สรุปสั้น
แพลตฟอร์มฟิชชิงแบบให้บริการ (Phishing-as-a-Service หรือ PHaaS) ชื่อ Bluekit กลายเป็นภัยคุกคามที่เปิดใช้งานเต็มรูปแบบแล้ว โดยเปิดทางให้อาชญากรไซเบอร์ขโมยบัญชีผู้ใช้ด้วยวิธีที่แยบยลกว่าฟิชชิงทั่วไป บริษัท Netcraft รายงานว่าพบโดเมนเว็บไซต์ที่ใช้ระบบนี้ราว 70 ชื่อภายในสัปดาห์เดียว สะท้อนการขยายตัวอย่างฉับพลัน ทั้งที่ก่อนหน้านี้บริษัท Varonis Threat Labs เคยพบและรายงานว่า Bluekit ยังอยู่ในช่วงพัฒนาเมื่อต้นปี จุดที่ทำให้ Bluekit อันตรายเป็นพิเศษคือการใช้เทคนิคที่เรียกว่า Browser-in-the-Middle (BitM) ซึ่งโหลดหน้าล็อกอินจริง เช่น หน้าล็อกอิน Microsoft ไว้ในเบราว์เซอร์ที่แฮ็กเกอร์ควบคุม แล้วสตรีมการโต้ตอบหน้าเว็บแบบสดให้เหยื่อเห็น เมื่อเหยื่อกรอกรหัสผ่านหรือคลิกปุ่ม ทุกอย่างจะเข้าไปทำงานในเบราว์เซอร์ของแฮ็กเกอร์โดยตรง เหยื่อเข้าใจว่ากำลังล็อกอินตามปกติ แต่แท้จริงกำลังเปิดบัญชีของตนภายในเครื่องของแฮ็กเกอร์ เทคนิคนี้ทำให้ Bluekit หลบเลี่ยงทั้งระบบยืนยันตัวตนหลายชั้น (MFA) และระบบตรวจจับอัตโนมัติได้อย่างแนบเนียน เพราะลายนิ้วมือเบราว์เซอร์ของเซสชันไม่เปลี่ยนแปลงตลอดการโจมตี
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่าบริษัท Netcraft ได้เปิดเผยข้อมูลใหม่เกี่ยวกับแพลตฟอร์ม Bluekit ซึ่งจากเดิมที่บริษัท Varonis Threat Labs พบว่ายังอยู่ในขั้นพัฒนา ปัจจุบันได้เปิดใช้งานเต็มรูปแบบในวงกว้างแล้ว โดยทีมวิจัยของ Netcraft ค้นพบโดเมนที่ใช้งานระบบนี้ราว 70 ชื่อภายในสัปดาห์เดียว ซึ่งบ่งชี้ถึงการเติบโตอย่างรวดเร็ว
ตามที่ทีมนักวิจัยของ Netcraft อธิบายไว้ ฟิชชิงทั่วไปมักหลอกผู้ใช้ด้วยการคัดลอกหน้าเว็บหรือส่งต่อข้อมูลไปมาแบบ reverse proxy แต่ Bluekit เปลี่ยนแนวทางด้วยการใช้ BitM โดยระบบจะโหลดหน้าล็อกอินจริงไว้ในเบราว์เซอร์ที่แฮ็กเกอร์ควบคุม จากนั้นใช้เครื่องมือโอเพนซอร์สชื่อ rrweb เพื่อ “บันทึกและสตรีมการโต้ตอบ DOM แบบสด” ไปยังเหยื่อผ่านการเชื่อมต่อ WebSocket ทำให้เหยื่อเห็นหน้าเว็บที่ใช้งานได้จริง ไม่ใช่ภาพนิ่งหรือวิดีโอสตรีมธรรมดา
รายงานที่ Netcraft แบ่งปันกับ HackRead โดยเฉพาะ ระบุว่า Bluekit ใช้ “สถาปัตยกรรมการหลบเลี่ยงแบบหลายชั้นที่ออกแบบมาเพื่อป้องกันการตรวจจับอัตโนมัติ” โดยทำงานเป็นสองช่วงหลัก คือช่วงก่อนการมีปฏิสัมพันธ์ (pre-engagement evasion) ที่ออกแบบมาเพื่อแยกเหยื่อที่เป็นมนุษย์จริงออกจากเครื่องสแกนอัตโนมัติ และช่วงส่งมอบ (delivery phase) ที่เทคนิค BitM จะถูกใช้งานจริง เมื่อเหยื่อโหลดลิงก์หลอกลวง ระบบจะรันการตรวจสอบบอตมากกว่า 20 รายการ ตรวจรายละเอียดเครื่อง เช่น RAM ขนาดหน้าจอ และภาษาเบราว์เซอร์ พร้อมใช้เทคโนโลยี WebRTC เชื่อมต่อกับเซิร์ฟเวอร์ STUN เพื่อตรวจการตั้งค่าเครือข่ายของผู้ใช้ หากตรวจพบว่าเป็นมนุษย์จริง จะแสดงหน้าตรวจสอบความปลอดภัยปลอมหรือ CAPTCHA ที่มักลอกเลียนแบรนด์ดังอย่าง Cloudflare เพื่อสร้างความน่าเชื่อถือ
