การโจมตีแบบ Homograph Attack คืออะไร ?

การโจมตีแบบ Homograph Attack คืออะไร ?

ในยุคที่การใช้งานอินเทอร์เน็ต และเทคโนโลยี เป็นส่วนสำคัญในชีวิตประจำวัน ความปลอดภัยในโลกไซเบอร์เป็นเรื่องที่ไม่สามารถมองข้ามได้ หนึ่งในภัยคุกคามที่สร้างความสับสน และยากต่อการตรวจสอบคือ การโจมตีแบบ "Homograph Attack" ซึ่งเป็นเทคนิคที่ใช้ความคล้ายคลึงกันของ "อักขระ" ในชื่อ "โดเมน" (Domain) หรือ "Uniform Resource Locator" (URL) เพื่อหลอกลวงผู้ใช้ และขโมยข้อมูลสำคัญโดยที่เหยื่ออาจไม่ทันสังเกต หรือรู้ตัว

บทความนี้ ไทยแวร์จะพาคุณผู้อ่านไปทำความรู้จักกับ เทคนิคการโจมตีแบบ Homograph Attack อย่างละเอียด พร้อมแนะนำแนวทางป้องกัน เพื่อให้คุณผู้อ่านสามารถใช้งานอินเทอร์เน็ตได้อย่างมั่นใจ และปลอดภัยยิ่งขึ้น

Homograph Attack คืออะไร ? (What Is a Homograph Attack ?)

การตรวจสอบความถูกต้องของ URL เป็นหนึ่งในเคล็ดลับเบื้องต้นง่าย ๆ ที่สามารถใช้ในการตรวจจับการโจมตีแบบ ฟิชชิ่ง (Phishing) ไม่ว่าจะเป็นการฟิชชิ่งผ่านอีเมล หรือเว็บไซต์ก็ตาม อย่างไรก็ดี การสังเกตความถูกต้องของ URL เพียงอย่างเดียว ก็อาจทำให้เราตกหลุมพรางการโจมตีแบบ Homograph Attack ได้อยู่ดี

โดย Homograph Attack เป็นเทคนิคหลอกลวงเหยื่อ โดยอาศัยประโยชน์จากความคล้ายคลึงของ "ตัวอักขระ" ที่มาจากระบบการเขียนที่แตกต่างกัน เพื่อปลอมแปลง URL ของ "เว็บไซต์ปลอม" ให้ดูน่าเชื่อถือเหมือน URL ของ "เว็บไซต์จริง" โดยระบบอักขระที่นิยมนำมาใช้ในการโจมตีแบบ Homograph Attack ก็มักจะมาจากระบบตัวอักษรซีริลลิก (Cyrillic), กรีก (Greek) และ อาร์เมเนียน (Armenian)

ระบบตัวอักษรซีริลลิก (Cyrillic)
ภาพจาก : https://typejournal.ru/en/articles/Cyrillic-Letterforms-Development

ตัวอย่างเช่น URL ของ PayPal ในภาพด้านล่างนี้ อาจดูเหมือนกับมันถูกต้อง URL ตรงกับของเว็บไซต์ทางการ แต่มันไม่ได้พาเราไปยังเว็บไซต์ของจริง เนื่องจาก "p" ที่อยู่ใน URL ความจริงแล้วมันถูกพิมพ์ด้วยตัว "p" ในตัวอักษรซีริลลิก

ภาพจาก : https://www.maketecheasier.com/what-is-homograph-attack/

Homograph Attack มักถูกใช้เพื่อสร้าง ที่อยู่อีเมล (Email Address) และเว็บไซต์ปลอม สำหรับการ Phishing ไม่เพียงเท่านั้น ในยุคที่มีโซเชียลมีเดีย และเกมออนไลน์ เทคนิคนี้ยังสามารถนำไปใช้ ปลอมแปลงเลียนแบบชื่อบัญชีของบุคคลที่มีชื่อเสียง ไม่ว่าจะเป็นชื่อภายในเกมออนไลน์, โปรไฟล์โซเชียลมีเดีย, ชื่อไฟล์ ฯลฯ กล่าวได้ว่า อะไรก็ตามที่มีตัวอักษรละติน (Latin) แฮกเกอร์สามารถใช้ Homograph Attack ในการแทนที่ตัวอักษที่มีความคล้ายคลึงกันเพื่อปลอมแปลงได้ทั้งสิ้น

