🚨 ด่วน! Mandiant เตือนภัยกลุ่ม ShinyHunters บุกรุกองค์กรผ่าน Vishing ชี้จุดตาย MFA แบบเดิม "เอาไม่อยู่"

กุมภาพันธ์ 2026 – Mandiant (ในเครือ Google) ออกโรงเตือนถึงการยกระดับการโจมตีของกลุ่มแฮ็กเกอร์สายกรรโชกทรัพย์ชื่อดังอย่าง ShinyHunters (ติดตามในรหัส UNC6661 และ UNC6671) ที่กำลังใช้วิธีการหลอกลวงผ่านเสียง (Vishing) ร่วมกับหน้าเว็บฟิชชิ่งขั้นสูง เพื่อเจาะเข้าสู่แพลตฟอร์มคลาวด์และ SaaS ขององค์กรทั่วโลก

📞 กลยุทธ์ "IT ปลอม" และการทำลายความน่าเชื่อถือของพนักงาน

แฮ็กเกอร์จะเริ่มต้นด้วยการโทรศัพท์หาพนักงานโดยตรง แอบอ้างเป็นเจ้าหน้าที่ฝ่ายไอทีสนับสนุน (IT Support) โดยใช้จิตวิทยาทำให้เหยื่อเชื่อว่าระบบมีความผิดปกติ และหลอกให้เหยื่อเข้าสู่หน้าเว็บไซต์ SSO (Single Sign-On) หรือหน้า Login ของ Okta ที่ทำเลียนแบบขึ้นมาได้เหมือนของจริงอย่างไร้ที่ติ

⚠️ ประเด็นวิกฤต: เมื่อ MFA กลายเป็น "ประตูที่เปิดค้างไว้"

สิ่งที่น่ากังวลที่สุดในรายงานนี้ และเป็นจุดที่สร้างความหวั่นไหวให้แก่ผู้บริหารด้านไอที คือการที่ MFA (Multi-Factor Authentication) ไม่สามารถป้องกันการโจมตีนี้ได้อีกต่อไป ด้วยเทคนิคที่เรียกว่า AiTM (Adversary-in-the-Middle):
    •    ขโมย Session ได้ทันที: เมื่อพนักงานกรอกรหัสผ่านและรหัส OTP (MFA) ลงในหน้าเว็บปลอม แฮ็กเกอร์จะดักจับข้อมูลนั้นและส่งต่อไปยังระบบจริงในเสี้ยววินาที
    •    MFA พ่ายแพ้ต่อจิตวิทยา: แฮ็กเกอร์จะรัวส่ง Push Notification (MFA Fatigue) หรือหลอกให้เหยื่อบอกรหัสผ่านโทรศัพท์ ทำให้ MFA กลายเป็นเพียงขั้นตอนที่เหยื่อ "ช่วย" ส่งมอบกุญแจให้แฮ็กเกอร์โดยไม่รู้ตัว
    •    Session Hijacking: เมื่อแฮ็กเกอร์ได้ Session Token ไปแล้ว พวกเขาจะสามารถเข้าถึงอีเมล, OneDrive, SharePoint และ Teams ได้ทันทีโดยไม่ต้องผ่าน MFA อีกเป็นครั้งที่สอง

🛡️ ทางรอด: ต้องเปลี่ยนจาก "MFA ทั่วไป" เป็น "MFA ที่ป้องกันฟิชชิ่งได้"

Mandiant ย้ำชัดเจนว่าในยุค 2026 การใช้ OTP ผ่าน SMS หรือ App แบบกดรหัส 6 หลักนั้น "มีความเสี่ยงสูงเกินไป" องค์กรจำเป็นต้องยกระดับความปลอดภัยสู่มาตรฐานใหม่:
    1.    Phishing-Resistant MFA: บังคับใช้กุญแจความปลอดภัยฮาร์ดแวร์ (FIDO2/WebAuthn) หรือ Passkeys ซึ่งเทคโนโลยีนี้จะไม่อนุญาตให้มีการส่งมอบสิทธิ์หากโดเมนเนมของเว็บไซต์ไม่ตรงกับที่ลงทะเบียนไว้ (ป้องกันหน้าเว็บปลอมได้ 100%)
    2.    Strict Conditional Access: ตั้งค่าให้ระบบยอมรับการล็อกอินเฉพาะจากอุปกรณ์ที่องค์กรจัดการ (Managed Devices) และมาจากตำแหน่งที่ตั้งที่ระบุไว้เท่านั้น
    3.    Vishing Awareness: อบรมพนักงานอย่างเร่งด่วนว่า "ฝ่ายไอทีจะไม่มีวันขอรหัส MFA หรือให้เข้าลิงก์แปลกๆ ผ่านทางโทรศัพท์"

บทวิเคราะห์: การโจมตีนี้พิสูจน์แล้วว่า "ความปลอดภัยไม่ได้ขึ้นอยู่กับเทคโนโลยีเพียงอย่างเดียว แต่อยู่ที่ความเข้าใจของคน" หากองค์กรของคุณยังพึ่งพา MFA แบบเดิม (OTP/Push) ถึงเวลาแล้วที่ต้องพิจารณา Roadmap การขยับไปสู่ FIDO2 เพื่อปิดช่องโหว่ที่ ShinyHunters กำลังไล่ล่าอยู่ในขณะนี้ครับ

อ้างอิง: https://thehackernews.com/2026/01/mandiant-finds-shinyhunters-using.html