ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

Microsoft 365 พบ Device Code Phishing รูปแบบใหม่ มุ่งเป้าบัญชีองค์กร

ARToken PhaaS exposes EvilTokens' Microsoft 365 phishing toolkit

องค์กรที่ใช้ Microsoft 365 ควรระวังการโจมตีรูปแบบใหม่ หลัง Cisco Talos พบ ARToken แพลตฟอร์ม Phishing-as-a-Service (PhaaS)
ที่ถูกออกแบบมาเพื่อโจมตีบัญชี Microsoft 365 โดยเฉพาะ สามารถขโมย Authentication Token และนำไปใช้เข้าถึงข้อมูลสำคัญขององค์กรได้

จากการวิเคราะห์พบว่า ARToken มีความเชื่อมโยงกับ EvilTokens บริการฟิชชิงที่เคยถูกเปิดเผยเมื่อต้นปีที่ผ่านมา โดยใช้เทคนิคและโครงสร้างการทำงานที่คล้ายกันหลายจุด จึงเชื่อว่าอาจเป็นแพลตฟอร์มที่พัฒนาต่อยอดจากเครือข่ายเดียวกัน

วิธีการโจมตี

ARToken ใช้เทคนิค Device Code Phishing โดยหลอกให้เหยื่อนำ Device Code ไปกรอกบนหน้าเข้าสู่ระบบของ Microsoft ซึ่งเป็นเว็บไซต์จริง ทำให้หลายคนหลงเชื่อว่าเป็นขั้นตอนปกติ

ARToken PhaaS exposes EvilTokens' Microsoft 365 phishing toolkit
หน้าลงชื่อเข้าใช้ด้วย Device Code ของ Microsoft

เมื่อผู้ใช้ยืนยันการเข้าสู่ระบบแล้ว Microsoft จะออก Authentication Token ให้กับผู้โจมตีแทน และจะสามารถนำไปใช้เข้าสู่บัญชี Microsoft 365 ได้ แม้จะเปิดใช้งาน Multi-Factor Authentication (MFA) แล้วก็ตาม

เมื่อยึดบัญชีได้แล้ว ผู้โจมตีไม่เพียงเข้าถึงอีเมล Outlook, ไฟล์บน OneDrive และข้อมูลใน SharePoint เท่านั้น แต่ยังใช้ Primary Refresh Token (PRT) เพื่อรักษาสิทธิ์การเข้าถึงบัญชี ทำให้กลับเข้ามาใช้งานบัญชีได้ต่อเนื่องโดยไม่ต้องให้ผู้ใช้ยืนยันตัวตนซ้ำ

นอกจากนี้ ยังสามารถสร้างกฎเพื่อซ่อนหรือส่งต่ออีเมล ดาวน์โหลดไฟล์แนบ และใช้บัญชีที่ถูกยึดไปก่อเหตุ Business Email Compromise (BEC) เพื่อหลอกลวงคู่ค้าหรือพนักงานในองค์กรได้อีกด้วย โดยส่งอีเมลใบแจ้งหนี้พร้อมลิงก์ SharePoint ปลอม เพื่อหลอกให้เหยื่อเข้าสู่การโจมตีดังกล่าว

ARToken PhaaS exposes EvilTokens' Microsoft 365 phishing toolkit
ตัวอย่างอีเมลฟิชชิงจาก ARToken (Source: Cisco Talos)

ข้อแนะนำสำหรับองค์กร

Push Security ระบุว่า การโจมตีแบบ Device Code Phishing เพิ่มขึ้นถึง 37 เท่า ในช่วงปีที่ผ่านมา สะท้อนว่าเทคนิคนี้กำลังถูกนำมาใช้มากขึ้นในกลุ่มอาชญากรไซเบอร์ ดังนั้น สิ่งที่องค์กรควรทำ คือ

  • อย่ากรอก Device Code หากไม่ได้เป็นผู้เริ่มต้นเข้าสู่ระบบเอง
  • อบรมผู้ใช้งานให้รู้จักการโจมตีแบบ Device Code Phishing
  • ตรวจสอบการเข้าสู่ระบบและกิจกรรมของบัญชี Microsoft 365 อย่างสม่ำเสมอ
  • รีบเพิกถอนสิทธิ์การเข้าถึงและเปลี่ยนรหัสผ่าน หากสงสัยว่าบัญชีถูกยึด

ยิ่งแฮกเกอร์เปลี่ยนจากการเจาะระบบ มาเป็นการหลอกให้ผู้ใช้งานยืนยันการเข้าสู่ระบบด้วยตัวเอง การสร้างความตระหนักรู้ด้านความปลอดภัยก็ยิ่งเป็นเรื่องที่ทุกองค์กรไม่ควรมองข้าม

hostatom พร้อมให้คำปรึกษาและดูแลการใช้งาน Microsoft 365 ตั้งแต่การเริ่มต้นใช้งาน การตั้งค่าความปลอดภัย ไปจนถึงการใช้งานในองค์กร เพื่อให้คุณใช้งานได้อย่างมั่นใจมากยิ่งขึ้น

ที่มา: Bleeping Computer

  • สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com
Categories