เตือนเรื่องการโจมตีแบบฟิชชิ่งเพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองขั้นตอน

การยืนยันตัวตนแบบสองปัจจัย (2FA) ไม่ได้รักษาความปลอดภัยที่แน่นหนาอีกต่อไป ภาพประกอบ

รูปแบบการโจมตีใหม่

การยืนยันตัวตนแบบสองปัจจัย (2FA) กลายเป็นคุณลักษณะด้านความปลอดภัยมาตรฐานในด้านความปลอดภัยทางไซเบอร์แล้ว แบบฟอร์มนี้จะกำหนดให้ผู้ใช้ยืนยันตัวตนโดยใช้การยืนยันตัวตนขั้นที่สอง ซึ่งโดยทั่วไปจะเป็นรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งผ่านข้อความอีเมลหรือแอปการตรวจสอบความถูกต้อง ชั้นความปลอดภัยพิเศษนี้มีไว้เพื่อปกป้องบัญชีผู้ใช้แม้ว่ารหัสผ่านจะถูกขโมยก็ตาม

แม้ว่าเว็บไซต์ต่างๆ หลายแห่งจะรับเอา 2FA มาใช้กันอย่างแพร่หลายและองค์กรต่างๆ ก็ต้องปฏิบัติตาม แต่เมื่อไม่นานมานี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Kaspersky ได้ค้นพบการโจมตีแบบฟิชชิ่งที่ผู้ก่ออาชญากรรมทางไซเบอร์ใช้เพื่อหลีกเลี่ยง 2FA

ด้วยเหตุนี้ ผู้โจมตีทางไซเบอร์จึงเปลี่ยนมาใช้การโจมตีทางไซเบอร์ในรูปแบบที่ซับซ้อนมากขึ้น โดยรวมการฟิชชิงเข้ากับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีของตนอย่างผิดกฎหมาย โดยเฉพาะอย่างยิ่ง ผู้หลอกลวงหลอกให้ผู้ใช้เปิดเผย OTP เหล่านี้เพื่อให้สามารถหลีกเลี่ยงการป้องกัน 2FA ได้

อาชญากรทางไซเบอร์ใช้การฟิชชิ่งร่วมกับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต ภาพประกอบ

แม้แต่บอท OTP ซึ่งเป็นเครื่องมือที่ซับซ้อนก็ยังถูกใช้โดยผู้หลอกลวงเพื่อดักจับรหัส OTP ผ่านการโจมตีทางวิศวกรรมสังคม ดังนั้นผู้โจมตีจึงมักพยายามขโมยข้อมูลการเข้าสู่ระบบของเหยื่อโดยใช้วิธีเช่นฟิชชิ่งหรือการแสวงหาประโยชน์จากช่องโหว่ข้อมูล จากนั้นพวกเขาจะเข้าสู่ระบบบัญชีของเหยื่อและส่งรหัส OTP ไปยังโทรศัพท์ของเหยื่อ

จากนั้น บอท OTP จะโทรหาเหยื่อโดยอัตโนมัติ โดยแอบอ้างว่าเป็นพนักงานขององค์กรที่เชื่อถือได้ โดยใช้สคริปต์สนทนาที่ตั้งโปรแกรมไว้ล่วงหน้าเพื่อโน้มน้าวเหยื่อให้เปิดเผยรหัส OTP ในที่สุดผู้โจมตีจะได้รับรหัส OTP ผ่านทางบอทและใช้เพื่อเข้าถึงบัญชีของเหยื่อโดยไม่ได้รับอนุญาต

ผู้หลอกลวงมักชอบโทรมากกว่าส่งข้อความ เพราะเหยื่อมีแนวโน้มที่จะตอบสนองต่อวิธีนี้ได้เร็วกว่า ด้วยเหตุนี้ บอท OTP จะจำลองน้ำเสียงและความเร่งด่วนของมนุษย์ในการโทรเพื่อสร้างความรู้สึกไว้วางใจและน่าเชื่อถือ

ผู้หลอกลวงควบคุมบอท OTP ผ่านทางแผงควบคุมออนไลน์พิเศษหรือแพลตฟอร์มการส่งข้อความเช่น Telegram นอกจากนี้ บอทเหล่านี้ยังมาพร้อมกับคุณสมบัติและแพ็คเกจการสมัครสมาชิกต่างๆ ซึ่งทำให้ผู้โจมตีสามารถดำเนินการได้ง่ายขึ้น ดังนั้น ผู้โจมตีสามารถปรับแต่งฟีเจอร์ของบ็อตเพื่อปลอมตัวเป็นองค์กร ใช้หลายภาษา และแม้แต่เลือกโทนเสียงชายหรือหญิงก็ได้ นอกจากนี้ ตัวเลือกขั้นสูงยังรวมถึงการปลอมหมายเลขโทรศัพท์ ซึ่งมีจุดมุ่งหมายเพื่อทำให้หมายเลขโทรศัพท์ของผู้โทรดูเหมือนว่ามาจากองค์กรที่ถูกต้องตามกฎหมาย เพื่อหลอกลวงเหยื่ออย่างแนบเนียน

