โฆษณาอันตรายที่โฮสต์บน Google พาไปยังเว็บ Keepass ปลอมที่ดูเหมือนของจริง
(arstechnica.com)- อาศัยพฤติกรรมที่ผู้ใช้มักเชื่อถือโฆษณาค้นหาและเว็บไซต์ทางการ โฆษณา Google ที่ปลอมเป็น Keepass จึงพาไปยังเว็บไซต์ปลอมที่หลอกได้แม้แต่ผู้ใช้ที่คุ้นเคยกับความปลอดภัย
- หลังคลิก แถบที่อยู่จะแสดงเหมือนเป็น ķeepass[.]info แต่โดเมนจริงคือ xn--eepass-vbb[.]info ที่เข้ารหัสด้วย punycode และเผยแพร่มัลแวร์ FakeBat
- โฆษณาดังกล่าวแสดงตั้งแต่วันเสาร์ถึงวันพุธ และผู้ลงโฆษณาถูกระบุว่าเป็น Digital Eagle ซึ่ง Google ได้ยืนยันตัวตนแล้ว
- การใช้โฆษณา Google, URL ที่ดูเหมือนปกติ และ ใบรับรอง TLS ที่ถูกต้องร่วมกัน ทำให้การดูเฉพาะแถบที่อยู่ไม่เพียงพอที่จะตัดสินว่าเป็นเว็บแอบอ้างหรือไม่
- เบราว์เซอร์หลักทั้ง 5 ตัวเมื่อลองป้อน ķeepass[.]info ต่างพาไปยังเว็บไซต์แอบอ้าง ดังนั้นหากสงสัยควรเปิดแท็บใหม่แล้วพิมพ์ URL เอง หรือดูเจ้าของใบรับรอง TLS
การผสานกันของโฆษณา Google กับเว็บปลอมที่แอบอ้างเป็น Keepass
- มีการแสดง โฆษณาอันตรายที่ดูเหมือนโฆษณา Keepass บน Google
- โฆษณาปลอมตัวเป็นการโปรโมต Keepass ตัวจัดการรหัสผ่านโอเพนซอร์ส
- ผู้ใช้อาจเชื่อถือได้ง่ายขึ้นเพราะเป็นโฆษณา Google และเป็นที่ทราบกันว่า Google ตรวจสอบโฆษณา
- เมื่อคลิก แถบที่อยู่จะแสดง ķeepass[.]info ซึ่งดูเหมือนเว็บไซต์ Keepass ของจริง
- เว็บไซต์ Keepass ทางการจริงคือ keepass.info
โดเมนคล้ายของจริงที่สร้างด้วย punycode
- ķeepass[.]info ที่เห็นบนแถบที่อยู่ แท้จริงแล้วเป็นรูปแบบเข้ารหัสที่แทน xn--eepass-vbb[.]info
- เว็บไซต์นี้เผยแพร่ตระกูลมัลแวร์ที่ถูกติดตามในชื่อ FakeBat
- กลอุบายนี้ใช้วิธีเข้ารหัสแบบ punycode
- punycode ช่วยให้แสดงอักขระ Unicode ในรูปข้อความ ASCII มาตรฐานได้
- ในกรณีนี้ใช้อักขระที่มีเครื่องหมายคล้ายจุลภาคเล็ก ๆ อยู่ใต้ตัว k
- อีกทั้งยังมี ใบรับรอง TLS ที่ถูกต้อง ทำให้ดูเหมือนเว็บไซต์ปกติได้ง่ายหากดูแค่แถบที่อยู่
ข้อมูลความโปร่งใสของโฆษณาและการดำเนินการของ Google
- Google Ad Transparency Center แสดงว่าโฆษณาดังกล่าวทำงานตั้งแต่วันเสาร์ถึงวันพุธ
- ผู้ที่จ่ายค่าโฆษณาปรากฏเป็นองค์กรชื่อ Digital Eagle
- ในหน้าความโปร่งใส Digital Eagle ถูกระบุว่าเป็นผู้ลงโฆษณาที่ Google ยืนยันตัวตนแล้ว
- ตัวแทนของ Google ระบุในอีเมลหลังการเผยแพร่ว่า บริษัทได้ลบโฆษณาดังกล่าวตามข้อกำหนดของบริษัทแล้ว
การวิเคราะห์ของ Malwarebytes
- Jérôme Segura หัวหน้าฝ่ายข่าวกรองภัยคุกคามของ Malwarebytes สรุปว่าเป็นโครงสร้างที่หลอกผู้ใช้สองชั้น
