โจรขโมยล็อกอิน Facebook ใช้กลโกง ‘Browser-in-Browser’ แล้ว

ในช่วงหกเดือนที่ผ่านมา แฮกเกอร์ได้หันมาใช้เทคนิค ‘Browser-in-the-Browser’ (BitB) เพิ่มมากขึ้นเพื่อหลอกลวงผู้ใช้งานให้กรอกข้อมูลล็อกอิน Facebook เทคนิค BitB นี้ถูกพัฒนาโดยนักวิจัยด้านความปลอดภัย mr.d0x ในปี 2022 และต่อมาถูกนำมาใช้ในการโจมตีบริการออนไลน์ต่าง ๆ รวมถึง Facebook และ Steam

นักวิจัยจาก Trellix พบว่าผู้โจมตีใช้หน้าต่างป๊อปอัปปลอมที่เลียนแบบหน้าต่างล็อกอินของแพลตฟอร์มจริง ๆ ซึ่งมักจะอยู่ในเว็บไซต์ที่ควบคุมโดยผู้โจมตี โดยหลอกให้ผู้ใช้เชื่อว่าเป็นหน้าต่างการยืนยันตัวตนที่ถูกต้อง แคมเปญฟิชชิงเหล่านี้มักปลอมเป็นสำนักงานกฎหมายที่อ้างว่ามีการละเมิดลิขสิทธิ์ ข่มขู่ว่าจะระงับบัญชี หรือแจ้งเตือนความปลอดภัยจาก Meta เกี่ยวกับการล็อกอินที่ไม่ได้รับอนุญาต เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตีใช้ URL แบบย่อและหน้า CAPTCHA ปลอมของ Meta โดยหน้าฟิชชิงจำนวนมากถูกโฮสต์บนแพลตฟอร์มคลาวด์ที่ถูกกฎหมาย เช่น Netlify และ Vercel ทำให้การตรวจจับยากขึ้น

Severity: สูง

System Impact:

• Facebook
• Online Services
• Steam

Technical Attack Steps:

1. ผู้ใช้งานเข้าชมหน้าเว็บที่ถูกควบคุมโดยผู้โจมตี
2. หน้าต่างป๊อปอัปปลอมที่มีแบบฟอร์มล็อกอินจะปรากฏขึ้น ซึ่งสร้างโดยใช้ iframe ที่เลียนแบบอินเทอร์เฟซการตรวจสอบสิทธิ์ของแพลตฟอร์มที่ถูกต้อง
3. ผู้โจมตีสามารถปรับแต่งชื่อหน้าต่างและ URL ของป๊อปอัปให้ดูเหมือนจริงได้
4. แคมเปญฟิชชิงมักจะปลอมตัวเป็นสำนักงานกฎหมายที่อ้างว่ามีการละเมิดลิขสิทธิ์ หรือการแจ้งเตือนความปลอดภัยจาก Meta เกี่ยวกับการล็อกอินที่ไม่ได้รับอนุญาต
5. เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความน่าเชื่อถือ ผู้โจมตีจะใช้ URL แบบย่อและหน้า CAPTCHA ปลอมของ Meta
6. เหยื่อจะถูกหลอกให้กรอกข้อมูลประจำตัว Facebook ในหน้าต่างป๊อปอัปปลอม

Recommendations:

Short Term:

• เมื่อได้รับแจ้งเตือนด้านความปลอดภัยที่เกี่ยวข้องกับบัญชีหรือการละเมิดลิขสิทธิ์ ควรเข้าสู่ URL อย่างเป็นทางการในแท็บแยกต่างหากเสมอ แทนที่จะคลิกที่ลิงก์หรือปุ่มที่ฝังอยู่ในอีเมล
• เมื่อถูกขอให้กรอกข้อมูลรับรองในหน้าต่างป๊อปอัปสำหรับเข้าสู่ระบบ ให้ตรวจสอบว่าหน้าต่างนั้นสามารถเคลื่อนย้ายออกนอกหน้าต่างเบราว์เซอร์หลักได้หรือไม่ เนื่องจาก iframe ที่ใช้ในเทคนิค BitB จะเชื่อมต่อกับหน้าต่างหลักและไม่สามารถดึงออกไปข้างนอกได้

Long Term:

• เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (Two-Factor Authentication – 2FA) สำหรับบัญชีออนไลน์ของคุณ การป้องกันนี้ช่วยเพิ่มความปลอดภัยอีกชั้นหนึ่งจากการพยายามเข้ายึดบัญชี แม้ว่าข้อมูลรับรองจะถูกบุกรุกไปแล้วก็ตาม

Source: https://www.bleepingcomputer.com/news/security/facebook-login-thieves-now-using-browser-in-browser-trick/