แฮกเกอร์ใช้ช่องโหว่การตั้งค่าอีเมล ปลอมโดเมนองค์กรส่งฟิชชิง

Microsoft ได้ออกมาเปิดเผยรายงานภัยคุกคามล่าสุดที่น่ากังวล โดยระบุว่ากลุ่มผู้ไม่หวังดีกำลังใช้ประโยชน์จากเส้นทางการรับส่งอีเมลที่ซับซ้อนร่วมกับการตั้งค่าป้องกันการปลอมแปลงโดเมนที่ไม่รัดกุมพอ เพื่อส่งอีเมลฟิชชิงที่ดูแนบเนียนเสมือนว่าส่งมาจากเพื่อนร่วมงานหรือแผนกภายในองค์กรเอง วิธีการนี้ทำให้พนักงานหลงเชื่อได้ง่ายกว่าปกติ และกลายเป็นช่องทางหลักในการขโมยข้อมูลบัญชีสำคัญของบริษัท

การโจมตีในรูปแบบนี้ถูกตรวจพบว่ามีความถี่สูงขึ้นอย่างต่อเนื่องตั้งแต่ช่วงเดือนพฤษภาคม 2025 โดยกลุ่มแฮกเกอร์มักจะหันไปใช้บริการฟิชชิงแบบสำเร็จรูปหรือ Phishing-as-a-Service อย่าง Tycoon2FA เพื่อสร้างอีเมลหลอกลวงที่หลากหลายรูปแบบ ไม่ว่าจะเป็นการแจ้งเตือนวอยซ์เมลปลอม เอกสารแชร์จาก SharePoint ที่ดูเหมือนจริง หรือแม้แต่การแจ้งเรื่องรหัสผ่านหมดอายุจากฝ่ายไอที เพื่อบีบให้เหยื่อรีบกรอกข้อมูลลงชื่อเข้าใช้งานในหน้าเว็บไซต์ปลอม

ทาง Microsoft ให้ข้อมูลเพิ่มเติมว่าแคมเปญเหล่านี้ไม่ได้เจาะจงเล่นงานองค์กรใดองค์กรหนึ่งเป็นพิเศษ แต่เป็นการกระจายการโจมตีไปทั่วทุกอุตสาหกรรมที่มีช่องโหว่ จุดที่น่ากลัวที่สุดคืออีเมลจะแสดงที่อยู่ผู้ส่งและผู้รับเป็นโดเมนเดียวกันเป๊ะ ทำให้ระบบกรองสแปมทั่วไปอาจมองข้าม และผู้ใช้งานเองก็แทบแยกไม่ออกว่านี่คือการสื่อสารจากภายในจริงหรือเป็นการสวมรอยจากภายนอก

นอกจากเรื่องการขโมยรหัสผ่านแล้ว แฮกเกอร์ยังนำเทคนิคนี้ไปใช้ในการหลอกลวงโอนเงินอีกด้วย โดยการปลอมเป็นอีเมลของผู้บริหารหรือฝ่ายบัญชีเพื่อสั่งจ่ายเงินตามใบแจ้งหนี้ปลอม หากองค์กรใดไม่มีการวางระบบป้องกันอย่าง DMARC, SPF และ DKIM ที่เข้มงวดพอ ก็มีโอกาสสูงมากที่จะสูญเสียเงินจำนวนมหาศาล ซึ่งในทางปฏิบัติแล้วการติดตามเงินคืนจากคดีประเภทนี้ทำได้ยากมาก

อย่างไรก็ตาม Microsoft ได้ย้ำชัดเจนว่าปัญหานี้ไม่ได้เกิดจากข้อบกพร่องของระบบ Direct Send ใน Microsoft 365 โดยตรง แต่เป็นผลมาจากการที่หลายองค์กรตั้งค่า MX record ไม่ถูกต้อง โดยไม่ได้ชี้ตรงมาที่ Office 365 หรือมีการกำหนดนโยบายป้องกันที่หละหลวมเกินไป ซึ่งหากองค์กรใดตั้งค่าให้วิ่งตรงมาที่ระบบของ Microsoft โดยตรงจะได้รับการคุ้มครองจากระบบตรวจจับการสวมรอยที่มีมาให้ในตัวอยู่แล้ว

เพื่อความปลอดภัยสูงสุด Microsoft แนะนำให้ทุกองค์กรเร่งตรวจสอบและตั้งค่า SPF ให้เป็นแบบ hard fail และปรับนโยบาย DMARC ให้เป็นแบบ reject ทันที รวมถึงการนำระบบยืนยันตัวตนหลายชั้นหรือ MFA แบบที่ไม่ใช้รหัสผ่านเข้ามาใช้งาน เพื่อสร้างกำแพงป้องกันที่แข็งแกร่งพอจะรับมือกับการโจมตีฟิชชิงที่มีความซับซ้อนและแนบเนียนมากขึ้นในปัจจุบันนี้