องค์กรที่ใช้ Microsoft 365 ควรระวังการโจมตีรูปแบบใหม่ หลัง Cisco Talos พบ ARToken แพลตฟอร์ม Phishing-as-a-Service (PhaaS)
ที่ถูกออกแบบมาเพื่อโจมตีบัญชี Microsoft 365 โดยเฉพาะ สามารถขโมย Authentication Token และนำไปใช้เข้าถึงข้อมูลสำคัญขององค์กรได้
จากการวิเคราะห์พบว่า ARToken มีความเชื่อมโยงกับ EvilTokens บริการฟิชชิงที่เคยถูกเปิดเผยเมื่อต้นปีที่ผ่านมา โดยใช้เทคนิคและโครงสร้างการทำงานที่คล้ายกันหลายจุด จึงเชื่อว่าอาจเป็นแพลตฟอร์มที่พัฒนาต่อยอดจากเครือข่ายเดียวกัน
วิธีการโจมตี
ARToken ใช้เทคนิค Device Code Phishing โดยหลอกให้เหยื่อนำ Device Code ไปกรอกบนหน้าเข้าสู่ระบบของ Microsoft ซึ่งเป็นเว็บไซต์จริง ทำให้หลายคนหลงเชื่อว่าเป็นขั้นตอนปกติ
เมื่อผู้ใช้ยืนยันการเข้าสู่ระบบแล้ว Microsoft จะออก Authentication Token ให้กับผู้โจมตีแทน และจะสามารถนำไปใช้เข้าสู่บัญชี Microsoft 365 ได้ แม้จะเปิดใช้งาน Multi-Factor Authentication (MFA) แล้วก็ตาม
เมื่อยึดบัญชีได้แล้ว ผู้โจมตีไม่เพียงเข้าถึงอีเมล Outlook, ไฟล์บน OneDrive และข้อมูลใน SharePoint เท่านั้น แต่ยังใช้ Primary Refresh Token (PRT) เพื่อรักษาสิทธิ์การเข้าถึงบัญชี ทำให้กลับเข้ามาใช้งานบัญชีได้ต่อเนื่องโดยไม่ต้องให้ผู้ใช้ยืนยันตัวตนซ้ำ
นอกจากนี้ ยังสามารถสร้างกฎเพื่อซ่อนหรือส่งต่ออีเมล ดาวน์โหลดไฟล์แนบ และใช้บัญชีที่ถูกยึดไปก่อเหตุ Business Email Compromise (BEC) เพื่อหลอกลวงคู่ค้าหรือพนักงานในองค์กรได้อีกด้วย โดยส่งอีเมลใบแจ้งหนี้พร้อมลิงก์ SharePoint ปลอม เพื่อหลอกให้เหยื่อเข้าสู่การโจมตีดังกล่าว
ข้อแนะนำสำหรับองค์กร
Push Security ระบุว่า การโจมตีแบบ Device Code Phishing เพิ่มขึ้นถึง 37 เท่า ในช่วงปีที่ผ่านมา สะท้อนว่าเทคนิคนี้กำลังถูกนำมาใช้มากขึ้นในกลุ่มอาชญากรไซเบอร์ ดังนั้น สิ่งที่องค์กรควรทำ คือ
- อย่ากรอก Device Code หากไม่ได้เป็นผู้เริ่มต้นเข้าสู่ระบบเอง
- อบรมผู้ใช้งานให้รู้จักการโจมตีแบบ Device Code Phishing
- ตรวจสอบการเข้าสู่ระบบและกิจกรรมของบัญชี Microsoft 365 อย่างสม่ำเสมอ
- รีบเพิกถอนสิทธิ์การเข้าถึงและเปลี่ยนรหัสผ่าน หากสงสัยว่าบัญชีถูกยึด
ยิ่งแฮกเกอร์เปลี่ยนจากการเจาะระบบ มาเป็นการหลอกให้ผู้ใช้งานยืนยันการเข้าสู่ระบบด้วยตัวเอง การสร้างความตระหนักรู้ด้านความปลอดภัยก็ยิ่งเป็นเรื่องที่ทุกองค์กรไม่ควรมองข้าม
hostatom พร้อมให้คำปรึกษาและดูแลการใช้งาน Microsoft 365 ตั้งแต่การเริ่มต้นใช้งาน การตั้งค่าความปลอดภัย ไปจนถึงการใช้งานในองค์กร เพื่อให้คุณใช้งานได้อย่างมั่นใจมากยิ่งขึ้น
ที่มา: Bleeping Computer


