Okta แจ้งเตือนภัย “Vishing” รูปแบบใหม่ มุ่งเป้าฝัง Passkey ปลอมขโมยบัญชี Microsoft 365 ขององค์กร
Okta บริษัทผู้เชี่ยวชาญด้านระบบบริหารจัดการตัวตน (Identity and Access Management) ได้ออกโรงแจ้งเตือนถึงแคมเปญการโจมตีทางไซเบอร์ในรูปแบบ Vishing (Voice Phishing หรือการโทรศัพท์หลอกลวง) ที่กำลังระบาดอย่างหนัก โดยมีเป้าหมายเพื่อยึดครองบัญชี (Account Takeover) ของลูกค้าที่ใช้งานระบบ Microsoft 365 ในหลายภาคอุตสาหกรรม
แคมเปญดังกล่าวเริ่มตรวจพบมาตั้งแต่ช่วงเดือนเมษายน 2026 โดยกลุ่มแฮกเกอร์ที่ใช้รหัสติดตามว่า O-UNC-066 (หรือที่รู้จักในชื่อกลุ่ม "Pink" ผู้ดำเนินงานเว็บไซต์ปล่อยข้อมูลหลุด) ซึ่งความน่ากลัวของรอบนี้คือ แฮกเกอร์ไม่ได้มาเพื่อขโมยรหัสผ่านธรรมดา แต่จงใจมาเพื่อ "ฝัง Passkey ปลอม" ของตัวเองลงในระบบของเหยื่อ
📞 กลไกการโจมตี: ใช้จิตวิทยาโทรหลอก ควบคู่กับ Phishing Kit แบบเรียลไทม์
แฮกเกอร์กลุ่มนี้จะพุ่งเป้าไปที่องค์กรธุรกิจข้ามอุตสาหกรรม ตั้งแต่ธุรกิจอาหารและเครื่องดื่ม, เทคโนโลยี, สาธารณสุข, ยานยนต์, ไปจนถึงการบิน โดยมีแรงจูงใจหลักคือการขู่กรรโชกข้อมูล (Data Extortion) ขั้นตอนการหลอกลวงมีดังนี้:
1. โทรศัพท์สวมรอยเป็น IT Support: แฮกเกอร์จะโทรหาพนักงานของบริษัทเป้าหมายโดยตรง โดยแอบอ้างว่าตนเองเป็นเจ้าหน้าที่ฝ่ายไอทีขององค์กร
2. สร้างเรื่องให้ลงทะเบียน Passkey ใหม่: แฮกเกอร์จะแจ้งพนักงานว่าทางบริษัทมีนโยบายหรือระบบใหม่ที่จำเป็นต้องให้พนักงานลงทะเบียน Passkey เพื่อความปลอดภัย (ซึ่งสอดคล้องกับจังหวะที่ Microsoft เพิ่งเปิดฟีเจอร์ "Nudge" ให้แอดมินแจ้งเตือนพนักงานให้สมัคร Passkey พอดี ทำให้พนักงานหลงเชื่อได้ง่าย)
3. ส่งเข้าหน้าเว็บไซต์ปลอม: แฮกเกอร์จะจดโดเมนเนมที่มีคำว่า "passkey" อยู่ในชื่อเว็บ แล้วนำทางให้เหยื่อเปิดเข้าไป ซึ่งหน้าเว็บนั้นถูกสร้างขึ้นด้วยชุดเครื่องมือ Phishing Kit ที่ถอดแบบมาจากหน้าจอลงทะเบียน Microsoft Entra ID ของจริงแบบไร้ที่ติ
4. ล่อลวงให้ทำตามขั้นตอน (และใช้เทคนิคเบี่ยงเบนความสนใจ):
o ในขณะที่พนักงานคิดว่าตัวเองกำลังทำขั้นตอนสแกน/ลงทะเบียน Passkey บนหน้าเว็บปลอมนั้น ตัวหน้าเว็บจะแอบจับข้อมูลสิทธิ์การเข้าถึงของเหยื่อส่งกลับไปให้แฮกเกอร์ผ่านระบบเบื้องหลังทันที
