เมื่อ MFA กลายเป็นอาวุธ: ทำไมการยืนยันตัวตนแบบหลายขั้นตอนถึงไม่ปลอดภัยอีกต่อไป
โลกไซเบอร์เปลี่ยนไปเร็วมาก สิ่งที่เคยเป็นกำแพงป้องกันที่แข็งแกร่งอย่าง MFA หรือการยืนยันตัวตนแบบหลายขั้นตอน วันนี้กลับกำลังถูกผู้ไม่หวังดีใช้เป็นเครื่องมือโจมตีซะเอง แทนที่จะเป็นเกราะป้องกันชั้นเยี่ยมอย่างที่เคยเป็นมา การเปลี่ยนแปลงครั้งนี้กำลังสร้างความท้าทายครั้งใหญ่ให้กับทั้งองค์กรและผู้ใช้งานทั่วไป
กลวิธีใหม่ที่ทำให้ MFA ถูกพลิกมาใช้โจมตี
แต่ก่อน MFA คือมาตรฐานความปลอดภัยขั้นสูง เพราะมันเพิ่มขั้นตอนการยืนยันตัวตนเข้ามาอีกชั้น เช่น ต้องใช้รหัส OTP จากมือถือ นอกเหนือจากแค่รหัสผ่าน แต่วันนี้ กลุ่มแฮกเกอร์หัวใสก็หาช่องโหว่เจอ พวกเขาไม่ได้เจาะระบบ MFA โดยตรง แต่กลับใช้วิธีที่ซับซ้อนกว่านั้น นั่นคือการเล่นกับ จุดอ่อนของมนุษย์ และ กระบวนการ
การโจมตีทางวิศวกรรมสังคม: หัวใจสำคัญของปัญหา
ผู้โจมตีเริ่มจากการใช้ วิศวกรรมสังคม (Social Engineering) และ ฟิชชิ่ง (Phishing) รูปแบบใหม่ๆ ที่แนบเนียนขึ้นมาก เป้าหมายคือการหลอกให้เหยื่อเปิดเผยข้อมูลหรือทำตามคำสั่งโดยไม่รู้ตัว บางครั้งก็แอบเข้ามานั่งอยู่กลางวงสนทนา โดยที่เหยื่อคิดว่ากำลังคุยอยู่กับระบบจริงๆ
เทคนิคที่กำลังระบาดหนักคือ MFA fatigue attacks หรือการส่งคำขอยืนยันตัวตนไปถี่ยิบ จนผู้ใช้งานรำคาญและเผลอกดอนุมัติโดยไม่ทันคิด
นอกจากนี้ ยังมีการใช้ Session Hijacking ที่แฮกเกอร์สามารถขโมย “เซสชัน” หรือช่วงเวลาที่ผู้ใช้งานเข้าสู่ระบบไปแล้ว ทำให้ไม่ต้องผ่าน MFA อีกครั้ง หรือแม้แต่ SIM Swapping ที่แฮกเกอร์สวมรอยเป็นเจ้าของเบอร์โทรศัพท์เพื่อรับรหัส OTP ได้เอง
จากโล่ป้องกัน สู่เครื่องมือของผู้โจมตี
สิ่งที่น่ากังวลคือ ในอดีต MFA ถูกมองว่าเป็นโล่ที่กันได้ทุกอย่าง แต่ตอนนี้มันกำลังถูกเปลี่ยนมือให้กลายเป็น “อาวุธ” ที่ใช้เจาะระบบซะเอง กลุ่มแฮกเกอร์อาชญากรหลายกลุ่ม รวมถึงบางกลุ่มที่เป็นที่รู้จัก ได้ใช้เทคนิคเหล่านี้อย่างแพร่หลาย เพื่อหลีกเลี่ยงการป้องกันที่เคยคิดว่าแข็งแกร่ง
นี่แสดงให้เห็นว่า MFA แบบดั้งเดิมที่พึ่งพารหัส OTP ผ่าน SMS หรือแอปพลิเคชันอาจไม่เพียงพออีกต่อไปแล้ว โดยเฉพาะเมื่อผู้ใช้งานขาดความระมัดระวังและไม่เข้าใจถึงภัยคุกคามที่ซับซ้อนขึ้น
เดินหน้าสู่การป้องกันที่แข็งแกร่งกว่าเดิม
เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงไป เราต้องปรับตัวและยกระดับการป้องกันขึ้นอีกขั้น สิ่งสำคัญคือการมุ่งหน้าสู่ MFA ที่ ป้องกันฟิชชิ่งได้ (Phishing-resistant MFA) อย่างเช่น FIDO หรือ Passkeys ซึ่งเป็นมาตรฐานการยืนยันตัวตนที่ออกแบบมาให้ต้านทานการโจมตีแบบฟิชชิ่งได้ดียิ่งขึ้น
นอกจากการอัปเกรดเทคโนโลยีแล้ว การให้ความรู้ผู้ใช้งาน ก็เป็นสิ่งสำคัญอย่างยิ่ง ต้องเน้นย้ำเรื่องความตระหนักรู้ต่อภัย วิศวกรรมสังคม และการตรวจสอบความถูกต้องของข้อมูลอยู่เสมอ
รวมถึงการติดตั้งระบบตรวจจับภัยคุกคามที่มีประสิทธิภาพ เพื่อให้สามารถระบุและตอบสนองต่อการโจมตีได้อย่างรวดเร็ว ไม่ว่าจะเป็นการตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ หรือการเฝ้าระวังการใช้งานที่น่าสงสัย การป้องกันภัยคุกคามไซเบอร์ในยุคนี้ ต้องอาศัยทั้งเทคโนโลยี ความรู้ และความรอบคอบควบคู่กันไป