เชื่อว่าช่วงหลัง ๆ ที่ผ่านมานี้ ผู้ท่องโลกอินเทอร์เน็ตหลาย ๆ คนก็น่าจะได้รับคำเตือนจากที่ต่าง ๆ ว่าเมื่อใดที่มีการเข้าถึงเว็บไซต์ต่าง ๆ และต้องใส่ข้อมูลการเข้าระบบหรือข้อมูลส่วนตัว ให้ทำการตรวจสอบลิงก์หรือ URL ของเว็บนั้นก่อนเสมอว่าใช่เว็บที่ต้องการทำธุรกรรมจริง ๆ หรือไม่ เพื่อป้องกันการโดนขโมยข้อมูลไปแบบไม่รู้ตัว
ใครจะไปรู้ว่าในยุคปัจจุบันที่เทคโนโลยีอำนวยความสะดวกมากยิ่งขึ้น การเช็กเพียง URL อาจจะไม่ปลอดภัยอีกต่อไป เพราะนักวิจัยด้านความปลอดภัยและนักทดสอบเจาะระบบ mr.d0x ได้ออกมาเปิดเผยว่าในปัจจุบัน เว็บปลอมสามารถเนียนได้มากกว่าการจดโดเมนด้วยชื่อที่คล้าย ๆ กััน สามารถทำให้หน้าเว็บไซต์ให้ดูน่าเชื่อถือด้วยวิธีง่ายนิดเดียว
การเข้าสู่ระบบในบริการต่าง ๆ หลาย ๆ ครั้งเราจะสามารถเลือกเข้าสู่ระบบด้วยบริการอื่น ๆ ได้ เช่น Apple, Google, หรือ Facebook เพื่อแสดงหน้าป็อปอัปเพื่อทำการเข้าสู่ระบบ ซึ่งนี่ก็คือช่องโหว่ที่ผู้ไม่หวังดีสามารถจู่โจมได้นั่นเอง ทำได้ง่าย ๆ ด้วยการโคลนและทำหน้าป็อปอัปขึ้นมาใหม่ พร้อมกับแถบ URL ที่ดูน่าเชื่อถึง โดยใช้เพียง HTML และ CSS ธรรมดา และใช้ Iframe ในการฝังหน้าเว็บไซต์ปลอม เพื่อให้ดูเหมือนจริง จนแทบจะแยกไม่ออก
จากภาพด้านล่าง ให้ทุกคนลองทางดูว่า หนึ่งในนี้หน้าต่างไหนเป็นของจริง ส่วนอีกหนึ่งอันเป็นของปลอม
จากทั้ง 2 ภาพด้านบน หน้าต่างด้านซ้ายคือเว็บไซต์จริง ส่วนหน้าต่างด้านขวาคือเว็บไซต์ปลอม ซึ่งจะเห็นได้ว่าทั้ง 2 หน้าต่าง มีความที่เหมือนกันอย่างมากจนบางคนอาจจะแยกไม่ออกเลย!!
ส่วนถ้าใครมีคำถามว่าเมื่อนำเมาส์ไปวางบนปุ่มหรือลิงก์ก็จะขึ้นลิงก์ของเว็บที่เป็นเป้าหมายของลิงก์นั้น ซึ่งก็เป็นลิงก์ที่น่าเชื่อถือได้ อย่างนี้จะไม่ปลอดภัยได้อย่างไร คำตอบก็คือไม่ปลอดภัยเสมอไปเพราะผู้ไม่หวังดียังสามารถใช้ JavaScript ในการนำผู้ใช้ไปเว็บไซต์ปลอมได้ ถึงแม้เมื่อวางเมาส์บนลิงก์จะขึ้นหน้าเว็บที่เชื่อถือได้ก็ตาม
เทคนิคดังกล่าวเป็นเพียงหนึ่งในเทคนิคที่ผู้ไม่หวังดีใช้ในการฟิชชิง (Phishing) ซึ่งเราในฐานะผู้ใช้งานก็ควรระวังให้มากขึ้น หากต้องมีการใส่ข้อมูลส่วนตัว หรือข้อมูลการเข้าสู่ระบบลงในหน้าเว็บไซต์ต่าง ๆ เพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับตัวผู้ใช้ในภายหลัง
ทั้งนี้ได้มีนักพัฒนาได้พัฒนาส่วนขยายสำหรับเบราว์เซอร์ต่าง ๆ ให้สามารถตรวจจับ Iframe ที่อาจจะเป็นหน้าเว็บปลอม และขึ้นแจ้งให้ผู้ใช้สามารถสังเกตได้ด้วยส่วนขยาย Enhanced iFrame Protection สามารถดาวน์โหลดได้ที่ Chrome Web Store, Edge Add-ons, หรือ Firefox Browser Add-ons
สำหรับผู้ใช้งานผ่านสมาร์ตโฟนอาจจะจับง่ายกว่าบนเบราว์เซอร์เดสก์ท็อป เนื่องจากตัวแอปในแต่ละแอปเบราว์เซอร์จะมีแถบ URL ที่เป็นของตนเองอยู่แล้ว ซึ่งหากใช้เทคนิคนี้ก็จะดูไม่ค่อยน่าเชื่อถือสักเท่าไร
——————————————————————————————————————————————————
ที่มา : Beartai / วันที่เผยแพร่ 12 เม.ย.65
Link : https://www.beartai.com/article/tech-article/1014091