พอดีได้รับ อีเมล์จากเว็บไซต์ที่ผมไม่รู้จัก (อาจมีอยู่และใช้งานระบบได้จริง) แต่ทำให้นึกได้ว่า สามารถทำเป็นรูปแบบการโจมตีได้
การโจมตี โดยการหลอกให้เชื่อ เพื่อให้ได้ Password ที่คุณใช้งาน
การโจมตี โดยการหลอกให้เชื่อ เพื่อให้ได้ Password ที่คุณใช้งาน
หลักการคือจะหลอกว่าคุณได้สมัครสมาชิกเว็บไซต์ของเขา แล้วให้คุณทำการเปลี่ยน Password เมื่อคุณเข้าไปเปลี่ยน Password ที่เว็บไซต์ของเขา เขาก็จะได้รูปแบบ Password ที่คุณเลือกใช้ แล้วสามารถนำมาใช้โจมตีคุณได้
จะเริ่มทีละขั้นตอนนะครับ
- ส่งอีเมล์หาเป้าหมายปลายทาง ให้ปลายทางได้รับอีเมล์
- เมื่อเข้าเว็บไซต์ไปก็พบข้อมูลทั่ว ๆ ไป และพบว่า เว็บไซต์มี SSL เพื่อเข้ารหัสข้อมูลทีส่งผ่านเว็บไซต์นี้ด้วย
- แต่เมื่อตรวจสอบให้ดี ก็พบว่า Cert SSL ที่ใช้งานเป็นของ Let's Encrypt ซึ่งเป็น Cert ฟรีที่สามารถสร้างได้ทั่วไป ความน่าเชื่อถือก็จะต่ำลงไปอีก
ลองคิดดูเล่น ๆ ถ้า ผู้ไม่หวังดีทำตามรูปแบบนี้ แล้วเราเข้าไปเปลี่ยน Password ในระบบของเขา เขาก็จะได้ Password ไป
ดังนั้น เมื่อจะทำอะไรก็ควรจะต้องคิดให้ดีครับ
ดังนั้น เมื่อจะทำอะไรก็ควรจะต้องคิดให้ดีครับ
หมายเหตุ ไม่ได้บอกว่าเว็บในตัวอย่างเป็นการโจมตีเพื่อให้ได้ Password นะครับ แค่ยกตัวอย่างรูปแบบการโจมตีครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น