- ชั้นแรก ผู้ใช้ถูกหลอกด้วยโฆษณา Google ที่ดูปกติอย่างสมบูรณ์
- ต่อมา ผู้ใช้ถูกหลอกอีกครั้งด้วยโดเมนเลียนแบบที่ดูเหมือนเว็บไซต์ถูกกฎหมาย
- Malwarebytes เปิดเผยกลโกงนี้ในโพสต์เมื่อวันพุธ
- เว็บไซต์ที่ดูเหมือนมี URL แทบเหมือนกับโฆษณา Google ถูกนำมาผสานกัน สร้างผลลวงว่าเป็นของจริงอย่างรุนแรง
ตัวอย่างมัลแวร์ที่ใช้ punycode ในอดีต
- กลโกงมัลแวร์ที่ใช้ punycode ในทางที่ผิดมีมานานแล้ว
- เมื่อ 2 ปีก่อน มิจฉาชีพใช้โฆษณา Google ล่อผู้ใช้ไปยังเว็บไซต์ที่ดูเกือบเหมือน brave.com
- เว็บไซต์ดังกล่าวแจกจ่ายเบราว์เซอร์เวอร์ชันอันตรายปลอม
- ในปี 2017 นักพัฒนาเว็บแอปพลิเคชันรายหนึ่งสร้างเว็บไซต์พิสูจน์แนวคิดที่ดูเหมือน apple.com ทำให้เทคนิค punycode ได้รับความสนใจอย่างกว้างขวาง
วิธีที่ผู้ใช้ตรวจสอบได้
- ไม่มีวิธีที่แน่นอนในการตรวจจับโฆษณา Google อันตรายหรือ URL ที่เข้ารหัสด้วย punycode
- เมื่อลองป้อน ķeepass[.]info ในเบราว์เซอร์หลักทั้ง 5 ตัว ทั้งหมดจะพาไปยังเว็บไซต์แอบอ้าง
- หากสงสัย สามารถเปิดแท็บเบราว์เซอร์ใหม่แล้วพิมพ์ URL ด้วยตนเองได้
- เมื่อ URL ยาว การพิมพ์เองอาจไม่ใช่วิธีที่ทำได้จริงเสมอไป
- อีกวิธีคือการตรวจสอบ ใบรับรอง TLS เพื่อดูว่าเว็บไซต์ที่แสดงในแถบที่อยู่ตรงกับเจ้าของใบรับรองหรือไม่
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
แน่นอนว่า Google คงตรวจสอบตัวตนของ Digital Eagle แล้ว การยืนยันตัวตนของ Google เป็นแบบรับเงิน และถ้าจ่ายเงินก็ถือว่าผ่านการตรวจสอบแล้ว
ประโยคที่ว่า “ตัวแทนของ Google ไม่ได้ตอบอีเมลทันที” ก็น่าสงสัยเหมือนกัน ไม่รู้ด้วยซ้ำว่ามีคนจริง ๆ ที่ Google ตอบอีเมลหรือไม่ และผมไม่เคยเห็นการตอบกลับมานานกว่า 10 ปีแล้ว ต่อให้รายงานฟิชชิงและสแปม ก็ยังสงสัยว่ามีอะไรถูกจัดการจริง ๆ หรือเปล่า
พูดตรง ๆ ตอนนี้โลกควรเลิกพึ่ง Google ได้แล้ว อย่างน้อย 2 ปีกว่า ๆ มานี้แทบใช้เป็นเสิร์ชเอนจินอย่างปลอดภัยไม่ได้
หลังจากลูกค้าถูกส่งไปยังเว็บฟิชชิงผ่านโฆษณา Google ผมจึงตัดสินใจบล็อกโดเมนด้านล่างในทุกเครือข่ายที่ดูแลอยู่
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
จุดแข็งของ Google ค่อย ๆ พังลงมาตลอดหลายปี Windows ก็คล้ายกัน คือการตลาดและโฆษณากำลังทำลายผลิตภัณฑ์ที่เดิมก็พอใช้ได้
เหตุผลที่โฆษณาแบบนี้ผ่านเข้ามาได้ก็ดูคล้ายกัน น่าจะพึ่งพาการรายงานแบบหมู่จำนวนมาก และลิงก์ “รายงานปัญหา” น่าจะเป็นหนึ่งในกลไกหลักในการคัดกรองโฆษณาไม่ดีออกไป หากมีโฆษณาหลุดเข้ามามากขึ้น ก็อาจเป็นสัญญาณว่ามีคนยอมเสียเวลารายงานน้อยเกินไป จนสมดุลของวิธีรายงานแบบหมู่กำลังพังลง
