การยืนยันตัวตนแบบสองปัจจัย (2FA) ไม่ได้รักษาความปลอดภัยที่แน่นหนาอีกต่อไป ภาพประกอบ
รูปแบบการโจมตีใหม่
การยืนยันตัวตนแบบสองปัจจัย (2FA) กลายเป็นคุณลักษณะด้านความปลอดภัยมาตรฐานในด้านความปลอดภัยทางไซเบอร์แล้ว แบบฟอร์มนี้จะกำหนดให้ผู้ใช้ยืนยันตัวตนโดยใช้การยืนยันตัวตนขั้นที่สอง ซึ่งโดยทั่วไปจะเป็นรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งผ่านข้อความอีเมลหรือแอปการตรวจสอบความถูกต้อง ชั้นความปลอดภัยพิเศษนี้มีไว้เพื่อปกป้องบัญชีผู้ใช้แม้ว่ารหัสผ่านจะถูกขโมยก็ตาม
แม้ว่าเว็บไซต์ต่างๆ หลายแห่งจะรับเอา 2FA มาใช้กันอย่างแพร่หลายและองค์กรต่างๆ ก็ต้องปฏิบัติตาม แต่เมื่อไม่นานมานี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Kaspersky ได้ค้นพบการโจมตีแบบฟิชชิ่งที่ผู้ก่ออาชญากรรมทางไซเบอร์ใช้เพื่อหลีกเลี่ยง 2FA
ด้วยเหตุนี้ ผู้โจมตีทางไซเบอร์จึงเปลี่ยนมาใช้การโจมตีทางไซเบอร์ในรูปแบบที่ซับซ้อนมากขึ้น โดยรวมการฟิชชิงเข้ากับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีของตนอย่างผิดกฎหมาย โดยเฉพาะอย่างยิ่ง ผู้หลอกลวงหลอกให้ผู้ใช้เปิดเผย OTP เหล่านี้เพื่อให้สามารถหลีกเลี่ยงการป้องกัน 2FA ได้
อาชญากรทางไซเบอร์ใช้การฟิชชิ่งร่วมกับบอท OTP อัตโนมัติเพื่อหลอกลวงผู้ใช้และเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต ภาพประกอบ
แม้แต่บอท OTP ซึ่งเป็นเครื่องมือที่ซับซ้อนก็ยังถูกใช้โดยผู้หลอกลวงเพื่อดักจับรหัส OTP ผ่านการโจมตีทางวิศวกรรมสังคม ดังนั้นผู้โจมตีจึงมักพยายามขโมยข้อมูลการเข้าสู่ระบบของเหยื่อโดยใช้วิธีเช่นฟิชชิ่งหรือการแสวงหาประโยชน์จากช่องโหว่ข้อมูล จากนั้นพวกเขาจะเข้าสู่ระบบบัญชีของเหยื่อและส่งรหัส OTP ไปยังโทรศัพท์ของเหยื่อ
จากนั้น บอท OTP จะโทรหาเหยื่อโดยอัตโนมัติ โดยแอบอ้างว่าเป็นพนักงานขององค์กรที่เชื่อถือได้ โดยใช้สคริปต์สนทนาที่ตั้งโปรแกรมไว้ล่วงหน้าเพื่อโน้มน้าวเหยื่อให้เปิดเผยรหัส OTP ในที่สุดผู้โจมตีจะได้รับรหัส OTP ผ่านทางบอทและใช้เพื่อเข้าถึงบัญชีของเหยื่อโดยไม่ได้รับอนุญาต
ผู้หลอกลวงมักชอบโทรมากกว่าส่งข้อความ เนื่องจากเหยื่อมีแนวโน้มที่จะตอบสนองต่อวิธีนี้ได้เร็วกว่า ด้วยเหตุนี้ บอท OTP จะจำลองน้ำเสียงและความเร่งด่วนของมนุษย์ในการโทรเพื่อสร้างความรู้สึกไว้วางใจและน่าเชื่อถือ
ผู้หลอกลวงควบคุมบอท OTP ผ่านทางแผงควบคุมออนไลน์พิเศษหรือแพลตฟอร์มการส่งข้อความเช่น Telegram นอกจากนี้ บอทเหล่านี้ยังมาพร้อมกับคุณสมบัติและแพ็คเกจการสมัครสมาชิกต่างๆ ซึ่งทำให้ผู้โจมตีสามารถดำเนินการได้ง่ายขึ้น ดังนั้น ผู้โจมตีสามารถปรับแต่งฟีเจอร์ของบ็อตเพื่อปลอมตัวเป็นองค์กร ใช้หลายภาษา และแม้แต่เลือกโทนเสียงชายหรือหญิงก็ได้ นอกจากนี้ ตัวเลือกขั้นสูงยังรวมถึงการปลอมหมายเลขโทรศัพท์ ซึ่งมีจุดมุ่งหมายเพื่อทำให้หมายเลขโทรศัพท์ของผู้โทรดูเหมือนว่ามาจากองค์กรที่ถูกต้องตามกฎหมาย เพื่อหลอกลวงเหยื่ออย่างแนบเนียน
