เตือน Phishing บน Facebook.com แอบขโมยรหัสผ่านอย่างแนบเนียน

April 28, 2016 Cybersecurity, Facebook, Products, Threats Update, Web Security

นักวิจัยจาก Netcraft ออกมาเปิดเผยถึง Web Phishing บน Facebook ที่หลอกขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อที่เผลอคลิ๊กเข้าไปอย่างแนบเนียน โดยปลอมตัวเป็นแอพพลิเคชันบน Facebook ภายใต้โดเมน Facebook.com พร้อมทั้งเข้ารหัสแบบ HTTPS ทำให้สังเกตได้ยาก

ttt_phishing_username_password-Nicescene — Credit: Nicescene/ShutterStock

ปลอมเป็นแอพพลิคเชันบน Facebook และใช้ HTTPS เพื่อความเหมือนจริง

แฮ็คเกอร์ใช้วิธีสร้างแอพพลิเคชันบน Facebook เป็นหน้ายืนยันตัวตนปลอมที่หลอกให้เหยื่อกรอกข้อมูลชื่อผู้ใช้ รหัสผ่าน และคำถามลับลงไป รวมทั้งมีการตกแต่งหน้าตาให้คล้ายกับเป็นหน้ายืนยันตัวตนจริงของ Facebook ที่สำคัญคือ Web Phishing นี้อยู่ภายใต้โดเมนย่อยของ Facebook.com และมีการเข้ารหัสแบบ HTTPS ส่งผลให้เหยื่อที่ไม่เชี่ยวชาญด้านคอมพิวเตอร์ และอาจรวมไปถึงผู้เชี่ยวชาญเองเผลอตกหลุมความแนบเนียน จนถูกขโมยข้อมูลล็อกอินไปได้

แฮ็คเกอร์ลงทะเบียน Facebook Apps แล้วจัดการโหลดแบบฟอร์มยืนยันตัวตนปลอมเข้าสู่หน้าแอพพลิเคชันผ่านทาง Iframes ซึ่งแบบฟอร์มดังกล่าวถูกเก็บอยู่ในเซิร์ฟเวอร์ของแฮ็คเกอร์ นอกจากนี้ เพื่อเพิ่มความแนบเนียน หน้ายืนยันตัวตนปลอมจะแจ้งเตือน “Incorrect Credential” เมื่อผู้ใช้กรอกข้อมูลครั้งแรก เพื่อป้องกันผู้ใช้ที่ยังคงสงสัยเรื่อง Phishing แล้วแกล้งกรอกข้อมูลผิดๆ ลงไป จับได้ว่าไม่ใช่แบบฟอร์มยืนยันตัวตนจริง หลังจากลงทะเบียนครั้งที่ 2 แบบฟอร์มจะรับข้อมูลล็อกอินทั้งหมดแล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็คเกอร์อย่างเงียบๆ แล้วแสดงผลตอบกลับไปว่า “Facebook Verification Team” จะติดต่อกลับภายใน 24 ชั่วโมง .. ซึ่งแน่นอน ไม่มีอีเมลใดๆ ตอบรับกลับมาจากทีม Facebook

ตรวจจับและสังเกตความผิดปกติได้ยาก

การโจมตีดังกล่าวใช้ได้ทั้งในกรณีที่ผู้ใช้ล็อกอินหรือยังไม่ได้ล็อกอิน Facebook และลิงค์ต่างๆ บนหน้า Page ก็เชื่อมโยงกับเว็บไซต์จริง เนื่องจาก นอกจากแบบฟอร์มยืนยันตัวตนที่ปลอมแล้ว ส่วนอื่นๆ ของ Page เป็นหน้า Facebook จริงทั้งหมด ด้วยวิธีการนี้ทำให้ระบบรักษาความมั่นปลอดภัยทั่วไปไม่สนามารถตรวจจับและป้องกันผู้ใช้ได้

แนะนำใช้ 2-Factor Authentication และ Login Alert

วิธีการที่ดีที่สุดในการป้องกัน Web Phishing บน Facebook แบบนี้คือ หลีกเลี่ยงการกรอกข้อมูลบนแบบฟอร์มยืนยันตัวตนทั้งหลาย แล้วใช้วิธีล็อกอินผ่านหน้าแรกของ Facebook.com แทน รวมไปถึงใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication เพื่อให้มั่นใจได้ว่า เฉพาะตนเองเท่านั้นที่สามารถล็อกอินเข้า Facebook ได้ นอกจากนี้ ควรเปิดใช้งานฟีเจอร์ Login Alert เพื่อให้ Facebook แจ้งเตือนเราหากมีการล็อกอินมาจากคอมพิวเตอร์เครื่องอื่น ซึ่งถ้าได้รับการแจ้งเตือนจริง ควรรีบเปลี่ยนรหัสผ่านใหม่โดยทันที

สำหรับผู้ดูแลระบบ ถ้าทราบ URL ของ Web Phishing ก็ควรเพิ่ม URL นั้นๆ เข้าไปใน Blacklist ของระบบ URL Filtering เพื่อป้องกันไม่ให้ผู้ใช้ในองค์กรเข้าถึงเว็บไซต์นั้นๆ

ที่มา: https://www.helpnetsecurity.com/2016/04/27/facebook-phishing-forms/

สิริซอฟต์ คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards [PR]

สิริซอฟต์ (Sirisoft) ผู้ให้คำปรึกษาและบริการโซลูชันเทคโนโลยีชั้นนำของประเทศไทยที่เชี่ยวชาญด้านการเพิ่มประสิทธิภาพโครงสร้างพื้นฐาน (Infrastructure Optimization) ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) และการเปลี่ยนแปลงดิจิทัล (Digital Transformation) ตอกย้ำความเป็นผู้นำด้านที่ปรึกษาไอทีที่ครบวงจรของไทย คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards

Wikipedia บอกผู้พัฒนา AI หยุด Scrape ได้แล้ว เอาข้อมูลบทความไปเลย

มูลนิธิ Wikimedia ซึ่งเป็นองค์กรที่อยู่เบื้องหลังสารานุกรมเสรีที่ใหญ่ที่สุดบนอินเทอร์เน็ตอย่าง Wikipedia ได้เสนอชุดข้อมูลที่พร้อมสำหรับปัญญาประดิษฐ์บน Kaggle โดยมีเป้าหมายเพื่อยับยั้งบริษัท AI และผู้ฝึกโมเดลภาษาขนาดใหญ่ (LLM) จากการดึงข้อมูลจากเว็บไซต์โดยอัตโนมัติ (web scraping)

TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย

About techtalkthai

Related Articles

Check Also