การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย
จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร
ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ
ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน
ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น
Real-Time MFA Relay และการขโมยเซสชัน
Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี
ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้
ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น
ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง
ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ
Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging
ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail
จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้
MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว
สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง
ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้
ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ
หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ
ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ
ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป
ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น
ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง
แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก
โมเดลของโทเคน
นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส
การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง
องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก
ความจริงที่ทุกองค์กรต้องยอมรับ
ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที
ที่มา : bleepingcomputer