เตือนภัยไอที! รู้จัก "MFA Prompt Bombing" มุกใหม่แฮกเกอร์ ถล่มส่งแจ้งเตือนจนรำคาญ ยอมกดปุ๊บ...โดนเจาะระบบทันที
เราเคยเชื่อกันมาตลอดใช่ไหมครับว่า การเปิดระบบยืนยันตัวตนสองชั้น หรือ MFA (Multi-factor authentication) ที่เวลาจะเข้าระบบแล้วมีข้อความเด้งเตือนให้เรากด "อนุมัติ" (Push Notification) บนมือถือเนี่ย ปลอดภัยหายห่วง... แต่บอกเลยว่าตอนนี้แฮกเกอร์มันฉลาดกว่าเราก้าวหนึ่งแล้วครับ! เพราะมันกำลังใช้มุกที่เรียกว่า "MFA Prompt Bombing" (หรือการถล่มส่งข้อความยืนยันตัวตน) มาเจาะระบบ... เรื่องราวเป็นยังไง ผมจะแปลและสรุปให้อ่านแบบเข้าใจง่าย ๆ ครับ
"MFA Prompt Bombing" คืออะไร? แฮกเกอร์เค้าทำกันยังไง?
ทริคนี้ง่ายจนน่ากลัวครับ แทนที่แฮกเกอร์จะต้องไปขโมยมือกดรหัสตัวที่สองจากเรา มันไม่ทำครับ! มันเลือกที่จะ "กวนประสาทและหลอกล่อให้เรากดยอมรับให้มันเองซะเลย" โดยการโจมตีนี้จะประกอบด้วย 3 สิ่งนี้ครับ:
- มันมีรหัสผ่านจริงของเราแล้ว: ซึ่งส่วนใหญ่ก็หลุดมาจากพวกฐานข้อมูลที่โดนแฮกบนดาร์กเว็บนั่นแหละ
- ระบบของบริษัทใช้ MFA แบบกดอนุมัติ (Push-based): เช่น พวกระบบ VPN, Microsoft 365, Okta หรือ Duo
- เหยื่อ (ก็คือเรา) รำคาญจนยอมกด: แฮกเกอร์จะระดมกดล็อกอินรัว ๆ ทำให้มีข้อความแจ้งเตือนเด้งบนมือถือเราเป็นสิบ ๆ ร้อย ๆ ครั้ง จนเหยื่อคิดว่า "ระบบมันรวนหรือเปล่าวะ?" หรือรำคาญจนขี้เกียจปัดทิ้ง เลยกด "อนุมัติ" (Approve) ไปให้มันจบ ๆ
ทีเด็ดกว่านั้น: บางทีแฮกเกอร์จะใช้มุก Vishing (โทรมาหลอก) ปลอมตัวเป็นเจ้าหน้าที่ไอทีของบริษัท โทรมาพูดจาสุภาพบอกว่า "ตอนนี้ระบบไอทีมีปัญหานะครับ รบกวนคุณพี่ช่วยกดอนุมัติที่เด้งบนหน้าจอให้หน่อยครับ" พอเหยื่อหลงกลกดปุ๊บ... เรียบร้อยครับ แฮกเกอร์เข้าสู่ระบบได้ทันที และระบบความปลอดภัยของบริษัทก็จับไม่ได้ด้วย เพราะมองว่าเป็นการล็อกอินที่ถูกต้องโดยตัวคุณเอง!
บทเรียนราคาแพง: กรณีศึกษาจากยักษ์ใหญ่ระดับโลกอย่าง "Cisco"
ถ้าคิดว่าเรื่องนี้ไกลตัว หรือคิดว่าบริษัทเราเจ๋งพอ... ผมอยากให้ดูเคสของบริษัทเทคโนโลยีระดับโลกอย่าง Cisco ที่โดนเจาะระบบในปี 2022 เป็นตัวอย่างครับ
แฮกเกอร์กลุ่มมัลแวร์เรียกค่าไถ่ Yanluowang เริ่มจากเจาะบัญชี Google ส่วนตัวของพนักงาน Cisco คนหนึ่ง ซึ่งดันไปซิงก์รหัสผ่านของระบบ VPN บริษัทไว้ในบราวเซอร์ พอได้รหัสมา แฮกเกอร์ก็จัดการส่งข้อความ MFA รัว ๆ เข้ามือถือพนักงานคนนั้น ตอนแรกพนักงานไม่ยอมกดครับ... แฮกเกอร์เลยใช้แผนสอง โทรศัพท์สายตรงเข้าไปอ้างว่าเป็นเจ้าหน้าที่ซัพพอร์ต ปลอมสำเนียงให้ดูน่าเชื่อถือ จนสุดท้ายพนักงานยอมกดปุ่มอนุมัติให้!
