Browser-in-the-browser (BitB) เทคนิค Phishing ใหม่ล่าสุด ที่ยากต่อการป้องกัน
ต้องยอมรับว่าแฮกเกอร์นั้นช่างขยันสรรหาวิธีการโจมตีรูปแบบใหม่ ๆ มาใช้ในการจารกรรมได้อย่างสม่ำเสมอ ล่าสุด mrd0x นักวิจัยด้านความปลอดภัย และนักทดสอบการเจาะระบบ ได้รายงานเทคนิคการ Phishing รูปแบบใหม่ที่เรียกว่าวิธี Browser-in-the-browser (BitB)
Browser-in-the-browser (BitB) เป็นเทคนิคที่จะสร้างหน้าต่างเบราว์เซอร์ ขึ้นมาในเบราว์เซอร์อีกที เพื่อจำลองหน้าเว็บปลอม ที่เลียนแบบคุณสมบัติ 3rd-Party single sign-on (SSO) อย่าง "Sign in with Google", "Sign in with Facebook", "Sign in with Apple" หรือ "Sign in with Microsoft" ที่ได้รับความนิยมผู้ใช้งานเป็นอย่างมากในปัจจุบันนี้
ในการใช้งานคุณสมบัติ 3rd-Party single sign-on (SSO) เมื่อผู้ใช้ทำการคลิกที่ปุ่มเข้าสู่ระบบ หน้าต่างเบราว์เซอร์อันใหม่จะถูกแสดงผลขึ้นมา เพื่อให้ผู้ใช้งานกรอกข้อมูลยืนยันตัวตน การโจมตีแบบ BitB อาศัยประโยชน์จากขั้นตอนดังกล่าว ด้วยการใช้ HTML, CSS code และ iFrame สร้างหน้าต่างยืนยันตัวตนปลอมขึ้นมา
ความน่ากลัวของ BitB คือ หน้าต่าง SSO ปลอมที่แฮกเกอร์สร้างขึ้นมานั้น สามารถทำให้มีความสมจริง จนแทบจะแยกไม่ออกว่าหน้าต่างไหนเป็นของจริง หน้าต่างไหนเป็นของปลอม แม้แต่ URL ที่ปรากฏก็สามารถใช้ JavaScript
เพื่อทำให้ URL ของเว็บไซต์ในหน้าต่าง SSO ดูเหมือนของจริงได้ ลองดูภาพตัวอย่างที่ mrd0x สร้างขึ้นมาสาธิตการโจมตีด้วย BitB คุณผู้อ่านแยกออกหรือไม่ว่า หน้าต่าง SSO อันไหนที่เป็นของจริง ?
อย่างไรก็ตาม ทาง mrd0x ก็ระบุว่า เทคนิคนี้ไม่ได้อันตรายจนไม่สามารถป้องกันได้ เพราะท้ายที่สุดแล้วหน้าต่าง SSO ปลอมจะ Redirected ไปยังหน้าเว็บไซต์ปลอมที่เตรียมไว้สำหรับใช้ในการ Phishing อยู่ดี ซึ่งหน้าเว็บไซต์ดังกล่าวแฮกเกอร์จะไม่สามารถปลอม URL ได้ หากมีความสังเกตสักหน่อยก็จะสามารถหลีกเลี่ยงปัญหานี้ได้
ที่มา : https://news.thaiware.com/20431.html
Browser-in-the-browser (BitB) เป็นเทคนิคที่จะสร้างหน้าต่างเบราว์เซอร์ ขึ้นมาในเบราว์เซอร์อีกที เพื่อจำลองหน้าเว็บปลอม ที่เลียนแบบคุณสมบัติ 3rd-Party single sign-on (SSO) อย่าง "Sign in with Google", "Sign in with Facebook", "Sign in with Apple" หรือ "Sign in with Microsoft" ที่ได้รับความนิยมผู้ใช้งานเป็นอย่างมากในปัจจุบันนี้
ในการใช้งานคุณสมบัติ 3rd-Party single sign-on (SSO) เมื่อผู้ใช้ทำการคลิกที่ปุ่มเข้าสู่ระบบ หน้าต่างเบราว์เซอร์อันใหม่จะถูกแสดงผลขึ้นมา เพื่อให้ผู้ใช้งานกรอกข้อมูลยืนยันตัวตน การโจมตีแบบ BitB อาศัยประโยชน์จากขั้นตอนดังกล่าว ด้วยการใช้ HTML, CSS code และ iFrame สร้างหน้าต่างยืนยันตัวตนปลอมขึ้นมา
ความน่ากลัวของ BitB คือ หน้าต่าง SSO ปลอมที่แฮกเกอร์สร้างขึ้นมานั้น สามารถทำให้มีความสมจริง จนแทบจะแยกไม่ออกว่าหน้าต่างไหนเป็นของจริง หน้าต่างไหนเป็นของปลอม แม้แต่ URL ที่ปรากฏก็สามารถใช้ JavaScript
เพื่อทำให้ URL ของเว็บไซต์ในหน้าต่าง SSO ดูเหมือนของจริงได้ ลองดูภาพตัวอย่างที่ mrd0x สร้างขึ้นมาสาธิตการโจมตีด้วย BitB คุณผู้อ่านแยกออกหรือไม่ว่า หน้าต่าง SSO อันไหนที่เป็นของจริง ?
อย่างไรก็ตาม ทาง mrd0x ก็ระบุว่า เทคนิคนี้ไม่ได้อันตรายจนไม่สามารถป้องกันได้ เพราะท้ายที่สุดแล้วหน้าต่าง SSO ปลอมจะ Redirected ไปยังหน้าเว็บไซต์ปลอมที่เตรียมไว้สำหรับใช้ในการ Phishing อยู่ดี ซึ่งหน้าเว็บไซต์ดังกล่าวแฮกเกอร์จะไม่สามารถปลอม URL ได้ หากมีความสังเกตสักหน่อยก็จะสามารถหลีกเลี่ยงปัญหานี้ได้
ที่มา : https://news.thaiware.com/20431.html