Evil URL เครื่องมือสุดร้าย ที่มาของเว็บ URL เว็บ Phishing ทั้งหลาย (Part 1) — OPDe:/

การฟิชชิ่ง(Phishing) คือรูปแบบการล้วงข้อมูลชนิดหนึ่ง โดยที่เหล่า Hacker จะใช้วิธีการสร้างเว็บไซต์ปลอม และหลอกล่อให้ผู้ใช้งานทั่วไป เข้าไปกรอกข้อมูลสำคัญต่างๆ เช่น E-mail หรือ Password เป็นต้น ซึ่งหากเราติดกับดักนี้ Hacker ก็จะได้ข้อมูลสำคัญของเราตามที่เรากรอกไปทันที การที่เหล่าผู้ไม่หวังดีทั้งหลาย ต้องการจะปลอมเว็บไซต์ 1 เว็บนั้น ปัจจัยหลักที่ต้องทำให้เนียนที่สุดคือ หน้าตาเว็บไซต์ และ URL ของเว็บไซต์ ซึ่งเป็นส่วนที่ผู้ใช้งานทั่วไปจะสังเกตุเห็นเป็นดับดับแรก ในส่วนของหน้าตาเว็บไซต์นั้นปลอมแปลงได้ไม่ยากเท่าไหร่นัก เพียงใช้ความสามารถในการ Code เพียงเล็กน้อย ก็สามารถโคลนหน้าตาเว็บไซต์ได้เหมือนกัน อย่างกับลูกแกะคอกเดียวกัน

และในวันนี้เราจะมาแฉ! วิธีการปลอมแปลง URL ของเว็บไซต์ ที่เหล่า Hacker มักใช้ โดยที่สามารถปลอมแปลงได้เนียนไม่เพี้ยนจากต้นฉบับ มองด้วยตาจะแยกไม่ออกเลยทีเดียว ยกตัวอย่าง 2 URL ด้านล่างนี้ หากมองด้วยตาเปล่า มันก็คือเว็บ facebook.com เหมือนกัน แต่ผมออกตัวเลยว่าไม่เหมือนกันแน่นอน ไม่เชื่อลอง Copy ไปวางช่อง URL ดูได้ครับ มาลองทายกันว่าอันไหนของจริง อันไหนของปลอมกันแน่น๊าาา

URL ที่1 : www.fаcebook.com           URLที่2: www.facebook.com

เหมือนกันขนาดนี้ มองด้วยตาเปล่าแยกไม่ออกจริงๆครับ ซึ่งเป็นเหตุผลส่วนหนึ่งที่ว่าถึงเวลาผ่านไปกีี่ปีๆ วิธีการ Hack แบบเดิมๆ ที่มีมาตั้งแต่ยุคเริ่มแรกที่มีอินเตอร์เน็ต อย่างการ Phishing(ฟิชชิ่ง) ยังคงอยู่ และสามารถใช้ได้ผลอยู่เรื่อยมา รู้ไว้ไม่เสียหาย จะได้ไม่ตกเป็นเหยื่อเว็บไซต์ปลอมกันนะครับ

รู้จัก Internationalized Domain Name(IDN) และ Puny code กันก่อน

แรกเริ่มเดิมที ทุกโดเมนเนม(ชื่อเว็บไซต์) มีข้อกำหนดว่าจะต้องเป็นภาษาอังกฤษ(a-z) ตัวเลข0-9 และเครื่องหมาย – เท่านั้น โดยมีนามสกุล เป็น .com  .net เช่น facebook.com, pantip.com เนื่องจากเป็นผลมาจากระบบ DNS(Domain Name System – DNS) ที่ไม่รองรับอักขระอื่นๆนอกเหนือจากนี้ ดังนั้นจึงมีคนคิดมาตรฐาน Internationalized Domain Name (IDN) ขึ้นมา เพื่อรองรับการใช้งานชื่อโดเมนภาษอื่นๆ และอักขระอื่นๆ นอกเหนือจากที่กล่าวมาข้างต้น ซึ่งเป็นผลให้เราสามารถใช้งานชื่อเว็บไซต์ที่เป็นภาษาไทยและภาษาอื่นๆได้ เช่น www.รถมือสอง.com เป็นต้น