ผลลัพธ์น่ะเหรอครับ? พอแฮกเกอร์เข้า VPN ได้ มันก็แอบลงทะเบียนเครื่องของมันเองเป็นระบบสำรอง ไต่ระดับสิทธิ์ตัวเองขึ้นไปเป็นผู้ดูแลระบบ (Admin) เจาะเข้าถึงเซิร์ฟเวอร์ภายใน และดูดข้อมูลออกไปได้ถึง 2.8 GB! ขนาดบริษัทความปลอดภัยปึ้ก ๆ อย่าง Cisco ยังพลาดท่าได้ คิดดูเอาเถอะครับ!
3 วิธีรับมือที่องค์กรยุคนี้ต้องทำ (ก่อนจะสายเกินไป)
ถ้าระบบยืนยันตัวตนแบบเดิมมันเริ่มเอาไม่อยู่ ผมแนะนำว่าองค์กรต่าง ๆ ต้องปรับตัวตาม 3 ข้อนี้ครับ:
- 1. เลิกใช้ระบบ Push เพียว ๆ แล้วเปลี่ยนไปใช้ระบบที่ทนต่อการหลอกลวง (Phishing-Resistant MFA): เปลี่ยนไปใช้กุญแจความปลอดภัยแบบฮาร์ดแวร์ เช่น FIDO2 หรือ YubiKey หรืออย่างน้อยที่สุดต้องเป็นระบบ "Number-Matching" (ระบบที่จะขึ้นตัวเลขบนหน้าจอคอมพิวเตอร์ แล้วเราต้องพิมพ์ตัวเลขนั้นให้ตรงกันบนมือถือ ถึงจะอนุมัติได้) ซึ่งเครื่องมืออย่าง Specops Secure Access ก็มีฟีเจอร์ช่วยบล็อกการกดรัว ๆ แบบนี้ได้ดีครับ
- 2. บล็อกรหัสผ่านที่เสี่ยงตั้งแต่ต้นทาง: แฮกเกอร์จะถล่ม MFA ได้ มันต้องมีรหัสผ่านตัวแรกของเราก่อน ดังนั้นองค์กรควรตรวจสอบระบบ Active Directory (AD) เสมอว่ามีพนักงานใช้รหัสซ้ำ รหัสเดาง่าย หรือรหัสที่เคยหลุดไปอยู่ในดาร์กเว็บไหม (องค์กรไหนอยากเช็กฟรี ลองใช้เครื่องมือ Specops Password Auditor ไปสแกนดูก่อนได้ครับ)
- 3. เพิ่มการตรวจสอบความเสี่ยงตอนล็อกอิน (Risk Signals): ตั้งค่าระบบให้เช็กด้วยว่า คนที่กำลังล็อกอินอยู่ อยู่ที่ประเทศไหน? ใช้เครื่องคอมพิวเตอร์ของบริษัทจริงไหม? และล็อกอินในเวลาทำงานหรือเปล่า? ถ้ามีอะไรแปลก ๆ ให้บล็อกไว้ก่อนที่จะส่งข้อความไปกวนใจบนมือถือพนักงานครับ
สรุปจากใจผม
ผมไม่ได้บอกให้ทุกคนเลิกใช้ MFA นะครับ! ระบบ MFA ยังไงก็จำเป็นและต้องเปิดใช้งานอยู่ แต่เราแค่ต้องเปลี่ยน "ประเภท" ของ MFA ให้มันฉลาดและรัดกุมยิ่งขึ้น ยุคนี้แค่กด "ยอมรับ" บนหน้าจอมันไม่พอแล้วครับ ถ้าบริษัทไหนยังใช้ระบบ Push แจ้งเตือนแบบเดิม ๆ อยู่ ผมแนะนำให้รีบไปปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยไอทีอย่าง Specops หรือทีมไอทีของท่านเพื่ออัปเกรดระบบด่วน ๆ เลยครับ!
ด้วยความหวังดีและอยากเห็นคนไทยปลอดภัยในโลกไซเบอร์... กระผม รายงาน! 😎
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก