Microsoft เตือนภัย ‘Payroll Pirate’ แฮกเกอร์พันธุ์ใหม่ ฉกเงินเดือนผ่านระบบ HR

Microsoft ได้ออกมาเตือนถึงแคมเปญหลอกลวงครั้งใหม่ที่กำลังระบาดในชื่อ "Payroll Pirate" ซึ่งมีเป้าหมายคือพนักงานบริษัท โดยแฮกเกอร์จะส่งอีเมล Phishing เพื่อหลอกขโมยรหัสผ่านสำหรับเข้าระบบ HR บนคลาวด์อย่าง Workday หรือบริการอื่น ๆ ที่คล้ายกัน

ที่น่าสนใจคือ แก๊งนี้ไม่ได้หยุดแค่การขโมยรหัสผ่าน แต่ยังใช้เทคนิคที่เรียกว่า Adversary-in-the-middle ซึ่งเป็นการสร้างหน้าเว็บปลอมขึ้นมาดักรอระหว่างเหยื่อกับเว็บไซต์จริง ทำให้สามารถดักจับรหัสยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication หรือ MFA) ที่ส่งไปยังพนักงานได้แบบเรียลไทม์ เท่ากับว่าต่อให้มี MFA ก็ยังไม่รอด

เมื่อแฮกเกอร์เข้ามาในบัญชีของพนักงานได้แล้ว พวกเขาจะตรงเข้าไปแก้ไขข้อมูลบัญชีสำหรับรับเงินเดือน (Direct Deposit) ให้โอนเงินไปยังบัญชีที่ตัวเองควบคุมแทน และเพื่อไม่ให้เหยื่อรู้ตัว แฮกเกอร์ยังฉลาดพอที่จะสร้างกฎในอีเมล (Email Rules) เพื่อบล็อกหรือลบอีเมลแจ้งเตือนจากระบบ HR ที่ส่งมาบอกว่ามีการเปลี่ยนแปลงข้อมูล เรียกว่าปิดหูปิดตาเหยื่อได้อย่างแนบเนียน

Microsoft เปิดเผยว่าตั้งแต่เดือนมีนาคม 2025 เป็นต้นมา พบว่ามีบัญชีถูกแฮกสำเร็จไปแล้ว 11 บัญชีใน 3 มหาวิทยาลัย และบัญชีเหล่านั้นถูกใช้ส่งอีเมล Phishing ต่อไปยังอีเมลอีกเกือบ 6,000 บัญชีใน 25 มหาวิทยาลัย โดยหัวข้อที่ใช้ล่อก็มีตั้งแต่ "คุณอาจสัมผัสกับโรคติดต่อในที่ทำงาน" ไปจนถึง "มีการเปลี่ยนแปลงสวัสดิการพนักงาน"

เหตุการณ์นี้ตอกย้ำให้เห็นว่า MFA แบบที่ใช้รหัสครั้งเดียว (One-time Code) หรือการกดแจ้งเตือนผ่านแอป อาจไม่ปลอดภัยอีกต่อไป Microsoft จึงแนะนำให้องค์กรและพนักงานหันไปใช้การยืนยันตัวตนที่ได้มาตรฐาน FIDO (Fast Identity Online) เช่น Passkeys หรือกุญแจความปลอดภัยแบบ Physical Security Key ซึ่งยังไม่เคยมีรายงานว่าถูกเจาะด้วยวิธีนี้ได้เลย