เหตุใดการยึดบัญชีผู้ใช้ (Account Takeover) จึงเพิ่มขึ้น และองค์กรจะป้องกันได้อย่างไร

การโจมตีแบบ Account Takeover (ATO) หรือการที่ผู้ไม่หวังดีเข้าควบคุมบัญชีผู้ใช้ของพนักงาน ลูกค้า หรือผู้ดูแลระบบ กำลังกลายเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่เติบโตเร็วที่สุดในปัจจุบัน ผู้โจมตีไม่ได้พยายามเจาะระบบผ่านช่องโหว่ซอฟต์แวร์เพียงอย่างเดียวอีกต่อไป แต่เลือกใช้วิธีขโมยหรือหลอกเอาข้อมูลยืนยันตัวตน เพื่อเข้าถึงบัญชีจริงที่ได้รับสิทธิ์ใช้งานอยู่แล้ว ซึ่งทำให้การตรวจจับและป้องกันทำได้ยากขึ้นอย่างมาก

Account Takeover คืออะไร?

Account Takeover คือเหตุการณ์ที่ผู้โจมตีสามารถเข้าถึงบัญชีของผู้ใช้ที่ถูกต้องตามกฎหมายได้สำเร็จ ไม่ว่าจะเป็นบัญชีอีเมล ระบบองค์กร บัญชีธนาคารออนไลน์ หรือบริการ Cloud ต่าง ๆ โดยใช้ข้อมูลรับรองที่ถูกขโมยมา หรืออาศัยเทคนิคหลอกลวงเพื่อหลีกเลี่ยงกระบวนการยืนยันตัวตนของระบบ

เมื่อผู้โจมตีเข้าควบคุมบัญชีได้แล้ว พวกเขาสามารถ:

• ขโมยข้อมูลสำคัญขององค์กร
• เข้าถึงระบบภายใน
• ส่งอีเมลปลอมจากบัญชีจริง
• ขโมยข้อมูลลูกค้า
• ติดตั้งมัลแวร์หรือ Ransomware
• ใช้บัญชีดังกล่าวเป็นจุดเริ่มต้นในการโจมตีเพิ่มเติม

เหตุใด Account Takeover จึงเพิ่มขึ้นอย่างต่อเนื่อง

1. ข้อมูลบัญชีรั่วไหลจาก Data Breach จำนวนมหาศาล

ในแต่ละปีมีฐานข้อมูลผู้ใช้งานจำนวนมากถูกเปิดเผยสู่ Dark Web ผู้โจมตีสามารถนำอีเมลและรหัสผ่านที่รั่วไหลไปทดลองใช้งานกับบริการอื่น ๆ ได้ทันทีผ่านเทคนิค Credential Stuffing ซึ่งยังคงประสบความสำเร็จเนื่องจากผู้ใช้จำนวนมากยังใช้รหัสผ่านซ้ำกันหลายระบบ

2. Phishing มีความสมจริงมากขึ้นจาก AI

เครื่องมือ AI ช่วยให้ผู้โจมตีสามารถสร้างอีเมล เว็บไซต์ปลอม และข้อความหลอกลวงที่ดูน่าเชื่อถือได้ภายในเวลาไม่กี่นาที ทำให้ผู้ใช้งานแยกแยะได้ยากขึ้น

นอกจากนี้ AI ยังช่วยให้ผู้โจมตีสร้างโครงสร้างพื้นฐานสำหรับการโจมตีใหม่ ๆ ได้รวดเร็วกว่าเดิม ส่งผลให้เว็บไซต์ฟิชชิงจำนวนมากมีอายุเพียงไม่กี่วันก่อนถูกเปลี่ยนใหม่ทั้งหมด

3. ผู้โจมตีสามารถหลีกเลี่ยง MFA ได้แล้ว

แม้ Multi-Factor Authentication (MFA) จะยังคงเป็นมาตรการสำคัญ แต่ปัจจุบันผู้โจมตีมีเทคนิคใหม่ในการหลีกเลี่ยง MFA เช่น

• Adversary-in-the-Middle (AiTM)
• Session Token Theft
• MFA Fatigue
• Device Code Phishing
• OAuth Abuse

ตัวอย่างล่าสุดคือการโจมตี Microsoft Entra ID ผ่าน Device Code Phishing ซึ่งหลอกให้เหยื่ออนุมัติการเข้าสู่ระบบโดยสมัครใจ ทำให้ผู้โจมตีได้รับ Access Token ที่ถูกต้องโดยไม่ต้องทราบรหัสผ่านหรือ OTP เลย

4. ผู้โจมตีใช้ Automation และ Bot มากขึ้น

การโจมตีสมัยใหม่ไม่ได้ดำเนินการด้วยคนทั้งหมดอีกต่อไป แต่ใช้ Bot, Residential Proxy และเครื่องมือ Automation เพื่อทดลองข้อมูลล็อกอินนับล้านรายการในเวลาอันสั้น

หลังจากได้บัญชีสำเร็จ ระบบอัตโนมัติจะส่งต่อให้ผู้โจมตีที่ทำหน้าที่เข้ายึดบัญชีและดำเนินการโจมตีขั้นต่อไป ทำให้กระบวนการทั้งหมดมีประสิทธิภาพสูงและขยายขนาดได้ง่าย

5. การใช้งาน Cloud และ SaaS เพิ่มขึ้น

องค์กรส่วนใหญ่พึ่งพา Microsoft 365, Google Workspace, CRM และระบบ Cloud ต่าง ๆ มากขึ้น

หากผู้โจมตีสามารถยึดบัญชีผู้ใช้เพียงบัญชีเดียวได้ อาจนำไปสู่การเข้าถึงข้อมูลธุรกิจจำนวนมหาศาล รวมถึงสามารถเคลื่อนย้ายสิทธิ์ (Privilege Escalation) ไปยังระบบสำคัญอื่นได้อย่างรวดเร็ว

สัญญาณเตือนว่าอาจเกิด Account Takeover

องค์กรควรเฝ้าระวังพฤติกรรมต่อไปนี้

• การเข้าสู่ระบบจากประเทศหรือพื้นที่ที่ไม่เคยใช้งาน
• Impossible Travel Login
• การใช้อุปกรณ์ใหม่ที่ไม่เคยลงทะเบียน
• การเปลี่ยนรหัสผ่านหรือ MFA อย่างผิดปกติ
• การตั้งค่า Email Forwarding โดยไม่ได้รับอนุญาต
• การดาวน์โหลดข้อมูลจำนวนมาก
• การร้องขอสิทธิ์ OAuth จากแอปพลิเคชันที่ไม่รู้จัก

ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากแนะนำให้ใช้ Risk Scoring และ Behavioral Analytics แทนการอาศัยกฎแบบคงที่เพียงอย่างเดียว เนื่องจากช่วยลด False Positive และสามารถตรวจจับพฤติกรรมผิดปกติที่ซับซ้อนได้ดีกว่า

วิธีป้องกัน Account Takeover อย่างมีประสิทธิภาพ

ใช้ MFA ที่แข็งแกร่งกว่า SMS

ควรเลือกใช้

• Authenticator Application
• Push Authentication
• FIDO2 Security Key
• Passkeys

ซึ่งมีความปลอดภัยสูงกว่า SMS OTP และลดความเสี่ยงจากการโจมตีแบบ Phishing ได้มากกว่า

ใช้ Password Manager และรหัสผ่านไม่ซ้ำกัน

การใช้ Password Manager ช่วยสร้างรหัสผ่านที่แข็งแรงและแตกต่างกันในทุกระบบ ลดผลกระทบจาก Credential Stuffing ได้อย่างมีนัยสำคัญ

ใช้ Risk-Based Authentication

ระบบควรวิเคราะห์ปัจจัยหลายด้านร่วมกัน เช่น

• ตำแหน่งที่ตั้ง
• Device Fingerprint
• พฤติกรรมการใช้งาน
• Reputation ของ IP Address
• Login History

เพื่อประเมินความเสี่ยงก่อนอนุญาตให้เข้าสู่ระบบ

ตรวจจับพฤติกรรมผิดปกติแบบ Real-Time

การใช้ User and Entity Behavior Analytics (UEBA) หรือ Behavioral Analytics สามารถช่วยระบุความผิดปกติที่เกิดขึ้นหลังจากผู้โจมตีเข้าสู่ระบบได้แล้ว เช่น

• การเข้าถึงข้อมูลผิดปกติ
• การดาวน์โหลดไฟล์จำนวนมาก
• การเปลี่ยนแปลงสิทธิ์ผู้ใช้งาน
• การเคลื่อนไหวภายในระบบ (Lateral Movement)

เพิ่มการฝึกอบรม Cybersecurity Awareness

เนื่องจาก Phishing ยังคงเป็นจุดเริ่มต้นหลักของการยึดบัญชี การสร้างความตระหนักด้าน Cybersecurity ให้พนักงานสามารถสังเกตอีเมล เว็บไซต์ และคำขอเข้าสู่ระบบที่ผิดปกติได้ จะช่วยลดโอกาสการถูกโจมตีได้อย่างมาก

Account Takeover ไม่ใช่เพียงปัญหาของรหัสผ่านที่ถูกขโมยอีกต่อไป แต่เป็นผลลัพธ์จากการผสมผสานระหว่าง Phishing, AI, Credential Theft, Session Hijacking และการหลีกเลี่ยง MFA ในรูปแบบใหม่ ๆ

องค์กรที่ต้องการลดความเสี่ยงควรใช้แนวทางแบบหลายชั้น (Layered Security) ที่ประกอบด้วย MFA ที่แข็งแกร่ง การตรวจจับพฤติกรรมผู้ใช้งาน การประเมินความเสี่ยงแบบ Real-Time และการสร้าง Cybersecurity Awareness ให้กับพนักงานอย่างต่อเนื่อง เพราะในยุคปัจจุบัน การป้องกันเพียงรหัสผ่านและ MFA แบบเดิมอาจไม่เพียงพออีกต่อไปในการหยุดยั้งการยึดบัญชีผู้ใช้ที่กำลังเพิ่มขึ้นอย่างรวดเร็วทั่วโลก

#BigFish #CyberSecurity #AccountTakeover #ATO #IdentitySecurity #IdentityProtection #CyberThreats #CyberAttack #PhishingAttack #MFA #ZeroTrust #CyberAwareness #RiskBasedAuthentication #UEBA #ThreatDetection #DataProtection #InformationSecurity #CyberResilience #DigitalSecurity #CyberDefense #CybersecurityAwareness