มันเป็นคนละยุคจริง ๆ
ถ้ารายงานเว็บไซต์อันตรายไปที่ namecheap บางครั้งเว็บยังอยู่ต่อได้เป็นเดือน ๆ พวกเขาก็แย่เหมือนกัน แต่ในการจัดการรายงานการใช้งานในทางที่ผิด ยังมีอีกหลายที่ที่แย่กว่านั้นมาก Google เองก็ทำให้ดีกว่านี้ได้ แต่ในความเป็นจริงถือว่าค่อนข้างโอเค
อย่างไรก็ตาม กรณีนี้ก็เป็นอีกเหตุผลหนึ่งที่ทุกคนควรบล็อกโฆษณา การบล็อกโฆษณาทำให้ทุกคนปลอดภัยขึ้น
ควรให้ ตัวกลางโฆษณา รับผิดชอบบางส่วนต่อโฆษณาหลอกลวง หรือบังคับให้โฆษณาระบุตัวตนจริงอย่างเข้มงวด หรือทำทั้งสองอย่าง ผมไม่ชอบการบังคับให้สิ่งพิมพ์ทั่วไปต้องมี impressum แบบเยอรมัน แต่โฆษณานั้นต่างออกไป
เพราะโฆษณาแทรกเข้ามาในเว็บไซต์อื่นอย่างรุกล้ำในแบบที่ผู้ใช้ควบคุมไม่ได้ ถ้าไม่นับการบล็อกโฆษณาทั้งหมด ก็แทบไม่มีทางเลือก
เมื่อคลิกที่มุมของโฆษณา ควรตรวจสอบหมายเลขบริษัทและที่อยู่สถานประกอบการของผู้รับผิดชอบได้ โฆษณา “จากต่างประเทศ” ที่มาจากประเทศอื่นควรถูกตรวจสอบเข้มงวดกว่าเดิม เพราะถ้าเป็นการหลอกลวง ต่อให้ไม่ใช่นิรนาม การขอเยียวยาก็ยังยากกว่ามาก
ตามบทความ ķeepass[.]info แม้จะแสดงในแถบที่อยู่อย่างนั้น แต่จริง ๆ แล้วเป็นรูปแบบเข้ารหัสที่แทน xn--eepass-vbb[.]info และกำลังแพร่กระจายมัลแวร์ FakeBat เมื่อรวมเว็บไซต์ที่มี URL แทบจะเหมือนกับโฆษณา Google เข้าไปด้วย จึงกลายเป็นการหลอกลวงที่เกือบสมบูรณ์แบบ
ในปี 2017 เคยบอกว่า Google Chrome 59 ได้แก้ไข การโจมตีฟิชชิงด้วย Punycode แล้ว ตัวอย่าง: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
บางทีอาชญากรที่ดื้อดึงอาจวิเคราะห์ซอร์สโค้ดของ Chromium ที่ตรวจสอบ Punycode แล้วพบช่องโหว่ที่ยอมให้ใช้
ķแทนkก็ได้https://www.xn--80ak6aa92e.com/ --> “аррӏе.com” ปลอมจะแสดงคำเตือนฟิชชิง
https://xn--eepass-vbb.info/ --> “ķeepass.info” ปลอมไม่แสดงคำเตือน
ķ(U+0137) เป็นอักษรละติน [2] ดังนั้น “ķeepass.info” น่าจะไม่โดนการตรวจสอบอักขระคล้ายกันแบบข้ามระบบอักษรในรายการไกลฟ์ “อักขระคล้ายกันทั้งระบบอักษร” [3] ก็ไม่เห็น
ķเช่นกัน ควรใส่ไว้ในนี้ไหม? ในส่วนอักษรกรีกของไฟล์นั้นมีคอมเมนต์ทำนองว่า “ให้เพิกเฉยต่อรูปแปรอย่าง ά, έ, ή, ί” จึงอาจมีกฎโดยทั่วไปว่าอักขระที่มีเครื่องหมายกำกับเสียงไม่ถือเป็นอักขระคล้ายกันถ้าเป็นอย่างนั้นก็พอเข้าใจได้อยู่บ้าง เช่น ถ้าชื่อโดเมนที่มี
éถูกแสดงเป็นรูปแบบ Punycode ผู้ใช้ชาวฝรั่งเศสคงผิดหวังไม่น้อย[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
สุดท้ายแล้วเราคงไม่เข้า “göogle.com” กันอยู่ดีไม่ใช่หรือ?
