PDPC Eagle Eye เตือนภัยไซเบอร์ เทคนิคฟิชชิ่งรูปแบบใหม่ “Browser-in-the-Browser (BitB)” แนบเนียนจนแยกไม่ออก

สำนักงานคุ้มครองข้อมูลส่วนบุคคล (PDPC) แจ้งเตือนเหตุภัยไซเบอร์รูปแบบใหม่ที่กำลังถูกใช้โจมตีผู้ใช้งานจำนวนมากในช่วงนี้ โดยอาศัยเทคนิคที่เรียกว่า Browser-in-the-Browser (BitB) ซึ่งสามารถสร้าง “หน้าต่างล็อกอินปลอม” ซ้อนทับบนเว็บไซต์จริงได้อย่างแนบเนียน จนทำให้ผู้ใช้งานทั่วไปแยกไม่ออก และอาจกรอกข้อมูลลงไปโดยไม่รู้ตัว

เทคนิค Browser-in-the-Browser (BitB) คืออะไร?

BitB คือการสร้างหน้าต่างป๊อปอัปปลอมที่เลียนแบบหน้าล็อกอินของบริการต่าง ๆ เช่น Microsoft 365 หรือ Google ได้อย่างสมจริง ทั้งหน้าตา ปุ่มต่าง ๆ รวมไปถึงแถบ URL ที่ดูเหมือนถูกต้อง แต่แท้จริงแล้วเป็นเพียงภาพหรือโค้ดที่ถูกสร้างขึ้นเพื่อหลอกให้ผู้ใช้กรอกข้อมูลบัญชีและรหัสผ่าน

กลุ่มเครื่องมือฟิชชิ่ง “Sneaky 2FA” นำ BitB ไปใช้โจมตีอย่างไร?

การตรวจพบว่าเครื่องมือฟิชชิ่งชื่อ Sneaky 2FA ได้เพิ่มความสามารถ BitB เพื่อใช้ขโมยบัญชี Microsoft โดยทำงานเป็นลำดับดังนี้:

• ส่งลิงก์ลวง: เหยื่อได้รับลิงก์ปลอมและเปิดลิ้งให้เข้าไปดูเอกสารสำคัญ (เช่น previewdoc.us)
• เพิ่มความน่าเชื่อถือโดยมีการตั้งผ่านด่านป้องกันบอท: หน้าเว็บอาจมี CAPTCHA หรือ Cloudflare เพื่อให้ดูน่าเชื่อถือ และป้องกันโปรแกรมสแกนอัตโนมัติ
• ปลอมปุ่มล็อกอิน: ให้ผู้ใช้กดเพื่อเข้าสู่ระบ เช่น เมื่อเหยื่อกดปุ่ม "Sign in with Microsoft" เพื่อดูเอกสารหรือข้อมูล
• หน้าต่างปลอม: หน้าต่างล็อกอินปลอมแบบ BitB จะเด้งขึ้นมา เมื่อเหยื่อกรอกข้อมูลและรหัส 2FA ข้อมูลทั้งหมดจะถูกส่งตรงไปให้แฮกเกอร์ทันที

โจมตียังมีการ เปลี่ยนชื่อโดเมนบ่อยครั้ง และใช้เทคนิคซ่อนโค้ดเพื่อหลบเลี่ยงระบบความปลอดภัย

Passkeys สามารถถูกโจมตีได้

นอกจากฟิชชิ่งแบบ BitB ยังพบเทคนิคที่พุ่งเป้าโจมตี Passkeys ซึ่งเป็นระบบยืนยันตัวตนแบบใหม่ ได้แก่:

• Passkey Pwned Attack: แฮกเกอร์สร้าง ส่วนขยายเบราว์เซอร์ปลอม ขึ้นมาเพื่อหลอกให้ผู้ใช้ติดตั้ง เมื่อส่วนขยายนี้ถูกเปิดใช้งาน มันจะคอยสอดแทรกในขั้นตอนการสร้าง Passkey และแอบสร้าง “กุญแจดิจิทัลของผู้โจมตี” ขึ้นมาแทนของจริง ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีของเหยื่อจากอุปกรณ์ของตนเองได้ โดยไม่จำเป็นต้องใช้เครื่องของเหยื่อ ลายนิ้วมือ หรือวิธีพิสูจน์ตัวตนอื่น ๆ ของเจ้าของบัญชี
• Downgrade Attack: เว็บไซต์ฟิชชิ่งจะพยายามหลอกให้ผู้ใช้ “ลดระดับความปลอดภัย” ลง ด้วยการแสดงข้อความเทียมว่า “ระบบ Passkey ขัดข้อง กรุณาเข้าสู่ระบบด้วยรหัสผ่าน” เพื่อบังคับให้ผู้ใช้ย้อนกลับไปใช้วิธีเดิม ซึ่งเป็นช่องทางที่ผู้โจมตีสามารถดักจับข้อมูลบัญชีและรหัสผ่านได้ง่ายกว่า ทำให้ข้อมูลเข้าสู่ความเสี่ยงโดยไม่รู้ตัว

คำแนะนำในการป้องกันสำหรับบุคลากรและนักศึกษา

• หลีกเลี่ยงการกดลิงก์ที่ไม่แน่ใจ โดยเฉพาะอีเมลและข้อความที่ไม่รู้จัก : ระวังอีเมล, SMS หรือข้อความแปลกๆ ที่ส่งมา แม้จะมาจากคนที่รู้จักก็ตาม
• ตรวจสอบ URL ทุกครั้งก่อนกรอกข้อมูล : ก่อนกรอกข้อมูลใดๆ ลองขยับหน้าต่าง POP UP ถ้ามันขยับได้แค่ในหน้าเว็บ แต่ลากออกมานอกเบราว์เซอร์หรือหน้าเว็บไม่ได้ ให้ถือว่าเป็นของปลอม!
• ติดตั้งส่วนขยายเบราว์เซอร์เฉพาะที่จำเป็นและมีความน่าเชื่อถือเท่านั้น: ตรวจสอบผู้พัฒนาและความน่าเชื่อถือก่อนติดตั้งทุกครั้ง และหากพบความผิดปกติในการเข้าสู่ระบบ ควรรีบแจ้งผู้ดูแลระบบทันที

อ้างอิง: เตือนภัย! เทคนิคฟิชชิ่งใหม่ Browser-in-the-Browser (BitB) แนบเนียนจนคุณอาจตกเป็นเหยื่อ