ผลวิเคราะห์ชี้เกือบ 97% ของใบรับรอง SSL ที่ออกโดย Let’s Encrypt ที่มีคำว่า PayPal ถูกใช้บนเว็บ Phishing

Vincent Lynch ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลจาก The SSL Store ออกมาเผยผลวิเคราะห์ตัวอย่างเว็บไซต์ที่ใช้ใบรับรอง SSL ฟรีที่ออกโดย Let’s Encrypt รวม 1,000 โดเมนที่มีคำว่า PayPal ประกอบอยู่ พบว่าประมาณ 96.7% เป็นเว็บไซต์ Phishing ที่แฮ็คเกอร์สร้างขึ้นมาหลอกผู้ใช้ 

การวิเคราะห์ของ Lynch ช่วยยืนยันสั่งที่นักวิจัยด้านความมั่นคงปลอดภัยกังวลเกี่ยวกับการให้บริการใบรับรอง SSL ฟรี เนื่องจากแฮ็คเกอร์เจ้าของเว็บ Phishing นักต้มตุ๋นบนอินเทอร์เน็ต และนักพัฒนามัลแวร์สามารถเนียนขอจดทะเบียนใบรับรอง SSL และเปลี่ยนเว็บของตัวเองให้เป็น HTTPS เพื่อเพิ่มความน่าเชื่อถือ ทั้งที่จริงการจดทะเบียนแบบบ Domain Validated (DV) นั้นทำได้ง่ายมาก และไม่มีสิ่งยืนยันว่าเป็นเว็บไซต์เป็นเว็บของผู้ให้บริการจริงหรือเป็นเว็บ Phishing

ครั้งแรกที่ใบรับรองของ Let’s Encrypt ถูกใช้ในแคมเปญ Malvertising ค้นพบโดย Trend Micro เมื่อเดือนมกราคมปี 2016 ที่ผ่านมา หลังจากนั้น ก็พบเคสอื่นๆ แฮ็คเกอร์ใช้ Let’s Encrypt เป็นเครื่องมือในการหลอกลวงผู้ใช้มากมาย ล่าสุด Lynch พบว่าตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา ใบรับรอง SSL รวม 988 ฉบับของ Let’s Encrypt มีคำว่า “PayPal” ประกอบอยู่ แต่มีเพียง 4 ฉบับเท่านั้นที่ถูกใช้เพื่อให้บริการอย่างถูกต้องตามกฎหมาย

แผนภาพด้านล่างแสดงจำนวนโดเมนที่มีคำว่า PayPal ประกอบอยู่ ตั้งแต่เดือนมีนาคม 2016 จนถึงเดือนกุมภาพันธ์ 2017 จะเห็นว่าตั้งแต่ประมาณเดือนพฤศจิกายนเป็นต้นมา เว็บไซต์ Phishing ที่ใช้ธีม PayPal เริ่มปรากฏให้เห็นเป็นจำนวนมาก และบางชื่อโดเมนก็เห็นได้ชัดเลยว่าถูกสร้างขึ้นเพื่อหลอกผู้ใช้

ก่อนหน้านี้ MaYaSeVeN นักวิจัยด้านความมั่นคงปลอดภัยชื่อดังของไทย ก็เคยออกมาโพสต์ใน Blog แจ้งเตือนเกี่ยวกับการดูเว็บ Phishng ว่า “ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar”

จนถึงต้นเดือนมีนาคมนี้ Let’s Encrypt ออกใบรับรอง SSL ให้ที่มีคำว่า “PayPal” ประกอบอยู่รวมแล้ว 15,270 ฉบับ คาดว่ามากกว่า 14,000 เว็บไซต์เป็นเว็บ Phishing แต่ข่าวดีคือ เว็บไซต์เหล่านี้เฉลี่ยแล้วจะอยู่ได้เพียง 2 วันเท่านั้น ก่อนที่จะโดนเว็บเบราเซอร์ Blacklist ว่าเป็นเว็บอันตราย หรือถูกปิดโดยบริษัทที่ให้บริการโฮสติ้ง (อ้างอิงจาก CYREN)

ดังนั้นแนะนำให้ผู้ใช้อย่าคิดว่า ขอเพียงแค่เห็นสัญลักษณ์รูปแม่กุญแจสีเขียวบน Address Bar และเว็บไซต์เป็น HTTPS จะปลอดภัย ควรพิจารณาชื่อ URL และพฤติกรรมของเว็บไซต์นั้นๆ ว่าจะต้องไม่มีการหลอกถามข้อมูลเกินความจำเป็น ดูวิธีตรวจสอบเว็บ Phishing ได้ที่ “วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates”

ดูผลวิเคราะห์ฉบับเต็ม: https://www.thesslstore.com/blog/lets-encrypt-phishing/

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/14-766-lets-encrypt-ssl-certificates-issued-to-paypal-phishing-sites/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft แพตซ์อุตช่องโหว่ร้ายแรง 34 รายการแนะผู้ใช้ควรอัปเดต

Microsoft ออกแพตซ์แก้ไขช่องโหว่ประจำเดือนธันวาคมจำนวน 34 รายการ โดยแบ่งเป็นการแก้ไขช่องโหว่ระดับความเสี่ยงสูงถึง 20 รายการและ อีก 12 รายการอยู่ในระดับสำคัญ โดยผลิตภัณฑ์ที่ได้รับผลกระทบคือ IE, Microsoft Edge, Windows, …

เชิญร่วมสัมมนาฟรี อัปเดตเทรนด์การขายการตลาดปี 2018 และเทคโนโลยีใหม่จาก SAP

เน็กซัสฯ ร่วมมือกับ เอสเอพี ประเทศไทย ขอเรียนเชิญเหล่าผู้บริหาร, ฝ่ายบริหารการตลาด และฝ่ายบริหารการขาย เข้าร่วมงานสัมมนา “Win the competition in 2018 with SAP …