เมื่อเว็บ Phishing เริ่มนิยมใช้ SSL Certificate

เว็บ Phishing เป็นเว็บไซต์ปลอมที่ตกแต่งหน้าตาให้เหมือนเว็บไซต์ปกติเพื่อแอบหลอกขโมยข้อมูลจากผู้ใช้งานที่ไม่สังเกตเว็บให้ดี โดยส่วนใหญ่แล้วจะปลอมเป็นเว็บไซต์ของธนาคาร หรือเว็บไซต์โซเชียลมีเดีย เช่น Facebook เพื่อหลอกขโมยรหัสผ่าน หรือข้อมูลบัตรเครดิต เป็นต้น ซึ่งปัจจุบันนี้เว็บ Phishing เหล่านั้นเริ่มมีการใช้ SSL Certificate เพื่อเพิ่มความน่าเชื่อถือและหลอกตาผู้ใช้มากยิ่งขึ้น

ใช้ SSL Certificate เพื่อเพิ่มความน่าเชื่อถือ

หนึ่งในวิธีที่ช่วยกรองเว็บ Phishing ที่ได้ผลดี คือ การสังเกตรูปแม่กุญแจสีเขียวบนแถบ URL เนื่องจากรูปแม่กุญแจนี้มีความหมายว่าเว็บไซต์ที่ใช้งานอยู่มีการลงทะเบียนยืนยันตัวตนกับ Certificate Authority และมีการเข้ารหัสข้อมูลระหว่างผู้ใช้กับเว็บไซต์ ในสมัยก่อน SSL Certificate จึงเป็นเครื่องช่วยยืนยันความปลอดภัยให้แก่เว็บไซต์ที่เกี่ยวข้องกับทางการเงิน ธนาคาร หรือเว็บไซต์สำคัญต่างๆได้เป็นอย่างดี ซึ่งเว็บ Phishing ส่วนใหญ่จะไม่มี Certificate เหล่านี้

เว็บ Phishing มากกว่า 100 เว็บไซต์เป็น HTTPS

อย่างไรก็ตาม ในปัจจุบันที่การออก Certificate สามารถทำได้ง่าย รวดเร็ว ราคาถูกลง และที่สำคัญคือมีการตรวจสอบเว็บ Phishing น้อยลง จึงมีเว็บ Phishing จำนวนมากที่เริ่มมีการใช้ Certificate เพื่อเพิ่มความน่าเชื่อถือ และหลอกผู้ใช้ที่ไม่ทันระมัดระวัง จากการสำรวจของ Netcraft ผู้ให้บริการระบบอินเตอร์เน็ตรายใหญ่ในสหราชอาณาจักร พบว่าในช่วงเดือนที่ผ่านมา CA ได้ออก SSL Certificate ให้แก่เว็บ Phishing มากกว่า 100 เว็บไซต์ โดย Certificate ทั้งหมดนี้อยู่ในประเภท Domain Validated หรือ DV

DV Certificate เป็น Certificate ฟรีหรือต้นทุนต่ำ (ถูกกว่า $10) ที่จะตรวจสอบเฉพาะว่าผู้ที่ยื่นขอเป็นเจ้าของโดเมนนั้นๆจริง โดยไม่มีการตรวจสอบรายละเอียดใดๆเหมือน Certificate ปกติ นอกจากนี้การออก Certificate ก็นิยมใช้ระบบอัตโนมัติที่ไม่มีคนคอยตรวจสอบ ส่งผลให้ผู้ไม่ประสงค์ดีสามารถได้ Certificate สำหรับเว็บ Phishing ของตนได้โดยง่าย

Comodo ถอน DV Certificate แปลกปลอมทิ้ง

หลังจากที่ทราบเรื่องกังกล่าว Comodo ในฐานะที่เป็น CA รายใหญ่ได้ทำการเพิกถอน DV Certificate ที่ออกให้แก่เว็บไซต์แปลกปลอมเหล่านั้นทิ้ง ในขณะที่ยังไม่มีกระแสตอบรับจากทาง Symantec, CloudFlare และ GoDaddy สำหรับ CA รายอื่นๆ เช่น DigiCert และ Entrust ระบุว่า บริษัทไม่มีนโยบายในการออก DV Certificate เนื่องด้วยเหตุผลทางด้านความปลอดภัย

ทีมงาน TechTalkThai แนะนำให้ให้ผู้ใช้เพิ่มความระมัดระวังในการเล่นเว็บไซต์มากยิ่งขึ้น นอกจากจะตรวจสอบ HTTPS หรือไอคอนรูปแม่กุญแจสีเขียวบน URL แล้ว ควรตรวจสอบชื่อ URL รวมถึงเนื้อหาของเว็บไซต์ให้ดีก่อนที่จะกรอกข้อมูลส่วนตัว หรือข้อมูลเกี่ยวกับการเงินลงไป รวมไปถึงไม่ควรคลิ๊กลิงค์ที่แนบมากับอีเมลล์ง่ายๆ เนื่องจากลิงค์เหล่านั้นมักมีโอกาสเป็นเว็บ Phishing สูง

ที่มา: http://www.csoonline.com/article/2992646/social-engineering/phishing-websites-look-more-legit-with-ssl-certs-from-major-companies.html