คำเตือนเกี่ยวกับการโจมตีแบบฟิชชิ่งเพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัย

การยืนยันตัวตนแบบสองปัจจัย (2FA) ไม่ใช่โซลูชันความปลอดภัยที่ไร้ข้อผิดพลาดอีกต่อไป ภาพประกอบ

รูปแบบการโจมตีใหม่

การยืนยันตัวตนแบบสองปัจจัย (2FA) ได้กลายเป็นคุณลักษณะด้านความปลอดภัยมาตรฐานในด้านความปลอดภัยทางไซเบอร์ โดยกำหนดให้ผู้ใช้ยืนยันตัวตนด้วยขั้นตอนการยืนยันตัวตนขั้นที่สอง ซึ่งโดยทั่วไปคือรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งผ่านข้อความ SMS อีเมล หรือแอปพลิเคชันยืนยันตัวตน ความปลอดภัยอีกชั้นหนึ่งนี้มีจุดประสงค์เพื่อปกป้องบัญชีผู้ใช้ แม้ว่ารหัสผ่านจะถูกขโมยไปก็ตาม

แม้ว่าเว็บไซต์ต่างๆ หลายแห่งจะรับเอา 2FA มาใช้กันอย่างแพร่หลายและองค์กรต่างๆ จำเป็นต้องใช้ แต่เมื่อไม่นานมานี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Kaspersky ได้ค้นพบการโจมตีแบบฟิชชิ่งที่อาชญากรทางไซเบอร์ใช้เพื่อหลบเลี่ยง 2FA

ด้วยเหตุนี้ ผู้โจมตีทางไซเบอร์จึงเปลี่ยนมาใช้การโจมตีทางไซเบอร์รูปแบบที่ซับซ้อนมากขึ้น โดยผสมผสานฟิชชิ่งเข้ากับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่ง มิจฉาชีพมักหลอกผู้ใช้ให้เปิดเผย OTP เหล่านี้ เพื่อให้สามารถหลบเลี่ยงมาตรการป้องกัน 2FA ได้

อาชญากรไซเบอร์ใช้ฟิชชิ่งร่วมกับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีโดยไม่ได้รับอนุญาต ภาพประกอบ

แม้แต่บอท OTP ซึ่งเป็นเครื่องมือที่ซับซ้อน ก็ถูกใช้โดยนักต้มตุ๋นเพื่อสกัดกั้นรหัส OTP ผ่านการโจมตีทางวิศวกรรมสังคม ผู้โจมตีมักพยายามขโมยข้อมูลการเข้าสู่ระบบของเหยื่อด้วยวิธีการต่างๆ เช่น การฟิชชิ่งหรือการใช้ประโยชน์จากช่องโหว่ของข้อมูล จากนั้นพวกเขาจะล็อกอินเข้าสู่บัญชีของเหยื่อ ส่งผลให้มีการส่งรหัส OTP ไปยังโทรศัพท์ของเหยื่อ

ขั้นต่อไป บอท OTP จะโทรหาเหยื่อโดยอัตโนมัติ โดยปลอมตัวเป็นพนักงานขององค์กรที่เชื่อถือได้ โดยใช้สคริปต์สนทนาที่ตั้งโปรแกรมไว้ล่วงหน้าเพื่อโน้มน้าวเหยื่อให้เปิดเผยรหัส OTP สุดท้าย ผู้โจมตีจะได้รับรหัส OTP ผ่านบอทและนำไปใช้ในการเข้าถึงบัญชีของเหยื่อโดยไม่ได้รับอนุญาต

มิจฉาชีพมักนิยมใช้การโทรด้วยเสียงมากกว่าการส่งข้อความ เพราะเหยื่อมักจะตอบสนองต่อวิธีนี้ได้เร็วกว่า ดังนั้น บอท OTP จะจำลองน้ำเสียงและความเร่งด่วนของการโทรของมนุษย์ เพื่อสร้างความรู้สึกไว้วางใจและโน้มน้าวใจ

มิจฉาชีพควบคุมบอท OTP ผ่านแดชบอร์ดออนไลน์เฉพาะหรือแพลตฟอร์มส่งข้อความอย่าง Telegram บอทเหล่านี้ยังมาพร้อมกับฟีเจอร์และแพ็กเกจสมาชิกที่หลากหลายซึ่งช่วยให้ผู้โจมตีสามารถใช้งานได้ ผู้โจมตีสามารถปรับแต่งฟีเจอร์ของบอทเพื่อปลอมตัวเป็นองค์กร ใช้ภาษาต่างๆ หรือแม้แต่เลือกโทนเสียงชายหรือหญิง ตัวเลือกขั้นสูงประกอบด้วยการปลอมแปลงหมายเลขโทรศัพท์ ซึ่งจะทำให้หมายเลขโทรศัพท์ของผู้โทรดูเหมือนมาจากองค์กรที่ถูกต้องตามกฎหมายเพื่อหลอกลวงเหยื่ออย่างแยบยล

