Evil URL เครื่องมือสุดร้าย ที่มาของเว็บ URL เว็บ Phishing ทั้งหลาย (Part 2) — OPDe:/

เย้ๆ หลังจากที่จบ Part ที่แล้ว ก็กลัวหลายคนขาดตอนกัน ดังนั้น Part 2 นี้ จึงไม่รอช้ามาให้ท่านได้อ่าน วันนี้รับรองไม่ทำให้ผิดหวังแน่นอน เพราะว่าวันนี้เราจะรู้สักทีว่า การปลอม URL ให้เนียนเหมือนกันแกะคอกเดียวกันนั้น เจ้า Hacker ทั้งหลายเขาใช้เครื่องมือไหนกัน อีกทั้งวิธีการในการพิสูจน์ URL ที่เราไม่ไว้วางใจ ว่าตกลงมันคือ URL เว็บปลอมที่ต้องการหลอกเราหรือไม่ แต่ขอบอกก่อนว่า บทความนี้ไม่ได้มีเจตนาชี้โพรงให้กระรอกแต่อย่างใดนะครับ อ่านเพื่อเข้าใจและรู้วิธีไว้ป้องกันตัว ไม่ใช่นำความรู้ไปหลอกลวงคนอื่นๆนะครับ ว่าแล้วก็ไปอ่านกันต่อได้เลย 🙂

Evil URL เครื่องมือสุดร้าย มันร้ายอย่างไร ?

ว่ากันด้วยเครื่องมือ EvilURL เป็นโปรแกรมเล็กๆที่เขียนด้วย ภาษา Python ซึ่งตัวอย่างนี้ ผมได้ติดตั้งและทำงานบน Raspberry PI ซึ่งตัว OS Raspbian ของ Rpi นั้นเป็น Linux และติดตั้ง Python มาในตัวแล้ว จึงไม่รอช้าที่จะติดตั้ง EvilURL ด้วยคำสั่ง Git และลองรันดู

การทำงานของ EvilURL คือให้เรากรอก URL ที่เป้าหมายที่เราต้องการสร้างURLปลอม แล้วตัวโปรแกรมก็จะทำการแทนที่ตัวอักษรในชื่อที่เรากรอกไป หากตัวอักษรนั้นมีอีก 1 ตัวที่เหมือนกัน ยกตัวอย่างดังภาพด้านล่าง ผมได้กรอก facebook.com ลงไป

จะเห็นได้ว่า URL ใหม่ที่ตัว EvilURL สร้างขึ้นมาใหม่ให้นั้น เมื่อมองด้วยตาเปล่าก็คือ facebook.com เหมือนที่ผมได้กรอกไป แต่ทว่า URL เหล่านั้นล้วนเป็น URL ปลอมที่ระบบสร้างขึ้นมาใหม่ โดยการแทนที่ของตัวอักษรที่คล้ายกัน ยกตัวอย่างเช่น URL อันแรกในภาพที่ผมคลุมเขียวไว้ ตัว a ในภาษาอังกฤษ จะถูกแทนที่ ตัว a ด้วยตัว a ของภาษา Cyrillic ดังนั้น ถึงจะมองแล้วเป็น facebook.com แต่ว่ามันคือ fаcebook.com ซึ่งเป็นคนละโดเมนกันนะครับ ถ้ามี Hacker นำชื่อโดนเมนปลอมนี้ไปจดทะเบียนใช้งาน และสร้างหน้า Login หลอกๆไว้ ถ้าดวงซวยเผลอคลิกเข้าไป fаcebook.com ก็จะไปยังเว็บ Facebook ของปลอม ซึ่งถ้าเรากรอกอีเมล์ และรหัสผ่านในเว็บปลอมนั้น ข้อมูลทั้งหมดก็จะส่งไปหายัง Hacker ทีนี้ก็รอวันดีคืนดี ที่จะถูกขโมยบัญชีไปได้เลย

รู้อย่างไรอันไหนของปลอม ?