แม้เหยื่ออาจจะพอมีความรู้เกี่ยวกับการโจมตีแบบฟิชชิง แต่เมื่อโดนการโจมตีแบบ Homograph Attack ก็ยังมีโอกาสที่แฮกเกอร์สามารถทำให้เหยื่อเข้าใจผิด และเชื่อว่านี่เป็นของจริงได้

สัญญาณบ่งชี้การโจมตีแบบ Homograph Attack (Signs of a Homograph Attack)

ถึงแม้ว่าการโจมตีแบบ Homograph Attack จะเป็นการหลอกลวงที่แนบเนียน จับสังเกตได้ยากกว่าปกติ แต่มันก็ไม่ถึงกับว่าเราจะไม่สามารถสังเกตเห็นได้เลย มีหลายสัญญาณเตือนที่พอจะบอกเราได้อยู่ หากคุณผู้อ่านสังเกตเห็นสิ่งผิดปกติต่อไปนี้ ควรหลีกเลี่ยงการดำเนินการตามคำร้องขอที่ทางเว็บไซต์ดังกล่าวระบุ ห้ามหลงกลเด็ดขาด

คำร้องที่มีเนื้อหาผิดปกติ หรือข้อเสนอที่ดูดีเกินจริง

การโจมตีแบบ Homograph Attack  มีสัญญาณเตือนที่สังเกตเห็นได้ง่ายอย่างหนึ่งคือ การได้รับข้อความ หรือคำขอที่เร่งด่วนผิดปกติ หรือดีเกินจริง เพราะการโจมตีเหล่านี้มักอาศัยการสร้างความรู้สึกเร่งด่วน, ความกลัว หรือการเสนอสิ่งมาล่อใจ เพื่อให้เหยื่อตัดสินใจอย่างมีเหตุผลน้อยลง

ตัวอย่างเช่น เหยื่อจะได้รับอีเมลจาก PayPal ที่แจ้งว่าบัญชีของคุณถูกล็อก เนื่องจากกิจกรรมที่น่าสงสัย และคุณต้องเข้าสู่ระบบใหม่จากลิงก์ที่ให้มาเพื่อยืนยัน แน่นอนว่าลิงก์นั้นจะนำคุณไปยังเว็บไซต์ Phishing ที่สร้างขึ้นเพื่อขโมยข้อมูล

ยิ่งไปกว่านั้น อาจเป็นการโจมตีแบบเจาะจงเป้าหมาย หรือการโจมตีทางวิศวกรรมสังคม (Social Engineering) โดยที่แฮ็กเกอร์อาจใช้อีเมลบริษัทของคุณ เพื่อขอให้คุณชำระเงินไปยังบัญชีธนาคารเฉพาะ หรือเข้าสู่ระบบหน้าเว็บโดยใช้บัญชีของบริษัท หรือไม่ก็ใช้ข้อเสนอที่ดีเกินจริง โดยอีเมลอาจขอให้คุณคลิกลิงก์เพื่อรับโบนัสจากบริษัทของคุณ

แม้ว่าคำขอนั้นอาจดูเหมือนมาจากแหล่งที่มาที่ถูกต้อง แต่หากเป็นสิ่งที่คุณไม่ได้คาดคิด อย่าคิดเข้าข้างตัวเองว่าเป็นบุคคลโชคดี จนทำอะไรที่เสี่ยงต่อความปลอดภัยของคุณเอง 

คำเตือนจากเบราว์เซอร์

เป็นเรื่องดีที่เว็บเบราว์เซอร์ส่วนใหญ่ในปัจจุบันนี้ มีระบบป้องกันการโจมตีแบบ Homograph Attack ในตัว โดยเมื่อผู้ใช้งานเข้าสู่เว็บไซต์ที่ URL มีความผิดปกติ เว็บเบราว์เซอร์ก็จะแจ้งเตือนผู้ใช้ให้ทราบโดยทันที

หากคุณได้รับคำเตือนจากเบราว์เซอร์เว็บเมื่อเข้าถึงเว็บไซต์ ให้ออกโดยทันที แม้ว่าที่อยู่ URL จะดูตรงกับ URL ที่ถูกต้องอย่างเป็นทางการก็ตาม

ภาพจาก : https://www.maketecheasier.com/what-is-homograph-attack/

ความแตกต่างเล็กน้อยใน URL

องค์กรความร่วมมือด้านการจัดสรรชื่อ และหมายเลขทางอินเทอร์เน็ต หรือ Internet Corporation for Assigned Names and Numbers (ICANN) ได้กำหนดกฎสำหรับชื่อโดเมนที่เป็นสากล (IDNs) เพื่อลดโอกาสของการโจมตีแบบ Homograph Attack