o จากนั้น หน้าเว็บจะแสดงข้อความหลอกให้พนักงานบันทึก "ชุดคำรหัสผ่านเพื่อกู้คืนข้อมูล" (BIP-39 Seed Phrases แบบที่ใช้ในกระเป๋าเงินคริปโต) ซึ่งทาง Okta ระบุว่า ระบบของ Microsoft Entra ID ไม่ได้มีการใช้งานฟังก์ชันลักษณะนี้แต่อย่างใด แฮกเกอร์เพียงแค่สร้างหน้านี้ขึ้นมาเพื่อ "ดึงความสนใจและถ่วงเวลา" ให้เหยื่อวุ่นอยู่กับการพิมพ์ยืนยันคำศัพท์
5. แฮกเกอร์ฝัง Passkey ของตัวเองสำเร็จ: ในระหว่างที่เหยื่อกำลังง่วนอยู่กับหน้าเว็บปลอม แฮกเกอร์จะนำข้อมูลที่ได้ในเสี้ยววินาทีนั้นไปล็อกอินเข้า Microsoft 365 ของจริงขององค์กร แล้วทำการ ลงทะเบียนฝัง Passkey ของฝั่งแฮกเกอร์เองเข้าไปในบัญชีของเหยื่อ พร้อมตั้งชื่อ Passkey ให้ดูแนบเนียนเป็นมิตร เช่น อ้างอิงจากคำกู้คืนข้อมูลที่เหยื่อเพิ่งเห็น
เมื่อกระบวนการนี้เสร็จสิ้น แฮกเกอร์จะสามารถเข้าถึงระบบ Microsoft 365 ของพนักงานรายนั้นได้ตลอดเวลาผ่าน Passkey ของตนเอง โดยแทบจะไม่มีการแจ้งเตือนความผิดปกติ และสามารถข้ามผ่านระบบ MFA (Multi-factor Authentication) แบบเก่าที่ไม่ใช่ Phishing-resistant ได้อย่างง่ายดาย
🛡️ คำแนะนำในการป้องกันจาก Okta
ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่า แคมเปญนี้ได้เปลี่ยนจุดเสี่ยงจากเรื่องช่องโหว่ทางเทคนิค (Technical Exploitation) ไปสู่ "ความอ่อนแอของมนุษย์ที่อยู่ตรงกลาง" (Human-in-the-middle manipulation) สิ่งที่องค์กรควรทำทันทีคือ:
• ให้ความรู้พนักงานเกี่ยวกับข้อเท็จจริงของ Passkey: การลงทะเบียน Passkey ของจริงบน Windows/Microsoft จะต้องแสดงขึ้นมาจากหน้าต่างป๊อปอัปของตัวระบบปฏิบัติการคอมพิวเตอร์ (System Dialog) เท่านั้น จะไม่มีการขอให้มาจดจำคำศัพท์ Seed Phrase 12-24 คำบนหน้าเว็บเด็ดขาด
• กำหนดกระบวนการยืนยันตัวตนสำหรับฝ่ายไอที: พนักงานต้องสามารถตรวจสอบได้ว่า คนที่โทรเข้ามาอ้างว่าเป็น IT Support นั้นเป็นเจ้าหน้าที่ตัวจริงหรือไม่ ก่อนจะปฏิบัติตามคำสั่งใดๆ
• ปรับเปลี่ยนไปใช้ระบบป้องกันที่ทนทานต่อ Phishing (Phishing-Resistant MFA): เพื่อป้องกันไม่ให้ชุดเครื่องมือ Phishing Kit สามารถเข้ามาแทรกแซงหรือดักจับสิทธิ์ระหว่างทางได้
Reference : Okta Warns of Vishing Attacks Targeting Microsoft 365 Customers
To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions