กูรูชี้เกือบ 97% ของ SSL Certificate ที่ออกโดย ENCRYPT ถูกนำไปใช้โดยเว็บ PHISHING – The Official Netway Communication Blog
  • Security / SSL» กูรูชี้เกือบ 97% ของ SSL Certificate ที่ออกโดย ENCRYPT ถูกนำไปใช้โดยเว็บ PHISHING

กูรูชี้เกือบ 97% ของ SSL Certificate ที่ออกโดย ENCRYPT ถูกนำไปใช้โดยเว็บ PHISHING

Vincent Lynch ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลจาก The SSL Store ออกมาเผยผลวิเคราะห์ตัวอย่างเว็บไซต์ที่ใช้ใบรับรอง SSL ฟรีที่ออกโดย Let’s Encrypt รวม 1,000 โดเมน พบว่าประมาณ 96.7% เป็นเว็บไซต์ Phishing ที่แฮ็คเกอร์สร้างขึ้นมาหลอกผู้ใช้ โดยบางเว็บไซต์แม้จะมีคำว่า “PayPal” แต่ก็สามารถจดทะเบียนขอใบรับรอง SSL ได้

lets_encrypt

ซึ่งจากผลวิเคราะห์ของ Lynch ช่วยยืนยันสั่งที่นักวิจัยด้านความมั่นคงปลอดภัยกังวลเกี่ยวกับการให้บริการใบรับรอง SSL ฟรี เพราะมีช่องโหว่ให้แฮ็คเกอร์เจ้าของเว็บ Phishing นักต้มตุ๋นบนอินเทอร์เน็ต รวมทั้งนักพัฒนามัลแวร์สามารถเนียนขอจดทะเบียนใบรับรอง SSL และเปลี่ยนเว็บของตัวเองให้เป็น HTTPS เพื่อเพิ่มความน่าเชื่อถือ ทั้งๆที่กสารขอจดทะเบียนแบบ  Domain Validated (DV) นั้นทำได้ง่ายมาก และไม่มีสิ่งยืนยันว่าเป็นเว็บไซต์เป็นเว็บของผู้ให้บริการจริงหรือเป็นเว็บ Phishing

แต่ใช่ว่าปัญหาแบบนี้จะไม่เคยเกิดขึ้นมาก่อน เมื่อเดือนมกราคม 2016 ที่ผ่านมา Trend Micro ค้นพบว่าใบรับรอง Let’s Encrypt ถูกใช้ใน Campaign Malvertising และหลังจากนั้น ก็พบเคสอื่นๆ แฮ็คเกอร์ใช้ Let’s Encrypt เป็นเครื่องมือในการหลอกลวงผู้ใช้มากมาย ล่าสุด Lynch พบว่าตั้งแต่ต้นเดือนมีนาคมที่ผ่านมา ใบรับรอง SSL รวม 988 ฉบับของ Let’s Encrypt มีคำว่า “PayPal” ประกอบอยู่ แต่มีเพียง 4 ฉบับเท่านั้นที่ถูกใช้เพื่อให้บริการอย่างถูกต้องตามกฎหมาย

แผนภาพด้านล่างแสดงจำนวนโดเมนที่มีคำว่า PayPal ประกอบอยู่ ตั้งแต่เดือนมีนาคม 2016 จนถึงเดือนกุมภาพันธ์ 2017 จะเห็นว่าตั้งแต่ประมาณเดือนพฤศจิกายนเป็นต้นมา เว็บไซต์ Phishing ที่ใช้ธีม PayPal เริ่มปรากฏให้เห็นเป็นจำนวนมาก และบางชื่อโดเมนก็เห็นได้ชัดเลยว่าถูกสร้างขึ้นเพื่อหลอกผู้ใช้

lets_encrypt_phishing_1 lets_encrypt_phishing_2

ก่อนหน้านี้กูรูด้านความมั่นคงปลอดภัยชื่อดังของไทยอย่าง MaYaSeVeN  ก็เคยออกมาโพสต์ใน Blog แจ้งเตือนเกี่ยวกับการดูเว็บ Phishng ว่า “ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar”

จนถึงต้นเดือนมีนาคมนี้ Let’s Encrypt ออกใบรับรอง SSL ให้ที่มีคำว่า “PayPal” ประกอบอยู่รวมแล้ว 15,270 ฉบับ คาดว่ามากกว่า 14,000 เว็บไซต์เป็นเว็บ Phishing แต่ข่าวดีคือ เว็บไซต์เหล่านี้เฉลี่ยแล้วจะอยู่ได้เพียง 2 วันเท่านั้น ก่อนที่จะโดนเว็บเบราเซอร์ Blacklist ว่าเป็นเว็บอันตราย หรือถูกปิดโดยบริษัทที่ให้บริการโฮสติ้ง (อ้างอิงจาก CYREN)

lets_encrypt_phishing_3

ดังนั้นแนะนำให้ผู้ใช้อย่าพึ่งวางใจว่า เห็นสัญลักษณ์รูปแม่กุญแจสีเขียวบน Address Bar และเว็บไซต์เป็น HTTPS จะปลอดภัย ควรพิจารณาชื่อ URL และพฤติกรรมของเว็บไซต์นั้นๆ ว่าจะต้องไม่มีการหลอกถามข้อมูลเกินความจำเป็น โดยถ้าใครสนใจสามารถตามไปอ่านฉบับเต็มเกี่ยวกับ วิธีตรวจสอบเว็บ Phishing ได้ที่ “วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates”

ดูผลวิเคราะห์ฉบับเต็ม: https://www.thesslstore.com/blog/lets-encrypt-phishing/

ที่มาและเครดิตรูปภาพ: Techtalkthaibleepingcomputer

You may also like...