ช่องโหว่จาก URL เบราว์เซอร์มือถือ สู่เว็บไซต์หลอกลวง
2020.12.18
ช่องโหว่จาก URL เบราว์เซอร์มือถือ สู่เว็บไซต์หลอกลวง
Tod Beardsley ผู้อำนวยการฝ่ายวิจัยของ Rapid7 เปิดเผยช่องโหว่กล่าวได้ว่าเป็นข้อบกพร่อง จากผู้จำหน่ายเบราว์เซอร์รายใหญ่ของ CWE-451 จาก Common Weakness Enumeration เป็นเรื่องที่น่ากังวลเนื่องจากผู้ที่ตกเป็นเหยื่อบนอุปกรณ์เคลื่อนที่ไม่สามารถบอกความแตกต่างระหว่างไซต์จริงกับไซต์ปลอมที่เหยื่อเข้ามาได้
โดยทั่วไปผู้ใช้อาจถูกล่อให้คลิกลิงก์บนฟอรัม (Reddit) หรือไซต์โซเชียลมีเดียหรือรับข้อความบนอุปกรณ์มือถือพร้อมลิงก์ที่จะนำพวกเขาไปยังไซต์หลอกลวง ในทุกกรณีเมื่อผู้ใช้คลิกจะถูกขอให้กรอกข้อมูลบางส่วนไม่ว่าจะเป็นข้อมูลส่วนตัวหรือข้อมูลบัตรเครดิต
“ฉันไม่สามารถบอกความแตกต่างได้จริง ๆ” Beardsley กล่าว “แถบที่อยู่มือถือมีขนาดเล็กมากจนไม่สามารถแยกแยะได้อย่างแท้จริงว่าระหว่างไซต์จริงกับไซต์หลอกลวง”
Beardsley กล่าวว่าผู้จำหน่ายเบราว์เซอร์รายใหญ่หลายรายเช่น Apple Safari และ Opera ได้ออกแพตช์สำหรับอุดช่องโหว่ดังกล่าวแล้ว ซึ่งนักวิจัย Rafay Baloch ค้นพบเมื่อฤดูร้อนปีที่แล้ว Rapid7 ยังได้ยินจาก Yandex และ RITS ซึ่งระบุว่าพวกเขาตั้งใจที่จะแก้ไขปัญหา ทั้ง UC และ Bolt ซึ่งได้รับผลกระทบจากช่องโหว่นี้
ในขณะที่ช่องโหว่ดังกล่าวได้รับการแก้ไขสำหรับผู้ใช้มือถือส่วนใหญ่และไม่มีอันตรายใด ๆ ที่ใกล้เข้ามา Beardsley กล่าวว่าเขากังวลว่าเทคนิคนี้อาจไปอยู่ในมือคนผิดได้ ตัวอย่างเช่น การเผยแพร่ข้อมูลที่ผิดเกี่ยวกับ COVID-19
Hank Schless ผู้จัดการอาวุโสโซลูชันด้านความปลอดภัยของ Lookout กล่าวว่าการปลอมแปลง URL กลายเป็นหนึ่งในวิธีที่ผู้โจมตีสามารถหลอกล่อให้ผู้คนคลิกลิงก์ฟิชชิ่งโดยเฉพาะบนอุปกรณ์มือถือ
“ การโจมตีแบบฟิชชิงบนมือถือสามารถส่งได้ด้วยวิธีการมากมาย เช่น ข้อความ อีเมล แพลตฟอร์มโซเชียลมีเดีย และผู้ส่งข้อความบุคคลที่สาม” Schless กล่าว “ เราทุกคนคุ้นเคยกับการแตะลิงก์ที่ส่งไปยังอุปกรณ์มือถือของเรา ลองนึกถึงการแจ้งเตือนการจัดส่งจำนวนนับไม่ถ้วนที่คุณจะได้รับเมื่อคุณซื้อสินค้าออนไลน์และคุณแตะลิงก์เพื่อตรวจสอบข้อมูลการติดตามได้เร็วเพียงใด และเนื่องจากหน้าจอมีขนาดเล็กจึงยากที่จะระบุ URL ที่ปลอมแปลงโดยมีการเปลี่ยนแปลงที่ไม่ต่อเนื่อง ตัวอย่างเช่นผู้โจมตีอาจเพิ่มสำเนียงหรืออักขระพิเศษให้กับตัวอักษรหนึ่งตัวในที่อยู่ที่ผู้ใช้ไม่ได้สังเกตเห็นด้วยซ้ำ”
Ref : https://www.scmagazine.com/home/security-news/url-address-spoofing-flaw-keeps-victims-from-determining-fake-real-sites/
Translate: B
บทความที่เกี่ยวข้อง
กฎหมาย
ความปลอดภัย
กองทัพอิสราเอลแฮ็คเครือข่ายการสื่อสารของหอควบคุมสนามบินเบรุต
เมื่อวันเสาร์ที่ผ่านมา กองทัพอิสราเอลได้เจาะเครือข่ายการสื่อสารหอควบคุมการบินสนามบินนานาชาติ Rafic Hariri ในเบรุต ประเทศเลบานอน
2024.10.03
ข่าว
ความปลอดภัย
มัลแวร์ Octo2 ตัวใหม่คุกคามความปลอดภัยของธนาคารบนมือถือ
นักวิจัย ThreatFabric พบว่าตัวแปรนี้ลดเวลาแฝงได้อย่างมากระหว่างเซสชันการควบคุมระยะไกล แม้ภายใต้สภาวะเครือข่ายที่ไม่ดีก็ตาม ด้วยการเพิ่มประสิทธิภาพการส่งข้อมูล นอกจากนี้ Octo2 ยังบูรณาการเทคนิคการบดบังขั้นสูง รวมถึงอัลกอริทึมการสร้างโดเมน (DGA) ซึ่งทำให้มัลแวร์สามารถเปลี่ยนที่อยู่เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบไดนามิก ทำให้การตรวจจับมีความท้าทายยิ่งขึ้น
2024.09.27
ข่าว
ความปลอดภัย
ตำรวจสิงคโปร์จับกุมแฮกเกอร์ 6 รายที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ระดับโลก
ชายทั้ง 6 คน อายุระหว่าง 32-42 ปี ถูกสงสัยว่ามีส่วนเกี่ยวข้องกับ "กลุ่มอาชญากรระดับโลก" ที่ก่ออาชญากรรมไซเบอร์ จากปฏิบัติการดังกล่าว ทางการได้ยึดอุปกรณ์อิเล็กทรอนิกส์และเงินสดได้ นอกจากนี้ ชายสัญชาติสิงคโปร์ยังถูกตั้งข้อหาสนับสนุนการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต ซึ่งเป็นความผิดที่ต้องรับโทษปรับไม่เกิน 5,000 ดอลลาร์สิงคโปร์ (3,830 ดอลลาร์สหรัฐ) หรือจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ สำหรับผู้กระทำผิดครั้งแรก
2024.09.12
