แฮกเกอร์ใช้เทคนิคใหม่ หลอกขโมยล็อกอิน แล้วยึดบัญชี Facebook
แฮกเกอร์กำลังยกระดับกลยุทธ์ฟิชชิ่งเพื่อขโมยข้อมูลล็อกอิน Facebook ด้วยเทคนิคที่เรียกว่า Browser-in-the-Browser (BitB) ซึ่งอาศัยโค้ดหลอกสร้าง “หน้าต่างล็อกอินปลอม” ซ้อนอยู่ภายในแท็บจริงของเว็บเบราว์เซอร์ ทำให้ผู้ใช้แทบแยกไม่ออกจากหน้าจอเข้าสู่ระบบของ Facebook ที่แท้จริง
เทคนิคนี้กำลังถูกใช้ในแคมเปญโจมตีผู้ใช้งานทั่วโลก โดยเฉพาะกลุ่มที่ได้รับอีเมลอ้างว่ามาจากฝ่ายกฎหมายแจ้งปัญหาลิขสิทธิ์ ข้อความเตือนบัญชีถูกระงับ หรือการแจ้งเตือนความปลอดภัยปลอมที่อ้างว่าพบ “การเข้าสู่ระบบที่ไม่ได้รับอนุญาต”
เมื่อผู้ใช้คลิกลิงก์ที่แนบมากับข้อความปลอมเหล่านี้ จะถูกนำไปยังเว็บไซต์ควบคุมของแฮกเกอร์ ซึ่งฝังหน้าจอ BitB ที่เลียนแบบหน้าต่างเข้าสู่ระบบของ Facebook จนดูเหมือนเชื่อถือได้ทั้งแถบ URL และองค์ประกอบหน้าตา หากผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่านลงไป ข้อมูลเหล่านั้นจะถูกส่งตรงไปยังแฮกเกอร์ทันที โดยที่ผู้ใช้ไม่รู้ตัวว่าความปลอดภัยถูกละเมิด
เหตุการณ์ลักษณะนี้มีรายงานจากผู้เชี่ยวชาญด้านความปลอดภัยว่าเป็นรูปแบบฟิชชิ่งที่ พัฒนาขึ้นจากการโจมตีทั่วไปให้แนบเนียนและยากตรวจจับกว่าเดิมมาก เพราะการสร้างหน้าต่างปลอมนี้ใช้โค้ด HTML/CSS/JavaScript ภายในเบราว์เซอร์เองโดยไม่ต้องฝังมัลแวร์ลงเครื่องผู้ใช้เลย ซึ่งทำให้การป้องกันเชิงเทคนิคพื้นฐานทำได้ยากยิ่งขึ้น
การโจมตีรูปแบบ BitB ไม่ได้จำกัดเฉพาะ Facebook เท่านั้น แต่สามารถนำไปใช้กับบริการออนไลน์อื่นที่มีระบบ Single Sign-On (SSO) หรือหน้าต่างเข้าสู่ระบบป๊อป-อัปที่คุ้นเคยได้อย่าง Google, Microsoft หรือแพลตฟอร์มเกมและบริการอื่น ๆ ด้วยความที่ BitB “หลอกสายตา” ได้ใกล้เคียงของจริง ผู้เชี่ยวชาญเตือนว่าการพยายามคลิกผ่านลิงก์ที่ได้รับจากอีเมลหรือข้อความที่น่าสงสัย และกรอกข้อมูลลงในป๊อป-อัปที่ปรากฏภายในหน้าเว็บทันที เป็นหนึ่งในวิธีที่แฮ็กเกอร์ใช้หลอกล่อเหยื่อมากที่สุดในช่วงนี้
แนวทางการป้องกัน
สำหรับผู้ใช้งานทั่วไป คำแนะนำพื้นฐานคืออย่าเชื่อถือแหล่งที่มาของข้อความอีเมลหรือ SMS ที่อ้างถึงปัญหาบัญชีทันที ควรเปิด Facebook ผ่านหน้าเว็บหรือแอปหลักโดยตรงแทนการกดลิงก์ในข้อความ หากพบหน้าต่างล็อกอินปรากฏขึ้นควรตั้งคำถามว่ามันเป็น “หน้าต่างระบบปกติ” หรือไม่ เช่น ลักษณะการป๊อป-อัปที่ไม่สามารถแยกออกจากหน้าเว็บได้ ซึ่งเป็นสัญญาณบ่งชี้ของ BitB
สำหรับธุรกิจและองค์กรควรเสริมความปลอดภัยด้วย การยืนยันตัวตนหลายขั้น (MFA) การให้ความรู้แก่พนักงานเกี่ยวกับฟิชชิ่งเทคนิคใหม่ และระบบตรวจจับฟิชชิ่ง หรือแม้แต่ ระบบแยกเบราว์เซอร์ (browser isolation) เพื่อยับยั้งการโจมตีประเภทนี้ก่อนที่จะถึงขั้นร้ายแรง เพราะยิ่งเทคนิคฟิชชิ่งถูกพัฒนาให้แนบเนียนเพียงใด ความเข้าใจและความระมัดระวังของผู้ใช้ก็ยิ่งเป็นเสมือน “แนวป้องกันสุดท้าย” ที่สำคัญที่สุดในโลกออนไลน์ปัจจุบัน