เมื่อเทคโนโลยีมีการพัฒนา การปกป้องบัญชีก็จำเป็นต้องเพิ่มมากขึ้น ภาพประกอบ
ในการใช้บอท OTP ผู้หลอกลวงจะต้องขโมยข้อมูลการเข้าสู่ระบบของเหยื่อก่อน พวกเขามักใช้เว็บไซต์ฟิชชิ่งที่ออกแบบมาให้ดูเหมือนหน้าเข้าสู่ระบบที่ถูกต้องตามกฎหมายของธนาคาร บริการอีเมล หรือบัญชีออนไลน์อื่น ๆ เมื่อเหยื่อป้อนชื่อผู้ใช้และรหัสผ่าน ผู้หลอกลวงจะรวบรวมข้อมูลนี้โดยอัตโนมัติทันที (แบบเรียลไทม์)
ระหว่างวันที่ 1 มีนาคมถึง 31 พฤษภาคม 2024 โซลูชันความปลอดภัยของ Kaspersky ได้บล็อกการเข้าชมเว็บไซต์ที่สร้างโดยชุดฟิชชิ่งที่กำหนดเป้าหมายไปที่ธนาคารจำนวน 653,088 ครั้ง ข้อมูลที่ถูกขโมยจากเว็บไซต์เหล่านี้มักใช้ในการโจมตีบอท OTP ในช่วงเวลาเดียวกันนั้น ผู้เชี่ยวชาญได้ค้นพบเว็บไซต์ฟิชชิ่ง 4,721 แห่งที่ถูกสร้างขึ้นโดยชุดเครื่องมือซึ่งมีจุดประสงค์เพื่อหลีกเลี่ยงการพิสูจน์ตัวตนแบบสองปัจจัยแบบเรียลไทม์
อย่าสร้างรหัสผ่านทั่วไป
Olga Svistunova ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky ให้ความเห็นว่า "การโจมตีทางวิศวกรรมสังคมถือเป็นวิธีการฉ้อโกงที่ซับซ้อนอย่างยิ่ง โดยเฉพาะอย่างยิ่งเมื่อมีบอท OTP ที่สามารถจำลองการโทรจากตัวแทนฝ่ายบริการได้อย่างถูกต้องตามกฎหมาย เพื่อให้ตื่นตัวอยู่เสมอ จำเป็นต้องรักษาความระมัดระวังและปฏิบัติตามมาตรการรักษาความปลอดภัย"
แฮกเกอร์ใช้อัลกอริธึมการคาดเดาอันชาญฉลาดเพื่อค้นหารหัสผ่านได้อย่างง่ายดาย ภาพประกอบ
จากการวิเคราะห์รหัสผ่าน 193 ล้านรหัสที่ผู้เชี่ยวชาญของ Kaspersky จัดทำขึ้นโดยใช้อัลกอริธึมการคาดเดาอัจฉริยะในช่วงต้นเดือนมิถุนายน พบว่ารหัสผ่านเหล่านี้ยังเป็นรหัสผ่านที่ถูกบุกรุกและขายบน Darknet โดยหัวขโมยข้อมูลอีกด้วย โดยพบว่าสามารถถอดรหัสได้สำเร็จถึง 45% (เทียบเท่ากับ 87 ล้านรหัสผ่าน) ภายในเวลาหนึ่งนาที เพียง 23% (44 ล้านชุด) ของรหัสผ่านเท่านั้นที่ถือว่าแข็งแกร่งเพียงพอที่จะทนต่อการโจมตี และการแคร็กรหัสผ่านเหล่านี้อาจต้องใช้เวลานานมากกว่าหนึ่งปี อย่างไรก็ตาม รหัสผ่านที่เหลือส่วนใหญ่ยังสามารถถูกถอดรหัสได้ภายใน 1 ชั่วโมงถึง 1 เดือน
นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังเปิดเผยชุดอักขระที่ใช้บ่อยที่สุดเมื่อผู้ใช้ตั้งรหัสผ่าน เช่น ชื่อ: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”; คำยอดนิยม: "ตลอดไป", "รัก", "กูเกิล", "แฮ็กเกอร์", "เกมเมอร์"; รหัสผ่านมาตรฐาน: "รหัสผ่าน", "qwerty12345", "admin", "12345", "team"
