เฟิร์มแวร์ DEBULL ใช้ช่องโหว่ Device-Code โจมตีบัญชี M365
แคมเปญฟิชชิ่งบัญชี M365 ใช้ช่องโหว่ Device-Code Flow หลอกให้ผู้ใช้ป้อนรหัสอุปกรณ์ โดยไม่ต้องใช้หน้าเพจปลอม ตรวจพบโดย ZeroBEC
แคมเปญฟิชชิ่งบัญชี Microsoft 365 รูปแบบใหม่ถูกตรวจพบ โดยใช้ช่องโหว่ของ Device-Code Flow ในการเข้าถึงบัญชีผู้ใช้ ระหว่างปลายเดือนมิถุนายนถึงต้นเดือนกรกฎาคม 2569 การโจมตีนี้ถูกเปิดเผยโดย ZeroBEC ทีมวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งชี้ให้เห็นถึงความซับซ้อนของกลวิธีที่หลีกเลี่ยงการปลอมแปลงหน้าเพจล็อกอินทั่วไป
ความน่าสนใจของแคมเปญนี้คือการไม่ใช้หน้าเพจรหัสผ่านปลอมของ Microsoft แต่ใช้เนื้อหาหลอกลวงในรูปแบบการทำงานร่วมกัน เพื่อล่อลวงให้ผู้ใช้เข้าสู่ระบบผ่านหน้าการล็อกอินอุปกรณ์ที่ถูกต้องตามกฎหมายของ Microsoft การโจมตีมุ่งเน้นไปที่การใช้ประโยชน์จากความไว้วางใจของผู้ใช้ต่อระบบ authentication ที่คุ้นเคย
กลไกการโจมตีผ่าน Device-Code Flow
Device-Code Flow เป็นกระบวนการที่ออกแบบมาสำหรับอุปกรณ์ที่ไม่มีเบราว์เซอร์เต็มรูปแบบ เช่น อุปกรณ์ IoT หรือสมาร์ททีวี ซึ่งผู้ใช้จะได้รับรหัสอุปกรณ์แล้วนำไปป้อนบนหน้าเว็บเพื่อยืนยันตัวตน อย่างไรก็ตาม ฟิชชิ่งในครั้งนี้ใช้ประโยชน์จากกระบวนการดังกล่าวด้วยการส่งลิงก์ไปยังหน้า Microsoft จริง แต่แทรกขั้นตอนให้ผู้ใช้ป้อนรหัสที่สร้างโดยผู้โจมตี
เมื่อผู้ใช้ป้อนรหัสดังกล่าว ผู้โจมตีจะได้รับ token การเข้าถึงและสามารถควบคุมบัญชีได้ทันที โดยไม่ต้องขโมยรหัสผ่าน ซึ่งเป็นเทคนิคที่เรียกว่า token theft หรือการขโมยโทเค็นการเข้าถึงนั่นเอง
เนื้อหาหลอกลวงที่ใช้เป็นเหยื่อล่อ
การหลอกลวงเริ่มต้นด้วยการส่งข้อความหรืออีเมลที่มีเนื้อหาเกี่ยวกับการทำงานร่วมกัน เช่น การแจ้งเตือนการแชร์ไฟล์เอกสาร หรือการขอความช่วยเหลือในโครงการ ซึ่งผู้ใช้มักจะคลิกโดยไม่สงสัย เนื่องจากเนื้อหาดูเหมือนมาจากเพื่อนร่วมงานหรือพันธมิตรทางธุรกิจ
เนื้อหาเหล่านี้ถูกออกแบบให้ดูน่าเชื่อถือและเร่งด่วน ทำให้ผู้ใช้รีบดำเนินการตามขั้นตอนโดยไม่ได้ตรวจสอบอย่างละเอียด เมื่อคลิกลิงก์จะถูกพาไปยังหน้า login จริงของ Microsoft ซึ่งเป็นจุดที่สร้างความไว้วางใจให้กับผู้ใช้
การตรวจจับและการป้องกันจาก ZeroBEC
นักวิจัยจาก ZeroBEC ระบุว่าแคมเปญนี้ไม่ใช้มัลแวร์หรือเพจปลอม แต่ใช้เทคนิคการหลอกลวงทางจิตวิทยาหรือ social engineering ร่วมกับการใช้ระบบที่ถูกต้องตามกฎหมาย การตรวจจับจึงต้องอาศัยการสังเกตพฤติกรรมที่ผิดปกติ เช่น การขอรหัสอุปกรณ์จากผู้ใช้ที่ไม่เคยมีมาก่อน
การป้องกันที่มีประสิทธิภาพคือการให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของ Device-Code Flow และการกำหนดนโยบายความปลอดภัยที่จำกัดการใช้งาน flow ดังกล่าวสำหรับบัญชีที่มีความสำคัญ นอกจากนี้ยังแนะนำให้ใช้การยืนยันตัวตนแบบหลายปัจจัยหรือ MFA เพื่อเพิ่มชั้นความปลอดภัยอีกชั้นหนึ่ง
แนวทางปฏิบัติสำหรับองค์กร
องค์กรที่ใช้ Microsoft 365 ควรตรวจสอบนโยบายการให้สิทธิ์การเข้าถึงและติดตามกิจกรรมที่ผิดปกติในล็อกของระบบ ควรปิดการใช้งาน Device-Code Flow หากไม่มีความจำเป็น หรือจำกัดให้ใช้เฉพาะกับอุปกรณ์ที่ได้รับการอนุมัติเท่านั้น
นอกจากนี้ การฝึกอบรมพนักงานให้รู้เท่าทันกลวิธีฟิชชิ่งรูปแบบใหม่และการรายงานเหตุการณ์ต้องสงสัยอย่างรวดเร็ว จะช่วยลดความเสี่ยงจากการถูกโจมตีในลักษณะนี้ได้อย่างมีประสิทธิภาพ หากต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ สามารถติดต่อผู้เชี่ยวชาญได้ที่ mon.co.th
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด