Sanook Hitech พาคุณมารู้จักกับ เทคนิคกลโกงใหม่กับ Browser-in-the-Browser (BitB) ที่กำลังพูดถึงตอนนี้หาดคุณใช้งาน Internet เป็นประจำ เดี๋ยวนี้บริการต่างๆ ยังต้องการเรื่อง การเข้าระบบ หรือ Login ทำให้บางคนมองข้ามการมองชื่อ ซึ่งเข้าทางมิจฉาชีพ จนเอาไปหลอกคุณได้ จนคุณสงสัยว่า มันคืออะไรแล้วเราต้องระวังอะไร วันนี้ Sanook Hitech มีคำตอบครับBrowser-in-the-Browser (BitB) คืออะไรเรื่องแรกที่ต้องรู้ก่อนคือ เทคนิค Browser-in-the-Browser (BitB) คือการโจมตีแบบฟิชชิ่ง (Phishing) รูปแบบใหม่ ที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบ (Username/Password) ของคุณ โดยเฉพาะเมื่อคุณพยายามใช้บัญชีหลัก (เช่น Microsoft, Google, Facebook) เพื่อล็อกอินเข้าสู่เว็บไซต์อื่น ๆbitb2ขอบคุณภาพจาก www.menlosecurity.comทำไม BitB ถึงเป็นเรื่องใกล้ตัวคุณ?ปกติแล้วคุณจะเคยเห็นปุ่ม "ล็อกอินด้วย Google" หรือ "เข้าสู่ระบบด้วย Facebook" บนเว็บไซต์ต่าง ๆ เพื่อความสะดวก เทคนิค BitB ใช้จุดอ่อนนี้ในการสร้างหน้าต่างล็อกอินปลอมขึ้นมาทับหน้าจอจริง ทำให้คุณเข้าใจผิดว่ากำลังล็อกอินผ่านบริการที่เชื่อถือได้บริการที่ตกเป็นเป้าหมายบ่อย ผลกระทบต่อผู้ใช้งาน Microsoft/Google/Apple ข้อมูลล็อกอินถูกขโมย อาจนำไปสู่การยึดครองบัญชี Email และ Cloud Storage Facebook/Line บัญชีโซเชียลมีเดียถูกยึด เพื่อนำไปใช้หลอกเพื่อนหรือขโมยข้อมูลส่วนตัว เว็บเทรด/ธนาคาร (จำลอง) มีความเสี่ยงในการถูกขโมยข้อมูลทางการเงินBitB-ของคุณภาพจาก wesecureapp.com3 สัญญาณสำคัญที่บอกว่า Pop-up ล็อกอินนั้น "ปลอม"และเนื่องจากหน้าต่าง BitB เป็นเพียงภาพที่สร้างขึ้น ไม่ใช่หน้าต่างเบราว์เซอร์จริง คุณสามารถทดสอบได้ง่าย ๆ เพื่อความปลอดภัย เราก็จะมาบอกว่ามีอะไรที่เหมาะสมกันมากขึ้นการสังเกตและทดสอบ หน้าต่างล็อกอิน ปลอม (BitB) หน้าต่างล็อกอิน จริง 1. ลองลากหน้าต่าง ไม่สามารถลากหน้าต่าง Pop-up นี้ ออกนอกขอบ ของหน้าเว็บไซต์หลักได้ ลากหน้าต่าง Pop-up ออกไปวางบนส่วนอื่นของหน้าจอ (Desktop) ได้อย่างอิสระ 2. ลองย่อหน้าเว็บหลัก หน้าต่าง Pop-up จะ หายไปหรือยุบลง พร้อมกับหน้าเว็บไซต์หลัก หน้าต่าง Pop-up ยังคงลอยอยู่บนหน้าจอ (Desktop) แม้จะย่อหน้าเว็บไซต์หลัก 3. แถบ Address Bar แถบ URL ที่เห็นใน Pop-up นั้น คลิกไม่ได้ หรือไม่แสดงรายละเอียด SSL/TLS สามารถคลิกที่แถบ Address Bar เพื่อตรวจสอบ URL และใบรับรองความปลอดภัยได้m5วิธีป้องกันตัวเองให้ปลอดภัยการทำให้เข้าหน้าระบปลอดภัยนั้นจะมีขั้นตอนง่ายๆ ดังนี้เปิด Multi-Factor Authentication (MFA) หรือ 2FA ก็ได้: แม้ว่าทำให้เข้าบัญชีลำบาก แต่ก็เป็นมาตรการป้องกันที่ดีที่สุด เพราะแม้รหัสผ่านจะถูกขโมยไป ผู้โจมตีก็ยังไม่สามารถเข้าถึงบัญชีของคุณได้หากไม่มีปัจจัยที่สอง (เช่น โทรศัพท์มือถือ)เข้าสู่ระบบโดยตรง: หากพบหน้าต่างล็อกอินที่น่าสงสัย ให้ปิดหน้าต่างนั้นไปเลย และเปิดแท็บใหม่ จากนั้นพิมพ์ URL ของบริการที่คุณต้องการล็อกอินด้วยตนเองโดยตรง เช่น Microsoft จะเป็น Login.live.com เป็นต้นใช้โปรแกรมจัดการรหัสผ่าน (Password Manager): โปรแกรมเหล่านี้จะช่วยให้คุณปลอดภัยยิ่งขึ้น เพราะมันจะทำการป้อนรหัสผ่านให้ เฉพาะบนโดเมนที่ถูกต้อง ที่คุณบันทึกไว้เท่านั้น หากเป็นเว็บไซต์ปลอม โปรแกรมจะปฏิเสธการป้อนข้อมูลให้โดยอัตโนมัติดังนั้นแล้วเรื่องนี้ถือว่าไม่น่ากลัวถ้าคุณสังเกตอยู่เสมอ เพื่อให้ระบบทั้งหมดเพื่อความปลอดภัยของบัญชี เพราะถ้าส่วนนี้หลุดก็อาจจะทำให้ความปลอดภัยเกี่ยวกัล้อมูลมูลส่วนบุคคลนั้นจะไม่ปลอดภัยอีกต่อไป
รู้ทัน Browser-in-the-Browser (BitB) โกงล็อกอินปลอมอันตรายที่คุณต้องรู้
by
Tags: