MFA ไม่ได้ปลอดภัย 100% อย่างที่คิด! มาทำความเข้าใจช่องโหว่กัน
หลายคนคงคุ้นเคยกับการใช้ Multi-Factor Authentication หรือ MFA ที่ต้องยืนยันตัวตนหลายชั้น ไม่ว่าจะเป็นรหัสผ่าน ตามด้วย OTP จากมือถือ หรือการกดอนุมัติในแอป หลายคนคิดว่านี่แหละคือสุดยอดเกราะป้องกันที่ทำให้บัญชีของเราปลอดภัยไร้กังวล แต่ในความเป็นจริงแล้ว MFA ก็ไม่ได้สมบูรณ์แบบเสมอไป ผู้โจมตีที่ชาญฉลาดก็มีวิธีหลบหลีกการยืนยันตัวตนแบบหลายชั้นนี้ได้เช่นกัน
ดังนั้น การทำความเข้าใจช่องโหว่เหล่านี้จึงเป็นสิ่งสำคัญ เพื่อให้ทุกคนรู้เท่าทันและป้องกันตัวเองได้ดียิ่งขึ้น
MFA Prompt Bombing: ความน่ารำคาญที่อันตราย
เทคนิคนี้ง่าย ๆ แต่ได้ผลมาก ผู้โจมตีจะส่งคำขอยืนยันตัวตน MFA ไปยังอุปกรณ์ของเหยื่อซ้ำแล้วซ้ำเล่าอย่างต่อเนื่อง ไม่ว่าจะตอนกลางวัน หรือตอนกลางคืนที่กำลังนอนหลับสบาย
ลองนึกภาพว่าคุณได้รับแจ้งเตือน MFA ถี่ ๆ ติดต่อกัน ทั้งที่คุณไม่ได้กำลังล็อกอินเข้าสู่ระบบอะไรเลย ในที่สุดด้วยความรำคาญ หรืออาจจะงัวเงียเผลอกดอนุมัติไปโดยไม่ตั้งใจ เพราะคิดว่ามันเป็น Bug ของระบบ
แค่นี้บัญชีของคุณก็ตกอยู่ในมือผู้ไม่หวังดีเรียบร้อยแล้ว ความเหนื่อยหน่ายของผู้ใช้ นี่แหละคือเป้าหมายหลักของเทคนิคนี้
ขโมย Session: แอบเข้ามาหลังบ้าน
วิธีนี้ไม่ได้เจาะ MFA โดยตรง แต่เป็นการขโมย “กุญแจ” ที่ได้มาหลังจากคุณผ่านการยืนยันตัวตนไปแล้วต่างหาก
เมื่อคุณล็อกอินเข้าสู่ระบบด้วย MFA สำเร็จ ระบบจะสร้าง Session หรือช่วงเวลาที่คุณยังคงอยู่ในระบบให้ โดยมักจะเก็บข้อมูลนี้ไว้ใน Cookie บนเว็บเบราว์เซอร์ของคุณ
ผู้โจมตีจะพยายามขโมย Cookie เหล่านั้น เมื่อได้ Cookie ที่ถูกต้องไปแล้ว พวกเขาก็จะสามารถสวมรอยเป็นคุณ เข้าถึงบัญชีได้ทันที โดยไม่ต้องผ่านการยืนยัน MFA ซ้ำอีกเลย เพราะระบบคิดว่าคุณคือคนที่ล็อกอินอยู่แล้ว
นี่คือการโจมตีที่เกิดขึ้น “หลังบ้าน” หลังจากการยืนยันตัวตนครั้งแรกผ่านไปแล้ว
โจมตีตอนตั้งค่า MFA: จุดอ่อนช่วงแรกเริ่ม
การตั้งค่า MFA ครั้งแรกดูเหมือนเป็นเรื่องง่าย ๆ แต่บ่อยครั้งที่กระบวนการนี้กลับเป็นจุดอ่อนสำคัญที่ผู้โจมตีใช้ประโยชน์
บางระบบอาจมีช่องโหว่ เช่น ลิงก์สำหรับตั้งค่า MFA ที่ไม่ปลอดภัย ไม่มีการตรวจสอบตัวตนผู้ใช้งานอย่างเข้มงวด หรือให้ตั้งค่า MFA ได้โดยไม่ต้องผ่านการยืนยันตัวตนอื่น ๆ ก่อน
ถ้าผู้โจมตีสามารถสวมรอยเป็นคุณและเข้าไปตั้งค่า MFA ใหม่ได้สำเร็จ พวกเขาก็จะสามารถผูก MFA ของคุณเข้ากับอุปกรณ์ของพวกเขาเอง ทำให้บัญชีของคุณถูกควบคุมไปโดยสมบูรณ์
การป้องกันที่ดีที่สุดคือการตรวจสอบให้แน่ใจว่าขั้นตอนการตั้งค่า MFA นั้นปลอดภัยและมีการยืนยันตัวตนที่รัดกุม
ฟิชชิ่งขั้นเทพ: Man-in-the-Middle หลอกได้ทั้งรหัสและ OTP
การโจมตีแบบ ฟิชชิ่ง (Phishing) ไม่ได้มีแค่การหลอกให้กรอกรหัสผ่านง่าย ๆ อีกต่อไปแล้ว
ปัจจุบันมีเทคนิคที่ซับซ้อนกว่านั้นมาก โดยผู้โจมตีจะสร้างเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์จริงเป๊ะ ๆ และทำหน้าที่เป็นตัวกลาง (Man-in-the-Middle) เมื่อคุณกรอกชื่อผู้ใช้ รหัสผ่าน และ OTP ลงไปบนเว็บไซต์ปลอมนั้น ข้อมูลทั้งหมดจะถูกส่งผ่านตัวกลางไปยังเว็บไซต์จริง เพื่อทำการล็อกอินให้คุณในทันที
เมื่อล็อกอินสำเร็จแล้ว ตัวกลางก็จะนำ Session ที่ได้ส่งกลับมาให้ผู้โจมตี ผู้โจมตีจึงสามารถเข้าถึงบัญชีของคุณได้ทันที โดยที่คุณแทบไม่ทันสังเกตเห็นความผิดปกติเลยด้วยซ้ำ
นี่เป็นรูปแบบการโจมตีที่อันตรายมาก เพราะมันสามารถ ขโมยทั้งรหัสผ่านและรหัสยืนยัน MFA ได้ในคราวเดียว
แม้ว่า MFA จะเป็นเครื่องมือป้องกันที่สำคัญและจำเป็นอย่างยิ่งในการรักษาความปลอดภัยของบัญชีออนไลน์ แต่สิ่งสำคัญคือต้องตระหนักว่าไม่มีระบบใดที่สมบูรณ์แบบ การทำความเข้าใจวิธีการโจมตีเหล่านี้จะช่วยให้เราสามารถปกป้องตัวเองได้ดียิ่งขึ้น ด้วยการระมัดระวังในการใช้งาน ไม่หลงกลกลโกง และเลือกใช้บริการที่มีความปลอดภัยสูงอยู่เสมอ