ขณะที่ Google ทำสงครามกับ ตัวบล็อกโฆษณา บน YouTube ก็ยังแสดงให้เห็นอีกครั้งว่าเราไม่สามารถไว้วางใจให้พวกเขารับผิดชอบเรื่องการแสดงโฆษณาที่ปลอดภัยได้เลย
แถมยังเอาวิดีโอสงครามมาแสดงเป็นโฆษณาให้เด็กเล็กดูด้วย
ที่ชอบเป็นพิเศษคือโฆษณาที่ชาร์จทรงก้อนอิฐโง่ ๆ ที่อ้างว่า “จัดเรียงข้อมูลในโทรศัพท์ให้ได้อย่างวิเศษ” กับโฆษณาปืนพก Micro Ghost
คิดว่าตัวเองค่อนข้างใส่ใจเรื่องความปลอดภัย แต่ไม่แน่ใจว่าจะสังเกตเห็นเรื่องนี้ไหม นี่เป็นอีกเหตุผลหนึ่งที่ควรใช้ uBO แบบไม่ต้องเสียใจทีหลัง
“บริษัทระบุว่าเมื่อมีการรายงานโฆษณาหลอกลวง จะลบออกทันทีโดยเร็วที่สุดเท่าที่ทำได้”
ถ้าอยากเป็นส่วนหนึ่งของทางแก้ ก็คงตรวจสอบก่อนที่โฆษณาจะเผยแพร่แล้ว แต่เรื่องนั้นขยายสเกลไม่ได้ ผู้คนจึงถูกหลอก สังคมได้รับความเสียหาย และ Google ก็ทำเงินได้มากจนรับแทบไม่ไหว ถือว่าเป็นดีลที่ค่อนข้างยุติธรรมหรือเปล่า...?
อย่างที่หลายคนพูดกัน การบล็อกโฆษณาบนอินเทอร์เน็ต เป็นส่วนหนึ่งของการใช้อินเทอร์เน็ตอย่างมีสุขภาวะและปลอดภัย
การมอดเดอเรตเป็นปัญหาที่แก้ยาก เราต้องการความสะดวกสำหรับสิ่งที่ถูกต้อง และต้องการการบล็อกที่เข้มงวดสำหรับสิ่งที่น่าสงสัยแม้เพียงเล็กน้อย สุดท้ายก็ต้องมีบางอย่างหลุดไปบ้าง
ประเด็นสำคัญตรงนี้คือ นี่เป็นกรณียกเว้นหรือเป็นปัญหาเด่นที่มีกรณีแบบนี้ได้รับอนุมัติจำนวนมากใน Google Ads กันแน่ แต่บทความไม่ได้ให้คำตอบ
หนึ่งปีก่อนก็มีปัญหาแบบเดียวกัน และดูเหมือนคำนำหน้าชื่อโดเมนก็เหมือนกัน
https://www.bleepingcomputer.com/news/security/google-ad-for...
