Skip to content Skip to footer

MFA ไม่พอแล้ว: เมื่อ Phishing-as-a-Service ขโมย Session ได้ก่อนองค์กรรู้ตัว

Article,News & Events

MFA ไม่พอแล้ว: เมื่อ Phishing-as-a-Service ขโมย Session ได้ก่อนองค์กรรู้ตัว

ในช่วงหลายปีที่ผ่านมา องค์กรจำนวนมากเร่งลงทุนด้าน Cybersecurity โดยเฉพาะการบังคับใช้งาน Multi-Factor Authentication (MFA) เพื่อป้องกันการถูกขโมยบัญชีผู้ใช้งาน หลายคนจึงเชื่อว่า “เมื่อเปิด MFA แล้ว ก็ปลอดภัยเพียงพอ”

แต่ในปี 2026 ความเชื่อนี้กำลังถูกท้าทายอย่างจริงจัง

จากการค้นพบของนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ พบว่าแพลตฟอร์ม Phishing-as-a-Service (PhaaS) รุ่นใหม่ เช่น BlueKit สามารถโจมตีผู้ใช้งานโดยไม่จำเป็นต้องเจาะระบบหรือเดารหัสผ่านอีกต่อไป หากแต่ใช้เทคนิคขโมย Authenticated Session หลังจากผู้ใช้ยืนยันตัวตนสำเร็จแล้ว

กล่าวอีกนัยหนึ่งคือ…

ผู้ใช้ทำทุกอย่างถูกต้อง

ใส่ Username

ใส่ Password

กรอก OTP

ยืนยัน MFA ครบทุกขั้นตอน

แต่สุดท้าย Hacker กลับ Login เข้าใช้งานแทนได้อยู่ดี

นี่คือเหตุผลที่หลายองค์กรเริ่มตั้งคำถามว่า

“MFA ยังเพียงพอหรือไม่?”


ปัญหาไม่ได้อยู่ที่ Password อีกต่อไป

ในอดีต การโจมตีมักมุ่งเน้นไปที่การขโมยรหัสผ่าน

  • Brute Force
  • Password Spray
  • Credential Stuffing

แต่ปัจจุบันผู้โจมตีรู้ดีว่า

“ถ้าผู้ใช้เปิด MFA แล้ว ก็ไม่จำเป็นต้องขโมย Password”

สิ่งที่มีค่ากว่าคือ

Session Cookie

หลังจากผู้ใช้ Login สำเร็จ ระบบ Cloud เช่น Microsoft 365, Google Workspace หรือ SaaS ต่าง ๆ จะสร้าง Session เพื่อยืนยันว่าผู้ใช้งานผ่านการตรวจสอบตัวตนแล้ว

เมื่อผู้โจมตีสามารถขโมย Session นี้ได้ ก็สามารถเข้าใช้งานระบบในฐานะผู้ใช้ได้ทันที โดยไม่ต้องผ่าน MFA อีกครั้ง

จึงเกิดคำว่า

Session Hijacking

ซึ่งกำลังกลายเป็นเทคนิคที่ได้รับความนิยมมากขึ้นอย่างต่อเนื่อง


BlueKit เปลี่ยนเกมของการโจมตี Phishing อย่างไร

BlueKit เป็นแพลตฟอร์ม Phishing-as-a-Service ที่ถูกออกแบบให้ใช้งานง่าย แม้ผู้โจมตีจะไม่มีความเชี่ยวชาญด้านเทคนิคมากนัก

วิธีการทำงานมีลักษณะคล้ายกับการเป็น “คนกลาง”

  1. ผู้ใช้เปิดหน้า Login ปลอม
  2. หน้าเว็บปลอมเชื่อมต่อกับ Microsoft ของจริงแบบ Real-time
  3. ผู้ใช้กรอก Username
  4. ผู้ใช้กรอก Password
  5. ผู้ใช้ยืนยัน MFA
  6. BlueKit ดัก Session Cookie หลัง Login สำเร็จ
  7. ผู้โจมตีใช้ Session เดียวกันเข้าใช้งานแทนผู้ใช้

ผู้ใช้แทบไม่สามารถสังเกตเห็นความผิดปกติได้ เพราะหน้า Login ที่เห็นแทบเหมือนของจริงทุกประการ


ทำไมองค์กรที่ใช้ Microsoft 365 จึงต้องระวังเป็นพิเศษ

Microsoft 365 กลายเป็นเป้าหมายอันดับต้น ๆ ของผู้โจมตี เนื่องจากบัญชีเดียวสามารถเข้าถึงข้อมูลสำคัญได้จำนวนมาก เช่น

  • Email
  • Teams
  • SharePoint
  • OneDrive
  • Azure Portal
  • Power Platform
  • Copilot
  • ระบบ Single Sign-On ไปยัง Application อื่น

หาก Session ของผู้ดูแลระบบ (Administrator) ถูกขโมย ผลกระทบอาจไม่ได้จำกัดอยู่แค่ Email แต่สามารถลุกลามไปถึงโครงสร้างพื้นฐานขององค์กรทั้งหมด


MFA ยังจำเป็น แต่ไม่เพียงพอ

ประเด็นสำคัญคือ

MFA ไม่ได้ล้มเหลว

แต่ภัยคุกคามได้พัฒนาไปไกลกว่ากลไกที่ MFA ถูกออกแบบมาเพื่อป้องกัน

MFA มีหน้าที่พิสูจน์ตัวตนของผู้ใช้

แต่ไม่ได้ถูกออกแบบมาเพื่อป้องกันการถูกขโมย Session หลัง Login สำเร็จ

ดังนั้น องค์กรจำเป็นต้องยกระดับการป้องกันในหลายด้านร่วมกัน เช่น

  • ใช้ Phishing-Resistant MFA เช่น Passkeys หรือ FIDO2 Security Keys
  • จำกัดการใช้งานผ่าน Conditional Access และ Zero Trust
  • ตรวจจับ Session ที่ผิดปกติ เช่น Impossible Travel หรือ Token Reuse
  • บริหารจัดการสิทธิ์การเข้าถึง (Identity Governance) อย่างเหมาะสม
  • เพิ่มการตรวจสอบพฤติกรรมผู้ใช้งาน (Behavior Analytics)
  • ฝึกอบรมพนักงานให้รู้เท่าทันเทคนิค Phishing รูปแบบใหม่

จากการป้องกันบัญชี สู่การบริหาร Identity Security

หลายองค์กรยังมองว่า Identity Security คือการตั้งรหัสผ่านที่แข็งแรงและเปิด MFA

แต่ในความเป็นจริง Identity Security ในปัจจุบันครอบคลุมมากกว่านั้น ได้แก่

  • การควบคุมสิทธิ์การเข้าถึง
  • การตรวจสอบบัญชีที่มีสิทธิ์สูง
  • การจัดการ Session
  • การบริหาร Lifecycle ของบัญชีผู้ใช้
  • การตรวจจับพฤติกรรมผิดปกติ
  • การกำหนดนโยบายการเข้าถึงตามความเสี่ยง (Risk-Based Access)

Identity จึงกลายเป็น “แนวป้องกันด่านแรก” ขององค์กรยุค Cloud และ AI


มาตรฐาน ISO/IEC 27001 และ AI Governance เกี่ยวข้องอย่างไร

แม้เหตุการณ์ลักษณะนี้จะเกิดจากเทคนิคการโจมตีใหม่ แต่หลักการด้านการบริหารความมั่นคงปลอดภัยยังคงสอดคล้องกับมาตรฐานสากล เช่น

  • การบริหารการเข้าถึง (Access Control)
  • การจัดการข้อมูลยืนยันตัวตน (Authentication Information)
  • การบริหารสิทธิ์ผู้ใช้งาน (Privileged Access Management)
  • การตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย (Monitoring & Logging)
  • การตอบสนองต่อเหตุการณ์ (Incident Response)

สำหรับองค์กรที่เริ่มใช้งาน AI Agent หรือเชื่อมต่อระบบ AI เข้ากับข้อมูลภายใน ความเสี่ยงจาก Session Hijacking อาจขยายผลได้มากกว่าเดิม เนื่องจาก AI มีสิทธิ์เข้าถึงข้อมูลจำนวนมากและทำงานแทนผู้ใช้งานได้โดยอัตโนมัติ จึงควรมีการกำกับดูแลด้าน AI Governance ควบคู่กับการบริหาร Identity Security

Related Content