โดยโดเมนที่ออกแบบมาเพื่อการโจมตี Homograph Attack อย่างโจ่งแจ้งอาจถูกปฏิเสธตามนโยบายบางข้อ ตัวอย่างเช่น ส่วนใหญ่แล้วโดเมนที่มีอักขระแบบผสมจะถูกบล็อกสำหรับใช้ในโดเมนระดับบนสุด (Top-Level Domain (TLD))

Homograph Attack ส่วนใหญ่ยังคงมีความแตกต่างเล็กน้อยที่บอกว่าพวกมันเป็นของปลอม ตัวอย่างเช่น โดเมนที่มีตัว i มีเครื่องหมายเน้นเสียง (í) อาจมองเห็นได้ยาก เนื่องจากยังคงมีความเป็นละตินอยู่ เช่น "wikipedía.com" ความแตกต่างเล็กน้อยเหล่านี้ อาจมองเห็นได้ยากในแวบแรก

มีการขอให้คุณเข้าสู่ระบบอีกครั้ง

ปกติเราจะตั้งค่าให้เข้าสู่ระบบคาไว้บนเว็บเบราว์เซอร์อยู่แล้ว เพื่อความสะดวกในการใช้งาน ดังนั้นสัญญาณเตือนที่ชัดเจนอีกประการหนึ่งคือ การที่ตัวเว็บไซต์ขอให้คุณเข้าสู่ระบบอีกครั้ง ทั้งที่คุณเข้าสู่ระบบไว้อยู่แล้ว

สำหรับบริการออนไลน์ส่วนใหญ่ เมื่อคุณเข้าสู่ระบบแล้ว การทำงานของ Session จะยังคงใช้งานได้ แม้เมื่อเข้าถึงเว็บไซต์ผ่านลิงก์อื่น เพราะมี คุกกี้ (Cookie) อยู่  ดังนั้น หากมีการขอให้คุณเข้าสู่ระบบอีกครั้ง ควรหลีกเลี่ยงการทำผ่านลิงก์ที่ให้มา เปิดหน้าล็อกอินในแท็บแยกต่างหากเพื่อดูว่าคุณถูกออกจากระบบหรือไม่+

ป้องกันตัวจาก Homograph Attack ได้อย่างไร ? (How to Protect Yourself From a Homograph Attack ?)

ไม่ว่าคุณจะเคยสังเกตเห็นสัญญาณที่กล่าวถึงในหัวข้อก่อนหน้านี้ หรือเพียงแค่ต้องการลดความเสี่ยงในการตกเป็นเป้าหมายของการโจมตีแบบ Homograph Attack ก็ตาม มันยังมีวิธีการอีกมากมายที่สามารถช่วยป้องกันจากการโจมตีดังกล่าวได้

ใช้เว็บเบราว์เซอร์ที่แสดง Punycode

Punycode เป็นวิธีการเข้ารหัสตัวอักษร Unicode เช่น ตัวอักษรซีริลลิก หรือกรีก ให้เป็นตัวอักษร ASCII เพื่อให้สามารถใช้งานในชื่อโดเมนได้ เว็บเบราว์เซอร์สมัยใหม่ในปัจจุบันนี้ มีคุณสมบัติที่สามารถตรวจจับการใช้สคริปต์ผสมได้โดยอัตโนมัติ และจะแสดงผลในรูปแบบ Punycode แทนการแสดงตัวอักษรจริงโดยตรง

หากในช่อง URL บนเว็บเบราว์เซอร์ ชื่อโดเมนเริ่มต้นด้วย "xn--" ตามด้วยตัวเลข และตัวอักษรสุ่มบางตัว นั่นหมายความว่าเว็บเบราว์เซอร์ได้ตรวจพบการใช้สคริปต์ที่แตกต่างกัน และตอนนี้กำลังแสดงผลในรูปแบบ Punycode แทนอยู่

ภาพจาก : https://www.maketecheasier.com/what-is-homograph-attack/

เว็บเบราว์เซอร์ที่ใช้ โครเมี่ยม (Chromium) เป็นพื้นฐานในการพัฒนา เช่น โครม (Chrome), โอเปร่า (Opera) หรือ เอดจ์ Edge จะแสดงผลในรูปแบบ Punycode เป็นค่าเริ่มต้น แม้แต่ ไฟร์ฟอกซ์ (Firefox) ก็เริ่มแสดง Punycode เป็นค่าเริ่มต้นในเวอร์ชันใหม่ๆ แล้ว ดังนั้น แนะนำว่าควรพยายามเลือกใช้เว็บเบราว์เซอร์ยอดนิยมเหล่านี้ เพื่อเพิ่มความปลอดภัยจากการโจมตีแบบ Homograph Attack

