ภัยเงียบ Microsoft 365! แฮกเกอร์รัสเซียใช้มุกใหม่ "Device Code Phishing" ขโมยบัญชีแนบเนียน
ในช่วงปลายปี 2025 นี้ วงการ Cybersecurity ต้องประกาศเตือนภัยด่วน เมื่อกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับรัสเซีย (Russia-Linked Hackers) ได้เริ่มใช้เทคนิคการโจมตีที่ล้ำสมัยกว่าเดิมที่เรียกว่า Device Code Phishing เพื่อเจาะเข้าสู่ระบบ Microsoft 365 ของหน่วยงานรัฐบาล สถาบันการศึกษา และองค์กรธุรกิจในยุโรปและสหรัฐอเมริกา โดยการโจมตีครั้งนี้มีความแนบเนียนสูงจนระบบป้องกันแบบเดิมอาจตรวจจับได้ยาก
Device Code Phishing คืออะไร? ทำไมแฮกเกอร์ถึงเลือกใช้
โดยปกติแล้ว Device Code Authentication คือฟีเจอร์ที่ Microsoft ออกแบบมาเพื่อให้ผู้ใช้งานสามารถล็อกอินเข้าสู่ระบบบนอุปกรณ์ที่ไม่มีหน้าจอพิมพ์ยากๆ (เช่น Smart TV หรืออุปกรณ์ IoT) ได้สะดวกขึ้น แต่กลุ่มแฮกเกอร์ที่ใช้นามแฝงว่า UNK_AcademicFlare ได้นำช่องโหว่นี้มาสร้างแผนการตกเบ็ด (Phishing) ที่น่ากลัว
ขั้นตอนการโจมตีที่แยบยล:
-
สร้างความเชื่อใจ: แฮกเกอร์จะใช้บัญชีอีเมลของหน่วยงานรัฐหรือทหารที่ถูกแฮกมาก่อนหน้า ส่งข้อความมาหาเหยื่อเพื่อชวนคุยเรื่องงานวิจัยหรือขอนัดสัมภาษณ์ออนไลน์
-
ส่งลิงก์ปลอม: เมื่อเหยื่อตอบตกลง แฮกเกอร์จะส่งลิงก์ที่อ้างว่าเป็น "เอกสารเตรียมตัวก่อนประชุม" ซึ่งถูกโฮสต์ไว้บน Cloudflare Worker ที่ตกแต่งหน้าตาให้เหมือนกับ Microsoft OneDrive
-
ใช้มุก Device Code: หน้าเว็บปลอมจะบอกให้เหยื่อ "คัดลอกรหัส" ที่แสดงบนหน้าจอ แล้วกด Next เพื่ออ่านเอกสาร
-
ขโมย Access Token: เมื่อเหยื่อนำรหัสไปกรอกในหน้าล็อกอินจริงของ Microsoft ระบบจะมองว่าเป็นการยืนยันตัวตนจากอุปกรณ์ที่เชื่อถือได้ ทำให้แฮกเกอร์ได้รับ Access Token และเข้ายึดบัญชี (Account Takeover) ได้ทันทีโดยไม่ต้องรู้รหัสผ่านของเหยื่อเลย
ใครคือเป้าหมายหลักของการโจมตีครั้งนี้?
จากการตรวจสอบของ Proofpoint พบว่าแฮกเกอร์เน้นเป้าหมายไปที่กลุ่มผู้เชี่ยวชาญด้านรัสเซีย-ยูเครน หน่วยงานด้านพลังงาน และสถาบันคัดกรองทางความคิด (Think Tanks) นอกจากกลุ่มที่หวังผลทางการเมืองแล้ว ยังมีกลุ่มอาชญากรไซเบอร์อย่าง TA2723 ที่ใช้มุก "แจ้งยอดเงินเดือน" มาหลอกล่อพนักงานบริษัททั่วไปอีกด้วย ซึ่งแสดงให้เห็นว่า ความปลอดภัยไซเบอร์ เป็นเรื่องที่ทุกคนต้องเฝ้าระวังไม่เว้นแม้แต่ระดับพนักงานทั่วไป
วิธีป้องกัน: ปิดประตูตายไม่ให้แฮกเกอร์ยึด Microsoft 365
ผู้เชี่ยวชาญแนะนำว่าวิธีป้องกันที่ดีที่สุดคือการตั้งค่า Conditional Access Policy ในระบบ Microsoft Entra ID (ชื่อเดิมคือ Azure AD) ดังนี้:
-
บล็อกการเข้าถึงแบบ Device Code: หากองค์กรของคุณไม่มีความจำเป็นต้องใช้อุปกรณ์พิเศษ ให้สั่งปิดฟีเจอร์ "Authentication Flows" สำหรับ Device Code ทั้งหมด