ในการโจมตีรูปแบบ IDN homograph attack หรือเรียกว่าการสร้างโดเมนปลอมนั้น เราสามารถตรวจสอบได้ง่ายๆว่า โดเมนไหนเป็นของจริงหรือของปลอมได้ โดยใช้วิธี เปลี่ยนโดเมนนั้นให้เป็น Puny Code ซึ่งสามารถค้นหาได้ใน Google ได้เลยว่า Puny Code Encoder หรือคลิกที่นี่ก็ได้ จากนั้นก็เอาโดนเมนที่สงสัยกรอกเข้าไป จากตัวอย่างนี้ผมนำ fаcebook.com ที่สร้างโดย EvilURL ไปตรวจสอบ ผลก็จะได้เป็น xn--fcebook-2fg.com ซึ่งนั่นแปลว่า URL ที่เรากรอกไป มีการใช้ตัวอักษรภาษาอื่นๆ ที่นอกเหนือจาก a-z(ภาษาอังกฤษ) เลข 0-9 และเครื่องหมายขีด- ก็แน่นอนสิครับ EvilURL ทำการแทนที่ตัวอักษร a ในคำว่า facebook ให้เป็นตัวอักษร a ของภาษา Cyrillic ตามที่ผมได้กล่าวไว้

ในกรณีที่URLนั้น เป็นเป็นเว็บของจริง ที่มีการใช้ ภาษาอังกฤษa-z ตัวเลข 0-9 และเครื่องหมายขีด เท่านั้น ผลลัพท์ที่ได้ในช่อง Puny Code ก็จะคงเป็นตามต้นฉบับ เพราะว่าไม่มีตัวอักษรพิเศษใดๆ ที่จะต้องแปลงให้เป็น Puny Code ดังนั้นจึงแสดงเป็น Url เดิมตามที่กรอกไว้

และสุดท้าย ในกรณีที่เป็นเว็บธนาคาร การเงิน หรือเว็บที่ต้องการความปลอดภัยสูง ให้เราสังเกตุที่รูปแม่กุญแจสีเขียว จะมีชื่อบริษัทที่จดทะเบียนปรากฎอยู่ ซึ่งเว็บไซต์ที่จะได้แม่กุญแจรูปแบบนี้ จำเป็นต้องมีการยื่นเอกสารเพื่อยืนยันข้อมูล ที่ถูกต้อง นั่นแปลว่าเว็บไซต์ที่มีแม่กุญแจนี้มีความน่าเชื่อถือสูงสุด และไม่น่าจะเป็นเว็บปลอม

แต่ถ้าเป็นกุญแจสีเขียวแบบนี้ แต่ไม่มีชื่อบริษัทอยู่ด้วยอย่าง facebook.com หละ ก็ยังพอมั่นใจได้นะครับ แต่ถ้าจะให้ชัวร์ต้องคลิกดูรายละเอียดที่แม่กุญแจก่อนเพราะเว็บทั่วไปหรือใครๆ ก็สามารถสร้างแม่กุญแจลักษณะนี้ได้ ซึ่งเว็บปลอมก็จะใช้บริการแบบนี้ได้เช่นกัน แต่ Hackerโดยส่วนมาก มักไม่ค่อยลงทุนเท่าไหร่นัก จึงใช้บริการจากผู้ให้บริการฟรี เช่น Let’s Encrypt หรือ Clound Flare เป็นต้น

ดังนั้น ให้เราเอาข้อมูลช่อง Verify By ไปค้นหาใน Google ได้เลยครับ ว่าผู้ให้บริการที่รับรองเว็บไซต์นี้ เป็นผู้บริการที่น่าเชื่อถือหรือไม่ โดยสังเกตุที่หน้าเว็บหลักได้เลยว่าน่าเชื่อถือไหม ในตัวอย่างนี้คือ DigiCert Inc ซึ่งเป็นผู้รับรอง Facebook.com

โอเค ! DigiCert Inc เป็นเว็บที่น่าเชื่อถือ เพราะมีแม่กุญแจสีเขียว พร้อมชื่อบริษัทจดทะเบียน ดังนั้น facebook.com ที่ผมกำลังเข้าอยู่นี้ ต้องเป็นของจริงอย่างแน่นอน 10000000%

 

เป็นอย่างไรบ้างครับ สำหรับบทความ
Evil URL เครื่องมือสุดร้าย ที่มาของเว็บ URL เว็บ Phishing ทั้งหลาย
หากมีความคิดเห็นอย่างไร หรือต้องการสอบถาม
สามารถ Comment บอกได้เลยครับ 🙂

Facebook Comments



minimized="false">