แฮกเกอร์รุกคืบ แอบดัก 2FA ของเหยื่อได้แล้ว

การยืนยันตนแบบสองปัจจัย (2-Factor-Authentication หรือ 2-Step-Verification หรืออาจเรียกว่า Multi-Factor-Authentication) แต่ทั้งนี้นิยมเรียกสั้นๆ ว่า “2FA” เป็นขั้นตอนการยืนยันตนแบบแบบสองปัจจัย โดยปัจจัยแรกจะเป็นจากสิ่งที่เรารู้ และ ปัจจัยที่สองจะเป็นสิ่งที่เรามี ซึ่งปัจจัยแรกคือรหัสผ่าน (เรารู้เพราะเราตั้งเอง) ปัจจัยที่ 2 คือ รหัสอีกชุดที่ระบบส่งมาให้ทางมือถือ (เรามีเพราะได้รับจากระบบ) , Security Key (U2F) และ TOTP เป็นต้น

ปัจจัยที่ 2 ที่มักนำมาใช้ มี 4 ประเภทหลักที่ได้รับความนิยมคือ

1. SMS

   • ระบบจะขอให้ผู้ใช้ป้อนรหัส โดยทั่วไป คือ ตัวเลข 4-6 หลัก ที่ส่งเป็นข้อความไปยังมือถือ วิธีนี้เป็นตัวเลือกยอดนิยมเนื่องจากสะดวก สามารถใช้ผ่าน SMS ได้และไม่จำเป็นต้องติดตั้งแอปฯ ใดๆ
   • ข้อดี: ใช้งานง่าย สามารถใช้กับมือถือทุกประเภทเช่น แบบมีปุ่มกดอย่างเดียว
   ข้อเสีย: แฮกเกอร์สามารถดักจับ SMS ได้ ส่วนซิมการ์ดก็อาจถูก Copy ได้ อาจได้รับ SMS โฆษณาที่ไม่ต้องการ และใช้งานไม่ได้หากเดินทาง ตปท. โดยไม่ได้เปิดโรมมิ่ง

2. แอปฯ Authenticator (TOTP)

   • การใช้แอปฯ ที่เชื่อมต่อกับบัญชีผู้ใช้ เพื่อสร้างรหัส 2FA ภายในตัวเครื่อง ตัวอย่าง เช่น Google Authenticator ซึ่งเป็นที่นิยม เทคโนโลยีพื้นฐานสำหรับรูปแบบ 2FA นี้เรียกว่ารหัสผ่านครั้งเดียวตามกำหนดเวลา (TOTP หรือ Timed OTP) เช่น หมดอายุภายใน 60วินที
   • ข้อดี: ติดตั้งและใช้งานง่าย ที่สำคัญใช้งานได้แม้ไม่ได้เชื่อมต่ออินเทอร์เน็ต
   ข้อเสีย: ต้องใช้งานกับอุปกรณ์พวกสมาร์ทโฟนเท่านั้น เนื่องจากต้องลงแอปฯ

3. ยืนยันการเข้าถึงผ่านอุปกรณ์อื่นๆ (Push-based)

   • เป็นการยืนยันตนผ่านอุปกรณ์ที่เชื่อถือได้ที่ผู้ใช้ตั้งค่าไว้ เช่น Apple Trusted Devices หรือ Google Suite สามารถส่งข้อมูลการยืนยันโดยการ prompt ไปยังหน้าจออุปกรณ์อีกเครื่องของเราได้ โดยระบุว่ามีผู้ใช้ (ซึ่งอาจเป็นเรา) กำลังพยายามเข้าสู่ระบบ พร้อมข้อมูลตำแหน่งที่กำลังเข้าถึง (Location หรือ IP Address) จากนั้นเราสามารถอนุมัติหรือปฏิเสธการเข้าถึงได้
   • ข้อดี: ตัดความเสี่ยงเรื่อง Phishing ออกไปได้เลย เนื่องจากไม่ต้องไปที่ไปที่หน้าเว็บไซต์ใดๆ เพื่อกรอกรหัส และมีข้อมูลตำแหน่งที่กำลังเข้าถึง ซึ่งยากมากที่แฮกเกอร์จะมี IP Address เดียวกับเรา
   ข้อเสีย: การยืนยันลักษณะนี้ ไม่มีรูปแบบมาตรฐานเหมือน SMS หรือ แอปฯ Authenticator และต้องมีการเชื่อมต่อกับอินเทอร์เน็ต

4. FIDO U2F (Security Key)

   • Universal Second Factor (U2F) เป็นรูปแบบที่กำลังเริ่มแพร่หลายของ 2FA ซึ่งโดยทั่วไปจะเป็นอุปกรณ์ขนาดเล็กเสียบผ่านพอร์ต USB หรือใช้แตะแบบ NFC หรือผ่านสัญญาณ Bluetooth มักเรียกว่า “Security Key” ใช้เพื่อการตั้งค่าบนเว็บไซต์ที่เราลงทะเบียนผูกกับอุปกรณ์ U2F เอาไว้ เมื่อเข้าสู่ระบบเว็บไซต์จะแจ้งให้เราเชื่อมต่ออุปกรณ์และแตะเพื่ออนุญาตการเข้าสู่ระบบ
   • ข้อดี: U2F ถือว่าปลอดภัยที่สุดในบรรดา 2FA เนื่องจาก Security Key ไม่ต้องใช้การป้อนรหัสผ่านในหน้าเว็บไซต์ใดๆ แต่จะสร้างรหัสจดจำเฉพาะกับเว็บไซต์ที่ลงทะเบียนไว้แล้ว นอกจากปลอดภัยจาก Phishing แล้วยังเพิ่มความเป็นส่วนตัว
   ข้อเสีย: ความซับซ้อนในการติดตั้งและลงทะเบียน และผู้ใช้งานต้องพก Security Key ติดตัวตลอดเวลาที่ต้องการใช้งาน

ถึงแม้ 2FA จะเพิ่มความปลอดภัยอีกขั้นสำหรับผู้ใช้งาน และเป็นทางเลือกที่ถือว่าปลอดภัยที่สุดในปัจจุบันในการป้องกันการ Phishing แต่ 2FA ก็ถูกแฮกเกอร์สามารถได้เสียแล้ว โดยเมื่อเดือนที่แล้วในงาน Hack in the Box ในกรุงอัมสเตอร์ดัม ผู้เชี่ยวชาญได้นำเสนอเครื่องมือของแฮกเกอร์ที่สามารถ By Pass 2FA ได้ โดยเครื่องมือนี้มี 2 องค์ประกอบ คือ Muraena และ NecroBrowser ซึ่ง Muraena ทำงานเป็น Reverse Proxy ระหว่าง เป้าหมายและเว็บไซต์ที่เป้าหมายกำลังเข้าใช้งานอยู่ และ NecroBrowser ที่จะเป็นหน้าเว็บแบบเต็มจอDocker Container สำหรับแสดงผลหน้าเว็บบน Chrome แบบ Full Screen เต็มจอ

Muraena และ NecroBrowser ทำงานอย่างไร

แฮกเกอร์สามารถเจาะผ่าน 2FA โดยโจมตีแบบ Phishing ซึ่งหลอกล่อให้ผู้ใช้ที่ไม่รอบคอบเปิดเผยข้อมูลส่วนตัวของตน โดยใช้เครื่องมือสองอย่างที่เรียกว่า Muraena และ NecroBrowser ซึ่งทำงานควบคู่กัน

Muraena เขียนด้วยภาษาโปรแกรม Go ซึ่งหมายความว่ามันสามารถ Complie และรันบนแพลตฟอร์มใด ๆ ที่ใช้ Go ได้ แฮกเกอร์สามารถกำหนดค่าโดเมนของเว็บไซต์ Phishing

เครื่องมือนี้ใช้เว็บเซิร์ฟเวอร์ขนาดเล็กที่ทำหน้าที่เป็น Reverse Proxy และซอฟต์แวร์รวบรวมข้อมูลซึ่งทำการ Proxy จากเว็บไซต์จริง โดยทำการ Rewrite Request ที่ได้รับจากเหยื่อก่อนส่งต่อ

ค่าไฟล์ JSON Configuration จะถูกสร้างโดยอัตโนมัติ ในไฟล์จะมีไฟล์ตัวอย่างการตั้งค่าสำหรับ Google, GitHub และ Dropbox ซึ่งแฮกเกอร์สามารถปรับแต่งด้วยตนเองเพื่อหลบเลี่ยงการป้องกันแบบต่าง ๆ บนเว็บไซต์

เมื่อเหยื่อหลงเข้าไปยังเว็บไซต์ Phishing ที่ทำงานโดย Muraena จะถูกล่อให้เข้าสู่ระบบเหมือนกับบนเว็บไซต์จริง ผู้ใช้จะถูกถามถึงรหัส 2FA เมื่อเหยื่อป้อนรหัสและผ่านการรับรองความถูกต้องแล้ว Proxy จะขโมยข้อมูลการเข้าระบบและการใช้งาน เช่นไฟล์ Cookie ของเหยื่อ โดยปกติแล้ว ข้อมูลดังกล่าวจะถูกจัดเก็บโดยเบราว์เซอร์ภายในไฟล์ Cookie สิ่งนี้ช่วยให้เบราว์เซอร์นั้นสามารถเข้าถึงบัญชีของผู้ใช้โดยอัตโนมัติในระยะเวลาหนึ่งโดยไม่ต้องขอรหัสผ่านการเข้าสู่ระบบจากผู้ใช้อีก Muraena สามารถส่งไฟล์ Cookie ที่รวบรวมไปยัง NecroBrowser ซึ่งสามารถสร้างหน้าต่างเพื่อติดตามบัญชีส่วนตัวของเหยื่อนับหมื่นรายพร้อมกัน

กระบวนการทั้งหลายทั้งปวงทำงานแบบอัตโนมัติผ่านเบราว์เซอร์ที่เรียกว่าซอมบี้ ตัวอย่างเช่น การจับภาพหน้าจออีเมลของเหยื่อ การสั่งรีเซ็ตรหัสผ่าน เบราว์เซอร์ตัวนี้ยังใช้เพื่อรวบรวมข้อมูลเกี่ยวกับผู้ติดต่อและเพื่อน ๆ ในเครือข่ายสังคมออนไลน์และแม้แต่การส่งข้อความ Phishing ไปยังเพื่อนเหล่านั้นในลักษณะคล้ายการโจมตีด้วยเวิร์ม

การสังเกตเป็นตัวช่วยที่สำคัญสำหรับการโจมตีแบบฟิชชิ่ง เพราะถ้าเห็นว่ามีอะไรแปลก ๆ ที่น่าสงสัย ไม่ควรคลิก โดยเฉพาะการไม่คลิกลิงก์ในอีเมลที่น่าสงสัย ตรวจสอบที่อยู่เว็บในเบราว์เซอร์ก่อนป้อนข้อมูล เรียกดูเว็บไซต์โดยใช้ HTTPS เท่านั้น และอ่านอีเมลอย่างระมัดระวังเสมอ รวมทั้งหลีกเลี่ยงการป้อนข้อมูลที่สำคัญ เช่น ข้อมูลส่วนตัว รหัสผ่าน เมื่อใช้ Wi-Fi สาธารณะ หากสงสัยว่าข้อมูลส่วนตัว อาจรั่วไหลให้รีบเปลี่ยนรหัสผ่านทันที

อ้างอิงที่มา:

• https://finance.yahoo.com/news/hackers-now-bypass-two-factor-html
• https://www.csoonline.com/article/3399858/phishing-attacks-that-bypass-2-factor-authentication-are-now-easier-to-execute.html
• https://venturebeat.com/2017/09/24/a-guide-to-common-types-of-two-factor-authentication/