
ในช่วงหลายปีที่ผ่านมา องค์กรจำนวนมากเร่งลงทุนด้าน Cybersecurity โดยเฉพาะการบังคับใช้งาน Multi-Factor Authentication (MFA) เพื่อป้องกันการถูกขโมยบัญชีผู้ใช้งาน หลายคนจึงเชื่อว่า “เมื่อเปิด MFA แล้ว ก็ปลอดภัยเพียงพอ”
แต่ในปี 2026 ความเชื่อนี้กำลังถูกท้าทายอย่างจริงจัง
จากการค้นพบของนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ พบว่าแพลตฟอร์ม Phishing-as-a-Service (PhaaS) รุ่นใหม่ เช่น BlueKit สามารถโจมตีผู้ใช้งานโดยไม่จำเป็นต้องเจาะระบบหรือเดารหัสผ่านอีกต่อไป หากแต่ใช้เทคนิคขโมย Authenticated Session หลังจากผู้ใช้ยืนยันตัวตนสำเร็จแล้ว
กล่าวอีกนัยหนึ่งคือ…
ผู้ใช้ทำทุกอย่างถูกต้อง
ใส่ Username
ใส่ Password
กรอก OTP
ยืนยัน MFA ครบทุกขั้นตอน
แต่สุดท้าย Hacker กลับ Login เข้าใช้งานแทนได้อยู่ดี
นี่คือเหตุผลที่หลายองค์กรเริ่มตั้งคำถามว่า
“MFA ยังเพียงพอหรือไม่?”
ปัญหาไม่ได้อยู่ที่ Password อีกต่อไป
ในอดีต การโจมตีมักมุ่งเน้นไปที่การขโมยรหัสผ่าน
- Brute Force
- Password Spray
- Credential Stuffing
แต่ปัจจุบันผู้โจมตีรู้ดีว่า
“ถ้าผู้ใช้เปิด MFA แล้ว ก็ไม่จำเป็นต้องขโมย Password”
สิ่งที่มีค่ากว่าคือ
Session Cookie
หลังจากผู้ใช้ Login สำเร็จ ระบบ Cloud เช่น Microsoft 365, Google Workspace หรือ SaaS ต่าง ๆ จะสร้าง Session เพื่อยืนยันว่าผู้ใช้งานผ่านการตรวจสอบตัวตนแล้ว
เมื่อผู้โจมตีสามารถขโมย Session นี้ได้ ก็สามารถเข้าใช้งานระบบในฐานะผู้ใช้ได้ทันที โดยไม่ต้องผ่าน MFA อีกครั้ง
จึงเกิดคำว่า
Session Hijacking
ซึ่งกำลังกลายเป็นเทคนิคที่ได้รับความนิยมมากขึ้นอย่างต่อเนื่อง
BlueKit เปลี่ยนเกมของการโจมตี Phishing อย่างไร
BlueKit เป็นแพลตฟอร์ม Phishing-as-a-Service ที่ถูกออกแบบให้ใช้งานง่าย แม้ผู้โจมตีจะไม่มีความเชี่ยวชาญด้านเทคนิคมากนัก
วิธีการทำงานมีลักษณะคล้ายกับการเป็น “คนกลาง”
- ผู้ใช้เปิดหน้า Login ปลอม
- หน้าเว็บปลอมเชื่อมต่อกับ Microsoft ของจริงแบบ Real-time
- ผู้ใช้กรอก Username
- ผู้ใช้กรอก Password
- ผู้ใช้ยืนยัน MFA
- BlueKit ดัก Session Cookie หลัง Login สำเร็จ
- ผู้โจมตีใช้ Session เดียวกันเข้าใช้งานแทนผู้ใช้
ผู้ใช้แทบไม่สามารถสังเกตเห็นความผิดปกติได้ เพราะหน้า Login ที่เห็นแทบเหมือนของจริงทุกประการ
ทำไมองค์กรที่ใช้ Microsoft 365 จึงต้องระวังเป็นพิเศษ
Microsoft 365 กลายเป็นเป้าหมายอันดับต้น ๆ ของผู้โจมตี เนื่องจากบัญชีเดียวสามารถเข้าถึงข้อมูลสำคัญได้จำนวนมาก เช่น
- Teams
- SharePoint