วิธีการโจมตี
หัวใจของ BitM ที่ทำให้ Bluekit แตกต่างคือ เซสชันการล็อกอินเริ่มต้นบนเครื่องของแฮ็กเกอร์ตั้งแต่วินาทีแรก ต่างจากเครื่องมือรุ่นเก่าอย่าง Evilginx ที่ทำหน้าที่เป็น reverse proxy ดักจับและขโมยเซสชันที่ยังใช้งานอยู่แล้วย้ายไปเครื่องใหม่ ซึ่งการกระทำนี้มักจุดชนวนสัญญาณเตือนความปลอดภัยเนื่องจากลายนิ้วมือเบราว์เซอร์ไม่ตรงกัน แต่กับ Bluekit เซสชันอยู่บนเครื่องแฮ็กเกอร์ตั้งแต่ต้น ลายนิ้วมือเบราว์เซอร์จึงไม่เปลี่ยนแปลง ทำให้ระบบความปลอดภัยจับพิรุธได้ยากขึ้นมาก
นักวิจัยตั้งข้อสังเกตว่าเครื่องมือนี้สร้างประสบการณ์ที่ลื่นไหลให้เหยื่อโดยไม่มีปัญหาเรื่องคุณภาพของภาพ มีเพียงความหน่วงเล็กน้อยตอนคลิกเมาส์ที่อาจเป็นจุดสังเกตเดียว เนื่องจากแพลตฟอร์มนี้เปิดใช้งานเต็มรูปแบบแล้ว ผู้ใช้จึงต้องระมัดระวังแม้หน้าล็อกอินจะดูสมจริงทุกประการ
ผลกระทบต่อไทย
เทคนิค BitM และ PHaaS อย่าง Bluekit เป็นภัยที่ไม่เลือกพรมแดน องค์กรในไทยที่ใช้บริการคลาวด์และระบบล็อกอินของ Microsoft 365, Google Workspace หรือบริการ SaaS อื่น ๆ ล้วนเป็นเป้าหมายได้ทันที จุดที่น่ากังวลคือ Bluekit สามารถข้ามการยืนยันตัวตนหลายชั้น (MFA) ซึ่งหลายองค์กรพึ่งพาเป็นแนวป้องกันหลัก ทำให้บัญชีพนักงาน อีเมลองค์กร และข้อมูลภายในมีความเสี่ยงสูง การที่หน้าล็อกอินปลอมแสดงผลเหมือนจริงทุกประการและมี CAPTCHA ปลอมเลียนแบบ Cloudflare ยิ่งทำให้พนักงานทั่วไปแยกแยะได้ยาก องค์กรจึงควรยกระดับการป้องกันไปสู่การยืนยันตัวตนที่ทนต่อฟิชชิง เช่น passkey หรือ FIDO2 แทนการพึ่ง OTP เพียงอย่างเดียว
คำแนะนำ
ผู้ดูแลระบบและองค์กรควรพิจารณาดำเนินการดังนี้: เปลี่ยนไปใช้การยืนยันตัวตนที่ทนทานต่อฟิชชิง (phishing-resistant MFA) เช่น passkey หรือกุญแจความปลอดภัย FIDO2/WebAuthn ซึ่งผูกกับโดเมนจริงและไม่สามารถถูกสตรีมผ่าน BitM ได้ ตั้งค่านโยบาย conditional access ให้ตรวจสอบอุปกรณ์ที่เชื่อถือได้และตำแหน่งล็อกอินที่ผิดปกติ เฝ้าระวังการล็อกอินจากที่อยู่ IP หรือ ASN ที่ไม่คุ้นเคย ฝึกอบรมพนักงานให้ตรวจสอบ URL บนแถบที่อยู่อย่างละเอียดและไม่กรอกข้อมูลจากลิงก์ในอีเมล รวมถึงใช้บริการกรองเว็บและ threat intelligence ที่สามารถระบุและบล็อกโดเมน Bluekit ที่เพิ่งจดทะเบียนใหม่
