก์เอาบัญชีบริษัทออกไปได้ด้วย แต่เนื่องจากระบบภายในต้องอาศัยการเชื่อมต่อ VPN ที่ต้องล็อกอินแบบสองชั้น คนร้ายจึงพยายามให้หลอกให้เหยื่อกดยอมรับการล็อกอินจากแอปในเครื่อง โดยอาศัยการโทรปลอมตัวเป็นพนักงานด้วยกัน (voice phishing – vishing)

เมื่อคนร้ายล็อกอิน VPN ได้สำเร็จ จึงพยายามล็อกอินเครื่องในองค์กร และสามารถเจาะเซิร์ฟเวอร์ Citrix ได้สำเร็จ และล็อกอินเข้า domain controller ได้ในที่สุด หลังจากนั้นก็สร้างบัญชีผู้ดูแลระบบทิ้งไว้ในเครื่อง

ทาง Talos ระบุว่าคนร้ายสามารถดึงข้อมูลจากบัญชี Box ของพนักงานได้สำเร็จ พร้อมกับข้อมูลล็อกอินใน Active Directory โดยข้อมูลใน Box นั้นไม่ใช่ข้อมูลสำคัญนัก และหลังเหตุการณ์นี้ซิสโก้ก็สั่งให้พนักงานเปลี่ยนรหัสผ่านทั้งบริษัท ฝั่งคนร้ายก็อีเมลหาผู้บริหารพยายามขอค่าไถ่

ที่มา – Cisco Talos