Scam

Homograph attacks: ภัยคุกคามจากใหม่ซ่อนตัวอยู่ในตัวอักษร

บทบาทใหม่ของตัวอักษรและ Unicode ที่ช่วยให้แฮกเกอร์บิดเบือนความจริง

ดูเหมือนแฮกเกอร์จะพบเทคนิคใหม่ๆที่จะหลบหนีการตรวจจับของโปรแกรมแอนตี้ไวรัส และวิธีการหลอกตาผู้ใช้ ในบทความนี้เราจะมาแจกแจงให้เห็นกัน

แฮกเกอร์พบวิธีใหม่ในการออกแบบกลลวง ด้วยรูปภาพและตัวอักษรบน iframe ที่ดึงข้อมูลมาจากหน้าเว็บไซต์จริง

ต้องขอบคุณนวัตกรรมของพจนานุกรมอิเล็กทรอนิกส์และเครื่องมือแปลภาษา ที่ทำให้สามารถหลีกเลี่ยงไวยากรณ์และการเขียนผิดในอีเมล์ นอกจากนี้แฮกเกอร์ยังสามารถปลอมแปลงตัวตนที่ใช้ส่งอีเมล์หรือ SMS ได้

เพราะฉะนั้นเราจึงต้องระมัดระวังมากขึ้นเมื่อเผชิญกับลิงก์ โดยเฉพาะลิงก์ที่ย่อมาให้สั้นลง

วิธีที่ๆจะตรวจสอบความผลอดภัยของเว็บไซต์ก็คือโปรโตคอล HTTPS และมี Security Certificate

แฮกเกอร์กับเว็บไซต์

แฮกเกอร์ส่วนมากใช้เว็บไซต์ที่มีโปรโตคอล HTTP เพื่อหลอกให้ผู้ใช้ส่งข้อมูลอย่างรหัสโซเชี่ยลมีเดีย ข้อมูลธนาคาร และอื่นๆ ถึงแม้ตัวแฮกเกอร์จะสามารถสร้างเว็บไซต์เป็น HTTPS ได้ก็ตาม

อีกตัวอย่างของเว็บไซต์ปลอมก็คือ เว็บไซต์ที่ถูกตั้งชื่อให้ใกล้เคียงกับชื่อจริงอย่างเช่น “twiitter.com” จาก “twitter.com” หรือ “rnercadolibre.com” จาก “mercadolibre.com” ผมเชื่อว่ามีหลายคนที่อ่านทั้ง 2 ตัวอย่างเป็นคำเดียวกัน เพราะในบางครั้งเรากวาดตาไปโดยไม่ได้อ่านให้ถี่ถ้วนนั่นเอง

แฮกเกอร์จึงใช้ประโยชน์จากตรงนี้เพื่อหลอกให้ผู้ใช้เข้าไปในเว็บไซต์ที่แฮกเกอร์เตรียมไว้ และต่อมา Homograph attacks จึงเกิดขึ้น

คุณตอบได้หรือไม่ว่ารูปภาพด้านล่างเว็บไซต์ Apple เป็นของจริงหรือไม่?

apple.com_

นี่เป็นเว็บไซต์ที่นักวิจัยความปลอดภัย คุณ Xudong Zheng เปิดขึ้นมาเพื่อทดสอบ โดเมนที่เขาลงทะเบียนเอาไว้ก็คือ https://www.xn--80ak6aa92e.com/ คุณสามารถลองเปิดเว็บไซต์นี้ได้ผ่านเบราว์เซอร์ Firefox

เรื่องของเรื่องก็คือเราสามารถใช้ Unicode จากระบบ non-Latin writing system อย่างภาษา Cyrillic หรือ Greek เพื่อหาตัวอักษารที่มีหน้าตาเหมือนกัน หรือใกล้เคียงกับในตัวอักษร Latin และ URLs ได้ สำหรับใครที่สงสัยว่า xn--80ak6aa92e จะกลายเป็น apple ได้อย่างไรให้เข้าไปที่เว็บไซต์ Punycode ทุกอย่างก็จะชัดเจนขึ้น

โดยคุณ Xudong Cheng ได้พยายามลงทะเบียน “apple.com” ด้วยตัวอักษร Cyrillic ซึ่งเป็น “xn--80ak6aa92e.com” และออกมาเป็น аррӏе.com

ต่อมาเขาก็ใช้ Amazon เป็นทำ TLS Certificate ให้กับโดเมนของเขา

apple.com-certificado

ซึ่งเมื่อดูในรายละเอียดแล้วเราจะพบว่าตัวโดเมนคือ “xn--80ak6aa92e.com:”

certificado

ซึ่งช่องโหว่นี้บนเบราว์เซอร์ของ Chrome และ IE แก้ไขเรียบร้อยแล้ว แต่บนเบราว์เซอร์อื่นๆอย่าง Firefox ยังไม่ได้รับการแก้ไข

แม้แต่ Gmail ก็ยังเคยมีเว็บไซต์ gmạil.com ที่สามารถผ่านการป้องกันของ Chrome ไปได้แต่เพียงเปลี่ยนตัวอักษร “a” เป็น “ạ”

การป้องกัน

ในแต่ละครั้งที่เราพบรูปแบบการโจมตีใหม่ๆของแฮกเกอร์ เราก็จะแนะนำให้ผู้ใช้ตรวจสอบชื่อผู้ส่ง ให้ระวังลิงก์ที่ย่อมา ตรวจสอบความถูกต้องของการเขียน และช่องทางที่พวกเขาส่งมาอย่าง HTTPS กับ Certificate

เพราะในฝ่ายของแฮกเกอร์เองคงไม่สนใจหรอกว่า ข้อมูลของผู้ใช้ที่พวกเขาหลอกมาได้จะปลอดภัยในขณะส่งหรือไม่ สิ่งที่พวกเขาต้องการก็คือทำให้ผู้ใช้กรอกข้อมูลที่พวกเขาต้องการลงบนเว็บไซต์ที่พวกเขาเตรียมขึ้นเท่านั้น

Author: Cecilia Pastorino
Source:
https://www.welivesecurity.com/2017/07/27/homograph-attacks-see-to-believe/
Translated by: Worapon H.

%d bloggers like this: