ThaiCERT - ระวังภัย การโจมตีผู้ใช้ Facebook ผ่านปลั๊กอินปลอมของ YouTube

หน้าแรก > แจ้งเตือนและข้อแนะนำ > สำหรับผู้ใช้ทั่วไป > ระวังภัย การโจมตีผู้ใช้ Facebook ผ่านปลั๊กอินปลอมของ YouTube

ระวังภัย การโจมตีผู้ใช้ Facebook ผ่านปลั๊กอินปลอมของ YouTube

วันที่ประกาศ: 9 ม.ค. 2555
ปรับปรุงล่าสุด: 9 ม.ค. 2555
เรื่อง: ระวังภัย การโจมตีผู้ใช้ Facebook ผ่านปลั๊กอินปลอมของ YouTube

ประเภทภัยคุกคาม: Malicious Code

ข้อมูลทั่วไป

หลังจากวันที่ 1 มกราคม 2555 ผู้ใช้ Facebook หลายรายได้แจ้งเตือนว่ามีการโจมตีรูปแบบใหม่ ด้วยการหลอกให้คลิกเข้าไปยังลิงก์ของเว็บไซต์อันตราย เพื่อทำการติดตั้งส่วนเสริมของโปรแกรมเว็บเบราว์เซอร์ (ปลั๊กอิน) เมื่อผู้ใช้หลงกลติดตั้งปลั๊กอินดังกล่าว จะถูกสวมรอยโพสต์ลิงก์ของเว็บไซต์อันตรายลงในหน้ากระดานข่าว Facebook ของตนเอง รวมถึงหน้ากระดานข่าวอื่นๆ ที่ผู้ใช้คนนั้นเป็นสมาชิกอยู่ด้วย รูปแบบลิงก์และข้อความที่โพสต์จะมีลักษณะคล้ายกับรูปที่ 1

รูปที่ 1 ตัวอย่างการโพสต์ลิงก์ของเว็บไซต์อันตราย

เว็บไซต์ที่อยู่ในลิงก์นั้น มีหน้าตาคล้ายกับเว็บไซต์ YouTube ดังรูปที่ 2 และ 3 พร้อมกับมีข้อความเชิญชวนให้ติดตั้งปลั๊กอินของ YouTube เช่น Youtube HD หรือ YouTube Speed UP! เพื่อดูคลิปวิดีโอในเว็บไซต์นั้น

รูปที่ 2 ตัวอย่างเว็บไซต์หลอกลวงของ YouTube เปิดโดย Google Chrome

รูปที่ 3 ตัวอย่างเว็บไซต์หลอกลวงของ YouTube เปิดโดย Mozilla Firefox

ซึ่งหากผู้ใช้ตรวจสอบรายละเอียดของปลั๊กอินดังกล่าว จะพบว่าปลั๊กอินที่จะติดตั้งไม่ได้มาจาก YouTube แต่อย่างใด โดยสังเกตได้จากข้อความ “Author not verified” ซึ่งเป็นการบอกว่า ไม่สามารถตรวจสอบผู้พัฒนาปลั๊กอินนี้ได้ รวมถึง URL ของปลั๊กอินก็มาจากเว็บไซต์ที่ไม่ใช่เว็บไซต์ทางการของผู้พัฒนาเบราว์เซอร์ ดังรูปที่ 4

รูปที่ 4 หน้าจอการติดตั้งปลั๊กอิน Youtube Speed UP!

ผลกระทบ

หากผู้ใช้หลงกลติดตั้งปลั๊กอินจากเว็บไซต์ดังกล่าวแล้ว จะถูกส่งไปยังหน้าล็อกอินของ Facebook ดังรูปที่ 5 ซึ่งหน้าล็อกอินที่พบนี้ ไม่ใช่การล็อกอินจากหน้าหลักของ Facebook แต่เป็นการล็อกอินผ่าน Application อีกทีหนึ่ง

รูปที่ 5 หน้าจอล็อกอินของ Facebook ผ่าน Application ชื่อ Texas HoldEm Poker

แต่หากผู้ใช้มีการล็อกอินเว็บไซต์ Facebook อยู่แล้ว ตัวปลั๊กอินของเบราว์เซอร์ ซึ่งจริงๆ แล้วเป็นโปรแกรมไม่พึงประสงค์ จะทำการโพสต์ลิงก์ของเว็บไซต์อันตรายดังกล่าวลงในหน้า Facebook ของผู้ใช้ เพื่อเผยแพร่ปลั๊กอินอันตรายนี้ให้กับบุคคลอื่นต่อไป

ระบบที่ได้รับผลกระทบ

จากการตรวจสอบ Source Code ของเว็บไซต์ พบว่าปลั๊กอินดังกล่าวมีผลกระทบกับเบราว์เซอร์ Google Chrome และ Mozilla Firefox ทุกเวอร์ชัน ดังรูปที่ 6

รูปที่ 6 ตัวอย่าง Source Code จากหน้าเว็บไซต์

ข้อแนะนำในการป้องกันและแก้ไข

หากผู้ใช้ถูกโจมตีด้วยวิธีดังกล่าว สามารถแก้ไขได้ดังนี้

ลบปลั๊กอิน YouTube HD หรือ YouTube Speed UP! ออกจากเบราว์เซอร์ ดังรูปที่ 7
- วิธีการลบปลั๊กอินใน Google Chrome https://support.google.com/chrome/bin/answer.py?hl=th&answer=142064&p=cpn_plugins
- วิธีการลบปลั๊กอินใน Mozilla Firefox http://support.mozilla.org/en-US/kb/Uninstalling%20add-ons
- รูปที่ 7 ตัวอย่างการลบปลั๊กอิน YouTube Speed UP! ออกจากเบราว์เซอร์ Mozilla Firefox
เปลี่ยนรหัสผ่านในการเข้าสู่ระบบของเว็บไซต์ Facebook
ทำการสแกนไวรัสในระบบ เพื่อกำจัดโปรแกรมไม่พึงประสงค์อื่นๆ ที่อาจติดมาด้วย

จะเห็นได้ว่า การโจมตีผ่านทาง Social Media ด้วยการหลอกให้ติดตั้งปลั๊กอินในเบราว์เซอร์นั้นเป็นตัวอย่างของภัยคุกคามรูปแบบใหม่ ที่มีแนวโน้มจะเพิ่มสูงขึ้นในอนาคต ไทยเซิร์ตมีข้อแนะนำในการใช้งาน Social Media ให้มีความมั่นคงปลอดภัย เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคตได้ ดังนี้

ไม่คลิกลิงก์ที่ไม่น่าไว้วางใจ โดยเฉพาะลิงก์ของเว็บไซต์ที่ให้บริการย่อ URL
ไม่ติดตั้งโปรแกรม หรือปลั๊กอินของเบราว์เซอร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ ถ้าเป็นไปได้ควรติดตั้งเฉพาะปลั๊กอินที่มีจากแหล่งดาวน์โหลดของผู้ผลิตเบราว์เซอร์เท่านั้น เช่น Chrome Web Store (https://chrome.google.com/webstore) ของ Google Chrome หรือ Mozilla Addon (https://addons.mozilla.org) ของ Mozilla Firefox
ในการเข้าสู่ระบบของบริการ Social Media ควรเข้าสู่ระบบด้วยการพิมพ์ URL ของเว็บไซต์ในช่อง Address bar ด้วยตนเองเท่านั้น