Kurt โดนเข้าให้แล้ว

 (fly.io)
1 คะแนน โดย GN⁺ 2025-10-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บัญชีทวิตเตอร์ ของ Fly.io ถูกโจมตีแบบฟิชชิงและถูกยึด
  • CEO Kurt Mackey อธิบายลำดับเหตุการณ์ที่ทำให้ข้อมูลบัญชีรั่วไหลผ่าน อีเมลฟิชชิงที่ซับซ้อน
  • ภายในองค์กร บัญชีทวิตเตอร์ถูกมองว่าเป็น ทรัพย์สินที่มีความสำคัญต่ำ จึงหลุดจากลำดับความสำคัญด้านความปลอดภัย
  • เน้นย้ำความสำคัญของ การยืนยันตัวตนแบบต้านทานฟิชชิง (MFA, Passkeys, FIDO2 เป็นต้น) เพื่อป้องกันฟิชชิง
  • จากเหตุการณ์นี้ มีการกล่าวถึงความจำเป็นในการ ยกระดับความปลอดภัย MFA ของบัญชีทวิตเตอร์ และทบทวนการรับรู้ด้านความปลอดภัยใหม่

ภาพรวมเหตุการณ์ฟิชชิงบัญชีทวิตเตอร์ของ Fly.io

  • บัญชีทวิตเตอร์ของ Fly.io ถูกโจมตีแบบฟิชชิงและถูกยึด
  • CEO Kurt Mackey ได้รับอีเมลฟิชชิงที่ออกแบบมาอย่างแนบเนียน และป้อนข้อมูลบัญชีจนตกเป็นเป้าการโจมตี
  • ปัจจัยพื้นฐานที่ทำให้การโจมตีฟิชชิงสำเร็จ คือการที่บัญชีทวิตเตอร์นี้ถูก มองว่ามีความสำคัญเชิงวัตถุต่ำ และความเปราะบางทางจิตวิทยาของทีมที่ดูแลซึ่งไม่คุ้นเคยกับวัฒนธรรมอินเทอร์เน็ตรุ่นใหม่

รายละเอียดของการโจมตีฟิชชิง

  • Fly.io มอบหมายการดูแลช่องทางทวิตเตอร์บางส่วนให้ผู้รับจ้างภายนอกมานานแล้ว และไม่ได้คุ้นเคยกับคอนเทนต์แนวมีมสร้างสรรค์หรือคอนเทนต์ของคนรุ่นใหม่มากนัก
  • อีเมลฟิชชิงที่ใช้ในการโจมตีครั้งนี้ถูกออกแบบให้ดูเหมือนการแจ้งเตือนจริงจาก x.com (ทวิตเตอร์) โดยเจาะจุดทางจิตวิทยาที่ กระตุ้นความกังวลของผู้บริหาร
  • Kurt ดึงข้อมูลบัญชีจาก 1Password แล้วไปล็อกอินบนเว็บฟิชชิงที่ผู้โจมตีสร้างขึ้น
  • หลังการโจมตี ก็พบร่องรอยทันที เช่น อีเมลของบัญชีทวิตเตอร์ถูกเปลี่ยนเป็นของผู้โจมตี และภายในองค์กรได้ดำเนินขั้นตอน ตรวจสอบและตัดสิทธิ์การเข้าถึงทั้งหมด

กลยุทธ์ป้องกันฟิชชิงและสถานะความปลอดภัยขององค์กร

  • โดยทั่วไป การป้องกันฟิชชิงมีข้อจำกัดหากพึ่งพาแค่ “การอบรมพนักงาน” และจำเป็นต้อง ยอมรับว่าใครก็พลาดกดคลิกได้
  • มาตรการแก้ปัญหาระยะยาวคือใช้ การยืนยันตัวตนแบบต้านทานฟิชชิง (U2F, FIDO2, Passkeys เป็นต้น) โดยอาศัยโครงสร้างการยืนยันตัวตนสองทาง
  • โครงสร้างพื้นฐานภายในของ Fly.io ได้รับการปกป้องด้วย SSO และ MFA ที่ปลอดภัย ผ่าน Google IdP จึงมีจุดอ่อนอยู่ค่อนข้างเฉพาะในฝั่งทวิตเตอร์และระบบแบบเลกาซี
  • เหตุการณ์ครั้งนี้ทำให้องค์กรตระหนักว่าจำเป็นต้องใช้ ความปลอดภัยด้านการยืนยันตัวตนในระดับเดียวกัน กับพื้นที่ที่ไม่ใช่แกนหลัก เช่น บัญชีโซเชียลที่ใช้ร่วมกัน

