ช่วงปลายเดือนเมษายนที่ผ่านมา ผู้เชี่ยวชาญพบว่า Tycoon2FA กำลังถูกใช้โจมตีบัญชี Microsoft 365 ด้วยเทคนิคใหม่ที่อันตรายกว่าเดิม
โดยในครั้งนี้ แฮกเกอร์ไม่จำเป็นต้องขโมยรหัสผ่านโดยตรง แต่ใช้วิธี “หลอกให้ผู้ใช้ล็อกอินให้เองผ่านหน้าเว็บจริงของ Microsoft”
หรือที่เรียกว่า Device Code Phishing ซึ่งกำลังถูกใช้มากขึ้นเรื่อย ๆ ในปีนี้
วิธีการโจมตีเริ่มจาก แฮกเกอร์จะส่งอีเมล Phishing มาหลอกว่าเป็นเอกสารสำคัญ เช่น ใบแจ้งหนี้ หรือเอกสารภายในองค์กร ซึ่งเมื่อผู้ใช้กดลิงก์ ระบบก็จะพาไปยังหน้าเว็บที่ดูเหมือน Microsoft ตามปกติ
จากนั้นหน้าเว็บจะให้ผู้ใช้คัดลอกรหัส (Device Code) ไปกรอกที่เว็บไซต์จริง microsoft.com/devicelogin ซึ่งทำให้หลายคนไม่ทันสงสัย
เมื่อกรอกรหัสพร้อมยืนยัน MFA สำเร็จ ก็เท่ากับว่าผู้ใช้กำลังอนุญาตให้อุปกรณ์ของแฮกเกอร์เข้าถึงบัญชี Microsoft 365 ของตัวเองทันที
และถึงแม้บัญชีนั้นจะเปิด Multi-Factor Authentication (MFA) ไว้แล้ว แฮกเกอร์ก็ยังสามารถเข้าถึงอีเมล ปฏิทิน OneDrive และข้อมูลต่าง ๆ ในองค์กรได้ต่อเนื่อง
ผู้เชี่ยวชาญจาก Push Security ระบุว่า การโจมตีแบบนี้มีทั้งบริการ Phishing-as-a-Service (PhaaS) เป็นชุดเครื่องมือ Phishing สำเร็จรูป
ที่พร้อมให้กลุ่มโจมตีนำไปใช้งานได้ง่ายขึ้นอีกด้วย
ขณะเดียวกัน ชุดเครื่องมือนี้ยังเพิ่มระบบหลบเลี่ยงการตรวจจับจำนวนมาก โดยปัจจุบันมีรายชื่อระบบด้าน Security ที่ใช้บล็อกการตรวจจับมากกว่า 230 รายการ และยังอัปเดตเพิ่มต่อเนื่อง
วิธีรับมือ Device Code Phishing เบื้องต้น
- ปิดการใช้งาน OAuth Device Code Flow หากองค์กรไม่ได้ใช้งานฟีเจอร์นี้
- จำกัดสิทธิ์การเชื่อมต่อแอปภายนอกกับ Microsoft 365
- ตั้งค่าให้แอดมินเป็นผู้อนุมัติการเชื่อมต่อแอปเท่านั้น
- ตรวจสอบ Log การล็อกอินผิดปกติใน Entra ID อย่างสม่ำเสมอ
- เฝ้าระวังการล็อกอินแบบ deviceCode หรือการใช้งานจากอุปกรณ์ใหม่ที่ผิดปกติ
Device Code Phishing กำลังกลายเป็นอีกเทคนิคที่องค์กรต้องจับตา เพราะเป็นการโจมตีที่อาศัยพฤติกรรมของผู้ใช้งาน มากกว่าการเจาะระบบแบบเดิม ๆ
ที่มา: Bleepingcomputer
