Tags:
Node Thumbnail

การโจมตีธนาคารด้วยการปลอมโดเมนเพื่อหลอกให้ลูกค้าใส่รหัสผ่านคงเป็นเรื่องที่เราพบเจอกันเรื่อยๆ ที่งาน Kaspersky Security Summit ทาง Kaspersky ก็รายงานถึงธนาคารแห่งหนึ่งในบราซิลที่ถูกขโมยโดเมนจริงของธนาคารไปถึง 5 ชั่วโมง ในช่วงวันที่ 22 ตุลาคมปีที่แล้ว

รายงานไม่ระบุชื่อธนาคารแต่ระบุว่าเป็นธนาคารขนาดใหญ่ มีทรัพย์สินรวม 25,000 ล้านดอลลาร์สหรัฐฯ, ลูกค้ากว่า 5 ล้านคน, และจำนวนสาขา 500 สาขา

คนร้ายสามารถยึดบัญชีจัดการโดเมนจากผู้ให้บริการจดทะเบียนโดเมนได้สำเร็จ และแก้ไขข้อมูลโดเมน 36 รายการกลายเป็นเครื่องของคนร้ายเอง ออกใบรับรองเข้ารหัส หน้าเว็บของธนาคารระหว่างคนที่คนร้ายยึดโดเมนไว้ได้จะหลอกล่อให้ผู้ใช้ติดตั้งมัลแวร์เพื่อขโมยข้อมูลจากธนาคารอื่นๆ ต่อไป พร้อมกับดึงข้อมูลล็อกอินไปยังเซิร์ฟเวอร์ในแคนาดา

ยังไม่ชัดว่าคนร้ายยึดโดเมนไปได้อย่างไร ความเป็นไปได้หนึ่งคือตัวบริษัทจดทะเบียนโดเมนเคยมีช่องโหว่ cross site request forgery มาก่อนและเพิ่งแก้ไขไปเมื่อเดือนมกราคมที่ผ่านมา รายงานของ Kaspersky ระบุว่าคนร้ายเข้าถึงบัญชีโดเมนได้และเตรียมการโจมตีเป็นเวลาห้าเดือนก่อนลงมือจริง

ตอนนี้ CA Browser Forum กำลังพูดคุยกันว่าจะมีทางช่วยป้องกันการโจมตีเช่นนี้อย่างไรได้บ้าง แม้ว่าตอนนี้จะมีช่องทาง ทำ certificate pinning แล้วก็ตาม แต่องค์กรส่วนมากก็ไม่กล้าใช้งานเพราะหากทำผิดพลาดจะมีโอกาสที่ลูกค้าเข้าใช้งานไม่ได้เป็นเวลานาน

ที่มา - Dark Reading, CA/Browser Forum

Get latest news from Blognone

Comments

By: sukjai
iPhoneAndroidRed HatUbuntu
on 23 April 2017 - 14:27 #981076

น่ากลัวมาก

By: Hoo
AndroidWindows
on 23 April 2017 - 15:19 #981080

งงๆว่า คนร้ายขอใบใหม่ โดเมนเดิมได้ โดยที่เจ้าของตัวจริงไม่รู้??

By: lew
FounderJusci's WriterMEconomicsAndroid
on 23 April 2017 - 15:58 #981085 Reply to:981080
lew's picture

ได้ครับ เรื่องปกติมาก เพราะถ้าครอบครองโดเมนแล้วไปขอกับเจ้าไหนๆ ก็ได้

ส่งเมลยืนยันตัวตนก็เข้าเมลคนร้าย ขอให้คนร้ายวางไฟล์บนเซิร์ฟเวอร์เพื่อยืนยันก็วางได้


lewcpe.com, @public_lewcpe

By: Hoo
AndroidWindows
on 23 April 2017 - 23:06 #981118 Reply to:981085

ขอบคุณครับ

น่ากลัวแฮะ
ดีไม่ดี ถึงเอาโดเมนกลับมาได้ แต่ใบใหม่ที่คนร้ายได้ไป อาจเอาไปทำ MITM ได้ด้วย??

By: lew
FounderJusci's WriterMEconomicsAndroid
on 23 April 2017 - 23:57 #981120 Reply to:981118
lew's picture

ใช่ครับ ก็ต้องตามไป revoke ทิ้งหลังจากได้โดเมนคืนมา

อันนี้เป็นประเด็นว่าฝั่งเบราว์เซอร์ถึงผลักดัน CT Log ให้เปิดเผยกัน จะได้ตามหาได้ว่าออกไปแล้วกี่ใบบ้าง


lewcpe.com, @public_lewcpe

By: totiz
ContributoriPhoneAndroidRed Hat
on 23 April 2017 - 17:10 #981090 Reply to:981080
totiz's picture

เข้าใจว่าน่าจะขอ cert แบบไม่ใช่ยืนยันองค์กรด้วยครับ เลยขอได้เลย (ตามที่คุณ lew ว่า)