Microsoft เตือนภัย! ช่องโหว่ "อีเมลภายในปลอม" ระบาดหนัก หลังตั้งค่าระบบผิดพลาด
ใครจะไปนึกว่าอีเมลที่ส่งมาจาก "หัวหน้า" หรือ "ฝ่ายบุคคล" ในบริษัทเราเอง แท้จริงแล้วอาจเป็นฝีมือของแฮกเกอร์ ล่าสุด Microsoft Threat Intelligence ออกมาเตือนว่า พบการโจมตีแบบ Phishing ที่แนบเนียนมาก โดยอาศัยการตั้งค่าระบบรับ-ส่งอีเมล (Email Routing) ที่ผิดพลาด ทำให้แฮกเกอร์สามารถปลอมตัวเป็นคนในองค์กรส่งอีเมลหากันเองได้แบบหน้าตาเฉย
เกิดอะไรขึ้น? ทำไมถึงโดนหลอกได้ง่ายขนาดนี้
สาเหตุหลักเกิดจากองค์กรที่มีการตั้งค่าระบบอีเมลแบบซับซ้อน เช่น การตั้งค่า MX record ให้วิ่งไปที่เซิร์ฟเวอร์ในบริษัทเอง (On-premises) หรือใช้บริการกรองอีเมลจากค่ายอื่นก่อนจะส่งเข้า Microsoft 365
หากตั้งค่าระบบป้องกันการปลอมแปลง (Spoof Protection) ไม่รัดกุมพอจะเกิด "ช่องว่าง" ให้แฮกเกอร์สอดแทรกอีเมลปลอมที่ดูเหมือนส่งมาจากโดเมนของบริษัทเราจริงๆ ผลที่ตามมาคือ
- หลอกเอาพาสเวิร์ด: ปลอมเป็น IT ส่งมาบอกว่ารหัสผ่านหมดอายุ
- หลอกโอนเงิน: ปลอมเป็น CEO หรือฝ่ายบัญชี ส่งใบแจ้งหนี้ปลอม (Fake Invoice) พร้อมเลขบัญชีแฮกเกอร์
- เนียนเป็นฝ่าย HR: ส่งเรื่องสวัสดิการหรือการปรับเงินเดือน เพื่อให้เรากดลิงก์ไปหน้าล็อกอินปลอม
Microsoft ระบุว่าตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นมา เทคนิคนี้ถูกนำมาใช้เยอะมาก โดยเฉพาะการใช้เครื่องมือสำเร็จรูปที่เรียกว่า Tycoon 2FA ซึ่งช่วยให้โจรไซเบอร์มือสมัครเล่นก็ทำได้ แถมยังตรวจจับยากเพราะมันสามารถข้ามระบบยืนยันตัวตนแบบ 2 ชั้น (MFA) ได้ด้วย เฉพาะเดือนตุลาคม 2025 เดือนเดียว Microsoft บล็อกอีเมลอันตรายพวกนี้ไปมากกว่า 13 ล้านฉบับเลยทีเดียว
วิธีป้องกัน
- ตั้งค่า DMARC ให้เข้มงวด: ใช้ระดับ Reject เพื่อปฏิเสธเมลที่พิสูจน์ตัวตนไม่ได้ทันที
- ตั้งค่า SPF แบบ Hard Fail: เพื่อระบุชัดเจนว่าเซิร์ฟเวอร์ไหนมีสิทธิ์ส่งเมลในนามบริษัท
- ตรวจสอบ Connector: หากใช้บริการ Third-party ในการกรองเมล ตัองตั้งค่าการเชื่อมต่อให้ถูกต้องตามคำแนะนำของ Microsoft
- ปิด Direct Send: หากไม่มีความจำเป็นต้องใช้ เพื่อป้องกันการแอบอ้างส่งเมลเข้าสู่ระบบโดยตรง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก