ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

Browser-in-the-browser (BitB) เทคนิค Phishing ใหม่ล่าสุด ที่ยากต่อการป้องกัน

Browser-in-the-browser (BitB) เทคนิค Phishing ใหม่ล่าสุด ที่ยากต่อการป้องกัน

เมื่อ :
|  ผู้เข้าชม : 10,551
เขียนโดย :
0 Browser-in-the-browser+%28BitB%29+%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84+Phishing+%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88%E0%B8%A5%E0%B9%88%E0%B8%B2%E0%B8%AA%E0%B8%B8%E0%B8%94+%E0%B8%97%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%B2%E0%B8%81%E0%B8%95%E0%B9%88%E0%B8%AD%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9B%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%81%E0%B8%B1%E0%B8%99
A- A+
แชร์หน้าเว็บนี้ :

ต้องยอมรับว่าแฮกเกอร์นั้นช่างขยันสรรหาวิธีการโจมตีรูปแบบใหม่ ๆ มาใช้ในการจารกรรมได้อย่างสม่ำเสมอ ล่าสุด mrd0x นักวิจัยด้านความปลอดภัย และนักทดสอบการเจาะระบบ ได้รายงานเทคนิคการ Phishing รูปแบบใหม่ที่เรียกว่าวิธี Browser-in-the-browser (BitB)

Browser-in-the-browser (BitB) เป็นเทคนิคที่จะสร้างหน้าต่างเบราว์เซอร์ ขึ้นมาในเบราว์เซอร์อีกที เพื่อจำลองหน้าเว็บปลอม ที่เลียนแบบคุณสมบัติ 3rd-Party single sign-on (SSO) อย่าง "Sign in with Google", "Sign in with Facebook", "Sign in with Apple" หรือ "Sign in with Microsoft" ที่ได้รับความนิยมผู้ใช้งานเป็นอย่างมากในปัจจุบันนี้

บทความเกี่ยวกับ Phishing อื่นๆ

Browser-in-the-browser (BitB) เทคนิค Phishing ใหม่ล่าสุด ที่ยากต่อการป้องกัน
หน้าต่างเข้าสู่ระบบแบบ SSO ของเว็บไซต์ CANVA
ภาพจาก https://mrd0x.com/browser-in-the-browser-phishing-attack/

ในการใช้งานคุณสมบัติ 3rd-Party single sign-on (SSO) เมื่อผู้ใช้ทำการคลิกที่ปุ่มเข้าสู่ระบบ หน้าต่างเบราว์เซอร์อันใหม่จะถูกแสดงผลขึ้นมา เพื่อให้ผู้ใช้งานกรอกข้อมูลยืนยันตัวตน การโจมตีแบบ BitB อาศัยประโยชน์จากขั้นตอนดังกล่าว ด้วยการใช้ HTML, CSS code และ iFrame สร้างหน้าต่างยืนยันตัวตนปลอมขึ้นมา

 

ความน่ากลัวของ BitB คือ หน้าต่าง SSO ปลอมที่แฮกเกอร์สร้างขึ้นมานั้น สามารถทำให้มีความสมจริง จนแทบจะแยกไม่ออกว่าหน้าต่างไหนเป็นของจริง หน้าต่างไหนเป็นของปลอม แม้แต่ URL ที่ปรากฏก็สามารถใช้ JavaScript 

Google

function launchWindow(){
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}

เพื่อทำให้ URL ของเว็บไซต์ในหน้าต่าง SSO ดูเหมือนของจริงได้ ลองดูภาพตัวอย่างที่ mrd0x สร้างขึ้นมาสาธิตการโจมตีด้วย BitB คุณผู้อ่านแยกออกหรือไม่ว่า หน้าต่าง SSO อันไหนที่เป็นของจริง ?

Browser-in-the-browser (BitB) เทคนิค Phishing ใหม่ล่าสุด ที่ยากต่อการป้องกัน
ซ้ายของปลอม ขวาของจริง

อย่างไรก็ตาม ทาง mrd0x ก็ระบุว่า เทคนิคนี้ไม่ได้อันตรายจนไม่สามารถป้องกันได้ เพราะท้ายที่สุดแล้วหน้าต่าง SSO ปลอมจะ Redirected ไปยังหน้าเว็บไซต์ปลอมที่เตรียมไว้สำหรับใช้ในการ Phishing อยู่ดี ซึ่งหน้าเว็บไซต์ดังกล่าวแฮกเกอร์จะไม่สามารถปลอม URL ได้ หากมีความสังเกตสักหน่อยก็จะสามารถหลีกเลี่ยงปัญหานี้ได้


ที่มา : mrd0x.com , threatpost.com , thehackernews.com

0 Browser-in-the-browser+%28BitB%29+%E0%B9%80%E0%B8%97%E0%B8%84%E0%B8%99%E0%B8%B4%E0%B8%84+Phishing+%E0%B9%83%E0%B8%AB%E0%B8%A1%E0%B9%88%E0%B8%A5%E0%B9%88%E0%B8%B2%E0%B8%AA%E0%B8%B8%E0%B8%94+%E0%B8%97%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%B2%E0%B8%81%E0%B8%95%E0%B9%88%E0%B8%AD%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9B%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%81%E0%B8%B1%E0%B8%99
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
ระดับผู้ใช้ : Admin    Thaiware
แอดมินสายเปื่อย ชอบลองอะไรใหม่ไปเรื่อยๆ รักแมว และเสียงเพลงเป็นพิเศษ
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น