Clear
Lead Graphic Papers

Phishing รูปแบบใหม่มากับ Data URI

ผู้เขียน: ไพชยนต์ วิมุกตะนันทน์ และ พรพรหม ประภากิตติกุล
วันที่เผยแพร่: 7 ก.ย. 2555
ปรับปรุงล่าสุด: 7 ก.ย. 2555

Share on Facebook Share on Twitter Share on Google+

จากสถานการณ์รับแจ้งเหตุภัยคุกคามในปัจจุบัน พบว่าภัยคุกคามที่เกิดจาก Phishing ยังคงมาเป็นอันดับหนึ่งในประเทศไทย โดยการสร้างหน้าหลอกลวงให้เหยื่อหลงเชื่อกรอกข้อมูลสำคัญ และส่งข้อมูลกลับไปยังผู้โจมตีอีกครั้ง ซึ่งในกรณีดังกล่าวทางผู้สร้างเว็บเบราว์เซอร์ยอดนิยมทั้งหลาย ไม่ว่าจะเป็น Firefox, Chrome, Internet Explorer, Safari หรือ Opera ก็ล้วนแล้วแต่ไม่ได้นิ่งนอนใจ ซึ่งจะเห็นได้จากเว็บเบราว์เซอร์ชั้นนำเหล่านี้ ได้มีการเพิ่มความสามารถในการตรวจจับ URL ของเว็บไซต์ที่ได้รับรายงานว่าเป็นหน้า Phishing และแจ้งให้ผู้ใช้ทราบก่อนที่จะเกิดการหลงเชื่อและป้อนข้อมูลสำคัญต่างๆ เข้าไป ดังที่เคยได้อธิบายถึงในบทความก่อนหน้านี้ (Web Browser กับการป้องกัน Phishing Website) ซึ่งผลลัพธ์ที่ได้จากแนวทางดังกล่าวก็นับว่าเป็นการป้องกันความเสียหายที่ได้ผลดีในระดับหนึ่ง

แต่ตามรายงานข่าวเมื่อวันที่ 29 สิงหาคม 2555 ที่ผ่านมา นักศึกษาจาก University of Oslo ประเทศนอร์เวย์ที่ชื่อ Henning Klevjer ได้นำเสนอแนวทางที่อาจนำไปสู่การโจมตีในลักษณะของ Phishing ในรูปแบบใหม่ [1] โดยมีการแสดงวิธีการฝัง HTML Code ของหน้า Phishing ลงใน URI โดยตรง และเมื่อมีการเปิดด้วยเว็บเบราว์เซอร์ก็จะทำให้เห็นหน้า Phishing ตาม HTML Code ที่ฝังลงไป เช่น URI ที่แสดงในรูปที่ 1

Pp2012te0012-1.png
รูปที่ 1 ตัวอย่าง URI

เมื่อนำไปเปิดด้วยเว็บเบราว์เซอร์จะพบลักษณะดังรูปที่ 2

Pp2012te0012-2.png
รูปที่ 2 ตัวอย่างหน้าเว็บเพจที่เกิดจาก URI ในรูปที่ 1

ซึ่งสิ่งที่ทำให้ลักษณะการทำงานดังกล่าวแตกต่างจากการโจมตีด้วยเทคนิค Phishing ในลักษณะเดิมคือ เว็บเบราว์เซอร์จะไม่ได้มีการติดต่อกับเว็บไซต์ใดเลยในการแสดงผลเว็บเพจนี้ โดยข้อมูลทั้งหมดไม่ว่าจะเป็น HTML Code หรือแม้แต่ Javascript เองก็สามารถถูกฝังเอาไว้ใน URI ข้างต้นได้ทั้งสิ้น ซึ่งเท่ากับว่าวิธีการที่เว็บเบราว์เซอร์ใช้ในการตรวจสอบหน้า Phishing ด้วย URL ก็จะไม่สามารถใช้ได้ผลอีกต่อไป

