FBI เตือนผู้ใช้ Microsoft 365 ระวังภัย Passwordless Scam แฮกบัญชีได้แม้ไม่รู้รหัสผ่าน

สำนักงานสอบสวนกลางสหรัฐฯ (FBI) ออกคำเตือนถึงผู้ใช้งาน Microsoft 365 หลังพบการโจมตีรูปแบบใหม่ที่ใช้แพลตฟอร์มฟิชชิงชื่อ Kali365 ซึ่งสามารถเข้าควบคุมบัญชี Outlook, Teams และ OneDrive ได้ โดยไม่จำเป็นต้องขโมยรหัสผ่าน และยังสามารถหลบเลี่ยงระบบยืนยันตัวตนหลายชั้น (MFA) ได้ในบางกรณี

ผู้เชี่ยวชาญระบุว่า การโจมตีลักษณะนี้น่ากังวลกว่าฟิชชิงแบบเดิม เพราะใช้หน้าเข้าสู่ระบบของ Microsoft ที่เป็นของจริง ทำให้ผู้ใช้จำนวนมากอาจไม่ทันสังเกตว่ากำลังตกเป็นเป้าหมาย

Kali365 คืออะไร?

Kali365 เป็นบริการ Phishing-as-a-Service (PhaaS) ที่เปิดโอกาสให้ผู้โจมตีใช้งานเครื่องมือฟิชชิงสำเร็จรูป โดยมุ่งเป้าไปยังบัญชี Microsoft 365

แทนที่จะหลอกให้เหยื่อกรอกรหัสผ่าน แฮกเกอร์จะหลอกให้ผู้ใช้ยืนยัน Device Code ผ่านหน้าเว็บไซต์ของ Microsoft ซึ่งเป็นเว็บไซต์จริง เมื่อเหยื่ออนุมัติการเข้าสู่ระบบ ผู้โจมตีจะได้รับ OAuth Token ที่ใช้เข้าถึงบัญชีได้ทันที โดยไม่ต้องรู้รหัสผ่านเลย

ทำไมถึงหลอกได้ง่าย?

หัวใจของการโจมตีอยู่ที่การใช้ Device Code Login ซึ่งเป็นระบบที่ Microsoft ใช้กับอุปกรณ์บางประเภท เช่น สมาร์ททีวี หรืออุปกรณ์ที่พิมพ์รหัสผ่านได้ไม่สะดวก

ผู้โจมตีจะส่งอีเมลปลอมที่อ้างว่าเป็นเอกสาร แชร์ไฟล์ หรือการแจ้งเตือนจากบริการที่น่าเชื่อถือ พร้อมแนบรหัส Device Code และขอให้ผู้ใช้ไปกรอกรหัสบนหน้าเว็บไซต์ของ Microsoft

เนื่องจากเว็บไซต์ดังกล่าวเป็นของ Microsoft จริง ผู้ใช้จำนวนมากจึงเข้าใจผิดว่าปลอดภัย และกดยืนยันการเข้าสู่ระบบโดยไม่รู้ตัว

หากสำเร็จ แฮกเกอร์เข้าถึงอะไรได้บ้าง?

เมื่อได้ OAuth Token แล้ว ผู้โจมตีสามารถเข้าถึงบริการต่าง ๆ ภายใต้ Microsoft 365 เช่น

• Outlook และอีเมลทั้งหมด
• Microsoft Teams
• OneDrive
• ไฟล์ที่แชร์ภายในองค์กร
• ปฏิทินและข้อมูลการประชุม

ในกรณีของบัญชีองค์กร แฮกเกอร์อาจใช้บัญชีที่ถูกยึดเพื่อส่งอีเมลหลอกลวงพนักงานคนอื่น หรือขโมยข้อมูลสำคัญของบริษัทได้

FBI แนะนำวิธีป้องกัน

FBI แนะนำให้ผู้ใช้และองค์กรดำเนินการดังนี้

• อย่ากรอก Device Code หากไม่ได้เป็นผู้เริ่มการเข้าสู่ระบบด้วยตนเอง
• หากได้รับอีเมลที่มี Device Code หรือขอให้ยืนยันการเข้าสู่ระบบ ให้สงสัยไว้ก่อนว่าอาจเป็นฟิชชิง
• เข้าใช้งาน Microsoft 365 ผ่านเว็บไซต์หรือแอปอย่างเป็นทางการ แทนการคลิกลิงก์จากอีเมล
• ตรวจสอบประวัติการเข้าสู่ระบบและอุปกรณ์ที่เชื่อมต่อกับบัญชีเป็นประจำ
• หากเผลอยืนยัน Device Code ให้รีบออกจากทุกเซสชัน เปลี่ยนรหัสผ่าน และเพิกถอนสิทธิ์ของแอปหรืออุปกรณ์ที่ไม่รู้จักทันที

ทำไมภัยแบบ “Passwordless” ถึงน่ากลัว?

ที่ผ่านมา ผู้ใช้มักเชื่อว่าการเปิดใช้งาน Multi-Factor Authentication (MFA) จะช่วยป้องกันการถูกแฮกได้เกือบทั้งหมด

แต่ Kali365 แสดงให้เห็นว่า ผู้โจมตีสามารถหลอกให้เหยื่อ “อนุมัติการเข้าสู่ระบบด้วยตัวเอง” ผ่านกระบวนการที่ถูกต้องตามระบบ จึงไม่จำเป็นต้องขโมยรหัสผ่านหรือหลอกขอรหัส OTP อีกต่อไป

สรุป

คำเตือนล่าสุดของ FBI สะท้อนว่า ภัยไซเบอร์กำลังพัฒนาไปอีกขั้น จากการขโมยรหัสผ่าน สู่การหลอกให้ผู้ใช้มอบสิทธิ์เข้าถึงบัญชีด้วยตนเอง

สำหรับผู้ใช้ Microsoft 365 สิ่งสำคัญที่สุดในเวลานี้คือ อย่าอนุมัติ Device Code หรือคำขอเข้าสู่ระบบที่ไม่ได้เริ่มต้นด้วยตัวเอง เพราะแม้จะเปิด MFA แล้ว ก็ยังมีโอกาสตกเป็นเหยื่อของการโจมตีรูปแบบใหม่นี้ได้