193/69 (IT) ประจำวันอังคารที่ 7 เมษายน 2569
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Push Security ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างก้าวกระโดดของการโจมตีรูปแบบ “Device Code Phishing” ซึ่งเป็นการอาศัยช่องโหว่ในกระบวนการยืนยันตัวตนแบบ OAuth 2.0 (Device Authorization Grant) โดยสถิติล่าสุดในช่วงต้นปี 2026 พบว่ามีการตรวจพบหน้าเพจฟิชชิ่งประเภทนี้เพิ่มขึ้นถึง 37.5 เท่า เทคนิคดังกล่าวเดิมถูกออกแบบมาเพื่ออำนวยความสะดวกให้อุปกรณ์ที่ไม่มีคีย์บอร์ดหรือหน้าจอที่พิมพ์ได้ยาก เช่น สมาร์ททีวี พรินเตอร์ หรืออุปกรณ์ IoT สามารถเข้าสู่ระบบได้ง่ายขึ้น แต่ปัจจุบันกลับกลายเป็นช่องทางหลักที่กลุ่มแฮกเกอร์ ทั้งที่หวังผลทางการเมืองและทางการเงิน ใช้ในการยึดครองบัญชี (Account Hijack) ของเหยื่ออย่างแพร่หลาย
กลไกการโจมตีนี้มีความแนบเนียนสูง โดยแฮกเกอร์จะเริ่มจากการขอรหัสอุปกรณ์ (Device Code) จากผู้ให้บริการ (เช่น Microsoft หรือ Google) แล้วส่งรหัสนั้นไปให้เหยื่อผ่านข้อความล่อลวงในรูปแบบต่าง ๆ เมื่อเหยื่อถูกหลอกให้นำรหัสไปกรอกในหน้าล็อกอินของจริง เพื่อยืนยันตัวตน ระบบจะสร้าง Access Token และ Refresh Token ส่งกลับไปให้แฮกเกอร์ทันที ทำให้แฮกเกอร์สามารถเข้าถึงบัญชีได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการยืนยันตัวตนหลายชั้น (MFA) ปัจจุบันมีการตรวจพบชุดเครื่องมือสำเร็จรูป (Phishing-as-a-Service) อย่างน้อย 11 ชนิด เช่น EvilTokens ที่กำลังระบาดหนัก รวมถึงเครื่องมืออื่น ๆ อย่าง Venom, ShareFile และ DocuPoll ที่ถูกออกแบบมาให้แฮกเกอร์มือสมัครเล่นสามารถใช้งานได้ง่ายและปลอมแปลงหน้าตาให้เหมือนกับบริการทางธุรกิจยอดนิยมได้อย่างแนบเนียน
เพื่อป้องกันความเสี่ยงจากภัยคุกคามนี้ องค์กรและผู้ใช้งานควรพิจารณาปิดการใช้งานฟีเจอร์ Device Code Flow หากไม่มีความจำเป็น โดยการตั้งค่านโยบายการเข้าถึงแบบมีเงื่อนไข (Conditional Access Policies) บนบัญชีผู้ใช้ นอกจากนี้ ฝ่ายไอทีควรเฝ้าระวังและตรวจสอบบันทึกกิจกรรม (Logs) อย่างสม่ำเสมอ เพื่อตรวจหาการยืนยันตัวตนผ่านรหัสอุปกรณ์ที่ผิดปกติ หรือเซสชันที่มาจากหมายเลขไอพี (IP Address) ที่ไม่น่าเชื่อถือ ซึ่งจะช่วยให้สามารถระบุและยับยั้งการโจมตีได้ก่อนที่ข้อมูลสำคัญจะถูกเข้าถึงโดยไม่ได้รับอนุญาต