การรับมือเหตุการณ์และกระบวนการกู้คืน

  • ผู้โจมตีเพิกถอนทุกเซสชันทันทีและพยายามรีเซ็ต 2FA ทำให้แม้ฝั่ง Fly.io จะเปลี่ยนรหัสผ่านอย่างรวดเร็ว ก็ยังต้องใช้เวลากว่าจะกู้บัญชีคืนได้
  • ด้วย การสนับสนุนแบบแมนนวลจาก X.com จึงกู้สิทธิ์ในบัญชีคืนได้ครบถ้วนภายในราว 15 ชั่วโมง
  • โดยรวมแล้วไม่มีการรั่วไหลของข้อมูลผู้ใช้หรือลูกค้า แต่เกิดความเสียหายต่อภาพลักษณ์แบรนด์ในระยะสั้นและเพิ่มภาระงานรับมือให้วิศวกร
  • ผู้โจมตีลบบันทึกบางส่วนของทวิตเตอร์ Fly.io ออกไป แต่ความเสียหายที่แท้จริงไม่มาก

บทสรุปและบทเรียน

  • บทเรียนสำคัญของเหตุการณ์นี้คือ “แม้แต่ CEO ก็ยังเชื่อถืออีเมลได้ง่าย และ ใครก็อาจตกเป็นเหยื่อฟิชชิงได้
  • จากนี้ไป ทุกบัญชีสำคัญจะต้องใช้ MFA ที่อิง Passkeys เป็นข้อบังคับ และมีแผนจะใช้เหตุการณ์นี้เป็นกรณีศึกษาในงานด้าน security compliance เช่น SOC2
  • ในการตัดสินใจด้านความปลอดภัยขององค์กร หากมีทรัพย์สินใดที่ยังไม่ได้ใช้ “การยืนยันตัวตนแบบต้านทานฟิชชิงและ SSO IdP” ต้องมองว่าเป็นปัจจัยเสี่ยงอย่างแน่นอน
  • หวังว่าเหตุการณ์นี้จะเป็นกรณีตัวอย่างที่ช่วยเตือนภัยให้องค์กรลักษณะคล้ายกัน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-10
ความคิดเห็นจาก Hacker News

  • ทุกครั้งที่บริษัทเก่าของผมต้องรับการตรวจสอบความปลอดภัยแบบ pentest ประจำปี บริษัทที่มาตรวจมักจะเสนอให้ลองทำการโจมตีแบบฟิชชิงหรือ social engineering ด้วย แต่ก็มักไม่แนะนำเพราะบอกว่ามันสำเร็จทุกครั้ง
    เรื่องที่จำได้คือ ถ้าบริษัทที่ทำ pentest จงใจทิ้ง USB ไว้ในลานจอดรถของบริษัท สุดท้ายจะต้องมีใครสักคนเก็บมันขึ้นมาแล้วลองเสียบเข้ากับพีซีในออฟฟิศ จนโดนแฮ็กในที่สุด
    ฟิชชิงก็จริงๆ แล้วไม่ได้ต่างกันมาก
    นี่เป็นจังหวะที่ดีในการตั้งค่า Passkeys ดู คู่มือ Passkeys

    • บริษัทของเราก็ทำการฝึกฟิชชิงกับทีมภายในเป็นประจำเหมือนกัน และอัตราคนที่ไม่กดลิงก์อยู่ที่ราว 90% (ไม่แน่ใจตัวเลขเป๊ะๆ)
      ถึงอย่างนั้นพอคิดว่า 10% คือ 1,500 คน ก็ยังทำให้ตกใจอยู่ดี
      ช่วงหลังเปลี่ยนโดเมนผู้ส่งอีเมลฟิชชิงให้เป็นโดเมนภายใน เลยไม่มีแบนเนอร์แจ้งว่าเป็นอีเมลภายนอกแบบที่เคยมี สุดท้ายผมเองก็โดนเหมือนกัน

    • มีคนพูดถึงกรณีเสียบ USB ที่มีคนเก็บมาแล้วโดนแฮ็ก ทำให้นึกถึงคำคมที่ผมชอบ
      เป็นคำพูดของผู้เกี่ยวข้องนิรนามในเหตุโจมตีโรงไฟฟ้านิวเคลียร์อิหร่านปี 2012 (Stuxnet)
      "จะมีไอ้งั่งที่ไม่คิดอะไรกับ USB ที่ถืออยู่เสมอ"

    • ปีที่แล้วผมได้รับอีเมลฟิชชิงที่ส่งมาที่อีเมลบริษัท และมันน่าเชื่อถือมาก
      ผมรู้ว่าเป็นฟิชชิง แต่ถ้าตอนนั้นยุ่งมากจริงๆ ก็คงอาจโดนได้
      เวลาเห็นเว็บฟิชชิงที่ทำมาเนียนแบบนี้ ผมชอบเปิดมันใน sandbox โดยตั้งใจ แล้วกรอกข้อมูลปลอมลงในฟอร์มเพื่อถ่วงเวลาคนโจมตี
      แต่กลายเป็นว่ามันถูกส่งมาจากบริษัท pentest ที่บริษัทเราจ้างเอง และใน URL มีโค้ดที่ผูกกับบัญชีของผมอยู่ เลยถูกนับว่าผมตกเป็นเหยื่อฟิชชิง ทั้งที่ผมไม่ได้กรอกข้อมูลอะไรเลย
      ถ้าจะตัดสินความสำเร็จของฟิชชิงด้วยเกณฑ์แบบนี้ ผมก็รู้สึกว่า pentest แทบไม่มีความหมาย

    • ถ้าการโดนแฮ็กเกิดจากการเผลอรันไฟล์ executable จาก USB drive หรือสื่อคล้ายกัน passkeys ก็คงช่วยอะไรไม่ได้
      ถ้าเป็น social engineering ที่หลอกให้ติดตั้งไฟล์สุ่มๆ ก็เหมือนกัน

    • มีคนบอกว่า Stuxnet ก็ถูกกระจายผ่าน USB drive แบบนี้เหมือนกัน แต่พูดตรงๆ ว่าผมไม่แน่ใจว่าในยุคนี้วิธีนี้ยังได้ผลอยู่ไหม

  • ผมเองก็เคยเกือบโดนฟิชชิงมาก่อน
    ตอนนั้นมองไม่ออกว่าโดเมนเนมถูกดัดแปลงไปนิดเดียว แล้วก็เผลอเข้าไป แต่โชคดีที่ hardware wallet ช่วยกันไว้ได้
    มันทำให้ผมตระหนักว่าไม่ว่าใคร ถ้ายุ่ง เหนื่อย หรือเผลอเพียงชั่วขณะ ก็อาจโดนฟิชชิงได้ทั้งนั้น
    อย่างที่ Thomas พูด การใช้ passkeys กับทุกบริการจึงสำคัญมาก

    • ถ้าคุ้นกับ ecosystem ของ Apple มี บทสอนที่เขียนไว้เอง ว่าจะทำ PassKey ในแอป iOS อย่างไร

    • ถ้าจะโต้แย้งอีกมุมหนึ่ง ผมคิดว่า passkeys ยังสับสนและมีข้อจำกัดเยอะ จนไม่ได้มีข้อดีชัดเจนกว่าใช้ password manager ดีๆ กับรหัสผ่านที่แข็งแรง

    • ผมเห็นด้วยมากกับประโยคที่ว่า "ไม่มีใครปลอดภัยจากฟิชชิงได้ 100%"
      เมื่อไม่กี่ปีก่อน เรายังทำให้หัวหน้าฝ่ายความปลอดภัยโดนฟิชชิงระหว่างการทดสอบได้เลย
      มันทำให้รู้สึกว่าทุกคนเสี่ยงจริงๆ

  • จากประเด็นฟิชชิงหลอกลวงของ Fly.io ผมคิดว่าถ้าการโจมตีครั้งนี้สร้างความเสียหายหนักจริง คงไม่มีทางถูกมองข้ามแบบสบายๆ แน่
    ถึงอย่างนั้นถ้ามีใครสูญเสียคริปโตจากลิงก์นั้นจริง ก็ยังอดกังวลไม่ได้ว่าความรับผิดชอบของ Fly.io อาจกลายเป็นประเด็นได้ไหม

