ทีมแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลรัสเซีย ถูกตรวจพบว่าใช้กลวิธีฟิชชิ่งแบบแนบเนียนใหม่ ที่สามารถเลี่ยงระบบยืนยันตัวตนสองขั้นของ Gmail ได้ โดยอาศัยฟีเจอร์ที่ไม่เป็นที่รู้จักมากนักอย่าง “รหัสเฉพาะแอป” (App-Specific Password หรือ ASP) ของ Google รายงานจาก Google Threat Intelligence Group ระบุว่าการโจมตีดำเนินมาตั้งแต่เดือนเมษายนถึงต้นเดือนมิถุนายน
โดยแฮกเกอร์แฝงตัวเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ ส่งอีเมลถึงเป้าหมายโดยใช้ภาษาที่สมบูรณ์แบบ และมีการใส่ที่อยู่อีเมลปลอมในโดเมน @state.gov อย่างแนบเนียน
เป้าหมายรายหนึ่งคือ Keir Giles นักวิจัยจาก Chatham House ในสหราชอาณาจักร ซึ่งมีการโต้ตอบอีเมลกับผู้แอบอ้างชื่อ “Claudie S. Weber” มากกว่าสิบครั้ง โดยข้อความทั้งหมดส่งมาตามเวลาทำการในกรุงวอชิงตัน แสดงถึงความประณีตของผู้โจมตีที่ใช้เวลาเป็นสัปดาห์ในการสร้างความไว้วางใจ จากนั้นผู้แอบอ้างจึงส่งเอกสาร PDF ปลอมความยาว 6 หน้า ใช้หัวจดหมายของกระทรวงการต่างประเทศสหรัฐฯ พร้อมคำแนะนำให้เหยื่อเข้าสู่หน้าตั้งค่าบัญชี Google สร้างรหัส ASP ความยาว 16 ตัว ภายใต้ชื่อ “ms.state.gov” และส่งรหัสกลับมา ซึ่งเปิดทางให้ผู้โจมตีเข้าถึงบัญชี Gmail ได้อย่างถาวรโดยไม่ต้องผ่านระบบยืนยันตัวตนสองขั้น
นักวิจัยจาก Citizen Lab ซึ่งได้รับการร้องขอให้ตรวจสอบกรณีดังกล่าว ระบุว่านี่เป็นการโจมตีที่ซับซ้อนและละเอียดอ่อน โดยไม่มีข้อผิดพลาดทางภาษาที่มักพบในการโจมตีฟิชชิ่งทั่วไป และคาดว่าแฮกเกอร์อาจใช้เครื่องมือปัญญาประดิษฐ์ในการขัดเกลาภาษาให้ดูเป็นธรรมชาติเพื่อหลีกเลี่ยงความสงสัย Google ยังเชื่อมโยงกรณีนี้กับอีกแคมเปญที่มีธีมเกี่ยวกับยูเครน โดยพบว่าแฮกเกอร์ใช้ IP จากพร็อกซีที่พักอาศัยร่วมกันในการโจมตีเหยื่อต่างราย ปัจจุบัน Google ได้เพิกถอนรหัส ASP ที่ถูกขโมย ล็อกบัญชีที่ได้รับผลกระทบ และแจ้งเตือนผู้ใช้งานเพิ่มเติม พร้อมแนะนำให้บุคคลที่มีความเสี่ยงสูงเปิดใช้ฟีเจอร์ Advanced Protection และตรวจสอบการตั้งค่าบัญชีอย่างสม่ำเสมอเพื่อหาการใช้งาน ASP ที่ยังตกค้างอยู่
แหล่งข่าว https://www.securityweek.com/russian-hackers-bypass-gmail-mfa-with-app-specific-password-ruse/
ที่มา : thaicert / วันที่เผยแพร่ 20 มิถุนายน 2568
Link : https://www.thaicert.or.th/2025/06/20/แฮกเกอร์รัสเซียหลอกเหย/
