BitB เทคนิคใหม่แฮกเกอร์ สร้างหน้าต่างล็อกอินปลอม หลอกให้กรอกข้อมูลส่วนตัว

21.11.25 | 16:06 น.
ภาพจาก freepik

BitB เทคนิคใหม่แฮกเกอร์ สร้างหน้าต่างล็อกอินปลอม หลอกให้กรอกข้อมูลส่วนตัว

เพจ ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล – PDPC Eagle Eye ได้ออกมาแจ้งเตือนภัย เทคนิคการฟิชชิ่งแบบใหม่ ที่เรียกว่า Browser-in-the-Browser หรือ BitB ที่แนบเนียนจนน่ากลัว

โดยศูนย์เฝ้ระวังการละเมิดข้อมูลส่วนบุคคล ระบุว่า ตอนนี้มิจฉาชีพได้มีการอัพเกรดชุดเครื่องมือในการฟิชชิ่ง (การปลอมเป็นบุคคลหรือองค์กรที่น่าเชื่อถือ ผ่านช่องทางดิจิทัล ทั้งอีเมล์ ข้อความ หรือเว็บไซต์ ต่างๆ เพื่อหลอกล่อให้เหยื่อเปิดเผยข้อมูลส่วนตัว) ทีชื่อว่า “Sneaky 2FA” ให้ฉลาดและน่ากลัวยิ่งขึ้น ด้วยเทคนิคที่เรียกว่า Browser-in-the-Browser หรือ BitB ที่สามารถสร้างหน้าต่างล็อกอินปลอมขึ้นมาซ้อนทับหน้าเว็บจริงได้อย่างแนบเนียน จนแยกแทบไม่ออก

สำหรับเทคนิค ของ BitB นั้น ลองจินตนาการว่า คุณกำลังจะล็อกอินเข้าบัญชีไมโครซอฟท์ แล้วมีหน้าต่างป๊อปอัพเด้งขึ้นมาให้กรอก Username/Password

เทคนิคของ BitB คือการสร้างหน้าต่างป๊อปอัพปลอม ที่ดูเหมือนกับของจริงทุกประการ แม้กระทั่งแถบ URL ด้านบน ก็ยังแสดงเป็น login.microsoftonline.com ที่ดูน่าเชื่อถือ แต่แท้จริงแล้ว มันเป็นแค่ “รูปภาพ” หรือโค้ดที่สร้างขึ้นมา เพื่อหลอกให้เราตายใจ แล้วขโมยข้อมูลที่กรอกลงไปทั้งหมด

Advertisement

แล้ว Sneaky 2FA ใช้งานอย่างไร

เพจศูนย์เฝ้าระวังฯ ระบุว่า แฮกเกอร์จะใช้เทคนิคนี้กับเป้าหมายที่ต้องการขโมยบัญชีไมโครซอฟท์ โดยมีขั้นตอนดังนี้

  • ส่งลิงก์ลวง โดยเหยื่อจะได้รับลิงก์ให้เข้าไปดูเอกสารสำคัญ
  • ผ่านด่านป้องกันบอต โดยหน้าเว็บอาจมี CAPTCHA หรือ Cloudflare เพื่อให้ดูน่าเชื่อถือ และป้องกันโปรแกรมสแกนอัตโนมัติ
  • กดปุ่มล็อกอิน เมื่อเหยื่อกดปุ่ม “Sign in with Microsoft” เพื่อดูเอกสาร…
  • หน้าต่างล็อกอินปลอมแบบ BitB จะเด้งขึ้นมา และเมื่อเหยื่อกรอกข้อมูลและรหัส 2FA ข้อมูลทั้งหมดจะถูกส่งตรงไปยังแฮกเกอร์ทันที

โดยมิจฉาชีพ จะเปลี่ยนโดเมนเนมบ่อยๆ และใช้เทคนิคซ่อนโค้ด เพื่อไม่ให้โปรแกรมความปลอดภัยตรวจจับได้

และแม้แต่เทคโนโลยีความปลอดภัยใหม่ล่าสุด อย่าง Passkeys หรือ การล็อกอินโดยไม่ต้องใช้รหัสผ่าน ก็เริ่มมีช่องโหว่ให้โจมตีได้แล้ว

โดยแฮกเกอร์จะสร้าง ส่วนขยายบราวเซอร์ปลอมขึ้นมา เมื่อเราติดตั้ง มันจะดักจับขั้นตอนการสร้าง Passkey แล้วสร้าง “กุญแจของแฮกเกอร์” ขึ้นมาแทน ทำให้แฮกเกอร์สามารถล็อกอินเข้าบัญชีเราได้จากเครื่องของตัวเอง โดยไม่ต้องใช้อุปกรณ์หรือลายนิ้วมือของเราเลย

นอกจากนี้ ยังมี Downgrade Attack : โดยเว็บฟิชชิ่งจะหลอกให้เรา “ลดระดับ” ความปลอดภัยลง โดยอาจจะขึ้นข้อความว่า “Passkey มีปัญหา กรุณาล็อกอินด้วยรหัสผ่านแทน” เพื่อให้เรากลับไปใช้วิธีเก่าที่พวกเขาสามารถดักขโมยข้อมูลได้

อย่างไรก็ตาม เราสามารถป้องกันตัวเองและองค์กรได้ ดังนี้

  • อย่าคลิกลิงก์มั่ว : ระวังอีเมล์ SMS หรือข้อความแปลกๆที่ส่งมา แม้จะมาจากคนที่รู้จักก็ตาม
  • ตรวจสอบ URL เสมอ : ก่อนกรอกข้อมูลใดๆ ลองขยับหน้าต่างป๊อปอัพดู ถ้ามันขยับได้แค่ในหน้าเว็บ แต่ลากออกมานอกบราวเซอร์ไม่ได้ “แสดงว่าเป็นของปลอม”
  • อย่าติดตั้งส่วนขยายบราวเซอร์ที่ไม่จำเป็น : ตรวจสอบผู้พัฒนาและความน่าเชื่อถือก่อนติดตั้งทุกครั้ง