ยิ่งเทคโนโลยีพัฒนามากเท่าไหร่ ความต้องการการปกป้องบัญชีก็ยิ่งสูงขึ้นเท่านั้น ภาพประกอบ

ในการใช้บอท OTP ผู้หลอกลวงจะต้องขโมยข้อมูลการเข้าสู่ระบบของเหยื่อก่อน พวกเขามักใช้เว็บไซต์ฟิชชิ่งที่ออกแบบมาให้ดูเหมือนหน้าเข้าสู่ระบบของธนาคาร บริการอีเมล หรือบัญชีออนไลน์อื่นๆ ที่ถูกต้องตามกฎหมาย เมื่อเหยื่อป้อนชื่อผู้ใช้และรหัสผ่าน ผู้หลอกลวงจะรวบรวมข้อมูลนี้โดยอัตโนมัติทันที (แบบเรียลไทม์)

ระหว่างวันที่ 1 มีนาคม ถึง 31 พฤษภาคม 2567 โซลูชันความปลอดภัยของ Kaspersky สามารถป้องกันความพยายามในการเข้าชมเว็บไซต์ที่สร้างโดยชุดฟิชชิ่งที่มุ่งเป้าไปที่ธนาคารได้ถึง 653,088 ครั้ง ข้อมูลที่ขโมยจากเว็บไซต์เหล่านี้มักถูกนำมาใช้ในการโจมตีด้วยบอท OTP ในช่วงเวลาเดียวกัน ผู้เชี่ยวชาญตรวจพบเว็บไซต์ฟิชชิ่ง 4,721 เว็บไซต์ที่สร้างโดยชุดฟิชชิ่งซึ่งมุ่งเป้าไปที่การหลบเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยแบบเรียลไทม์

อย่าสร้างรหัสผ่านทั่วไป

โอลกา สวิสตันโนวา ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky ให้ความเห็นว่า "การโจมตีทางวิศวกรรมสังคมถือเป็นวิธีการฉ้อโกงที่ซับซ้อนอย่างยิ่ง โดยเฉพาะอย่างยิ่งเมื่อมีบอท OTP ที่สามารถจำลองการโทรจากตัวแทนฝ่ายบริการได้อย่างถูกต้องแม่นยำ สิ่งสำคัญคือต้องระมัดระวังและปฏิบัติตามมาตรการรักษาความปลอดภัยอย่างเคร่งครัด"

แฮกเกอร์ใช้อัลกอริทึมการคาดเดาอันชาญฉลาดเพื่อค้นหารหัสผ่านได้อย่างง่ายดาย ภาพประกอบ

จากการวิเคราะห์รหัสผ่าน 193 ล้านรหัสที่ผู้เชี่ยวชาญของ Kaspersky จัดทำขึ้นโดยใช้อัลกอริทึมการคาดเดาอัจฉริยะในช่วงต้นเดือนมิถุนายน พบว่ารหัสผ่านเหล่านี้ถูกขโมยและนำไปขายบนดาร์กเน็ตโดยเหล่าโจรกรรมข้อมูล แสดงให้เห็นว่า 45% (เทียบเท่า 87 ล้านรหัส) สามารถถอดรหัสได้สำเร็จภายในหนึ่งนาที มีเพียง 23% (เทียบเท่า 44 ล้านรหัส) ของชุดรหัสผ่านเท่านั้นที่ถือว่าแข็งแกร่งพอที่จะต้านทานการโจมตี และการถอดรหัสรหัสผ่านเหล่านี้จะใช้เวลานานกว่าหนึ่งปี อย่างไรก็ตาม รหัสผ่านส่วนใหญ่ที่เหลือยังคงสามารถถอดรหัสได้ภายใน 1 ชั่วโมงถึง 1 เดือน

นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังเปิดเผยชุดอักขระที่ใช้บ่อยที่สุดเมื่อผู้ใช้ตั้งรหัสผ่าน เช่น ชื่อ: "ahmed", "nguyen", "kumar", "kevin", "daniel" คำยอดนิยม: "forever", "love", "google", "hacker", "gamer" รหัสผ่านมาตรฐาน: "password", "qwerty12345", "admin", "12345", "team"

