สรุปสั้น

นักวิจัยด้านความมั่นคงปลอดภัยได้เปิดเผยเทคนิคฟิชชิงรูปแบบใหม่ที่หลอกให้ผู้ใช้ยอมมอบโทเคน (token — กุญแจดิจิทัลที่ใช้แทนรหัสผ่านในการเข้าถึงบัญชี) ของบัญชี Microsoft ให้ผู้โจมตี โดยที่ไม่มีเว็บไซต์ปลอมเข้ามาเกี่ยวข้องเลยแม้แต่หน้าเดียว จุดที่ทำให้การโจมตีนี้ได้ผลดีเป็นพิเศษคือ ตลอดกระบวนการเหยื่อไม่เคยออกจากหน้าล็อกอิน Microsoft ของจริงเลย ผู้โจมตีอาศัยฟีเจอร์ยืนยันตัวตนที่ถูกต้องตามกฎหมายของ Microsoft ที่ชื่อว่า Device Authorization Grant หรือ Device Code Flow ซึ่งปกติมีไว้ช่วยให้อุปกรณ์ที่ไม่มีแป้นพิมพ์อย่างสมาร์ตทีวีหรือเครื่องพิมพ์ล็อกอินเข้าบัญชีได้ด้วยการกรอกรหัสสั้น ๆ บนโทรศัพท์ที่อยู่ใกล้ ๆ แทน แต่กลับถูกดัดแปลงมาใช้ขโมยบัญชีแทน

บริษัท Securelist ระบุว่าพบแคมเปญนี้ทำงานอยู่ในช่วงเดือนเมษายนถึงกลางเดือนพฤษภาคม 2026 และมีเหยื่อจริง โดยการโจมตีเริ่มจากอีเมลที่ปลอมเป็นหนังสือแจ้งจากสำนักงานกฎหมาย แนบไฟล์ PDF ที่ใส่รหัสผ่านไว้เพื่อให้ดูเป็นทางการ เมื่อเหยื่อเปิดไฟล์ก็จะถูกพาไปยังหน้าเว็บที่เชื่อมต่อเข้ากับระบบล็อกอินของ Microsoft ของแท้ แล้วถูกขอให้คัดลอกรหัสครั้งเดียว (one-time code) ไปวางบนหน้ายืนยันตัวตนจริงของ Microsoft ซึ่งเท่ากับยกสิทธิ์ควบคุมบัญชีให้ผู้โจมตีโดยไม่รู้ตัว ผลกระทบของเทคนิคนี้รุนแรงเพราะมันข้ามคำแนะนำเดิมที่ให้ตรวจสอบ URL ก่อนกรอกข้อมูล และเนื่องจากหน้าจอสุดท้ายเป็นของจริง แม้แต่ผู้ใช้ที่ระมัดระวังก็อาจตกเป็นเหยื่อได้ ที่ร้ายกว่านั้นคือการยืนยันตัวตนหลายชั้น (MFA) แทบไม่ช่วยอะไรเลยเมื่ออนุมัติรหัสไปแล้ว

รายละเอียดข่าว

เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Securelist ได้เปิดเผยรายงานเกี่ยวกับแคมเปญฟิชชิงที่ฉวยใช้ฟีเจอร์ Device Code Flow ของ Microsoft ในทางที่ผิด การโจมตีเริ่มต้นในทันทีที่เหยื่อเปิดไฟล์ PDF ที่แนบมากับอีเมลฟิชชิง ภายในเอกสารมีลิงก์ที่อ้างว่าจะพาไปดูไฟล์เอกสารสำคัญ แต่แท้จริงกลับพาผู้ใช้ไปยังพอร์ทัลกฎหมายปลอมที่ออกแบบมาให้ดูน่าเชื่อถือ

หน้าพอร์ทัลปลอมดังกล่าวมีระบบตรวจ CAPTCHA คั่นไว้เพื่อสกัดเครื่องมือสแกนอัตโนมัติ เมื่อเหยื่อผ่านด่านนี้ไปได้ก็จะพบหน้าจอที่แสดงรหัสครั้งเดียวพร้อมคำสั่งให้คัดลอกรหัสนั้น เมื่อคลิกที่รหัส ระบบจะคัดลอกรหัสเข้าคลิปบอร์ดและพาเหยื่อไปยังหน้ายืนยันตัวตนจริงของ Microsoft ทันที เหยื่อจะนำรหัสไปวางและทำการล็อกอินจนเสร็จเสมือนเป็นอุปกรณ์ที่ถูกต้อง แต่เบื้องหลังนั้น ระบบของผู้โจมตีได้ร้องขอรหัสนี้จากเซิร์ฟเวอร์ของ Microsoft ไว้ก่อนหน้าแล้ว เมื่อได้รับการอนุมัติ ผู้โจมตีจึงได้รับโทเคนเข้าถึงที่ใช้อ่านและส่งอีเมล ดึงไฟล์จาก OneDrive และดูบทสนทนาใน Teams ได้โดยไม่ต้องใช้รหัสผ่านของเหยื่อเลย

