นักวิจัยด้านความปลอดภัยพบฟิชชิ่งรูปแบบใหม่ชื่อ Starkiller ซึ่งเป็น phishing-as-a-service (PhaaS) ที่ซับซ้อนและตรวจจับได้ยากมาก ต่างจากฟิชชิ่งทั่วไปที่ทำเว็บปลอมเลียนแบบ โดย Starkiller จะดึง หน้าเว็บล็อกอินจริง 100% ของแบรนด์ดัง เช่น Microsoft, Google และ Apple มาแสดงผ่านระบบ Proxy โดยรันเบราว์เซอร์แบบ Headless อยู่บนเซิร์ฟเวอร์ของแฮกเกอร์ ทำให้เหยื่อเห็นหน้าเว็บจริงแบบเรียลไทม์ ไม่มีจุดผิดสังเกตแบบเว็บปลอมทั่วไป

เมื่อเหยื่อกรอก username, password และรหัส MFA ข้อมูลทั้งหมดและ session token ทุกอย่างถูกส่งผ่านโครงสร้างของแฮกเกอร์ จะถูกดักจับทันที แม้ MFA จะทำงานปกติ แต่แฮกเกอร์สามารถขโมย session และเข้าสู่บัญชีได้โดยไม่ต้องใช้รหัสซ้ำ (Session Hijacking) ถือเป็นการก้าวข้ามข้อจำกัดของฟิชชิ่งแบบเดิมอย่างมาก และเปิดโอกาสให้แฮกเกอร์ระดับล่างทำการโจมตีขั้นสูงได้ง่ายขึ้น การพึ่งพาเพียงแค่ MFA แบบเดิมอาจไม่เพียงพออีกต่อไป

คำแนะนำป้องกัน

• ใช้ Hardware Security Key (เช่น YubiKey) แทน OTP ทั่วไป
• เปิดระบบตรวจจับพฤติกรรมการล็อกอินผิดปกติ
• ตรวจสอบโดเมนบน Address Bar ทุกครั้งก่อนกรอกข้อมูล แม้หน้าเว็บจะดูเหมือนของจริงก็ตาม

ที่มา krebsonsecurity