ดาวน์โหลดสนุกแอปฟรี
Emailรู้ทัน Browser-in-the-Browser (BitB) โกงล็อกอินปลอมอันตรายที่คุณต้องรู้
หาดคุณใช้งาน Internet เป็นประจำ เดี๋ยวนี้บริการต่างๆ ยังต้องการเรื่อง การเข้าระบบ หรือ Login ทำให้บางคนมองข้ามการมองชื่อ ซึ่งเข้าทางมิจฉาชีพ จนเอาไปหลอกคุณได้ จนคุณสงสัยว่า มันคืออะไรแล้วเราต้องระวังอะไร วันนี้ Sanook Hitech มีคำตอบครับ
Browser-in-the-Browser (BitB) คืออะไร
เรื่องแรกที่ต้องรู้ก่อนคือ เทคนิค Browser-in-the-Browser (BitB) คือการโจมตีแบบฟิชชิ่ง (Phishing) รูปแบบใหม่ ที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบ (Username/Password) ของคุณ โดยเฉพาะเมื่อคุณพยายามใช้บัญชีหลัก (เช่น Microsoft, Google, Facebook) เพื่อล็อกอินเข้าสู่เว็บไซต์อื่น ๆ
ขอบคุณภาพจาก www.menlosecurity.com
ทำไม BitB ถึงเป็นเรื่องใกล้ตัวคุณ?
ปกติแล้วคุณจะเคยเห็นปุ่ม "ล็อกอินด้วย Google" หรือ "เข้าสู่ระบบด้วย Facebook" บนเว็บไซต์ต่าง ๆ เพื่อความสะดวก เทคนิค BitB ใช้จุดอ่อนนี้ในการสร้างหน้าต่างล็อกอินปลอมขึ้นมาทับหน้าจอจริง ทำให้คุณเข้าใจผิดว่ากำลังล็อกอินผ่านบริการที่เชื่อถือได้
| บริการที่ตกเป็นเป้าหมายบ่อย | ผลกระทบต่อผู้ใช้งาน |
| Microsoft/Google/Apple | ข้อมูลล็อกอินถูกขโมย อาจนำไปสู่การยึดครองบัญชี Email และ Cloud Storage |
| Facebook/Line | บัญชีโซเชียลมีเดียถูกยึด เพื่อนำไปใช้หลอกเพื่อนหรือขโมยข้อมูลส่วนตัว |
| เว็บเทรด/ธนาคาร (จำลอง) | มีความเสี่ยงในการถูกขโมยข้อมูลทางการเงิน |
ของคุณภาพจาก wesecureapp.com
3 สัญญาณสำคัญที่บอกว่า Pop-up ล็อกอินนั้น "ปลอม"
และเนื่องจากหน้าต่าง BitB เป็นเพียงภาพที่สร้างขึ้น ไม่ใช่หน้าต่างเบราว์เซอร์จริง คุณสามารถทดสอบได้ง่าย ๆ เพื่อความปลอดภัย เราก็จะมาบอกว่ามีอะไรที่เหมาะสมกันมากขึ้น
| การสังเกตและทดสอบ | หน้าต่างล็อกอิน ปลอม (BitB) | หน้าต่างล็อกอิน จริง |
| 1. ลองลากหน้าต่าง | ไม่สามารถลากหน้าต่าง Pop-up นี้ ออกนอกขอบ ของหน้าเว็บไซต์หลักได้ | ลากหน้าต่าง Pop-up ออกไปวางบนส่วนอื่นของหน้าจอ (Desktop) ได้อย่างอิสระ |
| 2. ลองย่อหน้าเว็บหลัก | หน้าต่าง Pop-up จะ หายไปหรือยุบลง พร้อมกับหน้าเว็บไซต์หลัก | หน้าต่าง Pop-up ยังคงลอยอยู่บนหน้าจอ (Desktop) แม้จะย่อหน้าเว็บไซต์หลัก |
| 3. แถบ Address Bar | แถบ URL ที่เห็นใน Pop-up นั้น คลิกไม่ได้ หรือไม่แสดงรายละเอียด SSL/TLS | สามารถคลิกที่แถบ Address Bar เพื่อตรวจสอบ URL และใบรับรองความปลอดภัยได้ |
วิธีป้องกันตัวเองให้ปลอดภัย
การทำให้เข้าหน้าระบปลอดภัยนั้นจะมีขั้นตอนง่ายๆ ดังนี้
- เปิด Multi-Factor Authentication (MFA) หรือ 2FA ก็ได้: แม้ว่าทำให้เข้าบัญชีลำบาก แต่ก็เป็นมาตรการป้องกันที่ดีที่สุด เพราะแม้รหัสผ่านจะถูกขโมยไป ผู้โจมตีก็ยังไม่สามารถเข้าถึงบัญชีของคุณได้หากไม่มีปัจจัยที่สอง (เช่น โทรศัพท์มือถือ)
- เข้าสู่ระบบโดยตรง: หากพบหน้าต่างล็อกอินที่น่าสงสัย ให้ปิดหน้าต่างนั้นไปเลย และเปิดแท็บใหม่ จากนั้นพิมพ์ URL ของบริการที่คุณต้องการล็อกอินด้วยตนเองโดยตรง เช่น Microsoft จะเป็น Login.live.com เป็นต้น
- ใช้โปรแกรมจัดการรหัสผ่าน (Password Manager): โปรแกรมเหล่านี้จะช่วยให้คุณปลอดภัยยิ่งขึ้น เพราะมันจะทำการป้อนรหัสผ่านให้ เฉพาะบนโดเมนที่ถูกต้อง ที่คุณบันทึกไว้เท่านั้น หากเป็นเว็บไซต์ปลอม โปรแกรมจะปฏิเสธการป้อนข้อมูลให้โดยอัตโนมัติ
ดังนั้นแล้วเรื่องนี้ถือว่าไม่น่ากลัวถ้าคุณสังเกตอยู่เสมอ เพื่อให้ระบบทั้งหมดเพื่อความปลอดภัยของบัญชี เพราะถ้าส่วนนี้หลุดก็อาจจะทำให้ความปลอดภัยเกี่ยวกัล้อมูลมูลส่วนบุคคลนั้นจะไม่ปลอดภัยอีกต่อไป
สนับสนุนเนื้อหา