เมื่อเทคโนโลยีมีการพัฒนา การปกป้องบัญชีก็จำเป็นต้องเพิ่มมากขึ้น ภาพประกอบ

ในการใช้บอท OTP ผู้หลอกลวงจะต้องขโมยข้อมูลการเข้าสู่ระบบของเหยื่อก่อน พวกเขามักใช้เว็บไซต์ฟิชชิ่งที่ออกแบบมาให้ดูเหมือนหน้าเข้าสู่ระบบที่ถูกต้องตามกฎหมายของธนาคาร บริการอีเมล หรือบัญชีออนไลน์อื่น ๆ เมื่อเหยื่อป้อนชื่อผู้ใช้และรหัสผ่าน ผู้หลอกลวงจะรวบรวมข้อมูลนี้โดยอัตโนมัติทันที (แบบเรียลไทม์)

ระหว่างวันที่ 1 มีนาคมถึง 31 พฤษภาคม 2024 โซลูชันความปลอดภัยของ Kaspersky ได้บล็อกการเข้าชมเว็บไซต์ที่สร้างโดยชุดฟิชชิ่งที่กำหนดเป้าหมายไปที่ธนาคารจำนวน 653,088 ครั้ง ข้อมูลที่ถูกขโมยจากเว็บไซต์เหล่านี้มักใช้ในการโจมตีบอท OTP ในช่วงเวลาเดียวกันนั้น ผู้เชี่ยวชาญได้ค้นพบเว็บไซต์ฟิชชิ่ง 4,721 แห่งที่ถูกสร้างขึ้นโดยชุดเครื่องมือซึ่งมีจุดประสงค์เพื่อหลีกเลี่ยงการพิสูจน์ตัวตนแบบสองปัจจัยแบบเรียลไทม์

อย่าสร้างรหัสผ่านทั่วไป

Olga Svistunova ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky ให้ความเห็นว่า "การโจมตีทางวิศวกรรมสังคมถือเป็นวิธีการฉ้อโกงที่ซับซ้อนอย่างยิ่ง โดยเฉพาะอย่างยิ่งเมื่อมีบอท OTP ที่สามารถจำลองการโทรจากตัวแทนฝ่ายบริการได้อย่างถูกต้องตามกฎหมาย เพื่อให้ตื่นตัวอยู่เสมอ จำเป็นต้องรักษาความระมัดระวังและปฏิบัติตามมาตรการรักษาความปลอดภัย"

แฮกเกอร์ใช้อัลกอริธึมการคาดเดาอันชาญฉลาดเพื่อค้นหารหัสผ่านได้อย่างง่ายดาย ภาพประกอบ

จากการวิเคราะห์รหัสผ่าน 193 ล้านรหัสที่ดำเนินการโดยผู้เชี่ยวชาญของ Kaspersky โดยใช้อัลกอริทึมการคาดเดาอัจฉริยะในช่วงต้นเดือนมิถุนายน พบว่ารหัสผ่านเหล่านี้ยังเป็นรหัสผ่านที่ถูกบุกรุกและขายบน Darknet โดยหัวขโมยข้อมูลอีกด้วย แสดงให้เห็นว่า 45% (เทียบเท่ากับ 87 ล้านรหัสผ่าน) สามารถถอดรหัสได้สำเร็จภายในหนึ่งนาที เพียง 23% (44 ล้านชุด) ของรหัสผ่านเท่านั้นที่ถือว่าแข็งแกร่งเพียงพอที่จะทนต่อการโจมตี และการแคร็กรหัสผ่านเหล่านี้อาจต้องใช้เวลานานมากกว่าหนึ่งปี อย่างไรก็ตาม รหัสผ่านที่เหลือส่วนใหญ่ยังสามารถถูกถอดรหัสได้ภายใน 1 ชั่วโมงถึง 1 เดือน

นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังเปิดเผยชุดอักขระที่ใช้บ่อยที่สุดเมื่อผู้ใช้ตั้งรหัสผ่าน เช่น ชื่อ: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”; คำยอดนิยม: "ตลอดไป", "รัก", "กูเกิล", "แฮ็กเกอร์", "เกมเมอร์"; รหัสผ่านมาตรฐาน: “รหัสผ่าน”, “qwerty12345”, “admin”, “12345”, “team”

