มีรายงานพบแคมเปญ phishing รูปแบบใหม่ชื่อว่า “VENOM” ซึ่งเป็นระบบแบบ Phishing-as-a-Service (PhaaS) โดยมุ่งเป้าขโมยบัญชีของผู้บริหารระดับสูงอย่าง CEO, CFO และ VP จากหลายองค์กร
จุดที่น่ากังวลคือ การโจมตีครั้งนี้ไม่ได้สุ่มเหมือนทั่วไป แต่เป็นการ “เจาะเป้าหมายเฉพาะบุคคล” อีเมลที่ส่งมาจะถูกออกแบบให้ดูเหมือนการแชร์ไฟล์ผ่าน Microsoft SharePoint ภายในองค์กร พร้อมใส่ชื่อ ตำแหน่ง หรือบริบทงานจริง ทำให้ดูน่าเชื่อถือมาก เพราะแทนที่จะใช้ลิงก์ phishing แบบเดิม
ผู้โจมตีกลับเลือกใช้ QR Code เพื่อเพื่อเลี่ยงระบบตรวจจับในอีเมล
เมื่อเหยื่อสแกน จะถูกพาไปยังหน้าเว็บปลอมที่มีการคัดกรองก่อน หากเป็นเป้าหมายจริง จึงจะถูกส่งต่อไปยังหน้า login Microsoft ปลอมที่ทำงานแบบ
เรียลไทม์ ทำให้ข้อมูลที่กรอก รวมถึงรหัส MFA ถูกส่งให้แฮกเกอร์ทันที
นอกจากนี้ ยังพบการใช้วิธี Device Code Phishing ที่หลอกให้ผู้ใช้กดยืนยัน เพื่อเปิดสิทธิ์ให้อุปกรณ์ของผู้โจมตีเข้าถึงบัญชีได้โดยตรงได้ โดยไม่ต้องขโมยรหัสผ่าน
สิ่งที่ทำให้การโจมตีนี้อันตรายยิ่งขึ้นคือ แม้ผู้ใช้จะเปลี่ยนรหัสผ่านภายหลัง ผู้โจมตียังสามารถเข้าถึงบัญชีได้ต่อเนื่อง จากการขโมย session token ซึ่งเป็นข้อมูลยืนยันตัวตนหลังการล็อกอิน
ผู้เชี่ยวชาญจึงเตือนว่า การใช้ MFA เพียงอย่างเดียวอาจไม่เพียงพออีกต่อไป เพราะการโจมตีในปัจจุบันสามารถหลีกเลี่ยงหรือข้ามขั้นตอนเหล่านี้ได้แล้ว องค์กรควรเสริมมาตรการความปลอดภัยเพิ่มเติม เช่น การใช้ FIDO2 หรือการตั้งค่า Conditional Access ให้เข้มงวดมากขึ้น
ดังนั้น สิ่งที่องค์กรควรตระหนักคือ “บัญชีผู้ใช้งาน” กำลังกลายเป็นเป้าหมายหลักของผู้โจมตี และเพียงพลาดครั้งเดียว ก็อาจเปิดช่องให้เข้าถึงข้อมูลสำคัญ หรือสร้างความเสียหายต่อทั้งองค์กรได้ทันที
สำหรับธุรกิจที่ต้องการลดความเสี่ยงจากภัยลักษณะนี้ การมีระบบ Email Security และการตั้งค่าความปลอดภัยที่เหมาะสม จะช่วยป้องกันการโจมตีได้ตั้งแต่ก่อนจะเกิดความเสียหาย
หากต้องการให้ระบบอีเมลและบัญชี Microsoft 365 ในองค์กรปลอดภัยมากยิ่งขึ้น
hostatom พร้อมช่วยดูแลและตั้งค่าความปลอดภัยให้เหมาะสมกับการใช้งานขององค์กร เพื่อให้ใช้งานได้อย่างมั่นใจ
ที่มา: BleepingComputer
