ช่องโหว่จาก URL เบราว์เซอร์มือถือ สู่เว็บไซต์หลอกลวง
2020.12.18
ช่องโหว่จาก URL เบราว์เซอร์มือถือ สู่เว็บไซต์หลอกลวง
Tod Beardsley ผู้อำนวยการฝ่ายวิจัยของ Rapid7 เปิดเผยช่องโหว่กล่าวได้ว่าเป็นข้อบกพร่อง จากผู้จำหน่ายเบราว์เซอร์รายใหญ่ของ CWE-451 จาก Common Weakness Enumeration เป็นเรื่องที่น่ากังวลเนื่องจากผู้ที่ตกเป็นเหยื่อบนอุปกรณ์เคลื่อนที่ไม่สามารถบอกความแตกต่างระหว่างไซต์จริงกับไซต์ปลอมที่เหยื่อเข้ามาได้
โดยทั่วไปผู้ใช้อาจถูกล่อให้คลิกลิงก์บนฟอรัม (Reddit) หรือไซต์โซเชียลมีเดียหรือรับข้อความบนอุปกรณ์มือถือพร้อมลิงก์ที่จะนำพวกเขาไปยังไซต์หลอกลวง ในทุกกรณีเมื่อผู้ใช้คลิกจะถูกขอให้กรอกข้อมูลบางส่วนไม่ว่าจะเป็นข้อมูลส่วนตัวหรือข้อมูลบัตรเครดิต
“ฉันไม่สามารถบอกความแตกต่างได้จริง ๆ” Beardsley กล่าว “แถบที่อยู่มือถือมีขนาดเล็กมากจนไม่สามารถแยกแยะได้อย่างแท้จริงว่าระหว่างไซต์จริงกับไซต์หลอกลวง”
Beardsley กล่าวว่าผู้จำหน่ายเบราว์เซอร์รายใหญ่หลายรายเช่น Apple Safari และ Opera ได้ออกแพตช์สำหรับอุดช่องโหว่ดังกล่าวแล้ว ซึ่งนักวิจัย Rafay Baloch ค้นพบเมื่อฤดูร้อนปีที่แล้ว Rapid7 ยังได้ยินจาก Yandex และ RITS ซึ่งระบุว่าพวกเขาตั้งใจที่จะแก้ไขปัญหา ทั้ง UC และ Bolt ซึ่งได้รับผลกระทบจากช่องโหว่นี้
ในขณะที่ช่องโหว่ดังกล่าวได้รับการแก้ไขสำหรับผู้ใช้มือถือส่วนใหญ่และไม่มีอันตรายใด ๆ ที่ใกล้เข้ามา Beardsley กล่าวว่าเขากังวลว่าเทคนิคนี้อาจไปอยู่ในมือคนผิดได้ ตัวอย่างเช่น การเผยแพร่ข้อมูลที่ผิดเกี่ยวกับ COVID-19
Hank Schless ผู้จัดการอาวุโสโซลูชันด้านความปลอดภัยของ Lookout กล่าวว่าการปลอมแปลง URL กลายเป็นหนึ่งในวิธีที่ผู้โจมตีสามารถหลอกล่อให้ผู้คนคลิกลิงก์ฟิชชิ่งโดยเฉพาะบนอุปกรณ์มือถือ
“ การโจมตีแบบฟิชชิงบนมือถือสามารถส่งได้ด้วยวิธีการมากมาย เช่น ข้อความ อีเมล แพลตฟอร์มโซเชียลมีเดีย และผู้ส่งข้อความบุคคลที่สาม” Schless กล่าว “ เราทุกคนคุ้นเคยกับการแตะลิงก์ที่ส่งไปยังอุปกรณ์มือถือของเรา ลองนึกถึงการแจ้งเตือนการจัดส่งจำนวนนับไม่ถ้วนที่คุณจะได้รับเมื่อคุณซื้อสินค้าออนไลน์และคุณแตะลิงก์เพื่อตรวจสอบข้อมูลการติดตามได้เร็วเพียงใด และเนื่องจากหน้าจอมีขนาดเล็กจึงยากที่จะระบุ URL ที่ปลอมแปลงโดยมีการเปลี่ยนแปลงที่ไม่ต่อเนื่อง ตัวอย่างเช่นผู้โจมตีอาจเพิ่มสำเนียงหรืออักขระพิเศษให้กับตัวอักษรหนึ่งตัวในที่อยู่ที่ผู้ใช้ไม่ได้สังเกตเห็นด้วยซ้ำ”
Ref : https://www.scmagazine.com/home/security-news/url-address-spoofing-flaw-keeps-victims-from-determining-fake-real-sites/
Translate: B
บทความที่เกี่ยวข้อง
ความปลอดภัย
บริการใหม่
Work from Home ปลอดภัยด้วย Wizberry Laptop Management
💼 Work from Home อย่างมั่นใจ ด้วย Wizberry Laptop Management บนแพลตฟอร์ม IBM MaaS360 🔒 ในยุคดิจิทัลที่การทำงานจากที่บ้าน (Work from Home) กลายเป็นสิ่งจำเป็นมากกว่าทางเลือก ความปลอดภัยของอุปกรณ์พกพา โดยเฉพาะ Laptop ของพนักงาน จึงกลายเป็นหัวใจสำคัญที่ทุกองค์กรไม่อาจมองข้าม แม้พนักงานจะไม่ได้อยู่ภายในสำนักงาน องค์กรก็ยังต้องมั่นใจว่าอุปกรณ์ที่ใช้เข้าถึงข้อมูลสำคัญ ยังคงได้รับการดูแล ป้องกัน และควบคุมอย่างเหมาะสม เพื่อป้องกัน การรั่วไหลของข้อมูล, ภัยคุกคามทางไซเบอร์, และ ความเสียหายทางธุรกิจ นั่นคือเหตุผลที่โซลูชัน Wizberry Laptop Management สำหรับ IBM MaaS360 ถูกพัฒนาขึ้นมา — เพื่อช่วยให้องค์กรสามารถจัดการและควบคุมความปลอดภัยของอุปกรณ์ทั้งหมดได้แบบ ครบวงจร และจากระยะไกล
2025.04.10
ข่าว
ความปลอดภัย
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
2025.04.10
ข่าว
ความปลอดภัย
มัลแวร์มือถือที่กำหนดเป้าหมายธนาคารในอินเดียทำให้ผู้ใช้กว่า 50,000 รายเสี่ยงต่อการถูกโจมตี
การโจมตีอุปกรณ์เคลื่อนที่ขนาดใหญ่ นักวิจัยของ zLabs วิเคราะห์ตัวอย่างมัลแวร์เกือบ 900 ตัวอย่างและพบความพยายามร่วมกันในการใช้ประโยชน์จากอุปกรณ์ Android มัลแวร์ซึ่งจัดอยู่ในประเภทโทรจันของธนาคาร ปลอมตัวเป็นแอปธนาคารหรือแอปของรัฐบาลที่ถูกกฎหมายและแพร่กระจายผ่าน WhatsApp ในรูปแบบไฟล์ APK เมื่อติดตั้งแล้ว มัลแวร์จะขอข้อมูลที่ละเอียดอ่อน
2025.03.14
