Passkey เป็นอีกหนึ่งวิธีล็อกอิน ที่ช่วยเพิ่มความปลอดภัยให้บัญชี Microsoft 365 โดยไม่ต้องใช้รหัสผ่าน แต่แฮกเกอร์กลับอาศัยความน่าเชื่อถือของฟีเจอร์นี้เพื่อหลอกให้ผู้ใช้งานเปิดทางให้เข้ายึดบัญชีด้วยตัวเอง
ล่าสุด Okta บริษัทด้านการจัดการตัวตนและการเข้าถึง (Identity and Access Management: IAM) เปิดเผยว่า การโจมตีดังกล่าวเชื่อมโยงกับกลุ่มแฮกเกอร์ Pink ซึ่งกำลังมุ่งเป้าโจมตีองค์กรในหลายอุตสาหกรรม
เหตุการณ์นี้ไม่ได้เกิดจากช่องโหว่ของ Microsoft Entra Passkey แต่เป็นการโจมตีแบบ Vishing หรือการหลอกลวงผ่านโทรศัพท์ เพื่อโน้มน้าวให้เหยื่อลงทะเบียน Passkey ผ่านขั้นตอนที่คนร้ายเตรียมไว้
รูปแบบการโจมตี
แฮกเกอร์จะแอบอ้างว่าเป็นฝ่าย IT ขององค์กร แล้วโทรหาเหยื่อโดยอ้างว่าจำเป็นต้องลงทะเบียน Microsoft Entra Passkey ใหม่ เพื่อเพิ่มความปลอดภัยให้บัญชี Microsoft 365
เมื่อเหยื่อหลงเชื่อ ก็จะส่งลิงก์ไปยังเว็บไซต์ปลอมที่มีหน้าตาเหมือนหน้าลงทะเบียน Passkey ของ Microsoft พร้อมใช้โลโก้และชื่อองค์กรของเหยื่อ เพื่อสร้างความน่าเชื่อถือ
เมื่อผู้ใช้งานทำตามขั้นตอนและยืนยันตัวตนสำเร็จ แฮกเกอร์จะนำข้อมูลไปล็อกอินบัญชี Microsoft 365 พร้อมลงทะเบียน Passkey ที่ตนเองควบคุม ทำให้สามารถกลับมาเข้าถึงบัญชีได้ทุกเมื่อ โดยที่ผู้ใช้งานอาจไม่รู้ตัว
หลังยึดบัญชีได้สำเร็จ แฮกเกอร์มักรีบดึงข้อมูลจาก SharePoint และ OneDrive เพื่อนำข้อมูลสำคัญออกจากระบบ และอาจใช้เป็นเครื่องมือเรียกค่าไถ่หรือข่มขู่องค์กรในภายหลัง
วิธีป้องกัน
- อย่าลงทะเบียน Passkey หากยังไม่ได้ยืนยันตัวตนของผู้ที่ติดต่อมา
- หากมีผู้แอบอ้างเป็นฝ่าย IT ควรติดต่อกลับผ่านช่องทางภายในองค์กรเพื่อยืนยันทุกครั้ง
- ตรวจสอบ URL ให้ถูกต้องก่อนลงชื่อเข้าใช้ Microsoft 365 หรือ Microsoft Entra
- อบรมพนักงานให้รู้เท่าทันการโจมตีแบบ Vishing และการแอบอ้างเป็นฝ่าย IT
- จำกัดการเข้าถึงจากประเทศหรือพื้นที่ที่องค์กรไม่ได้ดำเนินธุรกิจ หากสามารถกำหนดนโยบายได้
การโจมตีในตอนนี้ ไม่ได้มุ่งเป้าเฉพาะช่องโหว่ของระบบอีกต่อไป แต่ยังอาศัยความไว้วางใจของผู้ใช้งานเป็นช่องทางโจมตี องค์กรจึงควรให้ความสำคัญทั้งการตั้งค่าความปลอดภัยและการสร้างความตระหนักรู้ด้าน Cybersecurity ให้กับพนักงานควบคู่กัน
หากต้องการใช้งาน Microsoft 365 พร้อมคำแนะนำด้านความปลอดภัย hostatom พร้อมช่วยดูแลและให้คำปรึกษา
ที่มา: Bleeping Computer


