สรุปสั้น
นักวิจัยด้านความมั่นคงปลอดภัยได้เปิดเผยเทคนิคฟิชชิงรูปแบบใหม่ที่หลอกให้ผู้ใช้ยอมมอบโทเคน (token — กุญแจดิจิทัลที่ใช้แทนรหัสผ่านในการเข้าถึงบัญชี) ของบัญชี Microsoft ให้ผู้โจมตี โดยที่ไม่มีเว็บไซต์ปลอมเข้ามาเกี่ยวข้องเลยแม้แต่หน้าเดียว จุดที่ทำให้การโจมตีนี้ได้ผลดีเป็นพิเศษคือ ตลอดกระบวนการเหยื่อไม่เคยออกจากหน้าล็อกอิน Microsoft ของจริงเลย ผู้โจมตีอาศัยฟีเจอร์ยืนยันตัวตนที่ถูกต้องตามกฎหมายของ Microsoft ที่ชื่อว่า Device Authorization Grant หรือ Device Code Flow ซึ่งปกติมีไว้ช่วยให้อุปกรณ์ที่ไม่มีแป้นพิมพ์อย่างสมาร์ตทีวีหรือเครื่องพิมพ์ล็อกอินเข้าบัญชีได้ด้วยการกรอกรหัสสั้น ๆ บนโทรศัพท์ที่อยู่ใกล้ ๆ แทน แต่กลับถูกดัดแปลงมาใช้ขโมยบัญชีแทน
บริษัท Securelist ระบุว่าพบแคมเปญนี้ทำงานอยู่ในช่วงเดือนเมษายนถึงกลางเดือนพฤษภาคม 2026 และมีเหยื่อจริง โดยการโจมตีเริ่มจากอีเมลที่ปลอมเป็นหนังสือแจ้งจากสำนักงานกฎหมาย แนบไฟล์ PDF ที่ใส่รหัสผ่านไว้เพื่อให้ดูเป็นทางการ เมื่อเหยื่อเปิดไฟล์ก็จะถูกพาไปยังหน้าเว็บที่เชื่อมต่อเข้ากับระบบล็อกอินของ Microsoft ของแท้ แล้วถูกขอให้คัดลอกรหัสครั้งเดียว (one-time code) ไปวางบนหน้ายืนยันตัวตนจริงของ Microsoft ซึ่งเท่ากับยกสิทธิ์ควบคุมบัญชีให้ผู้โจมตีโดยไม่รู้ตัว ผลกระทบของเทคนิคนี้รุนแรงเพราะมันข้ามคำแนะนำเดิมที่ให้ตรวจสอบ URL ก่อนกรอกข้อมูล และเนื่องจากหน้าจอสุดท้ายเป็นของจริง แม้แต่ผู้ใช้ที่ระมัดระวังก็อาจตกเป็นเหยื่อได้ ที่ร้ายกว่านั้นคือการยืนยันตัวตนหลายชั้น (MFA) แทบไม่ช่วยอะไรเลยเมื่ออนุมัติรหัสไปแล้ว
รายละเอียดข่าว
เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Securelist ได้เปิดเผยรายงานเกี่ยวกับแคมเปญฟิชชิงที่ฉวยใช้ฟีเจอร์ Device Code Flow ของ Microsoft ในทางที่ผิด การโจมตีเริ่มต้นในทันทีที่เหยื่อเปิดไฟล์ PDF ที่แนบมากับอีเมลฟิชชิง ภายในเอกสารมีลิงก์ที่อ้างว่าจะพาไปดูไฟล์เอกสารสำคัญ แต่แท้จริงกลับพาผู้ใช้ไปยังพอร์ทัลกฎหมายปลอมที่ออกแบบมาให้ดูน่าเชื่อถือ
หน้าพอร์ทัลปลอมดังกล่าวมีระบบตรวจ CAPTCHA คั่นไว้เพื่อสกัดเครื่องมือสแกนอัตโนมัติ เมื่อเหยื่อผ่านด่านนี้ไปได้ก็จะพบหน้าจอที่แสดงรหัสครั้งเดียวพร้อมคำสั่งให้คัดลอกรหัสนั้น เมื่อคลิกที่รหัส ระบบจะคัดลอกรหัสเข้าคลิปบอร์ดและพาเหยื่อไปยังหน้ายืนยันตัวตนจริงของ Microsoft ทันที เหยื่อจะนำรหัสไปวางและทำการล็อกอินจนเสร็จเสมือนเป็นอุปกรณ์ที่ถูกต้อง แต่เบื้องหลังนั้น ระบบของผู้โจมตีได้ร้องขอรหัสนี้จากเซิร์ฟเวอร์ของ Microsoft ไว้ก่อนหน้าแล้ว เมื่อได้รับการอนุมัติ ผู้โจมตีจึงได้รับโทเคนเข้าถึงที่ใช้อ่านและส่งอีเมล ดึงไฟล์จาก OneDrive และดูบทสนทนาใน Teams ได้โดยไม่ต้องใช้รหัสผ่านของเหยื่อเลย
Securelist ยังตั้งข้อสังเกตว่าแคมเปญนี้ไม่ได้เกิดขึ้นครั้งเดียวแล้วจบไป กลุ่มเดียวกันนี้ได้ปรับวิธีการให้เข้ากับแต่ละภูมิภาค รวมถึงเวอร์ชันที่มุ่งเป้าผู้ใช้ในบราซิลที่เปลี่ยนจากไฟล์ PDF ไปใช้ลิงก์ผ่านเว็บไซต์วาดไดอะแกรมที่ถูกต้องตามกฎหมายแทน แต่ยังคงพาเหยื่อไปยังหน้าจอรหัสครั้งเดียวและหน้าล็อกอิน Microsoft ของจริงเช่นเดิม แสดงให้เห็นว่าเทคนิคนี้ถูกปรับแต่งให้เข้ากับกลุ่มเป้าหมายที่ต่างกันได้ในขณะที่ยังคงกลไกหลอกลวงหลักไว้เหมือนเดิม


