พบเทคนิค Tycoon 2FA ทำการ Phishing ใน Microsoft 365 และ Gmail

พบผู้ไม่ประสงค์ดีใช้ Phishing Kit ชื่อ Tycoon 2FA ที่มีลักษณะเป็น Platform ของ Phishing-as-a-Service ที่ถูกออกแบบมาเพื่อหลีกเลี่ยง Two-factor และ Multifactor Authentication พบว่า Tycoon 2FA ได้แพร่กระจายใน Microsoft 365 และ Gmail

ความเสี่ยงและผลกระทบ

• ผู้ไม่ประสงค์ดีสามารถแอบอ้างตัวเป็นผู้ใช้ (Session Hijacking) เพื่ออ่านหรือขโมยประวัติการสนทนา, ส่งข้อความปลอม, เรียกดูไฟล์ผ่าน Microsoft Graph ตามสิทธิของ Token, สามารถขโมยข้อมูล, Social Engineering บุคลากรอื่นภายในองค์กร, Lateral movement และติดตั้ง Backdoor เพิ่มเติม แม้ว่าจะมีการเปิดใช้งาน 2FA/MFA แล้วใน Microsoft 365 และ Gmail ก็ตาม เสี่ยงต่อ Lateral Movement ผ่าน OAuth และ Application เชื่อมต่อ อาจเกิดการรั่วไหลข้อมูล และ ชื่อเสียงองค์กร

คำแนะนำ

• เปิดใช้ FIDO2/WebAuthn กับบัญชีที่มีความเสี่ยงสูง (Phishing-Resistant MFA) และปิด Legacy Auth บังคับ Session Revocation / Sign-In Frequency และ Continuous Access Evaluation เมื่อพบความเสี่ยง ตั้ง Conditional Access / Risk-Based policies (บล็อก Location และอุปกรณ์ผิดปกติ) ตั้ง Detection ใน SIEM เพื่อสร้าง rule หา web obfuscation (LZ-string/CryptoJS), DOM vanish, และ mailbox rule แปลก อบรมผู้ใช้ให้ตรวจโดเมนหน้าเข้าสู่ระบบและรายงานลิงก์ต้องสงสัย พร้อมสร้าง playbook ยกเลิก Session/Password Reset

Reference: https://cybersecuritynews.com/attack-techniques-of-tycoon-2fa-phishing-kit/ata-corruption/