พบแพลตฟอร์มฟิชชิงขั้นสูงชื่อว่า BlueKit สามารถเจาะระบบข้ามผ่าน MFA เพื่อเข้ายึดบัญชีขององค์กร

ยอดเข้าชม: 43 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานภาครัฐและเอกชนให้เฝ้าระวังภัยคุกคามจาก BlueKit ซึ่งเป็นแพลตฟอร์มอาชญากรรมไซเบอร์ในรูปแบบการให้บริการสำเร็จรูป Phishing-as-a-Service (PhaaS) ที่มีความสามารถในการหลบเลี่ยงระบบรักษาความปลอดภัย โดยใช้เทคนิคขั้นสูงข้ามผ่านกระบวนการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) ส่งผลให้หน่วยงานภาครัฐ เอกชน และองค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ที่ใช้งานบริการคลาวด์ยอดนิยมมากกว่า 40 แบรนด์ มีความเสี่ยงระดับสูงที่จะถูกดักรับข้อมูลประจำตัวและถูกโจรกรรมสิทธิ์ในการเข้าถึงบัญชี โดยเฉพาะกลุ่มบัญชีที่ยังใช้ระบบ MFA รูปแบบเดิม เช่น การรับรหัสผ่านครั้งเดียวผ่าน SMS หรือแอปพลิเคชันบนโทรศัพท์เคลื่อนที่ [1]

1. รายละเอียดภัยคุกคาม และกลไกการโจมตี
แพลตฟอร์ม BlueKit ใช้เทคนิคการโจมตีขั้นสูงที่เรียกว่า Browser-in-the-Middle (BitM) ซึ่งมีกระบวนการทำงานที่แตกต่างจากฟิชชิงรูปแบบเดิมอย่างสิ้นเชิง โดยมีกลไกการทำงานหลักดังนี้
1.1 การแสดงหน้าเข้าสู่ระบบจริงแบบเวลาจริง (Real-time Proxying) โดยระบบของผู้โจมตีจะทำหน้าที่เป็นตัวกลางเชื่อมต่อกับหน้าจอเข้าสู่ระบบของบริการจริง แล้วส่งผ่านหน้าจอนั้นมาให้ผู้ใช้งานในเวลาจริง ทำให้อัตลักษณ์และส่วนติดต่อผู้ใช้งาน (User Interface) มีความถูกต้องแม่นยำสูงจนแยกแยะได้ยาก
1.2 การดักรับข้อมูลประจำตัวและรหัสผ่าน เมื่อผู้ใช้งานทำการกรอกรหัสผ่านและรหัสยืนยันตัวตน เช่น OTP จาก SMS หรือแอปพลิเคชัน Authenticator แพลตฟอร์ม BlueKit จะทำการดักรับข้อมูลดังกล่าวและส่งต่อไปยังเว็บไซต์จริงทันทีในเวลาเดียวกัน ทำให้ระบบ MFA รูปแบบเดิมไม่สามารถสกัดกั้นการโจมตีได้
1.3 การขโมย Session เพื่อสวมรอย (Session Hijacking) หลังจากการยืนยันตัวตนสำเร็จ แพลตฟอร์มดังกล่าวจะทำการคัดลอกคุกกี้สิทธิ์การเข้าระบบ (Session Cookies) และส่งสิทธิ์ดังกล่าวไปให้ผู้โจมตี ทำให้ผู้โจมตีสามารถสวมรอยเข้าสู่ระบบจากอุปกรณ์อื่นได้ทันทีโดยไม่ต้องผ่านกระบวนการพิสูจน์ตัวตน
1.4 มีการนำระบบปัญญาประดิษฐ์ (AI) มาใช้บริหารจัดการแคมเปญ เช่น การหลบเลี่ยงระบบตรวจสอบสิทธิ์ (CAPTCHA) การบิดเบือนโค้ดเพื่อหลบเลี่ยงการตรวจจับของระบบแอนตี้ไวรัส รวมถึงในบางกรณีพบการใช้เทคโนโลยีปลอมแปลงเสียง (Voice Cloning) เพื่อล่อลวงผู้เสียหาย

2. แนวทางปฏิบัติและมาตรการป้องกัน
2.1 การยกระดับสู่ Phishing-Resistant MFA พิจารณาปรับเปลี่ยนระบบยืนยันตัวตนไปสู่รูปแบบที่รองรับการป้องกันฟิชชิงขั้นสูง เช่น การใช้อุปกรณ์ฮาร์ดแวร์ (Security Key ตามมาตรฐาน FIDO2 / WebAuthn) หรือระบบ Passkeys เนื่องจากระบบดังกล่าวจะทำการผูกสิทธิ์เข้ากับโดเมนเนมที่ถูกต้องเท่านั้น แฮกเกอร์จึงไม่สามารถนำคุกกี้เซสชันไปใช้สวมรอยต่อได้
2.2 การจำกัดอายุของเซสชัน (Session Timeout): กำหนดค่าอายุการใช้งานของ Session Cookies ให้สั้นลง เพื่อบังคับให้ผู้ใช้งานต้องทำการพิสูจน์ตัวตนใหม่ตามรอบเวลาที่เหมาะสม ซึ่งจะช่วยลดโอกาสและระยะเวลาในการสวมรอยของผู้โจมตี
2.3 การประเมินและตรวจสอบความปลอดภัยระบบ: จัดให้มีการตรวจสอบความมั่นคงปลอดภัย (Security Assessments) และการทดสอบเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอ เพื่อประเมินช่องโหว่ในการบริหารจัดการสิทธิ์และการเข้าถึงข้อมูลภายในองค์กร
2.4 การตรวจสอบที่อยู่เว็บไซต์ (URL) อย่างเข้มงวด แม้หน้าต่างการเข้าสู่ระบบจะมีความแนบเนียนเพียงใด แต่แถบที่อยู่เว็บ (Address Bar) บนเบราว์เซอร์จะมีความผิดเพี้ยนไปจากโดเมนเนมจริงเสมอ บุคลากรจึงต้องตรวจสอบตัวสะกดอย่างละเอียดก่อนการกรอกข้อมูลใด ๆ
2.5 การปฏิเสธการยืนยันตัวตนที่ไม่ได้ทำธุรกรรมด้วยตนเอง หากปรากฏหน้าต่างป๊อปอัปหรือข้อความแจ้งเตือนให้ระบุรหัส OTP หรืออนุมัติการเข้าสู่ระบบ (MFA Prompt) โดยที่ผู้ใช้งานไม่ได้เป็นผู้ดำเนินการในขณะนั้น ให้ปฏิเสธการกรอกข้อมูลโดยทันที และรีบแจ้งฝ่ายดูแลระบบส่วนกลางเพื่อตรวจสอบ

📢 ThaiCERT เน้นย้ำให้หน่วยงานทุกภาคส่วนเร่งทบทวนและยกระดับมาตรการพิสูจน์ตัวตน เพื่อปิดช่องโหว่จากการถูกโจรกรรมข้อมูลบัญชีด้วยเทคนิคขั้นสูงดังกล่าวโดยเร่งด่วน

อ้างอิง
[1] https://dg.th/0nim3qu2yf