การยืนยันตัวตนแบบสองขั้นตอน (2FA) ไม่ใช่โซลูชันด้านความปลอดภัยที่ไร้ข้อผิดพลาดอีกต่อไป ภาพประกอบ
รูปแบบการโจมตีใหม่
การยืนยันตัวตนแบบสองขั้นตอน (2FA) กลายเป็นคุณลักษณะด้านความปลอดภัยมาตรฐานในด้านความปลอดภัยทางไซเบอร์ โดยผู้ใช้จะต้องยืนยันตัวตนด้วยขั้นตอนการยืนยันตัวตนขั้นที่สอง ซึ่งโดยทั่วไปแล้วจะเป็นรหัสผ่านครั้งเดียว (OTP) ที่ส่งผ่านข้อความ อีเมล หรือแอปยืนยันตัวตน ระดับความปลอดภัยพิเศษนี้มีไว้เพื่อปกป้องบัญชีผู้ใช้แม้ว่ารหัสผ่านจะถูกขโมยไปก็ตาม
แม้ว่าเว็บไซต์ต่างๆ หลายแห่งจะรับเอา 2FA มาใช้กันอย่างแพร่หลายและองค์กรต่างๆ ก็ต้องปฏิบัติตาม แต่เมื่อไม่นานมานี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Kaspersky ได้ค้นพบการโจมตีแบบฟิชชิ่งที่ผู้ก่ออาชญากรรมทางไซเบอร์ใช้เพื่อหลีกเลี่ยง 2FA
ด้วยเหตุนี้ ผู้โจมตีทางไซเบอร์จึงเปลี่ยนมาใช้รูปแบบการโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้น โดยผสมผสานการฟิชชิ่งเข้ากับบอท OTP อัตโนมัติเพื่อหลอกล่อผู้ใช้และเข้าถึงบัญชีโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่ง ผู้หลอกลวงจะหลอกล่อผู้ใช้ให้เปิดเผย OTP เหล่านี้เพื่อให้สามารถหลีกเลี่ยงมาตรการป้องกัน 2FA ได้
อาชญากรไซเบอร์ใช้ฟิชชิ่งร่วมกับบอท OTP อัตโนมัติเพื่อหลอกล่อผู้ใช้และเข้าถึงบัญชีโดยไม่ได้รับอนุญาต ภาพประกอบ
แม้แต่บ็อต OTP ซึ่งเป็นเครื่องมือที่ซับซ้อนก็ยังถูกใช้โดยผู้หลอกลวงเพื่อดักจับรหัส OTP ผ่านการโจมตีทางวิศวกรรมสังคม ผู้โจมตีมักจะพยายามขโมยข้อมูลรับรองการเข้าสู่ระบบของเหยื่อโดยใช้วิธีการต่างๆ เช่น การฟิชชิ่งหรือการใช้ประโยชน์จากช่องโหว่ของข้อมูล จากนั้นพวกเขาจะเข้าสู่ระบบบัญชีของเหยื่อ ส่งผลให้มีการส่งรหัส OTP ไปยังโทรศัพท์ของเหยื่อ
จากนั้น บอท OTP จะโทรหาเหยื่อโดยอัตโนมัติ โดยแอบอ้างว่าเป็นพนักงานขององค์กรที่เชื่อถือได้ โดยใช้สคริปต์การสนทนาที่ตั้งโปรแกรมไว้ล่วงหน้าเพื่อโน้มน้าวเหยื่อให้เปิดเผยรหัส OTP ในที่สุด ผู้โจมตีจะได้รับรหัส OTP ผ่านบอทและใช้รหัสดังกล่าวเพื่อเข้าถึงบัญชีของเหยื่อโดยไม่ได้รับอนุญาต
ผู้ฉ้อโกงมักนิยมใช้การโทรด้วยเสียงมากกว่าการส่งข้อความ เนื่องจากเหยื่อมักตอบสนองต่อวิธีนี้ได้เร็วกว่า ดังนั้น บอท OTP จึงจำลองน้ำเสียงและความเร่งด่วนของการโทรของมนุษย์เพื่อสร้างความรู้สึกไว้วางใจและน่าเชื่อถือ
ผู้ฉ้อโกงควบคุมบ็อต OTP ผ่านแดชบอร์ดออนไลน์เฉพาะหรือแพลตฟอร์มการส่งข้อความ เช่น Telegram บ็อตเหล่านี้ยังมาพร้อมกับคุณสมบัติและแผนการสมัครสมาชิกที่หลากหลายซึ่งช่วยให้ผู้โจมตีสามารถใช้งานได้ ผู้โจมตีสามารถปรับแต่งคุณสมบัติของบ็อตเพื่อปลอมตัวเป็นองค์กร ใช้ภาษาต่างๆ มากมาย และเลือกโทนเสียงของผู้ชายหรือผู้หญิงก็ได้ ตัวเลือกขั้นสูงได้แก่ การปลอมหมายเลขโทรศัพท์ ซึ่งจะทำให้หมายเลขโทรศัพท์ของผู้โทรดูเหมือนมาจากองค์กรที่ถูกต้องตามกฎหมาย เพื่อหลอกเหยื่อด้วยวิธีที่ซับซ้อน
ยิ่งเทคโนโลยีพัฒนามากเท่าไหร่ ความต้องการในการปกป้องบัญชีก็ยิ่งสูงขึ้นเท่านั้น ภาพประกอบ
ในการใช้โปรแกรม OTP ผู้หลอกลวงจะต้องขโมยข้อมูลรับรองการเข้าสู่ระบบของเหยื่อก่อน โดยมักใช้เว็บไซต์ฟิชชิ่งที่ออกแบบมาให้ดูเหมือนหน้าเข้าสู่ระบบของธนาคาร บริการอีเมล หรือบัญชีออนไลน์อื่นๆ เมื่อเหยื่อป้อนชื่อผู้ใช้และรหัสผ่าน ผู้หลอกลวงจะรวบรวมข้อมูลนี้โดยอัตโนมัติทันที (แบบเรียลไทม์)
ระหว่างวันที่ 1 มีนาคมถึง 31 พฤษภาคม 2024 โซลูชันด้านความปลอดภัยของ Kaspersky ป้องกันความพยายามในการเข้าชมเว็บไซต์ที่สร้างขึ้นโดยชุดฟิชชิ่งที่กำหนดเป้าหมายไปที่ธนาคารได้ 653,088 ครั้ง ข้อมูลที่ขโมยมาจากเว็บไซต์เหล่านี้มักใช้ในการโจมตีด้วยบ็อต OTP ในช่วงเวลาเดียวกัน ผู้เชี่ยวชาญตรวจพบเว็บไซต์ฟิชชิ่ง 4,721 เว็บไซต์ที่สร้างขึ้นโดยชุดฟิชชิ่งซึ่งมุ่งเป้าไปที่การหลีกเลี่ยงการพิสูจน์ตัวตนสองขั้นตอนแบบเรียลไทม์
อย่าสร้างรหัสผ่านทั่วไป
Olga Svistunova ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky ให้ความเห็นว่า "การโจมตีทางวิศวกรรมสังคมถือเป็นวิธีการฉ้อโกงที่ซับซ้อนอย่างยิ่ง โดยเฉพาะอย่างยิ่งเมื่อมีบอท OTP ที่สามารถจำลองการโทรจากตัวแทนฝ่ายบริการได้อย่างถูกต้องตามกฎหมาย เพื่อให้ตื่นตัวอยู่เสมอ จำเป็นต้องรักษาความระมัดระวังและปฏิบัติตามมาตรการรักษาความปลอดภัย"
แฮกเกอร์ใช้อัลกอริธึมการคาดเดาอันชาญฉลาดเพื่อค้นหารหัสผ่านได้อย่างง่ายดาย ภาพประกอบ
จากการวิเคราะห์รหัสผ่าน 193 ล้านรหัสที่ผู้เชี่ยวชาญของ Kaspersky ดำเนินการโดยใช้ขั้นตอนวิธีการเดาอัจฉริยะในช่วงต้นเดือนมิถุนายน พบว่ารหัสผ่านเหล่านี้ยังเป็นรหัสผ่านที่ถูกโจรกรรมข้อมูลและขายบนเครือข่ายมืด แสดงให้เห็นว่าสามารถถอดรหัสได้สำเร็จ 45% (เทียบเท่ากับ 87 ล้านรหัส) ภายในเวลา 1 นาที มีเพียง 23% (เทียบเท่ากับ 44 ล้านรหัส) ของชุดรหัสผ่านเท่านั้นที่ถือว่าแข็งแกร่งพอที่จะต้านทานการโจมตี และการถอดรหัสรหัสผ่านเหล่านี้จะใช้เวลามากกว่า 1 ปี อย่างไรก็ตาม รหัสผ่านที่เหลือส่วนใหญ่ยังสามารถถอดรหัสได้ตั้งแต่ 1 ชั่วโมงจนถึง 1 เดือน
นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังเปิดเผยชุดอักขระที่ใช้บ่อยที่สุดเมื่อผู้ใช้ตั้งรหัสผ่าน เช่น ชื่อ: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”; คำยอดนิยม: “forever”, “love”, “google”, “hacker”, “gamer”; รหัสผ่านมาตรฐาน: “password”, “qwerty12345”, “admin”, “12345”, “team”
จากการวิเคราะห์พบว่ามีเพียง 19% ของรหัสผ่านเท่านั้นที่มีชุดรหัสผ่านที่แข็งแกร่ง ซึ่งรวมไปถึงคำที่ไม่ได้อยู่ในพจนานุกรม ทั้งตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก รวมถึงตัวเลขและสัญลักษณ์ ในเวลาเดียวกัน การศึกษายังพบอีกว่า 39% ของรหัสผ่านที่แข็งแกร่งเหล่านี้สามารถเดาได้โดยอัลกอริทึมอัจฉริยะภายในเวลาไม่ถึงหนึ่งชั่วโมง
ที่น่าสนใจคือ ผู้โจมตีไม่จำเป็นต้องมีความรู้เฉพาะทางหรืออุปกรณ์ขั้นสูงในการแคร็กรหัสผ่าน ตัวอย่างเช่น โปรเซสเซอร์แล็ปท็อปเฉพาะทางสามารถบรูทฟอร์ซรหัสผ่านแบบผสมอักษรตัวพิมพ์เล็กหรือตัวเลขแปดตัวได้อย่างแม่นยำภายในเวลาเพียงเจ็ดนาที การ์ดแสดงผลแบบรวมก็สามารถทำเช่นเดียวกันได้ภายใน 17 วินาที นอกจากนี้ อัลกอริทึมการเดารหัสผ่านอย่างชาญฉลาดมักจะแทนที่อักขระ ("e" แทน "3", "1" แทน "!" หรือ "a" แทน "@") และสตริงทั่วไป ("qwerty", "12345", "asdfg")
ควรใช้รหัสผ่านที่มีสตริงอักขระแบบสุ่มเพื่อให้แฮกเกอร์เดาได้ยาก ภาพประกอบ
“โดยไม่รู้ตัว ผู้คนมักจะสร้างรหัสผ่านที่ง่ายมากๆ โดยมักจะใช้คำในพจนานุกรมในภาษาแม่ของตน เช่น ชื่อและตัวเลข... แม้แต่การใช้รหัสผ่านที่แข็งแรงก็ไม่ค่อยเบี่ยงเบนจากแนวโน้มนี้ ดังนั้นจึงสามารถคาดเดาได้โดยสมบูรณ์ด้วยอัลกอริทึม” Yuliya Novikova หัวหน้าฝ่าย Digital Footprint Intelligence ของ Kaspersky กล่าว
ดังนั้นวิธีแก้ปัญหาที่เชื่อถือได้มากที่สุดคือการสร้างรหัสผ่านแบบสุ่มอย่างสมบูรณ์โดยใช้โปรแกรมจัดการรหัสผ่านที่ทันสมัยและเชื่อถือได้ แอปพลิเคชันดังกล่าวสามารถจัดเก็บข้อมูลจำนวนมากได้อย่างปลอดภัย โดยให้การปกป้องข้อมูลผู้ใช้อย่างครอบคลุมและแข็งแกร่ง
เพื่อเพิ่มความแข็งแกร่งให้กับรหัสผ่าน ผู้ใช้สามารถใช้เคล็ดลับง่ายๆ ดังต่อไปนี้: ใช้ซอฟต์แวร์จัดการรหัสผ่าน ใช้รหัสผ่านที่แตกต่างกันสำหรับบริการที่แตกต่างกัน วิธีนี้แม้ว่าบัญชีใดบัญชีหนึ่งของคุณจะถูกแฮ็ก บัญชีอื่นๆ ก็ยังคงปลอดภัยอยู่ วลีรหัสผ่านช่วยให้ผู้ใช้กู้คืนบัญชีได้เมื่อลืมรหัสผ่าน ดังนั้นการใช้คำที่ไม่ค่อยใช้กันทั่วไปจึงปลอดภัยกว่า นอกจากนี้ ผู้ใช้สามารถใช้บริการออนไลน์เพื่อตรวจสอบความแข็งแกร่งของรหัสผ่านได้
หลีกเลี่ยงการใช้ข้อมูลส่วนตัว เช่น วันเกิด ชื่อสมาชิกในครอบครัว สัตว์เลี้ยง หรือชื่อเล่น เป็นรหัสผ่าน ซึ่งมักเป็นสิ่งแรกที่ผู้โจมตีจะพยายามใช้เมื่อพยายามเจาะรหัสผ่าน
แหล่งที่มา
การแสดงความคิดเห็น (0)