พลาดตั้งค่าอีเมลผิด เปิดช่องแฮกเกอร์ปลอมฟิชชิ่งเหมือนคนใน หลอกขโมยรหัสผ่าน
เชี่ยวชาญด้านความปลอดภัยไซเบอร์เผยการเพิ่มขึ้นของแคมเปญโจมตีฟิชชิ่งที่แอบอ้างโดเมนอีเมลภายในองค์กรให้ดูเหมือนมาจากแหล่งภายในจริง ตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นมา แฮกเกอร์ได้ใช้ประโยชน์จากการตั้งค่าการส่งอีเมลและการป้องกันการปลอมแปลง (spoof protections) ที่ไม่เข้มงวด เพื่อส่งอีเมลหลอกลวงที่เหมือนเป็นข้อความภายในบริษัท เป้าหมายหลักของการโจมตีนี้คือการหลอกเอา ข้อมูลการล็อกอินและรหัสผ่าน (credential phishing) ซึ่งอาจนำไปสู่การขโมยข้อมูลทางธุรกิจและการโจมตีทางการเงินได้
รายงานจากทีม Threat Intelligence ของไมโครซอฟท์ชี้ว่า แฮกเกอร์ใช้แพลตฟอร์มบริการฟิชชิ่ง (Phishing-as-a-Service หรือ PhaaS) อย่าง Tycoon2FA เพื่อสร้างและแพร่กระจายอีเมลปลอม โดยมีข้อความล่อลวงต่าง ๆ เช่น แจ้งเตือนข้อความเสียง แบ่งปันไฟล์เอกสาร การแจ้งเตือนรหัสผ่านหมดอายุ หรือข้อความจากฝ่ายทรัพยากรบุคคล ซึ่งหากผู้รับเผลอกรอกข้อมูลก็อาจถูกขโมยรหัสผ่านทันที
หนึ่งในปัจจัยสำคัญของช่องโหว่นี้มาจาก การกำหนดค่าเส้นทางอีเมล (email routing) ที่ซับซ้อน ซึ่งบางองค์กรไม่ได้ตั้งค่าให้ Mail Exchanger (MX) records ชี้ไปยังระบบอีเมลหลักอย่าง Microsoft 365 โดยตรง รวมถึงนโยบาย DMARC และ SPF ที่ไม่เข้มงวด ทำให้ระบบตรวจสอบการปลอมแปลงผู้ส่ง (spoofing protections) ทำงานไม่เต็มที่ แฮ็กเกอร์จึงสามารถปลอมแปลงที่อยู่ผู้ส่งได้อย่างมีประสิทธิภาพ ส่งผลให้ระบบกรองอีเมลไม่สามารถตรวจจับได้ทันที
ภัยฟิชชิ่งที่เบื้องหลังอีเมลเหมือน “ภายในองค์กร”
การโจมตีที่ดูเหมือนข้อความภายในองค์กรนั้นอันตรายเป็นพิเศษ เพราะผู้รับมีแนวโน้มจะไว้ใจและเปิดอ่านมากกว่าอีเมลจากภายนอก ตามที่รายงานระบุ แม้ข้อความปลอมเหล่านี้จะมีหัวเรื่องและชื่อผู้ส่งที่น่าเชื่อถือ แต่องค์ประกอบบางอย่างในส่วนหัวอีเมล (email headers) เช่น การล้มเหลวของตรวจสอบ SPF หรือ DMARC, ขาดลายเซ็น DKIM หรือแสดงว่าถูกส่งจากเซิร์ฟเวอร์ภายนอก สามารถช่วยในการวิเคราะห์ได้ว่าเป็นอีเมลปลอม
ทีม Threat Intelligence แนะนำให้องค์กรตรวจสอบและปรับปรุงการตั้งค่าความปลอดภัยของระบบอีเมล เช่น สร้างนโยบาย DMARC แบบ reject, ตั้งค่า SPF hard fail, ตรวจสอบ DKIM และตั้งค่า third-party connectors อย่างถูกต้องเพื่อป้องกันไม่ให้จดหมายปลอมเหล่านี้เข้าถึงกล่องจดหมายของผู้ใช้งาน นอกจากนั้น การอบรมพนักงานให้รู้จักลักษณะอีเมลฟิชชิ่ง เช่น การมีลิงก์ปลอมที่พาไปยังหน้า เว็บปลอมที่ขอรหัสผ่าน หรือการแสดงข้อความรีบเร่งผิดปกติ ก็เป็นหนึ่งในแนวทางสำคัญในการลดความเสี่ยง