Microsoft ได้ออกคำเตือนเกี่ยวกับนักแสดงภัยคุกคามที่ใช้การกำหนดเส้นทางอีเมลที่ผิดพลาดและการป้องกันการปลอมแปลง (spoof protection) ที่อ่อนแอ เพื่อปลอมแปลงโดเมนขององค์กรและส่งอีเมลฟิชชิ่งที่ดูเหมือนส่งมาจากภายในองค์กรเอง การโจมตีนี้มุ่งเป้าไปที่การขโมยข้อมูลรับรอง (credentials) และการหลอกลวงทางการเงิน โดยพบว่ามีการใช้ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) เช่น Tycoon 2FA อย่างแพร่หลาย
Severity: สูง
System Impact:
- ระบบกำหนดเส้นทางอีเมลที่มีการตั้งค่าผิดพลาด (Misconfigured email routing)
- การป้องกันการปลอมแปลง (Spoof protections) ที่อ่อนแอ
- สภาพแวดล้อม Exchange แบบ On-premises
- บริการบุคคลที่สามที่ใช้ในการกำหนดเส้นทางอีเมล (เช่น บริการกรองสแปม หรือการจัดเก็บถาวร)
- Microsoft 365 (เมื่ออีเมลถูกกำหนดเส้นทางผ่านระบบอื่นก่อนถึง Microsoft 365)
- ฟังก์ชัน Direct Send ใน Exchange Online (หากเปิดใช้งานโดยไม่จำเป็น)
Technical Attack Steps:
- 1. **การหาช่องโหว่จากการตั้งค่าผิดพลาด**: นักแสดงภัยคุกคามระบุเป้าหมายองค์กรที่มีการตั้งค่าเส้นทางอีเมลที่ซับซ้อน (เช่น MX record ชี้ไปที่ Exchange on-premise หรือบริการบุคคลที่สามก่อนถึง Microsoft 365) และมีมาตรการป้องกันการปลอมแปลงที่ไม่รัดกุม
- 2. **การปลอมแปลงโดเมน**: ผู้โจมตีส่งอีเมลฟิชชิ่งที่ปลอมแปลงมาจากโดเมนภายในขององค์กรนั้น ๆ เอง โดยอีเมลที่ถูกปลอมแปลงมักจะใช้ที่อยู่อีเมลเดียวกันทั้งในช่อง ‘ถึง’ (To) และ ‘จาก’ (From)
- 3. **การหลอกล่อ (Lures)**: ข้อความฟิชชิ่งใช้กลวิธีหลอกล่อที่หลากหลาย เช่น ข้อความเสียง, เอกสารที่แชร์, การสื่อสารจากฝ่ายทรัพยากรบุคคล (HR), การรีเซ็ตรหัสผ่าน, หรือการแจ้งเตือนรหัสผ่านหมดอายุ
- 4. **การขโมยข้อมูลรับรอง/การหลอกลวง**: การหลอกล่อเหล่านี้จะนำผู้รับไปยังหน้า Landing Page ของฟิชชิ่ง (ซึ่งมักใช้เทคนิค Adversary-in-the-Middle – AiTM) เพื่อขโมยข้อมูลรับรองและหลีกเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือในกรณีของการหลอกลวงทางการเงิน อีเมลจะเลียนแบบการสนทนาระหว่างผู้บริหารระดับสูง (เช่น CEO, ฝ่ายบัญชี) และแนบใบแจ้งหนี้ปลอม, แบบฟอร์ม IRS W-9 ปลอม และจดหมายธนาคารปลอมเพื่อชักจูงให้โอนเงิน
- 5. **กิจกรรมต่อเนื่อง**: ข้อมูลรับรองที่ถูกขโมยไปสามารถนำไปใช้ในการโจรกรรมข้อมูล หรือการโจมตี Business Email Compromise (BEC)
Recommendations:
Short Term:
- ตั้งค่านโยบาย DMARC เป็น ‘reject’ อย่างเคร่งครัด
- ตั้งค่านโยบาย SPF เป็น ‘hard fail’ อย่างเคร่งครัด
- กำหนดค่าคอนเน็กเตอร์ของบริการอีเมลบุคคลที่สาม (เช่น บริการกรองสแปม หรือเครื่องมือจัดเก็บถาวร) ให้ถูกต้อง
- ปิดการใช้งานฟังก์ชัน ‘Direct Send’ ใน Exchange Online หากไม่มีความจำเป็นต้องใช้งาน
Long Term:
- ทบทวนและทำให้การกำหนดเส้นทางอีเมลขององค์กรมีความซับซ้อนน้อยลง
- ตรวจสอบให้แน่ใจว่ามีกลไกป้องกันการปลอมแปลงที่แข็งแกร่ง
- ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการโจมตีฟิชชิ่ง โดยเฉพาะการปลอมแปลงโดเมนภายในและการหลอกลวงทางการเงิน
- นำการยืนยันตัวตนแบบหลายปัจจัย (MFA) มาใช้ (แม้ว่าการโจมตี AiTM อาจเลี่ยง MFA บางประเภทได้ แต่ก็ยังเป็นชั้นการป้องกันที่สำคัญ)
- ตรวจสอบการตั้งค่าความปลอดภัยอีเมลอย่างสม่ำเสมอ
- ติดตามข่าวสารและตระหนักถึงชุดเครื่องมือ PhaaS ที่กำลังพัฒนาอย่างต่อเนื่อง เช่น Tycoon 2FA
Source: https://thehackernews.com/2026/01/microsoft-warns-misconfigured-email.html
Share this content: