ผลวิเคราะห์ชี้เกือบ 97% ของใบรับรอง SSL ที่ออกโดย Let’s Encrypt ที่มีคำว่า PayPal ถูกใช้บนเว็บ Phishing

Vincent Lynch ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลจาก The SSL Store ออกมาเผยผลวิเคราะห์ตัวอย่างเว็บไซต์ที่ใช้ใบรับรอง SSL ฟรีที่ออกโดย Let’s Encrypt รวม 1,000 โดเมนที่มีคำว่า PayPal ประกอบอยู่ พบว่าประมาณ 96.7% เป็นเว็บไซต์ Phishing ที่แฮ็คเกอร์สร้างขึ้นมาหลอกผู้ใช้ 

การวิเคราะห์ของ Lynch ช่วยยืนยันสั่งที่นักวิจัยด้านความมั่นคงปลอดภัยกังวลเกี่ยวกับการให้บริการใบรับรอง SSL ฟรี เนื่องจากแฮ็คเกอร์เจ้าของเว็บ Phishing นักต้มตุ๋นบนอินเทอร์เน็ต และนักพัฒนามัลแวร์สามารถเนียนขอจดทะเบียนใบรับรอง SSL และเปลี่ยนเว็บของตัวเองให้เป็น HTTPS เพื่อเพิ่มความน่าเชื่อถือ ทั้งที่จริงการจดทะเบียนแบบบ Domain Validated (DV) นั้นทำได้ง่ายมาก และไม่มีสิ่งยืนยันว่าเป็นเว็บไซต์เป็นเว็บของผู้ให้บริการจริงหรือเป็นเว็บ Phishing

ครั้งแรกที่ใบรับรองของ Let’s Encrypt ถูกใช้ในแคมเปญ Malvertising ค้นพบโดย Trend Micro เมื่อเดือนมกราคมปี 2016 ที่ผ่านมา หลังจากนั้น ก็พบเคสอื่นๆ แฮ็คเกอร์ใช้ Let’s Encrypt เป็นเครื่องมือในการหลอกลวงผู้ใช้มากมาย ล่าสุด Lynch พบว่าตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา ใบรับรอง SSL รวม 988 ฉบับของ Let’s Encrypt มีคำว่า “PayPal” ประกอบอยู่ แต่มีเพียง 4 ฉบับเท่านั้นที่ถูกใช้เพื่อให้บริการอย่างถูกต้องตามกฎหมาย

แผนภาพด้านล่างแสดงจำนวนโดเมนที่มีคำว่า PayPal ประกอบอยู่ ตั้งแต่เดือนมีนาคม 2016 จนถึงเดือนกุมภาพันธ์ 2017 จะเห็นว่าตั้งแต่ประมาณเดือนพฤศจิกายนเป็นต้นมา เว็บไซต์ Phishing ที่ใช้ธีม PayPal เริ่มปรากฏให้เห็นเป็นจำนวนมาก และบางชื่อโดเมนก็เห็นได้ชัดเลยว่าถูกสร้างขึ้นเพื่อหลอกผู้ใช้

ก่อนหน้านี้ MaYaSeVeN นักวิจัยด้านความมั่นคงปลอดภัยชื่อดังของไทย ก็เคยออกมาโพสต์ใน Blog แจ้งเตือนเกี่ยวกับการดูเว็บ Phishng ว่า “ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar”

จนถึงต้นเดือนมีนาคมนี้ Let’s Encrypt ออกใบรับรอง SSL ให้ที่มีคำว่า “PayPal” ประกอบอยู่รวมแล้ว 15,270 ฉบับ คาดว่ามากกว่า 14,000 เว็บไซต์เป็นเว็บ Phishing แต่ข่าวดีคือ เว็บไซต์เหล่านี้เฉลี่ยแล้วจะอยู่ได้เพียง 2 วันเท่านั้น ก่อนที่จะโดนเว็บเบราเซอร์ Blacklist ว่าเป็นเว็บอันตราย หรือถูกปิดโดยบริษัทที่ให้บริการโฮสติ้ง (อ้างอิงจาก CYREN)

ดังนั้นแนะนำให้ผู้ใช้อย่าคิดว่า ขอเพียงแค่เห็นสัญลักษณ์รูปแม่กุญแจสีเขียวบน Address Bar และเว็บไซต์เป็น HTTPS จะปลอดภัย ควรพิจารณาชื่อ URL และพฤติกรรมของเว็บไซต์นั้นๆ ว่าจะต้องไม่มีการหลอกถามข้อมูลเกินความจำเป็น ดูวิธีตรวจสอบเว็บ Phishing ได้ที่ “วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates”

ดูผลวิเคราะห์ฉบับเต็ม: https://www.thesslstore.com/blog/lets-encrypt-phishing/

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/14-766-lets-encrypt-ssl-certificates-issued-to-paypal-phishing-sites/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Internal Build และ Source Code ของ Windows 10 ขนาด 32TB รั่ว ตอนนี้ถูกระงับการเผยแพร่แล้ว

betaarchive.com ได้ออกมาเปิดเผยถึงข้อมูล Internal Build และ Source Code ของ Microsoft Windows 10 ขนาด 32TB ที่ถูกบีบอัดจนเหลือ 8TB …

เตือนการโจมตี GhostHook บายพาส Windows PatchGuard แม้ Windows 10 ก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยจาก CyberArk ค้นพบเทคนิคการบายพาสระบบป้องกัน Windows PatchGuard โดยอาศัยฟีเจอร์ของ Intel CPU และลอบส่งโค้ดแปลกปลอมเข้ามารันใน Windows Kernel เพื่อฝัง Rootkis บนระบบปฏิบัติการได้ โดยเรียกการโจมตีนี้ว่า …