แม้ว่าในช่วงมีนาคมที่ผ่านมา หน่วยงานบังคับใช้กฎหมายระหว่างประเทศจะประสบความสำเร็จในการบุกทลายและตัดวงจรระบบของ “Tycoon2FA” แพลตฟอร์มฟิชชิงระดับโลกไปแล้ว แต่ในโลกไซเบอร์ ความสงบมักอยู่ได้ไม่นาน เพราะล่าสุดกลุ่มแฮกเกอร์ได้เร่งสร้างโครงสร้างพื้นฐานขึ้นมาใหม่เพื่อชุบชีวิตระบบให้กลับมาปฏิบัติการได้อย่างรวดเร็ว โดยทาง Abnormal Security ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยืนยันว่า การกลับมาครั้งนี้ไม่เพียงแต่ทำให้ขีดความสามารถในการโจมตีของมันกลับมาอยู่ในระดับปกติเท่านั้น แต่ตัวระบบยังถูกอัปเกรดให้มีความซับซ้อนและพรางตัวจากการถูกตรวจจับได้ดีกว่าเดิมอีกด้วย
สิ่งที่น่ากังวลที่สุดในการกลับมาครั้งนี้คือการพัฒนาฟีเจอร์ใหม่ที่เรียกว่า “Device-code phishing” ซึ่งเป็นการโจมตีที่พุ่งเป้าไปที่ระบบการยืนยันตัวตนของ Microsoft 365 โดยตรง การโจมตีจะเริ่มต้นขึ้นอย่างแนบเนียนผ่านอีเมลล่อลวงที่มักจะปลอมแปลงเป็น “ใบแจ้งหนี้” (Invoice) ซึ่งภายในมีการฝังลิงก์ติดตามการคลิกของ Trustifi แพลตฟอร์มความปลอดภัยทางอีเมลที่ถูกกฎหมาย เพื่อตบตาระบบกรองสแปมให้ยอมปล่อยให้อีเมลนี้ส่งตรงถึงกล่องข้อความของเหยื่อได้อย่างง่ายดาย
เมื่อเหยื่อหลงกลคลิกเข้าลิงก์ดังกล่าว ระบบหลังบ้านของแฮกเกอร์จะพาเหยื่อเปลี่ยนเส้นทางไปมาระหว่างเว็บเพจหลายเลเยอร์เพื่อหลบเลี่ยงการตรวจสอบ จนกระทั่งไปสิ้นสุดที่หน้าเว็บ CAPTชา ปลอมที่สร้างขึ้นมาให้ดูน่าเชื่อถือ ในระหว่างนั้น แพลตฟอร์ม Tycoon2FA จะแอบส่งคำร้องขอรหัสเข้าใช้งานอุปกรณ์ (Device Code) ไปยังระบบจริงของ Microsoft แล้วนำรหัสนั้นมาแสดงบนหน้าจอ เพื่อลวงให้เหยื่อคัดลอกรหัสไปกรอกที่หน้าเว็บทางการอย่าง [microsoft.com/devicelogin](https://microsoft.com/devicelogin) พร้อมทั้งกดยืนยันตัวตนแบบหลายปัจจัย (MFA) บนสมาร์ตโฟนของตนเอง
ความอันตรายขั้นสุดเกิดขึ้นทันทีหลังจากที่เหยื่อทำการยืนยันตัวตนเสร็จสิ้น เพราะนั่นเท่ากับเป็นการเปิดประตูให้แฮกเกอร์นำอุปกรณ์แปลกปลอมเข้าไปผูกเข้ากับบัญชี Microsoft 365 ของเหยื่อได้อย่างสมบูรณ์ โดยสามารถข้ามผ่านระบบความปลอดภัยที่องค์กรส่วนใหญ่เชื่อมั่นได้อย่างง่ายดาย ส่งผลให้คนร้ายสามารถเข้าถึงข้อมูลและบริการทุกอย่าง ไม่ว่าจะเป็นกล่องข้อความอีเมล ปฏิทินงาน รวมถึงไฟล์เอกสารสำคัญที่จัดเก็บอยู่บนระบบคลาวด์ทั้งหมดได้อย่างไร้ขีดจำกัด
ที่มา : BPC
