BitB เทคนิคใหม่แฮกเกอร์ สร้างหน้าต่างล็อกอินปลอม หลอกให้กรอกข้อมูลส่วนตัว
เพจ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล – PDPC Eagle Eye ได้ออกมาแจ้งเตือนภัย เทคนิคการฟิชชิ่งแบบใหม่ ที่เรียกว่า Browser-in-the-Browser หรือ BitB ที่แนบเนียนจนน่ากลัว
โดยศูนย์เฝ้ระวังการละเมิดข้อมูลส่วนบุคคล ระบุว่า ตอนนี้มิจฉาชีพได้มีการอัพเกรดชุดเครื่องมือในการฟิชชิ่ง (การปลอมเป็นบุคคลหรือองค์กรที่น่าเชื่อถือ ผ่านช่องทางดิจิทัล ทั้งอีเมล์ ข้อความ หรือเว็บไซต์ ต่างๆ เพื่อหลอกล่อให้เหยื่อเปิดเผยข้อมูลส่วนตัว) ทีชื่อว่า “Sneaky 2FA” ให้ฉลาดและน่ากลัวยิ่งขึ้น ด้วยเทคนิคที่เรียกว่า Browser-in-the-Browser หรือ BitB ที่สามารถสร้างหน้าต่างล็อกอินปลอมขึ้นมาซ้อนทับหน้าเว็บจริงได้อย่างแนบเนียน จนแยกแทบไม่ออก
สำหรับเทคนิค ของ BitB นั้น ลองจินตนาการว่า คุณกำลังจะล็อกอินเข้าบัญชีไมโครซอฟท์ แล้วมีหน้าต่างป๊อปอัพเด้งขึ้นมาให้กรอก Username/Password
เทคนิคของ BitB คือการสร้างหน้าต่างป๊อปอัพปลอม ที่ดูเหมือนกับของจริงทุกประการ แม้กระทั่งแถบ URL ด้านบน ก็ยังแสดงเป็น login.microsoftonline.com ที่ดูน่าเชื่อถือ แต่แท้จริงแล้ว มันเป็นแค่ “รูปภาพ” หรือโค้ดที่สร้างขึ้นมา เพื่อหลอกให้เราตายใจ แล้วขโมยข้อมูลที่กรอกลงไปทั้งหมด
แล้ว Sneaky 2FA ใช้งานอย่างไร
เพจศูนย์เฝ้าระวังฯ ระบุว่า แฮกเกอร์จะใช้เทคนิคนี้กับเป้าหมายที่ต้องการขโมยบัญชีไมโครซอฟท์ โดยมีขั้นตอนดังนี้
- ส่งลิงก์ลวง โดยเหยื่อจะได้รับลิงก์ให้เข้าไปดูเอกสารสำคัญ
- ผ่านด่านป้องกันบอต โดยหน้าเว็บอาจมี CAPTCHA หรือ Cloudflare เพื่อให้ดูน่าเชื่อถือ และป้องกันโปรแกรมสแกนอัตโนมัติ
- กดปุ่มล็อกอิน เมื่อเหยื่อกดปุ่ม “Sign in with Microsoft” เพื่อดูเอกสาร…
- หน้าต่างล็อกอินปลอมแบบ BitB จะเด้งขึ้นมา และเมื่อเหยื่อกรอกข้อมูลและรหัส 2FA ข้อมูลทั้งหมดจะถูกส่งตรงไปยังแฮกเกอร์ทันที
โดยมิจฉาชีพ จะเปลี่ยนโดเมนเนมบ่อยๆ และใช้เทคนิคซ่อนโค้ด เพื่อไม่ให้โปรแกรมความปลอดภัยตรวจจับได้
และแม้แต่เทคโนโลยีความปลอดภัยใหม่ล่าสุด อย่าง Passkeys หรือ การล็อกอินโดยไม่ต้องใช้รหัสผ่าน ก็เริ่มมีช่องโหว่ให้โจมตีได้แล้ว
โดยแฮกเกอร์จะสร้าง ส่วนขยายบราวเซอร์ปลอมขึ้นมา เมื่อเราติดตั้ง มันจะดักจับขั้นตอนการสร้าง Passkey แล้วสร้าง “กุญแจของแฮกเกอร์” ขึ้นมาแทน ทำให้แฮกเกอร์สามารถล็อกอินเข้าบัญชีเราได้จากเครื่องของตัวเอง โดยไม่ต้องใช้อุปกรณ์หรือลายนิ้วมือของเราเลย
นอกจากนี้ ยังมี Downgrade Attack : โดยเว็บฟิชชิ่งจะหลอกให้เรา “ลดระดับ” ความปลอดภัยลง โดยอาจจะขึ้นข้อความว่า “Passkey มีปัญหา กรุณาล็อกอินด้วยรหัสผ่านแทน” เพื่อให้เรากลับไปใช้วิธีเก่าที่พวกเขาสามารถดักขโมยข้อมูลได้
อย่างไรก็ตาม เราสามารถป้องกันตัวเองและองค์กรได้ ดังนี้
- อย่าคลิกลิงก์มั่ว : ระวังอีเมล์ SMS หรือข้อความแปลกๆที่ส่งมา แม้จะมาจากคนที่รู้จักก็ตาม
- ตรวจสอบ URL เสมอ : ก่อนกรอกข้อมูลใดๆ ลองขยับหน้าต่างป๊อปอัพดู ถ้ามันขยับได้แค่ในหน้าเว็บ แต่ลากออกมานอกบราวเซอร์ไม่ได้ “แสดงว่าเป็นของปลอม”
- อย่าติดตั้งส่วนขยายบราวเซอร์ที่ไม่จำเป็น : ตรวจสอบผู้พัฒนาและความน่าเชื่อถือก่อนติดตั้งทุกครั้ง

