เมื่อ "ฟิชชิ่ง" กลายเป็น "ผี" หลบระบบสแกน แต่ไปโผล่ในเบราว์เซอร์ของคุณ
พบบัญชีการโจมตีระลอกใหม่ในสหรัฐฯ และยุโรป ภายใต้แคมเปญที่ชื่อว่า "EvilTokens" ซึ่งกำลังเปิดแผลลึกในระบบรักษาความปลอดภัยอีเมลแบบเดิมๆ ที่เราใช้กันอยู่ครับ
1. ลวงตาว่าปลอดภัย เทคนิค "Ghost Phishing" ทำงานอย่างไร?
โดยปกติแล้ว ระบบรักษาความปลอดภัยขององค์กรจะคอยตรวจจับและสแกนลิงก์ (URL) ในอีเมลว่าอันตรายหรือไม่ แต่เจ้า EvilTokens นี้เหนือชั้นกว่านั้นครับ
- เข้ารหัสลับพรางตัว: หน้าเว็บหลอกลวง (Phishing Page) จะถูกเข้ารหัสไว้ด้วยระบบ AES-GCM ทำให้มองจากภายนอกดูเหมือนเป็นหน้าเว็บคลีนๆ ปลอดภัย 100% ระบบสแกนอีเมลหรือการเช็ก URL แบบเดิมๆ จึงปล่อยผ่าน
- ฟื้นคืนชีพในเบราว์เซอร์: ทันทีที่เหยื่อหลงเชื่อและคลิกลิงก์ หน้าเว็บนั้นจะไปทำการ "ถอดรหัส" และแสดงผล (Render) ร่างจริงขึ้นมาในเบราว์เซอร์ของเหยื่อโดยตรง ระบบตรวจจับที่ฝั่งเครือข่ายจึงมองไม่เห็นสิ่งพนักงานเห็นในจอ
สิ่งที่น่ากลัวคือ แคมเปญนี้ใช้เทคนิค Microsoft Device Code Phishing โดยจะหลอกเหยื่อทำกระบวนการล็อกอินที่ดูเหมือนเป็นของแท้จาก Microsoft เพื่อขอสิทธิ์การเข้าถึงบัญชี (Authorize) โดยที่แฮกเกอร์ "ไม่ต้องรู้รหัสผ่าน" ของคุณเลยแม้แต่ตัวเดียว
- ข้อมูลปี 2026 นี้ชี้ว่า กลุ่มธุรกิจที่ตกเป็นเป้าสายตามากที่สุดคือ ที่ปรึกษา (Consulting) โดนไปถึง 75.6%, การเงินการธนาคาร สูงกว่า 66-72% และ โรงงานอุตสาหกรรม (Manufacturing) 71.9%
- หากหลุดไปได้เพียงบัญชีเดียว ข้อมูลความลับของบริษัท, อีเมลธุรกิจ รวมถึงระบบคลาวน์ทั้งหมดอาจถูกแฮกเกอร์ควบคุมทันที
จากการแกะรอยบนแพลตฟอร์มวิเคราะห์ภัยคุกคามอย่าง ANY.RUN's Interactive Sandbox ผู้เชี่ยวชาญแนะนำว่า วิธีเดียวที่จะจับผีตัวนี้ได้ คือการตรวจสอบลิงก์ต้องสงสัยในระบบจำลอง (Sandbox) ที่สามารถแกะรอยในระดับเบราว์เซอร์ได้ เพื่อดูการเปลี่ยนแปลงของหน้าเว็บ (DOM Snapshots) และจับสัญญาณการเชื่อมต่อปลอมแปลง ก่อนที่บัญชี Microsoft 365 ขององค์กรจะถูกยึดถาวรครับ
อย่าเพิ่งวางใจว่าอีเมลที่ผ่านระบบกรองมาแล้วจะปลอดภัย 100% นะครับ ยุคนี้คลิกอะไรต้องเช็กให้ดีก่อนเสมอ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก