เตือนภัย! แฮ็กเกอร์ใช้ OAuth ปลอม โจมตีบัญชี Microsoft 365 แม้เปิด MFA ก็ไม่รอด
นักวิจัยด้านความปลอดภัยจาก Proofpoint ออกมาเตือนถึงแคมเปญฟิชชิงรูปแบบใหม่ที่ใช้แอป OAuth ปลอมชื่อ “iLSMART” เพื่อหลอกให้ผู้ใช้งาน Microsoft 365 กดอนุญาตการเข้าถึงข้อมูล และขโมยข้อมูลเข้าสู่ระบบแม้จะเปิด MFA ไว้ก็ตาม
วิธีการโจมตี
- แฮ็กเกอร์ส่งอีเมลหลอกลวงแนบลิงก์ที่ดูเหมือนเกี่ยวกับใบเสนอราคาหรือเอกสารธุรกิจ
- เมื่อเหยื่อคลิกลิงก์ จะเข้าสู่หน้าขออนุญาตจาก Microsoft OAuth ของแอป “iLSMART” ที่ปลอมขึ้นมา
- ไม่ว่าจะกดยอมรับหรือปฏิเสธการเข้าถึง ระบบจะพาไปยัง CAPTCHA ปลอม และต่อด้วยหน้าล็อกอิน Microsoft ปลอมที่ทำหน้าที่ขโมยรหัสผ่านและโค้ด MFA ด้วยเทคนิค AitM (Adversary-in-the-Middle)
มีการปลอมแอปชื่อดังมากกว่า 50 แอป เช่น:
- RingCentral
- Adobe
- SharePoint
- DocuSign
Proofpoint รายงานว่าในปี 2025 มีบัญชีผู้ใช้ Microsoft 365 เกือบ 3,000 ราย ในกว่า 900 องค์กร ถูกพยายามเข้ายึดบัญชีด้วยวิธีนี้
แนะนำแนวทางป้องกัน
- อย่ากดยอมรับการอนุญาตของแอปที่ไม่รู้จัก
- เปิดใช้ MFA ที่รองรับ FIDO2 หรือ Passkey ที่ต้าน AitM ได้
- ตรวจสอบสิทธิ์ OAuth ผ่าน Admin Center อย่างสม่ำเสมอ
- อัปเดตนโยบาย Microsoft ให้บล็อก legacy auth และกำหนดให้ต้องมี admin consent
องค์กรที่ใช้ Microsoft 365 ควรเสริมความปลอดภัยด้วยบริการของ hostatom เช่น
- บริการดูแลอีเมลองค์กร
🛡️ ดูบริการสำหรับองค์กรได้ที่
👉 บริการ Microsoft 365 Business ราคาพิเศษ เลือก hostatom
ที่มา: The Hacker News
