Domain Phishing: ระวังพลาดหากขาดการตรวจสอบ

Domain Phishing: ระวังพลาดหากขาดการตรวจสอบ

สวัสดีท่านผู้อ่านทุกท่านกลับมาพบกันอีกครั้งนะครับ ก่อนจะเข้าไปในส่วนเนื้อหา ขออนุญาตเล่าที่มาที่ไปของการเขียนบทความนี้ขึ้นมาก่อน คืออยู่ดี ๆ ผมก็นึกย้อนถึงอดีต ว่าเคยมีเหตุการณ์นึงเกิดขึ้นตอนเด็ก ๆ ที่ผมเคยเล่นเกม แล้วอยากอุดหนุนเกมแท้ ซึ่งก็จะมีแพลตฟอร์มนึงที่จะเป็นแหล่งไว้ซื้อเกมแท้จากผู้พัฒนา โดยสมัยนั้นผมก็เก็บเงินค่าขนมและนำไปซื้อเกม แต่ด้วยความที่เราอยากมีเกมเยอะ ๆ จึงมองหาการแจกเกม ซึ่งผมก็บังเอิญไปเจอเว็บไซต์นึงที่เอาไว้แจกเกม โดยขั้นตอนคือเราต้องกดแลกเกม จากนั้นระบบก็จะนำไปสู่หน้าล็อคอินของแพลตฟอร์มนั้น แต่!!! มันไม่ใช่เว็บไซต์จริง ๆ ครับ ถึงแม้จะหน้าตาเหมือนกันมาก ผมเลยอยากที่จะมาเขียนบทความนี้ เพื่อที่ทุกคนจะได้เห็นว่ามีสิ่งเหล่านี้อยู่นั่นเอง

Domain Phishing คืออะไร?

หลังจากที่ได้เล่าความเป็นมาแล้วก็จะเห็นว่า Domain Phishing หรือว่าการโดน Phishing นั้นไม่ได้เป็นสิ่งที่ไกลตัวเลย ซึ่งการโจมตีแบบ Phishing (Phishing Attack) คือการที่มิจฉาชีพสร้างเว็บไซต์ปลอมขึ้นมาโดยเลียนแบบเว็บไซต์จริงจนแทบแยกไม่ออก โดยอาจใช้โดเมนที่คล้ายคลึงกับของจริงมาก ๆ เพื่อหลอกเหยื่อให้หลงเชื่อและกรอกข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลส่วนตัวอื่น ๆ ที่สำคัญยกตัวอย่างการปลอมแปลง เช่น

Facebook ปลอม อาจใช้ URL ว่า “facébook.com” ซึ่งถ้าดูผ่าน ๆ ก็จะเห็นว่ามันแทบจะแนบเนียนไปเลย แต่เมื่อดูใกล้ ๆ ก็จะเห็นว่าตัว e มันไม่ใช่ตัว e น่ะสิครับ!!

หรือเว็บไซต์ Facebook ปลอมที่อาจใช้ URL ว่า “faceb00k.com” อะไรประมาณนี้ ซึ่งเทคนิคต่าง ๆ เหล่านี้ก็มีชื่อเรียกของมัน โดยจะกล่าวในบทความนี้เช่นเดียวกันครับ โดยลักษณะของ Domain Phishing ก็จะมีลักษณะคร่าว ๆ คือ มี URL ที่คล้ายของจริงมาก , หน้าตาเว็บไซต์เหมือนของจริง , มีฟอร์มกรอกข้อมูลปลอม เพื่อขโมยข้อมูลสำคัญ , มีประกาศด่วนเร่งรีบ โดยสามารถนำไปจัดเป็นข้อ ๆ ได้ตามหัวข้อต่อไป

วิธีการทำงานของผู้ไม่ประสงค์ดีคือ

1. ปลอมโดเมนให้เหมือนของจริง โดยใช้เทคนิคต่าง ๆ เช่น ใช้ตัวอักษรจากภาษาอื่นที่คล้ายภาษาอังกฤษ (Homograph Attack) เช่น ตัว “а” (อักษรซีริลลิก) ที่ดูเหมือนตัว “a”

2. สร้างเว็บไซต์ปลอมที่ดูน่าเชื่อถือ โดยใช้ดีไซน์เหมือนเว็บจริงทั้งสีสัน โลโก้ ฟอนต์ หรือไอคอนต่าง ๆ ให้คนเข้าใจผิดว่าเป็นเว็บจริง

3. ส่งลิงก์ผ่านอีเมล ข้อความ โซเชียลมีเดียบนแพลตฟอร์มยอดนิยมเช่น Facebook, Google หรือนำไปสร้างเป็นบล็อกบทความต่าง ๆ พร้อมแนบลิงค์เข้าไป

4. สร้างสถานการณ์เร่งด่วน โดยมีข้อความที่กระตุ้นให้เหยื่อตื่นตระหนก หรืออาจจะเล่นกับความต้องการของมนุษย์ เช่น เว็บไซต์แจกเงิน แจกเกม

5. ขโมยข้อมูลทันทีที่เหยื่อกรอก เมื่อเหยื่อหลงเชื่อและกรอกข้อมูลลงไป ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ของมิจฉาชีพทันที

ตัวอย่างเทคนิคของ Domain Phishing

การทำ Domain Phishing นั้นก็มีเทคนิคหลายแบบโดยจะแยกเป็นข้อ ๆ ดังนี้เพื่อให้ท่านผู้อ่านได้เห็นผ่าน ๆ ตา และเกิดความระมัดระวังมากขึ้น

1. TLD Swap — เป็นเทคนิคที่จะทำการเปลี่ยนโดเมนระดับบนสุด (Top-Level Domain) เช่น จาก .com → .co หรือ .net → .org เทคนิคนี้เกิดจากการสังเกตพฤติกรรมของผู้ใช้ที่มักมองข้ามโดเมนท้ายสุด ทำให้ผู้ไม่ประสงค์ดีสามารถสร้างโดเมนที่ดูเหมือนของจริงได้ง่าย ๆ ยกตัวอย่าง เช่น datafarm.com กลายเป็น datafarm.co

2. Subdomains — เทคนิคนี้เป็นการเพิ่ม Subdomain เพื่อหลอก เช่น “datafarm.df.com” ที่ดูเหมือนเป็นของ datafarm แต่จริง ๆ แล้วไม่ใช่ จุดสำคัญคือ ผู้ใช้บางคนมักจะมองแค่ต้น URL และละเลยชื่อโดเมนหลักไป หรือในบางครั้งอาจจะมองโดยไม่ละเอียดถี่ถ้วน

3. Typosquatting — เป็นเทคนิคการจดโดเมนโดยอาศัยการสะกดคำผิด เช่น “datafarn.co.th” (บริษัทไหนก็ไม่รู้) แทน “datafarm.co.th” เทคนิคนี้หวังว่าผู้ใช้จะไม่ทันสังเกตว่ามีการพิมพ์ผิด

4. Hyphenation — การเพิ่มขีดกลางเข้าไป เช่น “ data-farm.co.th “ เพื่อทำให้ดูใกล้เคียงกับของจริงหรือดูถูกต้องมากขึ้น

5. Repetition — การทำซ้ำตัวอักษร เช่น “ dataafarm.co.th “ วิธีนี้ใช้ประโยชน์จากการมองด้วยสายตาของเรา ที่อาจมองข้ามความแตกต่างเพียงเล็กน้อย

6. Replacement — เปลี่ยนอักขระบางตัวให้คล้ายกัน เช่น “ da1afarm.co.th “ (ตัวเลข 1 แทนตัว t) ซึ่งยากที่ผู้ใช้จะสังเกตเห็นในแวบแรก และยิ่งเป็นอักขระที่คล้ายคลึงกันก็จะยิ่งแนบเนียนขึ้นไปอีก

7. Omission — การตัดอักขระบางตัวออก เช่น “ datfarm.co.th “ โดยอาศัยความเร่งรีบของผู้ใช้ที่อาจมองข้ามความผิดปกติไป

8. Transposition — สลับตำแหน่งตัวอักษร เช่น “datafarm.co.th” กลายเป็น “datafram.co.th” โดยเทคนิคนี้จะอาศัยข้อผิดพลาดในการพิมพ์ ซึ่งในบางครั้งเราก็อาจพลาดท่าได้ถ้าไม่อ่านดี ๆ

9. Insertion — ใส่อักขระพิเศษเข้าไป เช่น “dataxfarm.co.th” เพื่อทำให้ URL ดูน่าเชื่อถือหากมองผ่าน ๆ

10. Homoglyph — เทคนิคนี้จะเป็นเทคนิคที่มีความยากในการสังเกตด้วยตาระดับ 5 ดาว เพราะเป็นการใช้ตัวอักษรจากภาษาที่คล้ายคลึงกัน เช่น “ԁаtаfarm.co.th” (ใช้ตัว “a” เป็นอักษรซีริลลิก ซึ่งออกเสียงว่า อา) ซึ่งอาจดูเหมือนตัว “a” ภาษาอังกฤษมากจนแทบแยกไม่ออก

ซึ่งมีวิธีแนะนำในการตรวจสอบคือถ้าเราไม่ได้พิมพ์ค้นหาเว็บไซต์ดังกล่าวมาเอง หรือเรากดเว็บไซต์ต้องสงสัยมาจากลิ้งค์ต่าง ๆ ขั้นตอนแรกเลยคือเราจะต้องคัดลอกนำ URL ดังกล่าวไปวางไว้บนเบราว์เซอร์

