เปิดประตูให้โจร: ทำความรู้จัก OAuth Consent Phishing ภัยร้ายที่ MFA และการเปลี่ยนรหัสผ่านก็ช่วยไม่ได้

เปิดประตูให้โจร: ทำความรู้จัก OAuth Consent Phishing ภัยร้ายที่ MFA และการเปลี่ยนรหัสผ่านก็ช่วยไม่ได้

เคยสงสัยไหมว่า ต่อให้ใช้การยืนยันตัวตนหลายชั้นอย่าง MFA หรือตั้งใจเปลี่ยน รหัสผ่าน บ่อยแค่ไหน แต่ก็ยังมีความเสี่ยงที่จะถูกแฮกบัญชีอยู่ดี?

ในโลกออนไลน์ปัจจุบัน ภัยคุกคามไซเบอร์ไม่เคยหยุดนิ่ง มันวิวัฒนาการไปเรื่อยๆ เพื่อหาช่องโหว่ใหม่ๆ และหนึ่งในรูปแบบการโจมตีที่อันตรายและซับซ้อนขึ้นเรื่อยๆ คือ OAuth Consent Phishing

นี่คือกลโกงที่ทำให้มาตรการป้องกันแบบดั้งเดิมหลายอย่างกลายเป็นเรื่องไร้ประโยชน์

OAuth Consent Phishing คืออะไร?

ภัยคุกคามนี้ไม่ใช่การพยายามขโมย รหัสผ่าน ของคุณโดยตรง

แต่เป็นการหลอกล่อให้คุณ ยินยอม หรือ อนุญาต ให้ แอปพลิเคชันปลอม หรือ บริการจากบุคคลที่สาม ที่สร้างโดย แฮกเกอร์ สามารถเข้าถึง ข้อมูลส่วนตัว ในบัญชีออนไลน์ของคุณได้ เช่น Gmail, Microsoft 365, หรือแพลตฟอร์มอื่นๆ

ทั้งหมดนี้เกิดขึ้นภายใต้กลไกที่เรียกว่า OAuth ซึ่งเป็นโปรโตคอลมาตรฐานที่ช่วยให้แอปพลิเคชันต่างๆ สามารถเชื่อมต่อและใช้งานข้อมูลของคุณได้โดยที่คุณไม่ต้องเปิดเผย รหัสผ่าน ให้กับแอปนั้นๆ โดยตรง

วิธีการหลอกลวงที่ซับซ้อน

กลวิธีของ แฮกเกอร์ เริ่มจากการสร้าง แอปพลิเคชันปลอม ที่ดูน่าเชื่อถือมากๆ

มันอาจเป็นเครื่องมือเพิ่มประสิทธิภาพการทำงาน เกม หรือบริการอะไรบางอย่างที่ดูเป็นประโยชน์

จากนั้นจะส่งลิงก์ ฟิชชิง ผ่านอีเมล ข้อความ หรือเว็บไซต์ปลอม เพื่อชักชวนให้คุณกดเข้าไป

เมื่อคุณคลิกลิงก์ คุณจะถูกนำไปยังหน้าจอ ขอสิทธิ์ (Consent Screen) ซึ่งจะแสดงว่า แอปพลิเคชันปลอม นี้ต้องการ สิทธิ์ ในการเข้าถึงข้อมูลใดบ้างในบัญชีของคุณ

หน้าจอนี้มักถูกออกแบบมาให้ดูเหมือนของจริงจนแยกไม่ออก

หากคุณเผลอกด “อนุญาต” โดยไม่ได้ตรวจสอบอย่างละเอียด คุณก็เท่ากับได้มอบ โทเค็น (Access Token) ที่เป็นกุญแจสำคัญให้ แฮกเกอร์ สามารถเข้าถึงข้อมูลของคุณได้ตาม สิทธิ์ ที่คุณยินยอมไปแล้ว

ผลกระทบที่ร้ายแรงเมื่อเผลอให้สิทธิ์

เมื่อ แฮกเกอร์ ได้รับ โทเค็น การเข้าถึงจากคุณ พวกเขาก็จะมี สิทธิ์ถาวร ในการเข้าถึง ข้อมูลส่วนตัว ของคุณ

โดยที่ไม่ต้องรู้ รหัสผ่าน ของคุณเลย

พวกเขาสามารถอ่านอีเมลของคุณ, ส่งอีเมลปลอมในนามของคุณ, เข้าถึงไฟล์เอกสาร, รายชื่อผู้ติดต่อ, ปฏิทิน และอื่นๆ อีกมากมาย

ขึ้นอยู่กับ สิทธิ์ ที่คุณได้อนุญาตไป

นี่เป็นช่องทางให้เกิดการขโมย ข้อมูล ปลอมแปลงตัวตน หรือแม้แต่ใช้บัญชีของคุณเป็นฐานในการโจมตีผู้อื่นต่อไป

สร้างความเสียหายร้ายแรงต่อ ความเป็นส่วนตัว และความปลอดภัยทาง ข้อมูลส่วนตัว ของคุณ

ทำไม MFA ถึงไม่สามารถช่วยได้

MFA หรือการยืนยันตัวตนหลายชั้น เป็นเกราะป้องกันที่ยอดเยี่ยมในการป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาตเมื่อ แฮกเกอร์ มีเพียงแค่ รหัสผ่าน ของคุณ

แต่ในกรณีของ OAuth Consent Phishing MFA ไม่ได้มีส่วนช่วยเลย

เพราะ แฮกเกอร์ ไม่ได้พยายาม “เข้าสู่ระบบ” บัญชีของคุณ

แต่พวกเขากำลังขอ “ได้รับอนุญาต” ให้ แอปพลิเคชัน ของพวกเขาเข้าถึงบัญชีของคุณได้โดยตรง

นึกภาพเหมือนคุณล็อคประตูหน้าบ้านอย่างแน่นหนาด้วยกุญแจหลายชั้น แต่กลับเป็นคนเปิดประตูหลังบ้านให้โจรเข้ามาเอง

เมื่อคุณให้ สิทธิ์ ไปแล้ว MFA จึงไม่สามารถขัดขวางการเข้าถึง ข้อมูล ของ แฮกเกอร์ ได้เลย

ปกป้องตัวเองจากภัยคุกคามนี้ได้อย่างไร

การป้องกันที่ดีที่สุดคือความระมัดระวังและตรวจสอบอย่างละเอียด

1. ตรวจสอบชื่อแอปพลิเคชันและผู้พัฒนาอย่างรอบคอบ: ก่อนกด “อนุญาต” ทุกครั้ง ให้ตรวจสอบให้แน่ใจว่าเป็น แอปพลิเคชัน ที่คุณรู้จักและเชื่อถือได้จริงๆ

2. อ่านสิทธิ์ที่แอปขออย่างละเอียด: พิจารณาว่า สิทธิ์ ที่แอปขอเหล่านั้นมีความจำเป็นต่อการทำงานของแอปจริงหรือไม่ หากแอปเกมขอ สิทธิ์ ในการอ่านอีเมลทั้งหมดของคุณ นี่คือสัญญาณอันตราย

3. ระวังลิงก์ฟิชชิง: อย่าคลิกลิงก์จากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ รวมถึงอีเมลหรือข้อความที่ดูแปลกๆ

4. ตรวจสอบและถอนสิทธิ์แอปพลิเคชันที่ไม่จำเป็น: หมั่นตรวจสอบการตั้งค่าความปลอดภัยของบัญชีออนไลน์ของคุณ (เช่น Google Security Checkup, Microsoft My Apps) เป็นประจำ เพื่อดูว่ามี แอปพลิเคชัน หรือ บริการจากบุคคลที่สาม ใดบ้างที่คุณเคยให้ สิทธิ์ ไว้ และให้ ถอนสิทธิ์ แอปพลิเคชันที่ไม่รู้จักหรือไม่ใช้งานแล้วออกทันที

ภัยคุกคามในโลกดิจิทัลนั้นไม่เคยหยุดนิ่ง การอัปเดตความรู้และเพิ่มความระมัดระวังคือเกราะป้องกันที่สำคัญที่สุดของเรา อย่ามองข้ามความสำคัญของการ ตรวจสอบ และจัดการ สิทธิ์ ของ แอปพลิเคชัน ที่คุณเคยให้ความไว้วางใจไปแล้ว