เตือนภัย! แฮกเกอร์หลอกให้ลงทะเบียน Microsoft Entra Passkey ปลอม เพื่อเข้ายึดบัญชี Microsoft 365

ยอดเข้าชม: 71 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัย พบการโจมตีรูปแบบใหม่จากกลุ่มแฮกเกอร์ที่มุ่งเป้าหมายขโมยบัญชีผู้ใช้ Microsoft 365 เพื่อหลอกล่อให้ผู้ใช้งานทำกระบวนการลงทะเบียน Passkey โดยมีจุดประสงค์ในการโจมตีเรียกค่าไถ่ข้อมูล [1]

1. รายละเอียดลักษณะการทำงานของภัยคุกคาม
1.1 การดักจับข้อมูลเข้าสู่ระบบ โดยเหยื่อจะถูกนำไปยังหน้าเว็บไซต์หลอกลวง (Phishing) ที่เริ่มต้นด้วยหน้าทางเข้าเว็บไซต์ (Gate) เพื่อตรวจสอบและหลบเลี่ยงการวิเคราะห์ความปลอดภัย จากนั้นระบบจะแสดงหน้า ระบุตัวตน (Identify) และหน้ารหัสผ่าน (Password) เพื่อหลอกให้ผู้ใช้งานกรอกข้อมูลโดยแฮกเกอร์จะขโมยชื่อผู้ใช้และรหัสผ่าน ซึ่งข้อมูลจะถูกส่งไปยังการควบคุมเบื้องหลังเว็บไซต์ (Backend.php)
1.2 ข้ามผ่านระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA) ผู้ควบคุมเบื้องหลังเว็บไซต์จะนำข้อมูลที่ขโมยมาไปล็อกอินบนหน้าเว็บจริงของ Microsoft ระหว่างนั้นเหยื่อจะเห็นหน้าประมวลผล (Processing) เพื่อรอให้ผู้โจมตีสั่งการให้หน้าเว็บไซต์ฟิชชิงแสดงผลตรงกับรูปแบบ MFA ที่ระบบจริงร้องขอ (เช่น หน้าส่งรหัสผ่าน (Submit-otp) สำหรับรหัสผ่านแบบใช้ครั้งเดียวผ่านข้อความสั้น (SMS OTP) หรือ หน้าอนุมัติการยืนยันตัวตน (Approve-authenticator) สำหรับการแจ้งเตือนแบบพุช (Push Notification)
1.3 สวมรอยลงทะเบียน Passkey ของแฮกเกอร์ หลังจากเหยื่ออนุมัติ MFA ผู้โจมตีจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Passkey หรือ Register ปลอม พร้อมแสดงหน้าจอให้ “กู้คืนคีย์” (Recovery key) 12 ตัวอักษร เพื่อเป็นกลไกเบี่ยงเบนความสนใจให้เหยื่อจดจ่ออยู่กับหน้าจอ ในขณะที่ผู้โจมตีแอบดำเนินการลงทะเบียน Passkey ของตนเองเข้ากับบัญชีของเหยื่อในระบบจริง [2]

2. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ
2.1 บัญชีผู้ใช้งานระบบ Microsoft 365 และระบบการจัดการข้อมูลประจำตัว Microsoft Entra ID
2.2 การโจมตีนี้มุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับอาหารและเครื่องดื่ม, เทคโนโลยี, การดูแลสุขภาพ, ยานยนต์, การก่อสร้าง และการบิน

3. รูปแบบการแพร่กระจายและการโจมตี
3.1 การหลอกลวงผ่านเสียง (Vishing) ผู้โจมตีจะโทรศัพท์หาเหยื่อโดยตรง เพื่อโน้มน้าวหรือสร้างความตื่นตระหนกว่าบัญชีมีความเสี่ยง และจำเป็นต้องลงทะเบียน Passkey ใหม่
3.2 การใช้โดเมนหลอกลวง แฮกเกอร์ใช้ชื่อโดเมนที่จดทะเบียนใหม่โดยมีคำว่า “passkey” รวมอยู่ด้วย เพื่อสร้างความน่าเชื่อถือให้กับลิงก์ฟิชชิง
3.3 การฉวยโอกาสจากความไม่คุ้นเคย ผู้โจมตีใช้ประโยชน์จากการที่องค์กรหลายแห่งกำลังผลักดันการใช้ Passkey ตามนโยบายของ Microsoft และอาศัยความไม่คุ้นเคยของผู้ใช้กับหน้าจอการตั้งค่า Passkey ของจริง

4. แนวทางการป้องกัน
4.1 บังคับใช้ระบบยืนยันตัวตนที่ป้องกันการหลอกลวงได้ (Phishing-resistant MFA) เช่น พาสคีย์ (Passkeys) หรือสมาร์ทการ์ด เพื่อทดแทนการใช้รหัสผ่านผ่าน SMS หรือ TOTP ซึ่งจะช่วยบล็อกการเข้าสู่ระบบของผู้โจมตีได้โดยตรง
4.2 กำหนดและปฏิบัติตามขั้นตอนการยืนยันตัวตนของเจ้าหน้าที่ฝ่ายสนับสนุน (Support) ทุกครั้งที่มีการโทรติดต่อผู้ใช้งาน เพื่อป้องกันการสวมรอย
4.3 บล็อกคำขอเข้าถึงระบบจากพื้นที่หรือประเทศที่องค์กรไม่ได้ดำเนินธุรกิจอยู่ (ผ่านการกรองประเทศ, ASN หรือ IP)
4.4 จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญ ให้ใช้งานได้เฉพาะบนอุปกรณ์ขององค์กร ที่ติดตั้งระบบรักษาความปลอดภัยแล้วเท่านั้น
4.5 แจ้งเตือนผู้ใช้งานทุกครั้งที่มีการเปลี่ยนแปลงวิธีการยืนยันตัวตน รวมถึงเมื่อมีการเพิ่มพาสคีย์ (Passkey) ใหม่เข้าสู่ระบบบัญชี [3]

อ้างอิง
[1] https://dg.th/va1qp039uf
[2] https://dg.th/9n01fk2omv
[3] https://dg.th/ea9pd14jk6