88/69 (IT) ประจำวันศุกร์ที่ 13 กุมภาพันธ์ 2569
ศูนย์เฝ้าระวังความปลอดภัยทางไซเบอร์ตรวจพบการโจมตีรูปแบบใหม่ผ่านส่วนเสริม (Add-in) บน Microsoft Office Store เป็นครั้งแรก โดยแอปพลิเคชันชื่อ AgreeTo ซึ่งเดิมเป็นเครื่องมือช่วยนัดหมายการประชุมที่ถูกต้องตามกฎหมาย ได้ถูกผู้ไม่หวังดีเข้ายึดครองโดเมนที่ผู้พัฒนาเดิมไม่ได้ใช้งานแล้ว (Orphaned URL) เปลี่ยนเป็นเครื่องมือ Phishing ส่งผลให้บัญชีผู้ใช้งาน Microsoft กว่า 4,000 รายถูกขโมยข้อมูลส่วนตัว รวมถึงรหัสผ่าน ข้อมูลบัตรเครดิต และคำถามเพื่อความปลอดภัยทางการเงิน โดยข้อมูลทั้งหมดจะถูกส่งต่อไปยังแฮกเกอร์ผ่านระบบ Telegram Bot ซึ่งถือเป็นเหตุการณ์รุนแรงเนื่องจากเป็นการแพร่กระจายผ่านช่องทางที่ผู้ใช้งานไว้วางใจ
เทคนิคการโจมตีนี้มีความแนบเนียนสูง เมื่อผู้ใช้เปิดใช้งาน AgreeTo ภายในโปรแกรม Outlook จะปรากฏหน้าต่างลงชื่อเข้าใช้งานปลอมที่เลียนแบบหน้าต่างจริงของ Microsoft อย่างไม่มีที่ติ ทำให้ผู้ใช้หลงเชื่อกรอกข้อมูลโดยไม่ได้ระวังตัว สำหรับองค์กรส่วนใหญ่ที่พึ่งพาการทำงานผ่านระบบ Microsoft 365 และ Outlook เป็นหลัก ความเสี่ยงนี้จึงอาจจะกระทบต่อภาคธุรกิจโดยตรง เนื่องจากการตรวจสอบของ Microsoft จะทำเพียงครั้งเดียวในช่วงอนุมัติแอปพลิเคชันเข้า Store แต่หลังจากนั้นผู้พัฒนาสามารถแก้ไขเนื้อหาบนเซิร์ฟเวอร์ของตนได้อิสระ กลายเป็นช่องโหว่ให้แฮกเกอร์นำมาใช้หลอกลวงได้ทันที
ขณะนี้ Microsoft ได้นำส่วนเสริม AgreeTo ออกจาก Marketplace เรียบร้อยแล้ว แต่ผู้เชี่ยวชาญแนะนำว่าหากท่านใดเคยติดตั้งส่วนเสริมนี้ไว้ใน Outlook ให้รีบทำการถอนการติดตั้ง (Uninstall) ทันที และควรเปลี่ยนรหัสผ่านของบัญชี Microsoft พร้อมทั้งตรวจสอบการเข้าใช้งานที่ผิดปกติ นอกจากนี้ ควรเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อเป็นการป้องกันอีกชั้นหนึ่ง เนื่องจากทีมวิจัยพบว่ากลุ่มแฮกเกอร์รายนี้ยังมีเป้าหมายในการโจมตีผู้ให้บริการอินเทอร์เน็ตและธนาคารอีกหลายแห่งทั่วโลก การเฝ้าระวังและหมั่นตรวจสอบสิทธิ์ของ Add-in ที่ใช้งานอยู่จึงเป็นสิ่งจำเป็นอย่างยิ่งในปัจจุบัน
