วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates

เรื่องนี้ผู้ใช้อินเทอร์เน็ตทุกท่านควรรู้ครับเวลา login หรือใช้บัตรเครดิต
จะได้รู้ว่าเว็บไหนจริงเว็บไหนปลอม เว็บไหนเป็น phishing page
ทำมาหลอกเอาข้อมูล password, credit card ของเรา

ยป;มอ (ยาวไป;ไม่อ่าน)

เราไม่สามารถดูว่าเว็บนั้นจริงหรือปลอมจากการดูหน้าตาหน้าเว็บได้เลย
เพราะของปลอมมันก๊อปได้เหมือนยิ่งกว่าของก็อปแบรนด์เนมเกรด AAAA ซะอีก
และไม่ใช่ว่าเว็บนั้นเป็น HTTPS แล้วจะแปลว่าเป็นเว็บของจริงเสมอไปนะครับ
ในความเป็น HTTPS มีความ SSL Certificates อยู่หลายแบบ แบ่งแบบบ้านๆ
สำหรับผู้ใช้ทั่วไปดูแล้วรู้เลย คือแบบที่มีชื่อองค์กรอยู่บน address bar กับแบบที่ไม่มี

วิธีดูเว็บจริงเว็บปลอมแบบผู้ใช้บ้านๆ

  1. ถ้าบน address bar มีชื่อองค์กรที่ถูกต้องกับเว็บที่เราจะใช้ เว็บนั้นก็คือเว็บจริงเลยจบ เช่น https://www.kasikornbank.com
  2. ถ้าเว็บนั้นดันไม่มีเงินหรือขี้เกียจทำ SSL Certificate แบบมีชื่อองค์กรอยู่บน address bar ก็ให้ดูชื่อ domain ให้ดี อันนี้เริ่มยากละสำหรับผู้ใช้ทั่วไป ตัวอย่าง domain แบบดูง่าย
    https://facebook.com/something อันนี้ OK
    https://something.facebook.com อันนี้ OK
    https://facebook-something.com แบบนี้อาจจะเว็บปลอม
    https://facebook.something.com แบบนี้อาจจะเว็บปลอม
    ตัวอย่างแบบดูยากให้ลองทาย
    https://www.paypal-techsupport.com/ อันนี้เว็บจริงหรือปลอม
    https://www.paypal-incubator.com/ อันนี้เว็บจริงหรือปลอม
    https://www.paypal-notify.com/ อันนี้เว็บจริงหรือปลอม
    คำตอบ สามอันบนของ PayPal นั้นเป็นเว็บจริงหมด ถามว่าผมรู้ได้ไง ก็ลองเปิดดูดิ
    มันเป็น HTTPS แบบมีชื่อองค์กรอยู่บน address bar จะเห็นว่ามันไม่ง่ายเลยที่จะ
    ดูแค่ชื่อ domain แล้วจะรู้ว่าเว็บนั้นเป็นของจริงหรือไม่ ถ้าไม่มี address bar บอกชื่อ
    ขององค์กรเจ้าของเว็บเช่นในเคสเว็บ PayPal สามเว็บนั้นผมคิดว่าเป็นเว็บปลอมไว้ก่อนเลย

แบบลงรายละเอียดสำหรับ power user

จากข่าว https://textslashplain.com/2017/01/16/certified-malice/ จะเห็นว่ามีการทำหน้าเว็บ phishing หน้าเว็บของ PayPal ที่ใช้ SSL ถูกต้อง ซึ่งก็ไม่ใช่เรื่องแปลกอะไรเพราะเดี๋ยวนี้ SSL Certificate แบบ DV ทำได้ง่ายและฟรี ตามรูปด้านล่าง

รูปจาก: https://textslashplain.com/2017/01/16/certified-malice/

แต่ปัญหาคือบางท่านอาจจะเข้าใจผิดได้ เห็นเป็น HTTPS หรือมีกุญแจเขียวๆคิดว่าเป็นของจริงเลย ซึ่งยังไม่ถูกต้องซะทีเดียว
ต้องดูประเภท SSL Certificate ด้วยว่าน่าเชื่อถือหรือไม่ เช่นจากรูปเว็บ PayPal ด้านบนจริงๆก็ไม่ได้ดูยากอะไรว่าอันไหนจริง
อันไหนปลอม อันซ้ายจริงแน่นอนเพราะมีชื่อองค์กรอยู่ตรง address bar ชัดเจน  555+ ง่ายๆแค่นั้นแหละ

ประเภทของ SSL Certificates DV, OV, EV มันคืออะไร ?

1. Domain Validation (DV) SSL Certificates: ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar

2. Organization Validation (OV) SSL Certificates: สำหรับ SSL Certificate แบบ OV นั้นจะมีการตรวจสอบเพิ่มเติมมากกว่าแบบ DV โดยมีการตรวจสอบองค์กรนั้นว่ามีความเกี่ยวข้องหรือเป็นเจ้าของ domain จริงหรือไม่ และมีชื่อและที่อยู่ขององค์กรอยู่บน SSL Certificate ด้วยแต่ก็ยังไม่มีชื่อองค์กรอยู่บน address bar

3. Extended Validation (EV) SSL Certificates: สำหรับ SSL Certificate แบบ EV นั้นเป็นแบบเดียวที่มีชื่อองค์กรเจ้าของ domain อยู่บน address bar หรือที่เขาเรียกอีกชื่อว่า green bar ทำให้ผู้ใช้ทั่วไปดูได้ง่ายและมีความน่าเชื่อถือมากที่สุด แล้วทำปลอมได้ไหม? ผมลงทุนซื้อ EV SSL Certificate มาลองเลยว่าถ้าในมุมโจรเนี่ยเขาจะสร้าง SSL Certificate แบบ EV ปลอมได้ยากง่ายขนาดไหน คำตอบคือยากมาก ยากแม้กระทั้งผมเองยังเดินเรื่องบริษัทตัวเองเพื่อขอ SSL Certificate แบบ EV ไม่ผ่าน 5555+ รู้สึกเสียเวลามากจนไม่อยากเตรียมเอกสารเดินเรื่องต่อแล้ว 555+ จะ refund เขาก็ไม่ยอมเซ็งสุดๆ ><” คาดว่าน่าจะต้องใช้เวลาหลายอาทิตย์จนถึงเป็นเดือนในการเตรียมเอกสารและตรวจสอบ
แล้วเขาตรวจสอบอะไรบ้างหลักๆคือ?
1. องค์กรนั้นมีอยู่จริงไหมและยังมีการดำเนินธุรกิจอยู่ไหมตรวจสอบจากหลาย sources
2. ตรวจสอบว่าองค์กรนี้ตั้งอยู่ที่ไหนในโลก และมันตั้งอยู่ที่นั้นจริงไหม
3. เบอร์โทรองค์กรที่ติดต่อได้จริง

dv, ev, ov, paypal, phishing, ssl certificate
เรื่องก่อนหน้า
จากหาช่องโหว่จนถึงเขียน Metasploit exploit module
เรื่องถัดไป
สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

Related Posts

ไม่พบผลลัพท์

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

Fill out this field
Fill out this field
โปรดใส่ที่อยู่อีเมลที่ใช้งานได้
You need to agree with the terms to proceed