URI VS URL และภัยที่มากับ Data URI

ผู้ใช้หลายท่านคงได้ยินคำว่า URL กันมานานแล้ว บางท่านเมื่ออ่านบทความนี้ในตอนแรกอาจทำให้เกิดความสับสนเมื่อมีการพูดถึง URI โดยในหัวข้อนี้จะอธิบายความหมายของคำว่า URI และ URL เพื่อให้ผู้อ่านเกิดความเข้าใจถึงลักษณะการทำงานและแนวทางการโจมตีที่ได้ กล่าวไว้ในข้างต้น โดยมีรายละเอียดที่น่าสนใจดังต่อไปนี้

URI ย่อมาจาก Universal Resource Identifier เป็นมาตรฐานการอ้างอิงรูปแบบการเข้าถึงทรัพยากรต่างๆ เป็นมาตรฐานซึ่งดูแลกำกับโดยหน่วยงาน IANA มีลักษณะการเรียกใช้งานที่เรียกว่า Scheme โดยมี Scheme ที่กำหนดไว้เป็นมาตรฐาน [2] เช่น http, ftp, data เป็นต้น

URL (Uniform Resource Locator) ถือเป็นส่วนประกอบหนึ่งของ URI เป็นลักษณะของการระบุที่อยู่ของทรัพยากรบนเครือข่ายอินเทอร์เน็ต โดยมีรูปแบบการเรียกใช้คือ [scheme]://[domain:port/path] เช่น http://example.com หรือ ftp://example.com ซึ่งหมายถึงมีการเรียกใช้โพรโทคอลชื่อ HTTP และ FTP ในการเข้าถึงข้อมูลเว็บไซต์ชื่อ example.com

โดยจาก Scheme ของ URI ที่ได้มีการพูดถึงในบทความนี้คือ Data ซึ่งความจริงแล้วไม่ใช่สิ่งแปลกใหม่ เนื่องจากความสามารถนี้ถูกระบุอยู่ใน RFC 2397 [3] ตั้งแต่ปี 1998 แล้ว และมีการนำมาใช้เป็นเวลานานพอสมควร โดยส่วนมากเป็นการใช้เพื่อแสดงรูปภาพขนาดเล็กๆ เช่น Bullet บนเว็บไซต์ โดยมีรูปแบบการใช้งานคือ data:[<mediatype>][;base64],<data> ดังตัวอย่างในรูปที่ 3

Pp2012te0012-3.png
รูปที่ 3 ตัวอย่าง URI

ผลลัพธ์ของการแสดงผลบนเว็บเบราว์เซอร์จะแสดงรูปภาพธงชาติไทยขนาดเล็กทันที โดยไม่จำเป็นต้องมีไฟล์รูปภาพนี้อยู่ในเครื่องแม่ข่ายแต่อย่างใด ซึ่งลักษณะตัวอย่างดังที่กล่าวมานี้คงทำให้ผู้อ่านพอเข้าใจแล้วว่าเหตุใด เว็บเบราว์เซอร์จึงจะไม่สามารถตรวจสอบหน้า Phishing ที่เกิดจากการใช้งาน Data URI ได้

ข้อสังเกตการใช้งาน Data URI

พบว่าการใช้งาน Data URI ยังคงมีข้อจำกัดและลักษณะบางอย่าง ซึ่งอาจจะเป็นเหตุผลที่ในปัจจุบันนี้ยังไม่มีการใช้ Data URI ในการโจมตีในลักษณะ Phishing ก็ได้ โดยมีข้อมูลสนับสนุนได้แก่

  1. ในช่อง Address bar ที่เป็นข้อมูล Data URI จะมีลักษณะที่ผิดปกติมาก โดยมีความยาวและไม่ได้ขึ้นต้นด้วย http:// เหมือนอย่างการเปิดเว็บไซต์อื่นทั่วๆไป ซึ่งอาจทำให้เหยื่อเกิดความสงสัยได้
  2. การส่งข้อมูลที่หลอกลวงเหยื่อให้กรอกลงไปในหน้า Phishing นั้น ยังคงต้องอาศัยการรับข้อมูลของ Script ที่ต้องมีอยู่จริงบนอินเทอร์เน็ต นั่นหมายถึงใน Data URI ที่เปิดก็จะต้องมีข้อมูลในส่วนนี้อยู่ ซึ่งอาจถูกตรวจจับได้ด้วยกลไกการป้องกัน Phishing ของเว็บเบราว์เซอร์ต่อไป
  3. มีการพบว่าเว็บเบราว์เซอร์ตระกูล Internet Explorer ซึ่งเป็นเว็บเบราว์เซอร์ที่ใช้กันแพร่หลายมากที่สุดตัวหนึ่ง ไม่สนับสนุนการใช้งาน Data URI ที่ฝังข้อมูล HTML Code แต่ยังคงสนับสนุนการใช้งานที่เป็นการแสดงข้อมูลประเภทรูปภาพเท่านั้น

