วันพุธที่ 11 มกราคม พ.ศ. 2560

การโจมตี โดยการหลอกให้เชื่อ เพื่อให้ได้ Password ที่คุณใช้งาน

พอดีได้รับ อีเมล์จากเว็บไซต์ที่ผมไม่รู้จัก (อาจมีอยู่และใช้งานระบบได้จริง) แต่ทำให้นึกได้ว่า สามารถทำเป็นรูปแบบการโจมตีได้
การโจมตี โดยการหลอกให้เชื่อ เพื่อให้ได้ Password ที่คุณใช้งาน
หลักการคือจะหลอกว่าคุณได้สมัครสมาชิกเว็บไซต์ของเขา แล้วให้คุณทำการเปลี่ยน Password เมื่อคุณเข้าไปเปลี่ยน Password ที่เว็บไซต์ของเขา เขาก็จะได้รูปแบบ Password ที่คุณเลือกใช้ แล้วสามารถนำมาใช้โจมตีคุณได้
จะเริ่มทีละขั้นตอนนะครับ
  1. ส่งอีเมล์หาเป้าหมายปลายทาง ให้ปลายทางได้รับอีเมล์
    ซึ่งในเมล์นั้นจะมี URL หรือ Link เว็บไซต์ เพื่อให้เข้าไปเปลี่ยน Password ได้
  2. เมื่อเข้าเว็บไซต์ไปก็พบข้อมูลทั่ว ๆ ไป และพบว่า เว็บไซต์มี SSL เพื่อเข้ารหัสข้อมูลทีส่งผ่านเว็บไซต์นี้ด้วย
  3. แต่เมื่อตรวจสอบให้ดี ก็พบว่า Cert SSL ที่ใช้งานเป็นของ Let's Encrypt ซึ่งเป็น Cert ฟรีที่สามารถสร้างได้ทั่วไป ความน่าเชื่อถือก็จะต่ำลงไปอีก
ลองคิดดูเล่น ๆ ถ้า ผู้ไม่หวังดีทำตามรูปแบบนี้ แล้วเราเข้าไปเปลี่ยน Password ในระบบของเขา เขาก็จะได้ Password ไป
ดังนั้น เมื่อจะทำอะไรก็ควรจะต้องคิดให้ดีครับ



หมายเหตุ ไม่ได้บอกว่าเว็บในตัวอย่างเป็นการโจมตีเพื่อให้ได้ Password นะครับ แค่ยกตัวอย่างรูปแบบการโจมตีครับ

ไม่มีความคิดเห็น:

แสดงความคิดเห็น