เรื่องนี้ผู้ใช้อินเทอร์เน็ตทุกท่านควรรู้ครับเวลา login หรือใช้บัตรเครดิต
จะได้รู้ว่าเว็บไหนจริงเว็บไหนปลอม เว็บไหนเป็น phishing page
ทำมาหลอกเอาข้อมูล password, credit card ของเรา
ยป;มอ (ยาวไป;ไม่อ่าน)
เราไม่สามารถดูว่าเว็บนั้นจริงหรือปลอมจากการดูหน้าตาหน้าเว็บได้เลย
เพราะของปลอมมันก๊อปได้เหมือนยิ่งกว่าของก็อปแบรนด์เนมเกรด AAAA ซะอีก
และไม่ใช่ว่าเว็บนั้นเป็น HTTPS แล้วจะแปลว่าเป็นเว็บของจริงเสมอไปนะครับ
ในความเป็น HTTPS มีความ SSL Certificates อยู่หลายแบบ แบ่งแบบบ้านๆ
สำหรับผู้ใช้ทั่วไปดูแล้วรู้เลย คือแบบที่มีชื่อองค์กรอยู่บน address bar กับแบบที่ไม่มี
วิธีดูเว็บจริงเว็บปลอมแบบผู้ใช้บ้านๆ
- ถ้าบน address bar มีชื่อองค์กรที่ถูกต้องกับเว็บที่เราจะใช้ เว็บนั้นก็คือเว็บจริงเลยจบ เช่น https://www.kasikornbank.com
- ถ้าเว็บนั้นดันไม่มีเงินหรือขี้เกียจทำ SSL Certificate แบบมีชื่อองค์กรอยู่บน address bar ก็ให้ดูชื่อ domain ให้ดี อันนี้เริ่มยากละสำหรับผู้ใช้ทั่วไป ตัวอย่าง domain แบบดูง่าย
https://facebook.com/something อันนี้ OK
https://something.facebook.com อันนี้ OK
https://facebook-something.com แบบนี้อาจจะเว็บปลอม
https://facebook.something.com แบบนี้อาจจะเว็บปลอม
ตัวอย่างแบบดูยากให้ลองทาย
https://www.paypal-techsupport.com/ อันนี้เว็บจริงหรือปลอม
https://www.paypal-incubator.com/ อันนี้เว็บจริงหรือปลอม
https://www.paypal-notify.com/ อันนี้เว็บจริงหรือปลอม
คำตอบ สามอันบนของ PayPal นั้นเป็นเว็บจริงหมด ถามว่าผมรู้ได้ไง ก็ลองเปิดดูดิ
มันเป็น HTTPS แบบมีชื่อองค์กรอยู่บน address bar จะเห็นว่ามันไม่ง่ายเลยที่จะ
ดูแค่ชื่อ domain แล้วจะรู้ว่าเว็บนั้นเป็นของจริงหรือไม่ ถ้าไม่มี address bar บอกชื่อ
ขององค์กรเจ้าของเว็บเช่นในเคสเว็บ PayPal สามเว็บนั้นผมคิดว่าเป็นเว็บปลอมไว้ก่อนเลย
แบบลงรายละเอียดสำหรับ power user
จากข่าว https://textslashplain.com/2017/01/16/certified-malice/ จะเห็นว่ามีการทำหน้าเว็บ phishing หน้าเว็บของ PayPal ที่ใช้ SSL ถูกต้อง ซึ่งก็ไม่ใช่เรื่องแปลกอะไรเพราะเดี๋ยวนี้ SSL Certificate แบบ DV ทำได้ง่ายและฟรี ตามรูปด้านล่าง
![](https://mayaseven.com/wp-content/uploads/2017/02/image46.png)
แต่ปัญหาคือบางท่านอาจจะเข้าใจผิดได้ เห็นเป็น HTTPS หรือมีกุญแจเขียวๆคิดว่าเป็นของจริงเลย ซึ่งยังไม่ถูกต้องซะทีเดียว
ต้องดูประเภท SSL Certificate ด้วยว่าน่าเชื่อถือหรือไม่ เช่นจากรูปเว็บ PayPal ด้านบนจริงๆก็ไม่ได้ดูยากอะไรว่าอันไหนจริง
อันไหนปลอม อันซ้ายจริงแน่นอนเพราะมีชื่อองค์กรอยู่ตรง address bar ชัดเจน 555+ ง่ายๆแค่นั้นแหละ
ประเภทของ SSL Certificates DV, OV, EV มันคืออะไร ?
1. Domain Validation (DV) SSL Certificates: ถ้าเราอยากจะทำเว็บให้เป็น HTTPS ด้วย SSL Certificate แบบ DV นั้นง่ายมากไม่ถึง 5 นาทีก็เสร็จ เพราะ CA จะยืนยันแค่ว่าเราเป็นเจ้าของ domain จริงหรือเปล่าเท่านั้น เป็นสาเหตุให้พวกโจรไปจดชื่อ domain คล้ายๆเช่น paypal-accountinfo.com แล้วมาใช้ SSL Certificate DV ได้ ทำให้ SSL Certificate แบบนี้ความน่าเชื่อถือต่ำสุดและไม่มีชื่อองค์กรบน address bar
2. Organization Validation (OV) SSL Certificates: สำหรับ SSL Certificate แบบ OV นั้นจะมีการตรวจสอบเพิ่มเติมมากกว่าแบบ DV โดยมีการตรวจสอบองค์กรนั้นว่ามีความเกี่ยวข้องหรือเป็นเจ้าของ domain จริงหรือไม่ และมีชื่อและที่อยู่ขององค์กรอยู่บน SSL Certificate ด้วยแต่ก็ยังไม่มีชื่อองค์กรอยู่บน address bar
3. Extended Validation (EV) SSL Certificates: สำหรับ SSL Certificate แบบ EV นั้นเป็นแบบเดียวที่มีชื่อองค์กรเจ้าของ domain อยู่บน address bar หรือที่เขาเรียกอีกชื่อว่า green bar ทำให้ผู้ใช้ทั่วไปดูได้ง่ายและมีความน่าเชื่อถือมากที่สุด แล้วทำปลอมได้ไหม? ผมลงทุนซื้อ EV SSL Certificate มาลองเลยว่าถ้าในมุมโจรเนี่ยเขาจะสร้าง SSL Certificate แบบ EV ปลอมได้ยากง่ายขนาดไหน คำตอบคือยากมาก ยากแม้กระทั้งผมเองยังเดินเรื่องบริษัทตัวเองเพื่อขอ SSL Certificate แบบ EV ไม่ผ่าน 5555+ รู้สึกเสียเวลามากจนไม่อยากเตรียมเอกสารเดินเรื่องต่อแล้ว 555+ จะ refund เขาก็ไม่ยอมเซ็งสุดๆ ><” คาดว่าน่าจะต้องใช้เวลาหลายอาทิตย์จนถึงเป็นเดือนในการเตรียมเอกสารและตรวจสอบ
แล้วเขาตรวจสอบอะไรบ้างหลักๆคือ?
1. องค์กรนั้นมีอยู่จริงไหมและยังมีการดำเนินธุรกิจอยู่ไหมตรวจสอบจากหลาย sources
2. ตรวจสอบว่าองค์กรนี้ตั้งอยู่ที่ไหนในโลก และมันตั้งอยู่ที่นั้นจริงไหม
3. เบอร์โทรองค์กรที่ติดต่อได้จริง