Microsoft เตือน อีเมล Phishing รูปแบบใหม่กำลังระบาด อาจทำให้แฮ็กเกอร์อ่าน-เขียนอีเมลจากบัญชีของเหยื่อได้

0

Microsoft แจ้งเตือนลูกค้า Office 365 ถึงการระบาดของอีเมล Phising รูปแบบใหม่ที่พยายามล่อลวงให้ผู้ใช้อนุญาตให้มีการใช้งานแอปไม่ประสงค์ดีผ่านการยืนยันตัวตนด้วย OAuth ซึ่งหากผู้ใช้หลงกลผู้โจมตีจะสามารถเข้าอ่านอีเมล เขียนอีเมล รวมไปถึงจัดการปฏิทินและไฟล์ในบัญชีได้

Microsoft ตรวจพบการส่งอีเมล Phishing ระลอกใหม่ถึงผู้ใช้หลายร้อยรายในช่วงที่ผ่านมา โดยภายในตัวอีเมลจะมีการขออนุญาตใช้งานแอป “Upgrade” ซึ่งมีสิทธิเข้าถึงข้อมูลต่างๆภายในบัญชี เช่น การเขียน-อ่านอีเมล การกำหนด Inbox Rule การจัดการปฏิทิน และการเข้าถึงข้อมูลผู้ติดต่อ

วิธีการที่ผู้โจมตีใช้คือการให้แอป Upgrade ขออนุญาตเข้าถึงสิทธิต่างๆผ่านกลไก OAuth ซึ่งเป็นการล็อคอินผ่านบัญชี Microsoft เพื่อยืนยันการให้สิทธิตามที่แอปร้องขอ ด้วยวิธีนี้ เหยื่อจึงไม่จำเป็นจะต้องมอบอีเมลหรือรหัสผ่านให้กับผู้โจมตีแต่อย่างใด และผู้โจมตีก็จะสามารถเข้าถึงข้อมูลของเหยื่อได้อย่างแนบเนียน

OAuth เป็นกลไกในการยืนยันตัวตนผ่านบัญชีที่มีอยู่แล้ว ผู้อ่านหลายท่านคงคุ้นเคยกันดีกับเว็บไซต์หรือแอปพลิเคชันที่มีตัวเลือกให้ล็อคอินผ่าน Google, Facebook หรือ Twitter เพื่อเข้าใช้งาน ซึ่งหลังจากล็อคอิน ผู้ใช้จะต้องกดอนุญาตให้แอปดังกล่าวมีสิทธิในการเข้าถึงข้อมูลในบัญชีที่ใช้ล็อคอิน เช่น ใช้ชื่อจากบัญชี Facebook

นอกจากนี้ แอป Upgrade ยังปรากฏรายชื่อผู้พัฒนา Counseling Services Yuma PC ซึ่งเป็นผู้พัฒนาที่ได้รับการยืนยันจาก Microsoft ทำให้ดูน่าเชื่อถือ ส่งผลให้เหยื่ออาจลดความระมัดระวังตัวกว่าเดิม

การโจมตีในรูปแบบนี้ มีชื่อเรียกว่า Consent Phishing หรือ Illicit Consent Grant โดยหลักการคือการใช้ประโยชน์จากคำอนุญาตที่เหยื่อเป็นคนกดยืนยันให้และไม่ต้องลำบากขโมยรหัสผ่านหรือทำหน้าเว็บแต่อย่างใด โดย Microsoft รายงานว่าในช่วง 2-3 ปีให้หลังมานี้ ตรวจพบการโจมตีในลักษณะดังกล่าวเพิ่มขึ้นเรื่อยๆ