ผลการวิเคราะห์พบว่ามีเพียง 19% ของรหัสผ่านเท่านั้นที่มีการผสมผสานระหว่างรหัสผ่านที่แข็งแกร่ง ซึ่งรวมถึงคำที่ไม่ได้อยู่ในพจนานุกรม ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก รวมถึงตัวเลขและสัญลักษณ์ ขณะเดียวกัน การศึกษายังพบว่า 39% ของรหัสผ่านที่แข็งแกร่งเหล่านี้ยังคงสามารถเดาได้ด้วยอัลกอริทึมอัจฉริยะภายในเวลาไม่ถึงหนึ่งชั่วโมง

ที่น่าสนใจคือ ผู้โจมตีไม่จำเป็นต้องมีความรู้เฉพาะทางหรืออุปกรณ์ขั้นสูงในการถอดรหัสรหัสผ่าน ยกตัวอย่างเช่น หน่วยประมวลผลแล็ปท็อปเฉพาะทางสามารถถอดรหัสแบบ Brute Force ได้อย่างแม่นยำด้วยตัวอักษรพิมพ์เล็กหรือตัวเลขแปดตัวภายในเวลาเพียงเจ็ดนาที การ์ดแสดงผลแบบรวมก็สามารถทำได้เช่นเดียวกันภายใน 17 วินาที นอกจากนี้ อัลกอริทึมการเดารหัสผ่านที่ชาญฉลาดมักจะแทนที่อักขระ ("e" แทน "3", "1" แทน "!" หรือ "a" แทน "@") และสตริงทั่วไป ("qwerty", "12345", "asdfg")

คุณควรใช้รหัสผ่านที่มีสตริงอักขระแบบสุ่มเพื่อให้แฮกเกอร์เดาได้ยาก ภาพประกอบ

“โดยไม่รู้ตัว ผู้คนมักจะสร้างรหัสผ่านที่เรียบง่ายมาก โดยมักใช้คำในพจนานุกรมของภาษาแม่ เช่น ชื่อและตัวเลข... แม้แต่การใช้รหัสผ่านที่แข็งแรงก็ไม่ค่อยเบี่ยงเบนไปจากแนวโน้มนี้ ดังนั้นจึงสามารถคาดเดาได้โดยสมบูรณ์ด้วยอัลกอริทึม” Yuliya Novikova หัวหน้าฝ่าย Digital Footprint Intelligence ของ Kaspersky กล่าว

ดังนั้น วิธีแก้ปัญหาที่น่าเชื่อถือที่สุดคือการสร้างรหัสผ่านแบบสุ่มอย่างสมบูรณ์โดยใช้โปรแกรมจัดการรหัสผ่านที่ทันสมัยและเชื่อถือได้ แอปพลิเคชันเหล่านี้สามารถจัดเก็บข้อมูลจำนวนมากได้อย่างปลอดภัย มอบการปกป้องข้อมูลผู้ใช้ที่ครอบคลุมและแข็งแกร่ง

เพื่อเพิ่มความแข็งแกร่งให้กับรหัสผ่าน ผู้ใช้สามารถปฏิบัติตามเคล็ดลับง่ายๆ ดังต่อไปนี้: ใช้ซอฟต์แวร์จัดการรหัสผ่าน ใช้รหัสผ่านที่แตกต่างกันสำหรับบริการต่างๆ วิธีนี้ทำให้แม้ว่าบัญชีใดบัญชีหนึ่งจะถูกแฮ็ก บัญชีอื่นๆ ก็ยังคงปลอดภัย วลีรหัสผ่านช่วยให้ผู้ใช้สามารถกู้คืนบัญชีได้เมื่อลืมรหัสผ่าน ดังนั้นการใช้คำที่ไม่คุ้นเคยจึงปลอดภัยกว่า นอกจากนี้ ผู้ใช้สามารถใช้บริการออนไลน์เพื่อตรวจสอบความแข็งแกร่งของรหัสผ่านได้

หลีกเลี่ยงการใช้ข้อมูลส่วนบุคคล เช่น วันเกิด ชื่อสมาชิกในครอบครัว สัตว์เลี้ยง หรือชื่อเล่น เป็นรหัสผ่าน เพราะข้อมูลเหล่านี้มักเป็นสิ่งแรกที่ผู้โจมตีจะพยายามใช้เมื่อพยายามเจาะรหัสผ่าน