Outlook Add-in ถูกแฮก ขโมย 4,000 บัญชี
เตือนภัย Outlook Add-in ถูกแฮก ขโมยกว่า 4,000 บัญชี Microsoft ⚠️
เกิดเหตุด้านความปลอดภัยครั้งสำคัญ เมื่อ Add-in บน Microsoft Store สำหรับ Outlook ชื่อว่า AgreeTo ถูกยึดครอง (Hijacked) และถูกดัดแปลงให้กลายเป็นเครื่องมือฟิชชิ่ง (Phishing Kit) ส่งผลให้มีบัญชี Microsoft กว่า 4,000 บัญชี ถูกขโมยข้อมูลล็อกอินไป 😨
เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงใหม่ในระบบ Cloud และ Marketplace ที่องค์กรจำนวนมากอาจมองข้าม
AgreeTo คืออะไร และถูกโจมตีได้อย่างไร?
AgreeTo เดิมเป็น Add-in สำหรับจัดตารางนัดหมายใน Outlook พัฒนาโดยผู้พัฒนาอิสระ และเปิดให้ดาวน์โหลดผ่าน Microsoft Office Add-in Store ตั้งแต่เดือนธันวาคม 2022
โดยปกติแล้ว Office Add-in ทำงานผ่าน URL ที่ดึงข้อมูลจากเซิร์ฟเวอร์ของผู้พัฒนา ในกรณีของ AgreeTo ใช้โดเมนที่โฮสต์บน Vercel (outlook-one.vercel.app)
ปัญหาเกิดขึ้นเมื่อผู้พัฒนาตัวจริง “เลิกดูแลโปรเจกต์” แต่ Add-in ยังคงอยู่บน Microsoft Store ทำให้ผู้ไม่หวังดีสามารถเข้ายึด URL เดิม และฝังหน้า Phishing ปลอมเข้าไปแทน 🔥
กลไกการโจมตี: หลอกล็อกอินผ่าน Outlook โดยตรง
นักวิจัยจาก Koi Security พบว่าแฮกเกอร์ได้:
-
สร้างหน้า Login Microsoft ปลอม
-
ฝังสคริปต์ขโมยรหัสผ่าน
-
ส่งข้อมูลผ่าน Telegram Bot API
-
รีไดเรกต์เหยื่อกลับไปหน้า Login จริง เพื่อลดความสงสัย
เมื่อผู้ใช้เปิด Add-in ใน Outlook แทนที่จะเห็นหน้าจัดตารางนัด กลับปรากฏหน้า Login ปลอมใน Sidebar ซึ่งดูเหมือนของจริงมาก 🧠
ข้อมูลที่ถูกขโมยไปประกอบด้วย:
-
Username / Password บัญชี Microsoft
-
หมายเลขบัตรเครดิต
-
คำตอบคำถามความปลอดภัยธนาคาร
รวมแล้วมากกว่า 4,000 บัญชี!
จุดอ่อนสำคัญของระบบ Add-in
หนึ่งในประเด็นที่น่ากังวลคือ:
หลังจาก Add-in ผ่านการอนุมัติบน Microsoft Store แล้ว จะไม่มีการตรวจสอบโค้ดฝั่งเซิร์ฟเวอร์ซ้ำอีก
Microsoft ตรวจสอบเพียงไฟล์ manifest และเซ็นรับรองเท่านั้น
แต่ UI และโค้ดจริงจะถูกโหลดจากเซิร์ฟเวอร์ของผู้พัฒนา ซึ่งในกรณีนี้ถูกแฮกเกอร์ควบคุมไปแล้ว ❗
AgreeTo ยังมีสิทธิ์แบบ ReadWriteItem ซึ่งสามารถอ่านและแก้ไขอีเมลได้ แม้ยังไม่มีหลักฐานว่ามีการใช้สิทธินี้โจมตีเพิ่มเติม
ทำไมองค์กรต้องระวังเป็นพิเศษ?
Microsoft 365 เป็นระบบหลักของหลายองค์กร ทั้งอีเมล ไฟล์ SharePoint, OneDrive และ Teams
หากบัญชีผู้ใช้ถูกยึด อาจนำไปสู่:
-
การส่งอีเมลปลอมภายในองค์กร
-
การแพร่มัลแวร์
-
การขโมยข้อมูลลูกค้า
-
การโจมตีแบบ Business Email Compromise (BEC)
นี่คือเหตุผลที่องค์กรควรมีผู้เชี่ยวชาญด้านความปลอดภัยเข้ามาดูแล เช่น
IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ที่สามารถตรวจสอบ Add-in, จัดการสิทธิ์ และทำ Security Monitoring อย่างต่อเนื่อง 🛡️
แนวทางป้องกันสำหรับองค์กร
หากองค์กรของคุณใช้ Microsoft 365 ควรดำเนินการดังนี้:
✅ ตรวจสอบ Add-in ที่ติดตั้งใน Outlook
✅ ลบ AgreeTo หากยังติดตั้งอยู่
✅ รีเซ็ตรหัสผ่านผู้ใช้ทันที
✅ เปิดใช้งาน Multi-Factor Authentication (MFA)
✅ ตรวจสอบ Log การเข้าใช้งานย้อนหลัง
✅ จำกัดสิทธิ์ Add-in ที่ไม่จำเป็น
องค์กรที่ไม่มีทีม IT ภายใน ควรพิจารณาใช้บริการ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ เพื่อทำ Security Audit และดูแลระบบเชิงรุก ลดความเสี่ยงก่อนเกิดเหตุ 🚀
บทสรุป
กรณี AgreeTo ถือเป็นหนึ่งในเหตุการณ์แรก ๆ ที่พบมัลแวร์บน Microsoft Marketplace อย่างเป็นทางการ
เหตุการณ์นี้ชี้ให้เห็นว่า แม้จะดาวน์โหลดจากแหล่งที่ “ดูน่าเชื่อถือ” ก็ยังมีความเสี่ยงได้ หากไม่มีการตรวจสอบและเฝ้าระวังอย่างต่อเนื่อง
ในยุคที่การโจมตีไซเบอร์ซับซ้อนขึ้นทุกวัน การมีผู้เชี่ยวชาญด้านความปลอดภัย เช่น
IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ จึงไม่ใช่แค่ทางเลือก แต่เป็นความจำเป็นขององค์กรยุคดิจิทัล 🔐✨
ที่มา – https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/