CoP Prince of Songkla University Phuket Campus's Blog

แนะนำ Chrome Extension ช่วยป้องกัน Homograph Attack

28 March 2018 | KOWIT SUDJAI | Leave a comment

Phish.ai ได้พัฒนา Extension สำหรับ Chrome เพื่อช่วยตรวจจับชื่อโดเมนของเว็บไซต์ที่ไม่เป็นไปตามมาตรฐานของอักขระ Unicode และเตือนผู้ใช้เกี่ยวกับแนวโน้มที่อาจจะเกิดอันตรายได้ โดยผู้ร้ายมักจะอาศัยเทคนิคการโจมตี Homograph หรือ Unicode นี้เพื่อสร้างเพจหลอกลวงซึ่งมีชื่อคล้ายกับเพจที่ถูกต้องให้สังเกตได้ยากเพื่อหลอกเอา Credentials ของผู้ใช้หรือหลอกให้โหลดไฟล์ที่มีมัลแวร์

 credit : Bleeping Computer

Homograph Attack ทำงานอย่างไร

สาเหตุที่เทคนิคนี้เกิดได้เพราะ ICANN ได้อนุญาตให้สามารถลงทะเบียนชื่อโดเมนได้ในหลากหลายภาษาและอักขระโดยใช้ Unicode (การแทนอักขระภาษาต่างๆ ด้วยมาตรฐานหนึ่งเช่น ก ของภาษาไทยสามารถแทนด้วย U+0E01 ในระบบ Unicode) โดย Unicode บางตัวมีความคล้ายกันเมื่อดูด้วยตาในมาตฐานภาษาลาติน เช่น ‘f’: [‘Ḟ’,’ḟ’,’Ƒ’,’ƒ’,’ᵮ’,’ᶂ’,’ꜰ’,’F’,’f’] ดูเพิ่มเติมที่นี่ ดังนั้นผู้ร้ายจึงอาศัยจุดนี้ลงทะเบียนชื่อโดเมนเพื่อหลอกผู้ใช้งานที่ไม่ทันสังเกตความแตกต่างของชื่อ URL ซึ่งความพยายามล่อหลอกผู้ใช้แต่ละโดเมนนี้เองเรียกว่า internationalized domain name (IDN) homograph attack หรือ Unicode attack และในช่วงไม่กี่ปีมานี้ก็ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ

การป้องกันของ Browser ค่ายต่างๆ

มี Browser หลายเจ้าป้องกันปัญหานี้ด้วยการแสดงแทนอักขระ Unicode ด้วย Punycode (ใช้ ASCII แสดงแทนอักขระ Unicode) เช่น  coịnbạse.com จะแสดงเป็น xn--conbse-zc8b7m.com แทนอย่างใน Edge หรือ Vivaldi เพื่อแสดงความผิดสังเกตนี้ได้อย่างชัดเจน แต่หากเป็น Firefox จะไม่ได้เปิดฟังก์ชันนี้อัตโนมัตต้องไปแก้ที่ about : config ตามรูปด้านล่าง

อย่างไรก็ตามใน Chrome นั้นมีการแสดง Punycode ใน Title bar ไม่ใช่กับ Address bar ดังนั้นทาง Phish.ai จึงเกิดไอเดียทำ Extension สำหรับแสดงหน้าต่างสีแดงเพื่อแจ้งผู้ใช้ว่าโดเมนนั้นมีอักขระ Unicode ตามรูปด้านบนสุด ผู้สนใจสามารถดาวน์โหลดได้ที่ Web store

ที่มา : https://www.bleepingcomputer.com/news/security/chrome-extension-detects-url-homograph-unicode-attacks/

Leave a Reply