ข้อแนะนำในการป้องกันตนเอง

จากข้อสังเกตที่ได้กล่าวมาในข้างต้นผู้ใช้เว็บเบราว์เซอร์ Internet Explorer อาจจะสบายใจได้ในระดับหนึ่งเนื่องจากโปรแกรมดังกล่าวไม่สามารถทำงานกับ Data URI ได้ แต่สำหรับผู้ใช้ Firefox อาจจะสามารถป้องกันได้โดยการติดตั้ง Extension ที่ชื่อ NoScript ในการป้องกันการโจมตีแบบนี้ได้ โดย NoScript จะแสดงข้อความเตือนเมื่อผู้ใช้พยายามเข้าถึง Data URI ผ่านการ Click บน Link ซึ่งน่าจะเป็นสถานการณ์เดียวกันกับที่ผู้ใช้ได้รับอีเมล Phishing แต่จากการทดสอบพบว่าจะไม่เกิดผลถ้า Data URI นั้น เป็นส่วนหนึ่งของเว็บเพจอยู่แล้ว เช่นการใช้ Data URI แสดงรูปภาพ ดังรูปที่ 4

Pp2012te0012-4.png
รูปที่ 4 ตัวอย่างการแจ้งเตือน URI ผิดปกติ

และสำหรับเว็บเบราว์เซอร์อื่นๆ เช่น Chrome Safari หรือ Opera ก็ยังไม่ปรากฏว่ามีวิธีการป้องกันด้วยการโจมตีนี้แต่อย่างใด และจากการทดสอบด้วยเว็บเบราว์เซอร์บนโทรศัพท์มือถือที่เป็นระบบปฏิบัติการ Android และ iOS ก็พบว่าได้รับผลกระทบจากเรื่องนี้เช่นกัน และอาจรุนแรงกว่ากรณีที่ผู้ใช้ผ่านเครื่องคอมพิวเตอร์เนื่องจาก Address bar สำหรับโทรศัพท์มือถือค่อนข้างมีลักษณะการมองเห็นค่อนข้างจำกัดซึ่งอาจทำให้ สังเกตได้ยากขึ้นดังเช่นรูปที่ 5

Pp2012te0012-5.png
รูปที่ 5 ตัวอย่างการเปิด URI ในเบราว์เซอร์ Safari ในเครื่อง iPhone


ซึ่งในระหว่างนี้ผู้ใช้เองควรมีสติในการใช้งานอย่างระมัดระวังในการใช้งานจนกว่า จะมีวิธีป้องกันที่ดีกว่านี้ออกมา อย่างไรก็ตาม ไม่ว่าผู้อ่านจะใช้งานเว็บเบราว์เซอร์อะไร และมีระบบป้องกันหรือไม่ก็ตาม การใช้วิธีการสังเกต URL ที่ผิดปกติ หรือสอบถามกับทางสถาบันการเงินโดยตรงก่อนทุกครั้งที่มีความสงสัยเกี่ยวกับ การทำธุรกรรมทางการเงิน ก็ย่อมเป็นแนวทางการป้องกันจากภัยของการโจมตีประเภท Phishing ที่ดีที่สุดในทุกกรณี

เอกสารอ้างอิง

  1. http://klevjers.com/papers/phishing.pdf
  2. http://www.iana.org/assignments/uri-schemes.html
  3. http://www.ietf.org/RFC/RFC2397.txt

Clear