แต่ที่กล่าวมา DNS สามารถรองรับแค่เฉพาะภาษาอังกฤษ ตัวเลข และเครื่องหมายขีดเท่านั้น จึงได้มีการสร้างวิธีในการแปลงอักขระทุกตัว ทุกภาษา ให้อยู่ในรูปแบบ อักขระที่ DNS ยอมรับ โดยเรียกว่า Puny Code ซึ่งอักขระทุกตัวบนโลก จะมี Unicode ของตัวเอง โดยจะอยู่ในลักษณะของ ASCII-CODE เช่น ตัว a = 097, A=065, ก = 224 184 129 จะเห็นว่าทุกๆตัวอักษรบนโลกจะมี ASCII-CODE กำกับเป็นของตัวเอง หลักการของ Puny Code ก็คือการแปลง ASCII-CODE ของตัวอักษรที่อยู่นอกเหนือขอบเขตของ DNS ให้เป็น รหัสที่ประกอบด้วยภาษาอังกฤษและตัวเลข เพียงเท่านี้ DNS ก็อ่านออกแล้ว เช่น www.รถมือสอง.com เมื่อแปลงจะเป็น www.xn--72c3a7ag1brb1f.com ทั้งสองชื่อนี้คือเว็บเดียวกัน ในส่วนที่ DNS สื่อสารจะสื่อสารผ่านทาง www.xn--72c3a7ag1brb1f.com ซึ่งอยู่ในรูปแบบที่ระบบเข้าใจ แต่เมื่อผู้ใช้งานเข้าชมเว็บไซต์ ก็สามารถพิมพ์ www.รถมือสอง.com ได้เช่นกัน เพราะ Browser ของเราจะเป็นตัวแปลง โดนเมนภาษาอื่นๆ เป็น Puny Code ให้เราอัตโนมัติ เมื่อมีการสื่อสารกับระบบ DNS

IDN homograph attack รูปร่างเหมือนกัน แต่คนละตัวอักษรนะ

ดังที่กล่าวมาข้างต้นอย่างยืดยาว เนื่องด้วยมาตรฐาน IDN ทุกตัวอักษรสามารถนำมายัดใส่ Domain Name หรือ ชื่อเว็บไซต์ของเราได้แล้ว ดังนั้นเหล่า Hacker หัวหมอ จึงใช้ทริคที่ชื่อว่า IDN homograph attack โดยการใช้ตัวอักษรที่คล้ายกัน นำมาใส่ในชื่อโดเมน ให้คนเข้าใจผิด

ยกตัวอย่าง 2 ตัวอักษรนี้ ได้แก่ а และ a
ที่ а ตัวแรก จะมีค่า ASCII CODE เป็น 208 176
ที่ a ตัวที่สอง จะมีค่า ASCII CODE เป็น 097
ทั้งที่ ทั้งสองตัวรูปร่างเหมือนกัน แต่ถือว่าเป็นอักขระตัวละตัวกัน

นั่นเป็นเหตุผลที่ว่า
URL ที่1 : www.fаcebook.com           URLที่2: www.facebook.com
ทั้งสองเว็บไซต์ข้างต้นนี้ URL นึงเป็น URL ของจริง และมีอีก 1 ที่เป็น URL ปลอม

แต่เอ๊ะ ! รู้ตัวอีกที บทความนี้ก็เริ่มจะยาวเกินไปซะแล้ว งั้นเอาเป็นว่ารอติดตาม Part ที่ 2 นะครับ ว่า Hacker เขาใช้วิธีการไหน ในการได้มาซึ่งชื่อ Domain โดยการใช้ตัวอักษรแปลกๆ ที่ดูเหมือนกันแบบนี้ได้ บอกเลยว่าเด็ดมาก เพราะเราจะมารู้ลึก ลึกรู้จริงรู้ถึงวิธี รวมไปถึงการป้องการตัว และวิธีการพิสูจน์ว่า URL ว่าอันไหนเป็นเว็บของจริงหรือปลอม อย่าเพิ่งจากกันไปไหนนะครับ วันนี้ไปก่อนแล้ว บ๊ายบาย

ไม่ต้องไปไหนแล้วจ้า !! ติดตามอ่านบทความ Evil URL เครื่องมือสุดร้าย ที่มาของเว็บ URL เว็บ Phishing ทั้งหลาย (Part2) ต่อ ได้ที่นี่

Facebook Comments