คำเตือนด้านความปลอดภัย - การรับรู้เกี่ยวกับการโจมตีแบบ Device Code Phishing ที่มุ่งเป้าไปยังผู้ใช้ Microsoft 365
Movaci ขอแจ้งให้ลูกค้าทุกท่านทราบถึงเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า Device Code Phishing ซึ่งกำลังถูกใช้มากขึ้นในการเข้าถึงบัญชี Microsoft 365 โดยไม่ได้รับอนุญาต
วิธีนี้อันตรายเพราะใช้ ระบบล็อกอินของ Microsoft จริง ทำให้สามารถหลีกเลี่ยงระบบความปลอดภัย เช่น MFA ได้ โดยอาศัยการหลอกล่อให้ผู้ใช้ดำเนินการเอง
Device Code Authentication คืออะไร
เป็นวิธีล็อกอินที่ Microsoft ออกแบบมาเพื่อใช้ในบางกรณีเท่านั้น เช่น
-
การเข้าสู่ระบบผ่าน อุปกรณ์เฉพาะหรืออุปกรณ์ที่ใช้ร่วมกัน (เช่น ระบบห้องประชุม, Smart Display)
-
การยืนยันตัวตนผ่าน เครื่องมือ command-line หรืออุปกรณ์ที่พิมพ์ข้อความได้จำกัด
-
การใช้งานใน แอปพลิเคชันหรือระบบองค์กรเฉพาะทางบางประเภท
สิ่งสำคัญคือ:
การล็อกอินด้วย Device Code ไม่ใช่วิธีปกติที่ใช้ในการเข้าใช้งาน Microsoft 365 ในชีวิตประจำวัน
โดยปกติแล้ว เวลาที่เราใช้งานบริการต่าง ๆ เช่น
- Outlook
- Microsoft Teams
- SharePoint
- หรือแอป Office ต่าง ๆ
ผ่านคอมพิวเตอร์ที่ทำงาน โน้ตบุ๊ก หรือมือถือ จะไม่มีขั้นตอนให้กรอก Device Code อย่างแน่นอน
การโจมตีของ Device Code Phishing ทำงานอย่างไร
ตัวอย่างสถานการณ์การโจมตี:
-
ผู้โจมตีสร้าง device login code ของ Microsoft ขึ้นมา
-
ส่งโค้ดให้เหยื่อผ่านอีเมล, แชต หรือช่องทางอื่น
-
หลอกให้เหยื่อไปกรอกโค้ดในหน้า Microsoft
เมื่อกรอกโค้ด = เท่ากับให้สิทธิ์ผู้โจมตีเข้าบัญชีทันที
ทำไมการโจมตีนี้ถึงอันตราย
-
ใช้ ระบบยืนยันตัวตนของ Microsoft จริง
-
ไม่ได้ใช้เว็บไซต์ปลอมเพื่อหลอกลวง
-
อาศัย ความไว้วางใจและความเร่งด่วน ของผู้ใช้
-
MFA ก็ช่วยไม่ได้ เพราะผู้ใช้เป็นคนกดยืนยันเอง
สัญญาณเตือนที่ควรระวัง
ควรระวังหากพบว่า:
-
มีการขอให้กรอก device code ทั้งที่เรายังไม่ได้เริ่มล็อกอิน
-
ได้รับคำขอยืนยันตัวตนโดยไม่เกี่ยวข้องกับสิ่งที่กำลังทำ
-
มีข้อความเร่งด่วนให้ดำเนินการทันที
-
ได้รับคำขอผ่านช่องทางส่วนตัว (เช่น WhatsApp, SMS)
-
มีการขอให้ช่วยยืนยันการล็อกอินของผู้อื่น
สิ่งที่ควรทำ
หากได้รับคำขอที่น่าสงสัย
-
อย่ากรอก device code
-
อย่ากดยืนยันตัวตน
-
อย่ากดอนุมัติใด ๆ
ตรวจสอบกับแหล่งที่เชื่อถือได้ หรือ ติดต่อทีม IT / Movaci Support
หากเผลอกรอก device code ไปแล้ว
-
รีบแจ้งทีม IT หรือ Movaci Support
-
เปลี่ยนรหัสผ่าน Microsoft 365 ทันที
-
ยกเลิก session ที่ใช้งานอยู่ (ถ้ามี)
-
ปฏิบัติตามขั้นตอน Incident Response ขององค์กร
การรายงานเหตุการณ์
กรุณาเตรียมข้อมูลดังนี้:
-
ภาพหน้าจอหรือข้อความที่ได้รับ
-
รายละเอียดผู้ส่ง (อีเมล / เบอร์ / username)
-
วันและเวลา
-
สิ่งที่ได้ทำไปแล้ว
ข้อควรจำ
“อย่ายืนยันหรือทำการล็อกอินใด ๆ หากคุณไม่ได้เป็นคนเริ่มต้นเอง”
สรุป
การโจมตีแบบนี้ไม่ได้หลอกด้วยเทคโนโลยี แต่หลอกด้วย “พฤติกรรมคน”
ดังนั้น ความระมัดระวังของผู้ใช้คือด่านสำคัญที่สุด
หากพบสิ่งผิดปกติ รีบแจ้งทันทีเพื่อความปลอดภัยขององค์กร
หากต้องการความช่วยเหลือเพิ่มเติม กรุณาติดต่อทีม Movaci Supportได้ตลอดเวลา