ใช้ส่วนขยายบนเว็บเบราว์เซอร์

แม้ว่าการใช้เว็บเบราว์เซอร์อย่าง Chrome หรือ Firefox จะช่วยเพิ่มความปลอดภัย แต่ทั้งคู่ยังคงใช้วิธีการตรวจจับการโจมตีแบบ Homograph Attack ด้วยอัลกอริทึมตัวอย่างเช่น Chrome จะแสดง Punycode เฉพาะในกรณีที่ชื่อโดเมนใช้สคริปต์ผสมกันเท่านั้น หากชื่อโดเมนทั้งหมดใช้สคริปต์เดียวกัน จะไม่ถูกแปลงเป็น Punycode

จึงอยากแนะนำให้ใช้ ส่วนขยาย (Extension) อย่างเช่น PunyCodeChecker ที่มีให้ดาวน์โหลดบน Chrome หรือ Firefox เข้ามาช่วยเสริมการป้องกันให้ดียิ่งขึ้น โดยส่วนขยายนี้จะบล็อกโดเมนทั้งหมดที่มีตัวอักษรที่ไม่ใช่ ASCII

ภาพจาก : https://www.maketecheasier.com/what-is-homograph-attack/

ทดลองใส่ข้อมูลเข้าระบบปลอม ๆ

หากคุณอยู่ในหน้าเว็บไซต์ที่รู้สึกสงสัยว่าน่าจะเป็นเว็บไซต์ปลอม สามารถทดสอบง่าย ๆ ด้วยการเข้าระบบด้วยการกรอกข้อมูล และรหัสผ่านปลอมลงไป หากเป็นเว็บไซต์ Phishing มันมักจะเปลี่ยนหน้าไปยังหน้าว่างเปล่า, แจ้งข้อผิดพลาด หรือไม่ก็เว็บไซต์จริง แต่ถ้าหากเป็นเว็บไซต์ของจริง มันก็จะแจ้งเตือนเราว่าข้อมูลบัญชี หรือรหัสผ่านผิด

อย่างไรก็ตาม อย่าคิดว่าการที่มีแจ้งเตือนข้อความเรื่องข้อมูลไม่ถูกต้อง จะสามารถเป็นหลักฐานยืนยันว่าเว็บไซต์นั้นเป็นของแท้ เพราะแฮกเกอร์อาจตั้งค่าให้แจ้งเตือนว่าข้อมูลไม่ถูกต้องอยู่เสมอ เพื่อหลอกให้คุณกรอกรหัสซ้ำไปเรื่อย ๆ

เปิดเว็บไซต์ในแท็บใหม่ด้วยตนเองเสมอ

นี่เป็นวิธีที่ง่ายที่สุดในการหลีกเลี่ยงการโจมตีแบบ Homograph Attack เนื่องจากการโจมตีเหล่านี้มักอาศัยการคลิกลิงก์ที่กำหนดไว้ แต่เราสามารถตัดต้นตอของปัญหาได้ด้วยการเปิดแท็บใหม่ แล้วพิมพ์ URL ที่ต้องการเข้าด้วยตนเอง

เปิดใช้งาน Two-Factor Authentication

การยืนยันตัวตนแบบสองขั้นตอน (2FA) ช่วยให้เรามั่นใจได้ว่า แม้แฮกเกอร์จะขโมยข้อมูลของเราไปได้สำเร็จ แต่พวกเขาก็ไม่สามารถเข้าสู่ระบบได้อยู่ดี ส่วนใหญ่แล้ว เว็บไซต์ในปัจจุบันที่ต้องการความปลอดภัยสูง จะเตรียมคุณสมบัตินี้เอาไว้ให้ผู้ใช้เปิดใช้งานได้

ใช้ Password Manager กรอกข้อมูลอัตโนมัติ

การใช้แอปพลิเคชัน หรือซอฟต์แวร์จัดการรหัสผ่าน (Password Manager) เป็นอีกวิธีที่สามารถป้องกันการโจมตีทาง URL ได้ทุกประเภท เนื่องจากตัวจัดการรหัสผ่านจะป้อนข้อมูลการเข้าสู่ระบบ เฉพาะในหน้าล็อกอินของเว็บไซต์ทางการที่มีในฐานข้อมูลเท่านั้น มันจึงช่วยป้องกันการเข้าสู่ระบบในเว็บไซต์ปลอมได้โดยอัตโนมัติ