-
ใช้ Allow-list: หากจำเป็นต้องใช้ ให้จำกัดสิทธิ์เฉพาะ IP ของบริษัท หรืออุปกรณ์ที่ลงทะเบียนไว้เท่านั้น
-
ตรวจสอบการล็อกอินผิดปกติ: หมั่นเช็คประวัติการขอ Access Token ที่มาจากตำแหน่งที่ตั้งที่ไม่คุ้นเคย
คำถามที่พบบ่อยเกี่ยวกับ Device Code Phishing
Device Code Phishing ต่างจาก Phishing ทั่วไปอย่างไร? ต่างกันที่ Phishing ทั่วไปจะหลอกเอา Password แต่ Device Code Phishing จะหลอกให้เหยื่อยืนยันตัวตนให้แฮกเกอร์ผ่านระบบของ Microsoft โดยตรง ทำให้สามารถข้ามผ่านระบบ MFA (Multi-Factor Authentication) บางรูปแบบได้
เราจะรู้ได้อย่างไรว่าลิงก์ที่ส่งมาปลอดภัยหรือไม่? ตรวจสอบ URL เสมอ ลิงก์จากแฮกเกอร์มักจะใช้โดเมนแปลกๆ เช่น Cloudflare Worker แทนที่จะเป็นโดเมนทางการของ Microsoft และควรระวังอีเมลที่เร่งรีบให้เราทำตามขั้นตอนที่ซับซ้อน
ถ้าเผลอกรอกรหัส Device Code ไปแล้วต้องทำอย่างไร? ให้รีบแจ้งฝ่ายไอทีทันทีเพื่อทำการ Revoke (ยกเลิก) Session ทั้งหมดในบัญชี Microsoft 365 และเปลี่ยนรหัสผ่านเพื่อความปลอดภัยสูงสุด
ปกป้องธุรกิจของคุณด้วยโซลูชันดิจิทัลจาก BLOG TTT-WEBSITE
ในยุคที่การโจมตีทางไซเบอร์รุนแรงขึ้น การมีเว็บไซต์ที่ปลอดภัยและระบบที่เสถียรคือหัวใจสำคัญ BLOG TTT-WEBSITE พร้อมเป็นพาร์ทเนอร์ที่ช่วยดูแลความปลอดภัยและผลักดันธุรกิจของคุณให้เติบโตอย่างมั่นคง
บริการระดับมืออาชีพที่เราพร้อมดูแลคุณ:
-
บริการด้านความปลอดภัยไซเบอร์ จัดการไวรัส สแปม: วางระบบป้องกันและตรวจสอบความปลอดภัยให้เว็บไซต์ของคุณห่างไกลจากแฮกเกอร์
-
บริการคลาวด์เซิร์ฟเวอร์ (Cloud Server) & บริการติดตั้ง LINUX Cloud Server: มอบประสิทธิภาพความเร็วสูงสุดพร้อมระบบรักษาความปลอดภัยที่เหนือกว่า
-
รับทำเว็บไซต์ธุรกิจ องค์กร บริษัท: ออกแบบเว็บไซต์ที่น่าเชื่อถือด้วย บริการออกแบบเว็บไซต์ ที่ทันสมัยและปลอดภัย
-
บริการรับทำ SEO & AEO AI Search: ดันบทความและบริการของคุณให้ติดหน้าแรก และเป็นคำตอบที่ AI เลือกแนะนำในทุกการค้นหา
-
รับพัฒนาระบบ และ รับจัดการฐานข้อมูล: วางโครงสร้างระบบหลังบ้านให้แข็งแกร่ง รองรับการทำงานที่ซับซ้อนได้อย่างลื่นไหล
-
รับทำเว็บไซต์ WordPress, Elementor Pro, WooCommerce, Wix: พัฒนาเว็บไซต์ด้วยเครื่องมือระดับโลกที่ปรับแต่งมาเพื่อความปลอดภัยโดยเฉพาะ
-
บริการดูแลเว็บไซต์ และ บริการบทความเนื้อหาเว็บไซต์: ดูแล Content ให้สดใหม่และมีคุณภาพ เพื่อดึงดูด Total Unique Visitors อย่างต่อเนื่อง
อย่าปล่อยให้ธุรกิจของคุณเสี่ยงต่อภัยคุกคามไซเบอร์ 🌐 ปรึกษาผู้เชี่ยวชาญได้ที่: blog.ttt-website.com ติดต่อเราวันนี้เพื่อรับคำปรึกษาในการสร้างและดูแลเว็บไซต์ที่ปลอดภัยที่สุดสำหรับคุณ