วิธีการโจมตี
หัวใจของการโจมตีอยู่ที่การนำ Device Authorization Grant (RFC 8628) ซึ่งเป็นมาตรฐาน OAuth 2.0 มาใช้ผิดวัตถุประสงค์ ปกติแล้วอุปกรณ์ที่ป้อนข้อความยากอย่างสมาร์ตทีวีจะขอ “device code” และ “user code” จากผู้ให้บริการยืนยันตัวตน แล้วให้ผู้ใช้เปิดหน้าเว็บบนอุปกรณ์อื่นเพื่อกรอก user code และอนุมัติ ผู้โจมตีสวมบทบาทเป็น “อุปกรณ์” นั้นเสียเอง โดยเริ่มกระบวนการ device authorization กับ Microsoft ก่อน แล้วนำ user code ที่ได้มาแสดงบนหน้าฟิชชิงให้เหยื่อเป็นผู้อนุมัติแทน
เนื่องจากขั้นตอนการกรอกรหัสและการยินยอมทั้งหมดเกิดขึ้นบนโดเมนจริงของ Microsoft (เช่น microsoft.com / login.microsoftonline.com) เครื่องมือตรวจจับฟิชชิงที่อาศัยการเทียบ URL จึงมองไม่เห็นความผิดปกติ และเมื่อเหยื่อกด “อนุมัติ” โทเคนที่ออกให้จะผูกกับเซสชันของผู้โจมตี ไม่ใช่ของเหยื่อ MFA ที่เหยื่อผ่านไปก็กลายเป็นการรับรองให้เซสชันของผู้โจมตีโดยปริยาย ทำให้ผู้โจมตีได้ทั้ง access token และมักได้ refresh token ที่ใช้ต่ออายุการเข้าถึงได้ยาวนานโดยไม่ต้องหลอกเหยื่อซ้ำ
ผลกระทบต่อไทย
องค์กรในไทยจำนวนมากใช้ Microsoft 365 เป็นระบบอีเมลและที่เก็บไฟล์หลัก ทำให้ตกอยู่ในกลุ่มเสี่ยงโดยตรง จุดอันตรายของเทคนิคนี้คือมันเลี่ยงทั้งการอบรมพนักงานให้ “ดู URL ก่อนกรอกรหัส” และการเปิด MFA ซึ่งเป็นสองมาตรการที่หลายองค์กรไทยพึ่งพาเป็นหลัก เมื่อหน้าล็อกอินสุดท้ายเป็นของ Microsoft จริง พนักงานที่ระมัดระวังก็ยังพลาดได้ และเมื่อบัญชีถูกยึด ผู้โจมตีสามารถอ่านอีเมลภายใน ดึงเอกสารลับจาก OneDrive/SharePoint และใช้บัญชีนั้นส่งอีเมลหลอกต่อ (BEC) ไปยังคู่ค้าและพนักงานคนอื่นได้ทันที เนื่องจากกลุ่มนี้ปรับแคมเปญตามแต่ละภูมิภาคได้ องค์กรไทยจึงควรถือว่ามีโอกาสถูกดัดแปลงมาโจมตีในลักษณะเดียวกัน
คำแนะนำ
ผู้ใช้ไม่ควรอนุมัติคำขอล็อกอินอุปกรณ์ (device login) ที่ตนเองไม่ได้เป็นผู้เริ่มต้นด้วยตนเองเด็ดขาด ไม่ว่าอีเมลหรือเว็บไซต์จะดูเป็นทางการเพียงใด และควรเลี่ยงการกรอกรหัสจากข้อความที่ไม่ได้คาดหมาย แม้ลิงก์นั้นจะชี้ไปยังโดเมนจริงของ Microsoft ก็ตาม เพราะผู้โจมตีสามารถซ่อนการรีไดเรกต์ที่เป็นอันตรายไว้ในลิงก์ที่ดูน่าเชื่อถือได้ ก่อนคลิกลิงก์ใด ๆ ควรเอาเมาส์ชี้ (hover) เพื่อดูปลายทางจริงและสังเกตพารามิเตอร์ที่อาจรีไดเรกต์ไปยังปลายทางแปลกปลอม
สำหรับองค์กร ควรทบทวนว่า Device Code Flow จำเป็นต่อการทำงานประจำวันหรือไม่ หากไม่จำเป็นให้ปิดผ่านนโยบาย Conditional Access ทีมความมั่นคงปลอดภัยควรเฝ้าติดตามเหตุการณ์ DeviceCodeSignIn บังคับใช้กฎ device compliance และตั้งการแจ้งเตือนการล็อกอินจากตำแหน่งที่ผิดปกติ เมื่อนำมาตรการเหล่านี้มารวมกับระบบกรองอีเมลที่ครอบคลุมทั้งอีเมลส่วนตัวและอีเมลองค์กร จะช่วยป้องกันการยึดบัญชีรูปแบบนี้ได้แข็งแรงขึ้น