  • มีงานวิจัยที่บอกว่าการฝึกฟิชชิงไม่ได้มีประสิทธิภาพมากนัก
    ดู "Understanding the Efficacy of Phishing Training in Practice"

    • คำแนะนำแบบ "อย่าใส่รหัสผ่านในเว็บไซต์ที่ไม่ควรใส่ ใส่เฉพาะในที่ที่ควรใส่" สุดท้ายก็เป็นแค่การพูดวนความเดิม
      คล้ายกับ 2FA แบบ SMS ที่บอกว่า "ห้ามบอกรหัสนี้กับใครเด็ดขาด!" แต่โครงสร้างจริงคือคุณต้องพิมพ์มันลงในเว็บไซต์ตอนล็อกอินและส่งต่อมันอยู่ดี
      ผมอึดอัดกับข้อความเตือนลักษณะนี้มาตลอด

    • ผมทำงานในอุตสาหกรรมที่ถูกกำกับดูแลเข้มงวด และเมื่อไม่กี่ปีก่อนหลังจากพนักงานคนหนึ่งโดนฟิชชิง หน่วยงานกำกับก็ขอบันทึกการทดสอบและการอบรมฟิชชิงย้อนหลัง 5 ปี
      สำหรับคนแบบพวกเรา การฝึกแบบนี้ก็เป็นความจำเป็นที่เลี่ยงไม่ได้

    • ในบทความต้นฉบับก็พูดถึงลิงก์ไปยังงานวิจัยชิ้นเดียวกันนี้อยู่แล้ว

    • ผมรู้สึกเชื่อมโยงกับประโยคที่ว่า "ลูก Zoomer ของเราบอกว่าผู้ใหญ่อย่างพวกเราดูเชยเกินกว่าจะเชื่อถือได้ในเรื่องพวกนี้"
      ถึงอย่างนั้นผมก็คิดว่าการรับมันด้วยอารมณ์ขันเป็นท่าทีที่ดี

  • อีเมลฟิชชิงแนว "คอนเทนต์ที่โพสต์บน X ละเมิดกฎ" มีเยอะมากจนผมได้รับแทบทุกสัปดาห์ เกิน 10 ฉบับด้วยซ้ำ
    เลยต้องเปลี่ยนตัวกรองอีเมลหลายรอบ (เพราะไม่ได้ง่ายที่จะจับแค่ตัวอักษร X และพวกมิจฉาชีพก็เปลี่ยนถ้อยคำตลอด)
    สุดท้ายผมถึงกับเปลี่ยนบริการรักษาความปลอดภัยอีเมลที่ใช้เดิม และแม้จะลองมาหลายเจ้า ก็มีแค่ Check Point ที่บล็อกอีเมลฟิชชิงเกี่ยวกับ X ได้ทั้งหมด (ไม่ใช่โฆษณา แค่ให้ข้อมูลอ้างอิง)
    จากมุมของบริษัทความปลอดภัยเอง มันน่าอายด้วยซ้ำที่หลายครั้งยังจับไม่ได้ ทั้งที่สัญญาณฟิชชิงชัดเจนมาก

  • ผมเองก็โดนการโจมตีฟิชชิงแบบเดียวกันนี้เมื่อไม่กี่เดือนก่อน
    ระดับของ UI engineering น่าทึ่งมากจริงๆ
    แชร์ภาพหน้าจอฟิชชิง

    • มีข่าวว่า Chromium กำลังพัฒนาการเพิ่มความสามารถ AI แบบ local ลงในเบราว์เซอร์ และผมคิดว่าสักวันหนึ่งสิ่งนี้อาจนำมาใช้ตรวจสอบความปลอดภัยได้
      อย่างเช่น สำหรับลิงก์ที่เปิดเป็นแท็บใหม่จากภายนอก AI อาจตรวจจับได้ว่า 'หน้านี้ดูเหมือนเว็บไซต์ดัง แต่ URL ไม่ตรง' แล้วเตือนผู้ใช้
      แค่ครอบคลุมเว็บไซต์ดังสัก 1,000 อันดับแรกก็น่าจะช่วยป้องกันเหตุฟิชชิงได้มากแล้ว

    • URL อย่าง "imagecontent-x.com" น่าจะเป็นเบาะแสที่ใครก็ควรระวัง

    • ผมสงสัยว่าในกรณีนั้น เบราว์เซอร์ไม่ได้กรอกข้อมูลล็อกอินให้อัตโนมัติหรือ
      แล้วเรื่องแบบนี้เกิดกับทราฟฟิกที่ legit บ่อยไหม และมีไอคอนรูปแม่กุญแจข้างแถบที่อยู่แสดงอย่างถูกต้องหรือเปล่า

  • พอเห็นว่าคนโจมตีทำทั้งหน้า landing page ปลอมและอีเมลฟิชชิงได้สมจริงมาก ก็ต้องยอมรับว่าน่าทึ่ง
    ปกติผมไม่ได้รู้เรื่องฝั่งคริปโตมากนัก เลยสงสัยว่าเหตุผลที่ผู้โจมตีบอกว่า "โอกาสสำเร็จต่ำและไม่มีความเสียหาย" นั้นอิงจากอะไร
    อยากรู้ว่าสามารถตามรอย wallet ที่ใช้ในหน้า landing page ปลอมเพื่อยืนยันได้ไหมว่าไม่มีความเสียหายจริง

  • มันย้ำให้เห็นอีกครั้งว่าการมี password manager ที่ทำงานได้ดีสำคัญแค่ไหน
    ถ้าคุณเป็นผู้ดูแลเว็บไซต์ ก็ควรใส่ใจไม่ให้ password manager ใช้งานพัง
    ถ้าเว็บไหนไม่ยอมให้ autofill รหัสผ่าน นั่นเป็นสัญญาณเตือนร้ายแรงทันทีสำหรับผม
    ผมมองว่า 2FA แบบใช้รหัสก็ไม่ได้ช่วยป้องกันฟิชชิงเลย
    เพราะถ้าผมล็อกอินได้ คนโจมตีก็ขโมยรหัส 2FA ไปได้เหมือนกัน ไม่ว่าจะใช้วิธีไหนก็ไม่ต่าง

    • คนที่สร้าง haveibeenpwned.com ก็เคยโดนฟิชชิงเหมือนกัน (ทั้งที่ใช้ password manager)

    • ผมสงสัยว่าควรทำความเข้าใจกับกรณีที่แม้แต่คนเก่งทางเทคนิคซึ่งใช้ password manager ก็ยังโดนฟิชชิงได้อย่างไร

    • ควรปิดฟังก์ชัน autofill
      เพราะการโจมตีสมัยใหม่มีเทคนิคอย่าง tapjacking ด้วย จึงเสี่ยงอันตราย

  • ตอนแรกผมสงสัยว่าทำไมโพสต์นี้ถึงขึ้นมาด้านบน แต่พอเห็นชื่อผู้เขียนตอนท้ายว่า Kurt ก็เข้าใจเลย
    บทเรียนคือ "ถ้าแม้แต่ Kurt ยังโดนได้ ใครๆ ก็โดนได้"
    ครั้งนี้ความเสียหายเล็กมากก็จริง แต่ทุกคนมีจุดบอดของตัวเอง และช่องโหว่แบบนี้มักซ่อนอยู่ตรงมุมที่ปล่อยผ่านโดยไม่ตั้งใจ
    ถ้าผู้โจมตีไม่ใช่แค่มิจฉาชีพธรรมดาแต่เป็นฝ่ายประสงค์ร้ายจริง พวกเขาอาจเริ่มจากบัญชีทางการของบริษัทแล้วทำ social engineering ต่อเนื่องไปได้อีก

    • น่าจะหมายถึงคนที่ชื่อ Kurt นั่นแหละ

  • ตัวบทความก็ดีมากอยู่แล้ว แต่เทคนิคฟิชชิงก็ดูประณีตมากจริงๆ

    • ได้ยินมาว่าฟิชชิงหลอกลวงแบบนี้กำลังระบาดช่วงหลัง และไม่ได้มีแค่พวกเราที่โดน
      แต่ก่อนเกิดเรื่องแบบนี้ขึ้น ผมไม่เคยรู้มาก่อน

    • มุกตลกแบบถ่อมตัวเองนั้นขำดี
      ผมเองก็จำได้ว่าเคยเกือบโดนอยู่ครั้งสองครั้งเหมือนกัน
      ปกติมักจะเพิ่งนึกได้ว่า 'แย่แล้ว' ก็หลังจากคลิกไปแล้ว และรีบล็อกบัญชีทันทีจนกันความเสียหายไว้ได้
      ภาพประกอบเกร็ดนี้