Securelist ยังตั้งข้อสังเกตว่าแคมเปญนี้ไม่ได้เกิดขึ้นครั้งเดียวแล้วจบไป กลุ่มเดียวกันนี้ได้ปรับวิธีการให้เข้ากับแต่ละภูมิภาค รวมถึงเวอร์ชันที่มุ่งเป้าผู้ใช้ในบราซิลที่เปลี่ยนจากไฟล์ PDF ไปใช้ลิงก์ผ่านเว็บไซต์วาดไดอะแกรมที่ถูกต้องตามกฎหมายแทน แต่ยังคงพาเหยื่อไปยังหน้าจอรหัสครั้งเดียวและหน้าล็อกอิน Microsoft ของจริงเช่นเดิม แสดงให้เห็นว่าเทคนิคนี้ถูกปรับแต่งให้เข้ากับกลุ่มเป้าหมายที่ต่างกันได้ในขณะที่ยังคงกลไกหลอกลวงหลักไว้เหมือนเดิม

phishing bec microsoft device code flow steals tokens through legitimate login page
phishing bec microsoft device code flow steals tokens through legitimate login page

วิธีการโจมตี

หัวใจของการโจมตีอยู่ที่การนำ Device Authorization Grant (RFC 8628) ซึ่งเป็นมาตรฐาน OAuth 2.0 มาใช้ผิดวัตถุประสงค์ ปกติแล้วอุปกรณ์ที่ป้อนข้อความยากอย่างสมาร์ตทีวีจะขอ “device code” และ “user code” จากผู้ให้บริการยืนยันตัวตน แล้วให้ผู้ใช้เปิดหน้าเว็บบนอุปกรณ์อื่นเพื่อกรอก user code และอนุมัติ ผู้โจมตีสวมบทบาทเป็น “อุปกรณ์” นั้นเสียเอง โดยเริ่มกระบวนการ device authorization กับ Microsoft ก่อน แล้วนำ user code ที่ได้มาแสดงบนหน้าฟิชชิงให้เหยื่อเป็นผู้อนุมัติแทน

เนื่องจากขั้นตอนการกรอกรหัสและการยินยอมทั้งหมดเกิดขึ้นบนโดเมนจริงของ Microsoft (เช่น microsoft.com / login.microsoftonline.com) เครื่องมือตรวจจับฟิชชิงที่อาศัยการเทียบ URL จึงมองไม่เห็นความผิดปกติ และเมื่อเหยื่อกด “อนุมัติ” โทเคนที่ออกให้จะผูกกับเซสชันของผู้โจมตี ไม่ใช่ของเหยื่อ MFA ที่เหยื่อผ่านไปก็กลายเป็นการรับรองให้เซสชันของผู้โจมตีโดยปริยาย ทำให้ผู้โจมตีได้ทั้ง access token และมักได้ refresh token ที่ใช้ต่ออายุการเข้าถึงได้ยาวนานโดยไม่ต้องหลอกเหยื่อซ้ำ

ผลกระทบต่อไทย

องค์กรในไทยจำนวนมากใช้ Microsoft 365 เป็นระบบอีเมลและที่เก็บไฟล์หลัก ทำให้ตกอยู่ในกลุ่มเสี่ยงโดยตรง จุดอันตรายของเทคนิคนี้คือมันเลี่ยงทั้งการอบรมพนักงานให้ “ดู URL ก่อนกรอกรหัส” และการเปิด MFA ซึ่งเป็นสองมาตรการที่หลายองค์กรไทยพึ่งพาเป็นหลัก เมื่อหน้าล็อกอินสุดท้ายเป็นของ Microsoft จริง พนักงานที่ระมัดระวังก็ยังพลาดได้ และเมื่อบัญชีถูกยึด ผู้โจมตีสามารถอ่านอีเมลภายใน ดึงเอกสารลับจาก OneDrive/SharePoint และใช้บัญชีนั้นส่งอีเมลหลอกต่อ (BEC) ไปยังคู่ค้าและพนักงานคนอื่นได้ทันที เนื่องจากกลุ่มนี้ปรับแคมเปญตามแต่ละภูมิภาคได้ องค์กรไทยจึงควรถือว่ามีโอกาสถูกดัดแปลงมาโจมตีในลักษณะเดียวกัน

คำแนะนำ

ผู้ใช้ไม่ควรอนุมัติคำขอล็อกอินอุปกรณ์ (device login) ที่ตนเองไม่ได้เป็นผู้เริ่มต้นด้วยตนเองเด็ดขาด ไม่ว่าอีเมลหรือเว็บไซต์จะดูเป็นทางการเพียงใด และควรเลี่ยงการกรอกรหัสจากข้อความที่ไม่ได้คาดหมาย แม้ลิงก์นั้นจะชี้ไปยังโดเมนจริงของ Microsoft ก็ตาม เพราะผู้โจมตีสามารถซ่อนการรีไดเรกต์ที่เป็นอันตรายไว้ในลิงก์ที่ดูน่าเชื่อถือได้ ก่อนคลิกลิงก์ใด ๆ ควรเอาเมาส์ชี้ (hover) เพื่อดูปลายทางจริงและสังเกตพารามิเตอร์ที่อาจรีไดเรกต์ไปยังปลายทางแปลกปลอม

สำหรับองค์กร ควรทบทวนว่า Device Code Flow จำเป็นต่อการทำงานประจำวันหรือไม่ หากไม่จำเป็นให้ปิดผ่านนโยบาย Conditional Access ทีมความมั่นคงปลอดภัยควรเฝ้าติดตามเหตุการณ์ DeviceCodeSignIn บังคับใช้กฎ device compliance และตั้งการแจ้งเตือนการล็อกอินจากตำแหน่งที่ผิดปกติ เมื่อนำมาตรการเหล่านี้มารวมกับระบบกรองอีเมลที่ครอบคลุมทั้งอีเมลส่วนตัวและอีเมลองค์กร จะช่วยป้องกันการยึดบัญชีรูปแบบนี้ได้แข็งแรงขึ้น

แหล่งอ้างอิง