ซึ่งจะเห็นว่าเบราว์เซอร์มีการแสดงผล URL ที่ได้ทำการ punycode encoding ออกมา จาก “datafarm.co.th” ที่ได้ทำการ Homoglyph มาอย่างแนบเนียน กลายเป็น “http://xn—tfarm-3veb38n.co.th” ซึ่งเว็บไซต์ datafarm ก็เป็นภาษาอังกฤษอยู่แล้วไม่มีทางที่จะออกมาในรูปแบบของ punycode URL ดังกล่าวเลย

เกล็ดเสริม : Punycode encoding คือวิธีการเข้ารหัสชื่อโดเมนที่มีตัวอักษรพิเศษหรืออักขระจากภาษาที่ไม่ใช่ตัวอักษรภาษาอังกฤษ (เช่น ภาษาไทย, ภาษาจีน, หรืออักษรพิเศษอื่น ๆ) ให้อยู่ในรูปแบบที่สามารถใช้ในระบบโดเมน (DNS) ซึ่งรองรับได้เฉพาะตัวอักษรภาษาอังกฤษและตัวเลขเท่านั้น.

หรือการตรวจสอบเพิ่มเติมอาจใช้ https://dnstwist.it/ หรือ https://www.virustotal.com/ เพื่อตรวจสอบเพิ่มเติมได้

11. Vowel-swap — เปลี่ยนสระบางตัวให้ดูคล้ายกัน เช่น “datefarm.co.th” เพื่อทำให้ผู้ใช้สับสน

12. Addition — เทคนิคนี้จะเป็นการเพิ่มอักขระส่วนเกิน เช่น “datafarms.co.th” ซึ่งมักดูไม่ผิดปกติในสายตาผู้ใช้ที่อาจจะเร่งรีบ

13. Display Length — เทคนิคสุดท้ายจะเป็นการเล่นกับอัตราส่วนของหน้าจอครับ ลองนึกภาพว่าโทรศัพท์เรามีอัตราส่วนที่ไม่เหมือนกัน ซึ่งเวลาที่มีการปลอม subdomain เหล่าผู้ไม่ประสงค์ดีก็จะนำส่วนที่ถูกต้องไว้ข้างหน้าและนำส่วนที่ผิดให้เลยอัตราส่วนของแถบ address bar ของโทรศัพท์นั่นเอง

วิธีป้องกัน Domain Phishing เบื้องต้น

1. ตรวจสอบ URL ให้ละเอียดก่อนกดโดยสังเกตจากการใช้เทคนิคที่เหล่าผู้ไม่ประสงค์ดีมักจะใช้ในการปลอมแปลง นำมาสังเกตการสะกดชื่อเว็บไซต์ โดยไม่ลืมที่จะสังเกตตัวสะกดผิดเล็ก ๆ เช่น “facebo0k” หรือ “goog1e”

2. พิมพ์ URL ด้วยตัวเองทุกครั้ง แทนการคลิกลิงก์จากแหล่งที่ไม่น่าเชื่อถือ

3. ใช้การยืนยันตัวตน 2 ขั้นตอน (2FA) เพิ่มชั้นความปลอดภัย แม้ว่ารหัสผ่านจะโดนขโมยไป แต่หากไม่มีรหัส OTP ก็ยังไม่สามารถเข้าบัญชีได้ (แต่ถ้าผู้ไม่ประสงค์ดีทำหน้าในการรองรับ 2FA ของเราอีกก็จบกัน)

4. หลีกเลี่ยงการกรอกข้อมูลผ่านลิงก์ที่ไม่คุ้นเคย

โดยข้อหลัก ๆ เลยคือเราควรสังเกตให้ดี เพราะถ้าเราเร่งรีบจนเกินไป ก็อาจจะทำให้เกิดเหตุการณ์ไม่คาดคิดได้!! ซึ่งจากเหตุการณ์ที่ผมได้เล่าไปตอนต้น ที่เมื่อโดนขโมยรหัสไปแล้ว ผมก็ได้ทำการแจ้งไปยัง support ของแพลตฟอร์มนั้น ๆ ซึ่งผมแจ้งเพิ่มเติมว่าปกติตัวผมอยู่กรุงเทพ และเข้าสู่ระบบครั้งล่าสุดที่กรุงเทพ แต่ 5 นาทีผ่านไป บัญชีไปเข้าสู่ระบบอยู่ที่ต่างประเทศที่ต้องเดินทางไปหลายชั่วโมงซึ่งเป็นไปไม่ได้ ทางแพลตฟอร์มนั้นจึงได้กู้คืนบัญชีมาให้ผม จบอย่างแฮปปี้เอนด์ดิ้ง แต่คุณอาจจะไม่ใช่ผู้โชคดีแบบนี้ ดังนั้นอย่าลืมสังเกตนะครับ