- OneDrive
- Azure Portal
- Power Platform
- Copilot
- ระบบ Single Sign-On ไปยัง Application อื่น
หาก Session ของผู้ดูแลระบบ (Administrator) ถูกขโมย ผลกระทบอาจไม่ได้จำกัดอยู่แค่ Email แต่สามารถลุกลามไปถึงโครงสร้างพื้นฐานขององค์กรทั้งหมด
MFA ยังจำเป็น แต่ไม่เพียงพอ
ประเด็นสำคัญคือ
MFA ไม่ได้ล้มเหลว
แต่ภัยคุกคามได้พัฒนาไปไกลกว่ากลไกที่ MFA ถูกออกแบบมาเพื่อป้องกัน
MFA มีหน้าที่พิสูจน์ตัวตนของผู้ใช้
แต่ไม่ได้ถูกออกแบบมาเพื่อป้องกันการถูกขโมย Session หลัง Login สำเร็จ
ดังนั้น องค์กรจำเป็นต้องยกระดับการป้องกันในหลายด้านร่วมกัน เช่น
- ใช้ Phishing-Resistant MFA เช่น Passkeys หรือ FIDO2 Security Keys
- จำกัดการใช้งานผ่าน Conditional Access และ Zero Trust
- ตรวจจับ Session ที่ผิดปกติ เช่น Impossible Travel หรือ Token Reuse
- บริหารจัดการสิทธิ์การเข้าถึง (Identity Governance) อย่างเหมาะสม
- เพิ่มการตรวจสอบพฤติกรรมผู้ใช้งาน (Behavior Analytics)
- ฝึกอบรมพนักงานให้รู้เท่าทันเทคนิค Phishing รูปแบบใหม่
จากการป้องกันบัญชี สู่การบริหาร Identity Security
หลายองค์กรยังมองว่า Identity Security คือการตั้งรหัสผ่านที่แข็งแรงและเปิด MFA
แต่ในความเป็นจริง Identity Security ในปัจจุบันครอบคลุมมากกว่านั้น ได้แก่
- การควบคุมสิทธิ์การเข้าถึง
- การตรวจสอบบัญชีที่มีสิทธิ์สูง
- การจัดการ Session
- การบริหาร Lifecycle ของบัญชีผู้ใช้
- การตรวจจับพฤติกรรมผิดปกติ
- การกำหนดนโยบายการเข้าถึงตามความเสี่ยง (Risk-Based Access)
Identity จึงกลายเป็น “แนวป้องกันด่านแรก” ขององค์กรยุค Cloud และ AI
มาตรฐาน ISO/IEC 27001 และ AI Governance เกี่ยวข้องอย่างไร
แม้เหตุการณ์ลักษณะนี้จะเกิดจากเทคนิคการโจมตีใหม่ แต่หลักการด้านการบริหารความมั่นคงปลอดภัยยังคงสอดคล้องกับมาตรฐานสากล เช่น
- การบริหารการเข้าถึง (Access Control)
- การจัดการข้อมูลยืนยันตัวตน (Authentication Information)
- การบริหารสิทธิ์ผู้ใช้งาน (Privileged Access Management)
- การตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย (Monitoring & Logging)
- การตอบสนองต่อเหตุการณ์ (Incident Response)
สำหรับองค์กรที่เริ่มใช้งาน AI Agent หรือเชื่อมต่อระบบ AI เข้ากับข้อมูลภายใน ความเสี่ยงจาก Session Hijacking อาจขยายผลได้มากกว่าเดิม เนื่องจาก AI มีสิทธิ์เข้าถึงข้อมูลจำนวนมากและทำงานแทนผู้ใช้งานได้โดยอัตโนมัติ จึงควรมีการกำกับดูแลด้าน AI Governance ควบคู่กับการบริหาร Identity Security






