วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates

เรื่องนี้ผู้ใช้อินเทอร์เน็ตทุกท่านควรรู้ครับเวลา login หรือใช้บัตรเครดิต
จะได้รู้ว่าเว็บไหนจริงเว็บไหนปลอม เว็บไหนเป็น phishing page
ทำมาหลอกเอาข้อมูล password, credit card ของเรา

ยป;มอ (ยาวไป;ไม่อ่าน)

เราไม่สามารถดูว่าเว็บนั้นจริงหรือปลอมจากการดูหน้าตาหน้าเว็บได้เลย
เพราะของปลอมมันก๊อปได้เหมือนยิ่งกว่าของก็อปแบรนด์เนมเกรด AAAA ซะอีก
และไม่ใช่ว่าเว็บนั้นเป็น HTTPS แล้วจะแปลว่าเป็นเว็บของจริงเสมอไปนะครับ
ในความเป็น HTTPS มีความ SSL Certificates อยู่หลายแบบ แบ่งแบบบ้านๆ
สำหรับผู้ใช้ทั่วไปดูแล้วรู้เลย คือแบบที่มีชื่อองค์กรอยู่บน address bar กับแบบที่ไม่มี

วิธีดูเว็บจริงเว็บปลอมแบบผู้ใช้บ้านๆ

  1. ถ้าบน address bar มีชื่อองค์กรที่ถูกต้องกับเว็บที่เราจะใช้ เว็บนั้นก็คือเว็บจริงเลยจบ เช่น https://www.kasikornbank.com
  2. ถ้าเว็บนั้นดันไม่มีเงินหรือขี้เกียจทำ SSL Certificate แบบมีชื่อองค์กรอยู่บน address bar ก็ให้ดูชื่อ domain ให้ดี อันนี้เริ่มยากละสำหรับผู้ใช้ทั่วไป ตัวอย่าง domain แบบดูง่าย
    https://facebook.com/something อันนี้ OK
    https://something.facebook.com อันนี้ OK
    https://facebook-something.com แบบนี้อาจจะเว็บปลอม
    https://facebook.something.com แบบนี้อาจจะเว็บปลอม
    ตัวอย่างแบบดูยากให้ลองทาย
    https://www.paypal-techsupport.com/ อันนี้เว็บจริงหรือปลอม
    https://www.paypal-incubator.com/ อันนี้เว็บจริงหรือปลอม
    https://www.paypal-notify.com/ อันนี้เว็บจริงหรือปลอม
    คำตอบ สามอันบนของ PayPal นั้นเป็นเว็บจริงหมด ถามว่าผมรู้ได้ไง ก็ลองเปิดดูดิ
    มันเป็น HTTPS แบบมีชื่อองค์กรอยู่บน address bar จะเห็นว่ามันไม่ง่ายเลยที่จะ
    ดูแค่ชื่อ domain แล้วจะรู้ว่าเว็บนั้นเป็นของจริงหรือไม่ ถ้าไม่มี address bar บอกชื่อ
    ขององค์กรเจ้าของเว็บเช่นในเคสเว็บ PayPal สามเว็บนั้นผมคิดว่าเป็นเว็บปลอมไว้ก่อนเลย

แบบลงรายละเอียดสำหรับ power user

จากข่าว https://textslashplain.com/2017/01/16/certified-malice/ จะเห็นว่ามีการทำหน้าเว็บ phishing หน้าเว็บของ PayPal ที่ใช้ SSL ถูกต้อง ซึ่งก็ไม่ใช่เรื่องแปลกอะไรเพราะเดี๋ยวนี้ SSL Certificate แบบ DV ทำได้ง่ายและฟรี ตามรูปด้านล่าง

รูปจาก: https://textslashplain.com/2017/01/16/certified-malice/

แต่ปัญหาคือบางท่านอาจจะเข้าใจผิดได้ เห็นเป็น HTTPS หรือมีกุญแจเขียวๆคิดว่าเป็นของจริงเลย ซึ่งยังไม่ถูกต้องซะทีเดียว
ต้องดูประเภท SSL Certificate ด้วยว่าน่าเชื่อถือหรือไม่ เช่นจากรูปเว็บ PayPal ด้านบนจริงๆก็ไม่ได้ดูยากอะไรว่าอันไหนจริง
อันไหนปลอม อันซ้ายจริงแน่นอนเพราะมีชื่อองค์กรอยู่ตรง address bar ชัดเจน  555+ ง่ายๆแค่นั้นแหละ

ประเภทของ SSL Certificates DV, OV, EV มันคืออะไร ?

1. Domain Validation (DV) SSL Certificates: ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar

2. Organization Validation (OV) SSL Certificates: สำหรับ SSL Certificate แบบ OV นั้นจะมีการตรวจสอบเพิ่มเติมมากกว่าแบบ DV โดยมีการตรวจสอบองค์กรนั้นว่ามีความเกี่ยวข้องหรือเป็นเจ้าของ domain จริงหรือไม่ และมีชื่อและที่อยู่ขององค์กรอยู่บน SSL Certificate ด้วยแต่ก็ยังไม่มีชื่อองค์กรอยู่บน address bar

3. Extended Validation (EV) SSL Certificates: สำหรับ SSL Certificate แบบ EV นั้นเป็นแบบเดียวที่มีชื่อองค์กรเจ้าของ domain อยู่บน address bar หรือที่เขาเรียกอีกชื่อว่า green bar ทำให้ผู้ใช้ทั่วไปดูได้ง่ายและมีความน่าเชื่อถือมากที่สุด แล้วทำปลอมได้ไหม? ผมลงทุนซื้อ EV SSL Certificate มาลองเลยว่าถ้าในมุมโจรเนี่ยเขาจะสร้าง SSL Certificate แบบ EV ปลอมได้ยากง่ายขนาดไหน คำตอบคือยากมาก ยากแม้กระทั้งผมเองยังเดินเรื่องบริษัทตัวเองเพื่อขอ SSL Certificate แบบ EV ไม่ผ่าน 5555+ รู้สึกเสียเวลามากจนไม่อยากเตรียมเอกสารเดินเรื่องต่อแล้ว 555+ จะ refund เขาก็ไม่ยอมเซ็งสุดๆ ><” คาดว่าน่าจะต้องใช้เวลาหลายอาทิตย์จนถึงเป็นเดือนในการเตรียมเอกสารและตรวจสอบ
แล้วเขาตรวจสอบอะไรบ้างหลักๆคือ?
1. องค์กรนั้นมีอยู่จริงไหมและยังมีการดำเนินธุรกิจอยู่ไหมตรวจสอบจากหลาย sources
2. ตรวจสอบว่าองค์กรนี้ตั้งอยู่ที่ไหนในโลก และมันตั้งอยู่ที่นั้นจริงไหม
3. เบอร์โทรองค์กรที่ติดต่อได้จริง

, , , , ,
Previous Post
จากหาช่องโหว่จนถึงเขียน Metasploit exploit module
Next Post
สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

Related Posts

No results found.

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed

Menu