จากการวิเคราะห์พบว่ามีเพียง 19% ของรหัสผ่านเท่านั้นที่มีชุดรหัสผ่านที่แข็งแกร่ง รวมถึงคำที่ไม่ใช่จากพจนานุกรม ทั้งตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ รวมไปถึงตัวเลขและสัญลักษณ์ ในเวลาเดียวกัน การศึกษาพบว่า 39% ของรหัสผ่านที่แข็งแกร่งเหล่านี้ยังสามารถเดาได้โดยอัลกอริทึมอันชาญฉลาดภายในเวลาไม่ถึงหนึ่งชั่วโมง

ที่น่าสนใจคือ ผู้โจมตีไม่จำเป็นต้องมีความรู้เฉพาะทางหรืออุปกรณ์ขั้นสูงในการแคร็กพาสเวิร์ด ตัวอย่างเช่น โปรเซสเซอร์แล็ปท็อปเฉพาะทางสามารถระบุรหัสตัวเลข 8 ตัวอักษรหรือตัวพิมพ์เล็กได้อย่างแม่นยำด้วยการใช้กำลังภายในเวลาเพียง 7 นาที นอกจากนี้การ์ดกราฟิกแบบรวมจะจัดการงานเดียวกันได้ภายใน 17 วินาที นอกจากนี้ อัลกอริธึมการคาดเดารหัสผ่านอัจฉริยะมักจะแทนที่อักขระ ("e" แทน "3", "1" แทน "!" หรือ "a" แทน "@") และสตริงทั่วไป ("qwerty", "12345", "asdfg")

ใช้รหัสผ่านที่มีสตริงอักขระแบบสุ่มเพื่อทำให้แฮกเกอร์เดาได้ยาก ภาพประกอบ

“โดยไม่รู้ตัว ผู้คนมีแนวโน้มที่จะสร้างรหัสผ่านที่ง่ายมากๆ โดยมักจะใช้คำในพจนานุกรมในภาษาแม่ของตน เช่น ชื่อและตัวเลข... แม้แต่การใช้รหัสผ่านที่แข็งแรงก็ไม่ค่อยเบี่ยงเบนไปจากแนวโน้มนี้ ดังนั้นจึงสามารถคาดเดาได้โดยสมบูรณ์ด้วยอัลกอริทึม” Yuliya Novikova หัวหน้าฝ่าย Digital Footprint Intelligence ของ Kaspersky กล่าว

ดังนั้นวิธีแก้ปัญหาที่เชื่อถือได้ที่สุดคือการสร้างรหัสผ่านแบบสุ่มโดยสมบูรณ์โดยใช้โปรแกรมจัดการรหัสผ่านที่ทันสมัยและเชื่อถือได้ แอปพลิเคชันดังกล่าวสามารถจัดเก็บข้อมูลจำนวนมากได้อย่างปลอดภัย พร้อมให้การปกป้องข้อมูลของผู้ใช้อย่างครอบคลุมและทรงพลัง

เพื่อเพิ่มความแข็งแกร่งของรหัสผ่าน ผู้ใช้สามารถใช้เคล็ดลับง่ายๆ ดังต่อไปนี้: ใช้ซอฟต์แวร์รักษาความปลอดภัยเครือข่ายเพื่อจัดการรหัสผ่าน ใช้รหัสผ่านที่แตกต่างกันสำหรับบริการที่แตกต่างกัน ด้วยวิธีนี้ แม้ว่าบัญชีของคุณหนึ่งบัญชีจะถูกแฮ็ก บัญชีอื่นๆ ก็ยังคงปลอดภัย Passphrase ช่วยให้ผู้ใช้กู้คืนบัญชีได้เมื่อลืมรหัสผ่าน ควรใช้คำทั่วไปให้น้อยลงเพื่อความปลอดภัย นอกจากนี้พวกเขายังสามารถใช้บริการออนไลน์เพื่อตรวจสอบความแข็งแกร่งของรหัสผ่านของตนได้

อย่าใช้ข้อมูลส่วนบุคคล เช่น วันเกิด ชื่อสมาชิกในครอบครัว ชื่อสัตว์เลี้ยง หรือชื่อเล่น เป็นรหัสผ่านของคุณ โดยทั่วไปแล้วนี่คือตัวเลือกแรกที่ผู้โจมตีจะลองเมื่อทำการแคร็กรหัสผ่าน