ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

Microsoft 365 เตือนภัย แฮกเกอร์หลอกลงทะเบียน Passkey เพื่อยึดบัญชี

Entra passkey enrollment vishing targets Microsoft 365 users

Passkey เป็นอีกหนึ่งวิธีล็อกอิน ที่ช่วยเพิ่มความปลอดภัยให้บัญชี Microsoft 365 โดยไม่ต้องใช้รหัสผ่าน แต่แฮกเกอร์กลับอาศัยความน่าเชื่อถือของฟีเจอร์นี้เพื่อหลอกให้ผู้ใช้งานเปิดทางให้เข้ายึดบัญชีด้วยตัวเอง

ล่าสุด Okta บริษัทด้านการจัดการตัวตนและการเข้าถึง (Identity and Access Management: IAM) เปิดเผยว่า การโจมตีดังกล่าวเชื่อมโยงกับกลุ่มแฮกเกอร์ Pink ซึ่งกำลังมุ่งเป้าโจมตีองค์กรในหลายอุตสาหกรรม

เหตุการณ์นี้ไม่ได้เกิดจากช่องโหว่ของ Microsoft Entra Passkey แต่เป็นการโจมตีแบบ Vishing หรือการหลอกลวงผ่านโทรศัพท์ เพื่อโน้มน้าวให้เหยื่อลงทะเบียน Passkey ผ่านขั้นตอนที่คนร้ายเตรียมไว้

Entra passkey enrollment vishing targets Microsoft 365 users
หน้าเว็บเรียกค่าไถ่ของกลุ่ม Pink (Source: Okta)

รูปแบบการโจมตี

แฮกเกอร์จะแอบอ้างว่าเป็นฝ่าย IT ขององค์กร แล้วโทรหาเหยื่อโดยอ้างว่าจำเป็นต้องลงทะเบียน Microsoft Entra Passkey ใหม่ เพื่อเพิ่มความปลอดภัยให้บัญชี Microsoft 365

เมื่อเหยื่อหลงเชื่อ ก็จะส่งลิงก์ไปยังเว็บไซต์ปลอมที่มีหน้าตาเหมือนหน้าลงทะเบียน Passkey ของ Microsoft พร้อมใช้โลโก้และชื่อองค์กรของเหยื่อ เพื่อสร้างความน่าเชื่อถือ

Entra passkey enrollment vishing targets Microsoft 365 users
หน้าลงทะเบียน Passkey ปลอม (Source: Okta)

เมื่อผู้ใช้งานทำตามขั้นตอนและยืนยันตัวตนสำเร็จ แฮกเกอร์จะนำข้อมูลไปล็อกอินบัญชี Microsoft 365 พร้อมลงทะเบียน Passkey ที่ตนเองควบคุม ทำให้สามารถกลับมาเข้าถึงบัญชีได้ทุกเมื่อ โดยที่ผู้ใช้งานอาจไม่รู้ตัว

Entra passkey enrollment vishing targets Microsoft 365 users
หน้าสร้าง Recovery Phrase ปลอม (Source: Okta)

หลังยึดบัญชีได้สำเร็จ แฮกเกอร์มักรีบดึงข้อมูลจาก SharePoint และ OneDrive เพื่อนำข้อมูลสำคัญออกจากระบบ และอาจใช้เป็นเครื่องมือเรียกค่าไถ่หรือข่มขู่องค์กรในภายหลัง

วิธีป้องกัน

  • อย่าลงทะเบียน Passkey หากยังไม่ได้ยืนยันตัวตนของผู้ที่ติดต่อมา
  • หากมีผู้แอบอ้างเป็นฝ่าย IT ควรติดต่อกลับผ่านช่องทางภายในองค์กรเพื่อยืนยันทุกครั้ง
  • ตรวจสอบ URL ให้ถูกต้องก่อนลงชื่อเข้าใช้ Microsoft 365 หรือ Microsoft Entra
  • อบรมพนักงานให้รู้เท่าทันการโจมตีแบบ Vishing และการแอบอ้างเป็นฝ่าย IT
  • จำกัดการเข้าถึงจากประเทศหรือพื้นที่ที่องค์กรไม่ได้ดำเนินธุรกิจ หากสามารถกำหนดนโยบายได้

การโจมตีในตอนนี้ ไม่ได้มุ่งเป้าเฉพาะช่องโหว่ของระบบอีกต่อไป แต่ยังอาศัยความไว้วางใจของผู้ใช้งานเป็นช่องทางโจมตี องค์กรจึงควรให้ความสำคัญทั้งการตั้งค่าความปลอดภัยและการสร้างความตระหนักรู้ด้าน Cybersecurity ให้กับพนักงานควบคู่กัน

หากต้องการใช้งาน Microsoft 365 พร้อมคำแนะนำด้านความปลอดภัย hostatom พร้อมช่วยดูแลและให้คำปรึกษา

ที่มา: Bleeping Computer

  • สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com
Categories