บอกได้เลยว่า ล่าสุดเหล่าบรรดาแฮกเกอร์ได้ร่วมกันสรรหาวิธีโจมตีในรูปแบบใหม่ๆ เพื่อนำมาใช้ในการโจรกรรมได้อย่างต่อเนื่อง โดยล่าสุด mrd0x ซึ่งเป็นนักวิจัยด้านความปลอดภัย และนักทดสอบการเจาะระบบ ได้รายงานเทคนิค Phishing ในรูปแบบใหม่ที่เรียกว่าวิธี Browser-in-the-browser (BitB)
ซึ่งวิธี Browser-in-the-browser (BitB) เป็นเทคนิคที่สร้างหน้าต่างเบราว์เซอร์ขึ้นมาในเบราว์เซอร์อีกที ก็เพื่อจำลองหน้าเว็บปลอม ที่เลียนแบบคุณสมบัติ 3rd-Party single sign-on (SSO) อย่าง "Sign in with Google", "Sign in with Facebook", "Sign in with Apple" หรือ "Sign in with Microsoft" ซึ่งได้รับความนิยมของผู้ใช้งานเป็นอย่างมากในปัจจุบัน
โดยการใช้งานคุณสมบัติ 3rd-Party single sign-on (SSO) ถ้าหากผู้ใช้งานได้ทำการคลิกที่ปุ่มเข้าสู่ระบบหน้าต่างเบราว์เซอร์อันใหม่ก็จะถูกแสดงผลขึ้นมาทันที เพื่อให้ผู้ที่ใช้งานนั้นกรอกข้อมูลยืนยันตัวตน การโจมตีแบบ BitB เพื่ออาศัยประโยชน์จากขั้นตอนดังกล่าว ด้วยการใช้ HTML, CSS code และ iFrame ในการสร้างหน้าต่างยืนยันตัวตนปลอมขึ้นมานั่นเองครับ
เมื่อพูดถึงความน่ากลัวของ BitB คือ หน้าต่าง SSO ปลอมที่แฮกเกอร์สร้างขึ้นมานั้น สามารถทำให้มีความสมจริง จนแทบจะแยกไม่ออกว่าหน้าต่างไหนเป็นของจริง หน้าต่างไหนเป็นของปลอม แม้แต่ URL ที่ปรากฏก็สามารถใช้ JavaScript
ดังนั้นเพื่อทำให้ URL ของเว็บไซต์ในหน้าต่าง SSO ดูเหมือนจริงได้ ลองดูภาพตัวอย่างที่ mrd0x นั้นได้สร้างขึ้นมาสาธิตการโจมตีด้วย BitB ผู้อ่านสามารถแยกออกได้หรือไม่ว่า หน้าต่าง SSO อันไหนที่เป็นของจริงครับ
ถึงอย่างไรก็ตาม mrd0x ยังได้ระบุอีกว่า เทคนิคนี้ไม่ได้อันตรายจนไม่สามารถป้องกันได้ เพราะท้ายที่สุดแล้วหน้าต่าง SSO ปลอมจะ Redirected ไปยังหน้าเว็บไซต์ปลอมที่ได้เตรียมไว้สำหรับใช้ในการ Phishing อยู่ดีครับ ซึ่งหน้าเว็บไต์ดังกล่าวแฮกเกอร์นั้นไม่สามารถปลอม URL ได้ ถ้าหากมีข้อสังเกตสักหน่อยก็จะสามารถหลีกเลี่ยงปัญหาเหล่านี้ได้เองครับ
---Wynnsoft Solution รับทำเว็บไซต์ รับทำ SEO รับทำการตลาดออนไลน์ รับทำโฆษณา Facebook รับทำเว็บไซต์ ขอนแก่น และรับทำเว็บไซต์ทั่วประเทศ—
ข้อมูลจาก : mrd0x.com : news.thaiware.com