ฟิชชิงแบบใหม่ หลอกผ่าน OAuth Consent เลี่ยง MFA ได้
เรียนรู้เกี่ยวกับ EvilTokens แพลตฟอร์มฟิชชิงแบบบริการที่ใช้ OAuth Consent เพื่อเลี่ยง MFA เจาะระบบ Microsoft 365 กว่า 340 องค์กรในห้าสัปดาห์
ในเดือนกุมภาพันธ์ ปี 2026 แพลตฟอร์มฟิชชิงแบบบริการหรือ Phishing as a Service ที่ชื่อ EvilTokens ได้เริ่มเปิดให้บริการอย่างเงียบเชียบ เพียงแค่ห้าสัปดาห์หลังจากเริ่มต้น มันก็สามารถเจาะระบบองค์กรที่ใช้ Microsoft 365 ได้มากกว่า 340 แห่งทั่วห้าประเทศ ความสำเร็จของมันไม่ได้มาจากเทคนิคที่ซับซ้อน แต่มาจากการหลอกลวงที่แนบเนียนจนผู้ใช้คิดว่าตนเองกำลังทำตามขั้นตอนปกติ
เหยื่อจะได้รับข้อความให้กรอกรหัสสั้น ๆ ที่ microsoft.com/devicelogin และทำการยืนยันตัวตนผ่าน MFA ตามปกติ หลังจากนั้นพวกเขาก็เดินจากไปด้วยความมั่นใจว่าได้ตรวจสอบแล้ว แต่ในความเป็นจริง พวกเขาเพิ่งมอบสิทธิ์การเข้าถึงระบบให้กับผู้โจมตีผ่าน OAuth Consent อย่างสมบูรณ์
EvilTokens คืออะไร
EvilTokens เป็นแพลตฟอร์มฟิชชิงแบบบริการที่ออกแบบมาเพื่อโจมตีองค์กรที่ใช้ Microsoft 365 โดยเฉพาะ มันใช้เทคนิคที่เรียกกันว่า OAuth Consent Phishing เพื่อหลอกให้ผู้ใช้ยินยอมให้แอปพลิเคชันที่เป็นอันตรายสามารถเข้าถึงข้อมูลและระบบของพวกเขาได้โดยตรง แม้ว่าองค์กรจะมีการป้องกันด้วย Multi Factor Authentication หรือ MFA อยู่แล้วก็ตาม
กลไกการโจมตีทำงานอย่างไร
กระบวนการโจมตีเริ่มต้นเมื่อเหยื่อได้รับข้อความที่ดูเหมือนมาจากแหล่งที่เชื่อถือได้ ข้อความดังกล่าวจะบอกให้พวกเขาเข้าไปที่เว็บไซต์ microsoft.com/devicelogin และป้อนรหัสสั้น ๆ ที่แนบมา จากนั้นเหยื่อจะถูกนำไปยังหน้าการยืนยันตัวตนของ Microsoft ซึ่งต้องกรอกข้อมูลและผ่าน MFA ตามปกติ อย่างไรก็ตาม สิ่งที่เหยื่อไม่รู้คือ เบื้องหลังการอนุญาตนี้กำลังมอบสิทธิ์เข้าถึงระบบให้กับผู้ไม่หวังดีผ่าน OAuth Token
เหตุใด MFA จึงไม่สามารถป้องกันได้
สาเหตุที่ MFA ไม่สามารถป้องกันการโจมตีนี้ได้ เพราะว่า MFA เป็นการยืนยันตัวตนของผู้ใช้ ณ ขณะนั้น แต่ OAuth Consent เป็นการอนุญาตให้แอปพลิเคชันภายนอกเข้าถึงข้อมูลได้อย่างต่อเนื่อง เมื่อเหยื่อยินยอมแล้ว ผู้โจมตีจะสามารถเข้าถึงระบบได้โดยไม่ต้องผ่านการยืนยันตัวตนอีกครั้ง ทำให้มาตรการรักษาความปลอดภัยแบบเดิมไร้ผล
ผลกระทบต่อองค์กรที่ถูกโจมตี
องค์กรที่ตกเป็นเหยื่อของ EvilTokens จะสูญเสียการควบคุมข้อมูลสำคัญภายในองค์กร โดยผู้โจมตีสามารถเข้าถึงอีเมล ไฟล์ และระบบต่างๆ ได้อย่างอิสระ สิ่งนี้ไม่เพียงส่งผลกระทบต่อความปลอดภัยของข้อมูล แต่ยังอาจนำไปสู่การโจมตีในรูปแบบอื่นๆ เช่น การขโมยข้อมูลลูกค้าหรือการเรียกค่าไถ่ได้อีกด้วย
วิธีป้องกันและรับมือ
การป้องกันที่ดีที่สุดคือการให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามรูปแบบใหม่นี้ รวมถึงการตรวจสอบและจำกัดสิทธิ์ของ OAuth App ที่เชื่อมต่อกับระบบองค์กรอย่างเคร่งครัด นอกจากนี้ องค์กรควรใช้ระบบ Security Awareness Training เพื่อให้พนักงานสามารถแยกแยะข้อความหลอกลวงได้ และควรมีนโยบายการตรวจสอบสิทธิ์การเข้าถึงที่เข้มงวดเพื่อลดความเสี่ยง
การเฝ้าระวังภัยคุกคามอย่างต่อเนื่อง
ภัยคุกคามทางไซเบอร์มีการพัฒนาไปอย่างรวดเร็ว การมีระบบตรวจจับและตอบสนองต่อภัยคุกคาม หรือ Threat Detection and Response ที่ทันสมัยจึงเป็นสิ่งจำเป็น นอกจากนี้ การทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จะช่วยให้องค์กรสามารถรับมือกับเทคนิคการโจมตีใหม่ๆ ได้อย่างมีประสิทธิภาพ
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด