เตือนภัย พบเทคนิค Phishing รูปแบบใหม่ เนียนจนแทบแยกไม่ออก
การ Phishing คือ เทคนิคหนึ่งที่แฮกเกอร์นิยมใช้ในการขโมยข้อมูล ด้วยการสร้าง "หน้าเว็บไซต์ปลอม" ขึ้นมา หลอกให้ผู้ใช้คิดว่าเป็นเว็บไซต์ของจริง เมื่อผู้ใช้ทำการ เข้าสู่ระบบ หรือกรอกข้อมูลใดๆ ก็ตามลงไป ข้อมูลทั้งหมดจะตกไปอยู่ในมือของแฮกเกอร์ทันที
เทคนิค Phishing รูปแบบใหม่ ที่ทำให้แม้แต่ผู้ที่มีความระวังตัวสูงก็พลาดท่าได้ง่ายๆ เพราะมันมีทั้ง URL และ HTTPS เหมือนเว็บจริงเกือบทุกอย่าง
สำหรับผู้ใช้งานอินเทอร์เน็ตที่มีความระมัดระวังตัวอยู่แล้ว การตรวจสอบพวกเว็บ Phishing ที่จริงก็ไม่ยากอะไร หากเราสังเกต URL ให้ดี มันจะมีความแตกต่างกับ URL เว็บไซต์ของจริงอยู่แล้ว หรือสังเกตตรง HTTPS ด้วยก็ยิ่งชัดเจน แต่ว่าล่าสุดได้มีการค้นพบเทคนิค Phishing รูปแบบใหม่ ที่ทำให้แม้แต่ผู้ที่มีความระวังตัวสูงก็พลาดท่าได้ง่ายๆ เพราะมันมีทั้ง URL และ HTTPS เหมือนเว็บจริงเกือบทุกอย่างเลยล่ะ
Xudong Zheng นักวิจัยชาวจีน ได้เผยแพร่รายงานเทคนิค Phishing โดยเขาระบุว่า "แทบเป็นไปไม่ได้ที่จะสังเกตเห็น" ด้วยกลเม็ดนี้ แม้แต่ผู้ที่มีความระมัดระวังก็มีสิทธิ์พลาดท่าได้
เทคนิค Punycode Phishing
ภาพบน เว็บปลอม ภาพล่าง เว็บจริง จะเห็นได้ว่า URL มีความเหมือนกันมาก
จากตัวอย่างภาพด้านบน เราจะสังเกตเห็นได้ว่า URL ของทั้งสองเว็บไซต์ไม่มีความแตกต่างกันเลย แต่ที่จริงแล้ว ตัว "a" ของทั้งสอง URL ด้านบนนี้เป็นคนละตัวกัน เว็บด้านบนเป็นตัวอย่างหน้าเว็บที่ Xudong Zheng สร้างขึ้นมาเพื่อสาธิตเท่านั้น (ลองเข้าไปทดสอบด้วยตนเองได้ที่ https://www.xn--80ak6aa92e.com/)
สิ่งที่ Xudong Zheng ทำก็เพียงแค่เปลี่ยนอักษร "a" (U+0041) ออก แล้วใช้ "а" (U+0430) แทน แม้ว่าตาเราจะเห็นเป็นตัวอักษร "a" เหมือนกัน แต่ว่าระบบคอมพิวเตอร์จะมองเห็นเป็นคนละตัวกัน
ปัญหานี้ (อันที่จริงก็ไม่เรียกว่าปัญหา) เป็นการใช้ประโยชน์จากสิ่งที่เรียกว่า Punycode มันเป็นรูปแบบการเข้ารหัสแบบหนึ่ง ที่ช่วยให้เราจดโดเมนเนม URL เป็นภาษาอะไรก็ได้ เช่น สมมติว่า เราต้องการสร้าง www.ไทยแวร์.com ตามกฏการจดชื่อโดเมน มันถูกจำกัดอยู่เพียงแค่การใช้ตัวอักษรภาษาอังกฤษ A-Z, ตัวเลขอารบิก 0-9 และเครื่องหมาย - เท่านั้น
จึงมีการพัฒนา Internationalized Domain Name (IDN) ขึ้นมา เพื่อให้เราสามารถจดชื่อโดเมนที่สามารถประกอบด้วยอักขระอะไรก็ได้ โดย IDN นี้จะเข้ารหัสตัวอักขระด้วย Punycode นั่นเอง
ปัญหาอันเกิดจากเว็บเบราว์เซอร์
Punycode มีการเข้ารหัสแบบพิเศษบนเว็บเบราว์เซอร์โดยเฉพาะ เพื่อให้มันแปลงตัวอักษร Unicode ต่างๆ เป็นตัวอักษร ASCII (A-Z, 0-9) ที่ทาง International Domain Names (IDNs) รองรับได้
ตัวอย่างสมมติ เช่น www.ไทยแวร์.com เมื่อแปลงเป็น Punycode จะได้เป็น www.xn--o3cwdp3kpa5d.com ทีนี้ปัญหามันอยู่ตรงที่เว็บเบราว์เซอร์มันแสดงผลให้เราเห็นเป็น www.apple.com แทนที่จะเป็น https://www.xn--80ak6aa92e.com/ ซึ่งหากเราเห็นเป็นอย่างหลัง เราก็จะรู้ได้ทันทีว่านี่เป็นเว็บปลอม
จากการตรวจสอบ ในตอนนี้เว็บเบราว์เซอร์ที่มีปัญหาด้านการแสดงผลนี้ ประกอบไปด้วย Chrome, Firefox และ Opera ส่วนเว็บเบราว์เซอร์ที่ปลอดภัยจากปัญหานี้คือ Internet Explorer, Microsoft Edge, Apple Safari, Brave, และ Vivaldi
แนวทางการแก้ปัญหา
หากคุณใช้ Firefox สามารถตั้งค่าเบราว์เซอร์ใหม่ด้วยการ
- พิมพ์ในช่อง address ว่า about:config แล้วเคาะ Enter 1 ครั้ง
- พิมพ์ Punycode ลงในช่องค้นหา
- มองหา network.IDN_show_punycode
- ดับเบิ้ลคลิกหรือคลิกขวาแล้วเลือก Toggle
- เปลี่ยนค่าจาก False ให้เป็น True
ส่วน Chrome กับ Opera ไม่มีตัวเลือกให้ปรับนะครับ ต้องรอการอัพเดทเวอร์ชั่นใหม่จากผู้พัฒนาเท่านั้น อย่างไรก็ตาม หากใช้ Chrome ก็มี Extension ที่สามารถแจ้งเตือนให้เรารู้ว่า URL ที่กำลังเข้าเป็น Punycode อยู่ สามารถติดตั้งได้ที่ https://chrome.google.com/webstore/detail/punycode-alert/djghjigfghekidjibckjmhbhhjeomlda
การป้องกันนอกเหนือจากนี้ ก็พยายามหลีกเลี่ยงการคลิกลิงค์ที่ปรากฏตามอีเมล์หรือหน้าเว็บแปลกๆ และให้พยายามพิมพ์ URL ด้วยตัวเองโดยตรงแทนครับ
Credit: https://news.thaiware.com/10151.html