PDPC แจ้งหมดยุค MFA แบบเดิม เจอ Starkiller เครื่องมือ Phishing ตัวโหด

PDPC แจ้งหมดยุค MFA แบบเดิม เจอ Starkiller เครื่องมือ Phishing ตัวโหด

ข่าวสารกิจกรรม

PDPC แจ้งหมดยุค MFA แบบเดิม เจอ Starkiller เครื่องมือ Phishing ตัวโหด

หมดยุค MFA แบบเดิม เจอ Starkiller เครื่องมือ Phishing ตัวโหด เจาะทะลุระบบล็อกอิน 2 ชั้น (AiTM) พังยับ

          ใครที่คิดว่าเปิด 2FA / MFA (ยืนยันตัวตน 2 ขั้นตอน) แล้วจะปลอดภัย 100% ต้องเปลี่ยนความคิดเดี๋ยวนี้ 

          ล่าสุดมีการค้นพบชุดเครื่องมือโจมตีสำเร็จรูป (Phishing Suite) ตัวใหม่ชื่อโคตรเท่แต่โคตรอันตรายนามว่า “Starkiller” ที่มาพร้อมฟีเจอร์ไม้ตายอย่าง AiTM (Adversary-in-the-Middle)

Starkiller และ AiTM คืออะไร

  • ปกติเวลาเราโดน Phishing แฮกเกอร์จะได้แค่ User/Password ไป แต่จะติดหน้าถาม OTP ใช่ไหม? แต่เจ้า Starkiller มันฉลาดกว่านั้น
  • คนกลาง (Middleman): เทคนิค AiTM คือการที่แฮกเกอร์สร้างหน้าเว็บปลอมที่เป็น “Proxy” อยู่ตรงกลางระหว่าง เหยื่อ กับ เว็บจริง (เช่น Microsoft 365, Gmail)
  • การส่งต่อข้อมูลแบบ Real-time: เมื่อเหยื่อกรอกรหัสผ่าน -> Starkiller ส่งรหัสไปเว็บจริง -> เว็บจริงขอ OTP -> Starkiller ส่งหน้าขอ OTP มาให้เหยื่อ -> เหยื่อกรอก OTP
  • จุดตาย (Game Over) : ทันทีที่ล็อกอินสำเร็จ สิ่งที่ Starkiller ขโมย ไม่ใช่แค่รหัสผ่าน แต่คือ “Session Cookie”
  • ผลลัพธ์ : แฮกเกอร์เอา Cookie นี้ไปฝังใน Browser ของตัวเอง แล้วเข้าใช้งานบัญชีเราได้ทันที โดยไม่ต้องล็อกอินใหม่ และไม่ต้องง้อ OTP อีกต่อไป เหมือนโคลนนิ่งตัวตนเราไปใช้งานเลย

วิธีป้องกันและรับมือ (เมื่อ OTP แบบ SMS/App เอาไม่อยู่)

  • การโจมตีแบบ AiTM ถือเป็น “MFA Killer” ของจริง คำแนะนำแบบเดิมๆ อาจใช้ไม่ได้ผล ต้องยกระดับความปลอดภัยดังนี้
  • เปลี่ยนมาใช้ FIDO2 / Hardware Key (The Best Solution) : นี่คือทางรอดเดียวที่กัน AiTM ได้ 100% ในปัจจุบัน! การใช้ YubiKey หรือ Titan Security Key เพราะกุญแจพวกนี้จะตรวจสอบโดเมนของเว็บไซต์ก่อนส่งข้อมูล ถ้าไม่ใช่เว็บจริง (ถึงหน้าตาจะเหมือนเป๊ะ) กุญแจจะไม่ทำงาน
  • ใช้ Passkeys แทนรหัสผ่าน : เทคโนโลยี Passkeys (สแกนนิ้ว/หน้า เพื่อล็อกอิน) ทำงานบนพื้นฐาน FIDO เหมือนกัน แฮกเกอร์ไม่สามารถขโมย Biometric หรือ Private Key ของเราผ่านหน้าเว็บปลอมได้
  • สำหรับองค์กร : ใช้ Conditional Access : ตั้งค่าระบบให้เข้มงวด เช่น “อนุญาตให้ล็อกอินได้เฉพาะ อุปกรณ์ของบริษัท (Compliant Device) เท่านั้น” ต่อให้แฮกเกอร์ได้ Session Cookie ไป แต่ถ้าเครื่องของแฮกเกอร์ไม่ได้ลงทะเบียนกับบริษัท ก็จะเข้าใช้งานไม่ได้
  • สังเกต URL ขั้นสุด : ก่อนกรอกรหัส หรือกด Approve ในมือถือ ต้องมอง Address Bar เสมอ! ถ้าโดเมนไม่ใช่ google.com หรือ office.com แต่เป็น office-login-secure.xyz ห้ามกรอกเด็ดขาด

ที่มา : Facebook : ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล

Post Views: 13
-->