ปัญหาหนึ่งของการทำ phishing email เมื่อบัญชีถูกเปลี่ยนรหัสผ่านแล้ว คือ การ Log in ซึ่งโดยส่วนใหญ่จะ log in จากนอกประเทศ หรือประเทศที่ไม่น่าจะเป็นไปได้
ผมเคยเจอเคสที่ว่ามี user คนหนึ่ง โดนสวมบัญชี ทั้งๆที่ user นั้นไม่ได้มีแผนไปเที่ยวต่างประเทศ หรือทำงานที่สาขาต่างประเทศแต่อย่างใด แต่ทำพอตรวจสอบถึงมีการ Log in เป็นต่างประเทศ? เพื่อป้องกันเราจะทำ conditional access โดยใช้ Location เป็นหลัก
หมายเหตุ
วิธีนี้ไม่ได้เป็นวิธีที่ช่วยให้หายจาก Phishing Email แต่ช่วยป้องกันการขโมยข้อมูลได้ และควรทดลองในแล็บก่อนใช้งาน Production จริง
ขั้นตอนการตั้งค่ามีดังนี้
1. ไปที่ Azure Active Directory > Conditional Access > Name Location > New Location
2. ตั้งชื่อ เช่น HQ Office เลือกประเทศ ในที่นี้ผมเลือก Thailand, Singapore และอย่าลืมเลือก Include Unknown area
3. เราจะได้ Location มาแล้ว
4. ต่อไปคือต้องสร้าง Policy ให้เลือก New Policy
5. สร้าง Policy โดยไปที่ Condition > Location เลือก Any Domain
6. ไปที่ Exclude > Select Locations > เลือกสองข้อตามภาพ
7. หลังจากนั้นไปที่ Grant เลือก Block Access
8. และให้ On ตรง Enable Policy
9. แล้วทำการ Create และทำการ Log out เข้าระบบอีกครั้ง
หมายเหตุ ถ้า Attacker นั้น remote เข้ามายังประเทศที่เราเลือกก็สามารถ log in ได้ ถ้าถูกขโมยบัญชีไปแล้ว