จากการวิเคราะห์พบว่ามีเพียง 19% ของรหัสผ่านเท่านั้นที่มีชุดรหัสผ่านที่แข็งแกร่ง รวมถึงคำที่ไม่ใช่จากพจนานุกรม ทั้งตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ รวมไปถึงตัวเลขและสัญลักษณ์ ในเวลาเดียวกัน การศึกษาพบว่า 39% ของรหัสผ่านที่แข็งแกร่งเหล่านี้ยังสามารถเดาได้โดยอัลกอริทึมอันชาญฉลาดภายในเวลาไม่ถึงหนึ่งชั่วโมง
ที่น่าสนใจคือ ผู้โจมตีไม่จำเป็นต้องมีความรู้เฉพาะทางหรืออุปกรณ์ขั้นสูงในการแคร็กพาสเวิร์ด ตัวอย่างเช่น โปรเซสเซอร์แล็ปท็อปเฉพาะทางสามารถระบุรหัสตัวเลข 8 ตัวอักษรหรือตัวพิมพ์เล็กได้อย่างแม่นยำด้วยการใช้กำลังภายในเวลาเพียง 7 นาที นอกจากนี้การ์ดกราฟิกแบบรวมจะจัดการงานเดียวกันได้ภายใน 17 วินาที นอกจากนี้ อัลกอริธึมการคาดเดารหัสผ่านอัจฉริยะมักจะแทนที่อักขระ ("e" แทน "3", "1" แทน "!" หรือ "a" แทน "@") และสตริงทั่วไป ("qwerty", "12345", "asdfg")
ใช้รหัสผ่านที่มีสตริงอักขระแบบสุ่มเพื่อทำให้แฮกเกอร์เดาได้ยาก ภาพประกอบ
“โดยไม่รู้ตัว ผู้คนมักจะสร้างรหัสผ่านที่ง่ายมากๆ โดยมักจะใช้คำในพจนานุกรมในภาษาแม่ของตน เช่น ชื่อและตัวเลข... แม้แต่การใช้รหัสผ่านที่แข็งแรงก็ไม่ค่อยเบี่ยงเบนจากแนวโน้มนี้ ดังนั้นจึงสามารถคาดเดาได้โดยสมบูรณ์ด้วยอัลกอริทึม” Yuliya Novikova หัวหน้าฝ่าย Digital Footprint Intelligence ของ Kaspersky กล่าว
ดังนั้นวิธีแก้ปัญหาที่เชื่อถือได้ที่สุดคือการสร้างรหัสผ่านแบบสุ่มโดยสมบูรณ์โดยใช้โปรแกรมจัดการรหัสผ่านที่ทันสมัยและเชื่อถือได้ แอปพลิเคชันดังกล่าวสามารถจัดเก็บข้อมูลจำนวนมากได้อย่างปลอดภัย พร้อมให้การปกป้องข้อมูลของผู้ใช้อย่างครอบคลุมและทรงพลัง
เพื่อเพิ่มความแข็งแกร่งของรหัสผ่าน ผู้ใช้สามารถใช้เคล็ดลับง่ายๆ ดังต่อไปนี้: ใช้ซอฟต์แวร์รักษาความปลอดภัยเครือข่ายเพื่อจัดการรหัสผ่าน ใช้รหัสผ่านที่แตกต่างกันสำหรับบริการที่แตกต่างกัน ด้วยวิธีนี้ แม้ว่าบัญชีของคุณหนึ่งบัญชีจะถูกแฮ็ก บัญชีอื่นๆ ก็ยังคงปลอดภัย วลีผ่านช่วยให้ผู้ใช้กู้คืนบัญชีของตนได้เมื่อพวกเขาลืมรหัสผ่าน จะปลอดภัยกว่าถ้าใช้คำทั่วไปน้อยลง นอกจากนี้พวกเขายังสามารถใช้บริการออนไลน์เพื่อตรวจสอบความแข็งแกร่งของรหัสผ่านของตนได้
อย่าใช้ข้อมูลส่วนบุคคล เช่น วันเกิด ชื่อสมาชิกในครอบครัว ชื่อสัตว์เลี้ยง หรือชื่อเล่น เป็นรหัสผ่านของคุณ โดยทั่วไปแล้วนี่คือตัวเลือกแรกที่ผู้โจมตีจะลองเมื่อทำการแคร็กรหัสผ่าน
แหล่งที่มา
![[ภาพ] นายกรัฐมนตรี Pham Minh Chinh และนายกรัฐมนตรีแห่งราชอาณาจักรไทย แพทองธาร ชินวัตร เข้าร่วมงาน Vietnam-Thailand Business Forum 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/5/16/1cdfce54d25c48a68ae6fb9204f2171a)
การแสดงความคิดเห็น (0)