ถ้าผมต้องผ่านขั้นตอนสารพัดเพราะ KYC (Know Your Customer) ก็อยากให้บริษัทต่าง ๆ ต้องทำแบบเดียวกันในกรณีแบบนี้ที่ทำให้ชีวิตลำบากด้วย
ไม่ว่าจะเป็นโฆษณาชวนเข้าใจผิด โทรศัพท์สแปม สินค้าปลอมในที่อย่าง Amazon ไปจนถึงอีเมล
ทุกอย่างเหมือนถูกสร้างมาให้มิจฉาชีพทุกคนบนโลกเข้าถึงผมได้ 100% แต่กลับไม่มีทางใดเลยที่จะเข้าถึงบริษัทที่ทำให้เรื่องแบบนี้เกิดขึ้นได้
นี่เป็นวิธีที่ค่อนข้างฉลาดเลย ถ้าเห็นลิงก์ในบริบทที่ไม่ใช่โฆษณา ผมเองก็อาจโดนหลอกได้
ปกติการแทนที่ด้วย Unicode มักจะมีตัวอักษรที่ดูแปลกไปแม้เพียงนิดเดียวจนพอฝึกสังเกตได้ แต่กรณีนี้ไม่ใช่แบบนั้น แม้มีลูกศรชี้อยู่ ผมก็ยังไม่เห็นจุดใต้
kและในสายตาผมมันดูเหมือนฝุ่นหรือคราบเล็ก ๆ บนจอบนหน้าจอมีอะไรแบบนั้นเยอะอยู่แล้ว และระบบการมองเห็นของเราก็เก่งในการมองข้ามสัญญาณรบกวนแบบนั้น
ไม่ใช่ฝุ่นที่เหมือนพิกเซลดำที่บังแสง แต่เป็นพิกเซลขาวที่ส่องแสง ไม่เคยคิดมาก่อนว่า dark mode จะเป็นเครื่องมือเพิ่มความปลอดภัยได้ :)
Punycode เองก็น่าสงสัยเรื่องจุดประสงค์ตั้งแต่แรก แม้นี่จะเป็นมุมมองจากผู้ใช้ตัวอักษรละตินเป็นหลัก แต่ตลอด 10 ปีที่ผ่านมา เว็บไซต์ในกลุ่มภาษาที่ไม่ใช่อักษรละตินหลายแห่งที่เคยดู ล้วนใช้โดเมน ASCII ปกติ
แม้แต่ชื่อผู้ใช้บนเว็บไซต์ที่อนุญาต Unicode ก็ยังเห็นว่าผู้ใช้ภาษาที่ไม่ใช่อักษรละตินส่วนใหญ่ใช้ชื่อผู้ใช้เป็นอักษรละติน
ที่จริงแล้วที่ใช้ Punycode กันแทบทั้งหมดคือโดเมนสแปม แม้แต่โดเมนในกลุ่มอักษรซีริลลิกหรือเอเชียส่วนใหญ่ก็ไม่ได้ใช้ Punycode
ผมเข้าใจแนวคิดของ Punycode และมันน่าประทับใจในเชิงเทคนิค แต่สำหรับโดเมนแล้วมันกลายเป็นปัญหา phishing ขนาดใหญ่
แม้ผมจะใช้ภาษายุโรปหลายภาษา ตัวอักษร Unicode ที่จำเป็นจริง ๆ ก็มีไม่ถึง 10 ตัว และจริง ๆ แล้วแต่ละตัวยังคงเป็นรหัส ISO 8859-15 แบบ 8 บิต ถึงจะบอกว่าจำเป็น แต่เว็บไซต์ส่วนใหญ่ก็ไม่ได้จดโดเมน Punycode ด้วยซ้ำ และใช้ชื่อเวอร์ชัน ASCII ที่ทำให้ชื่อเพี้ยนแทน
ในเชิงปฏิบัติ เบราว์เซอร์ควรถามผู้ใช้ตอนป้อน URL ที่มีอักขระที่ไม่ใช่ ASCII เป็นครั้งแรก ว่าจะอนุญาต URL ของภาษาใดภาษาหนึ่งหรือไม่ แค่อนุญาตหนึ่งหรือสองภาษาก็ลดพื้นผิวการโจมตีสำหรับผู้ใช้ส่วนใหญ่ได้มากแล้ว
เช่นตอนนี้ asahi.com ถูก 朝日 (หนังสือพิมพ์อาซาฮี) เอาไปแล้ว Asahi town (旭) จึงใช้ไม่ได้ แน่นอนว่าอาจใช้ asahi-town.co.jp ได้ แต่ก็ยังมีชื่อสถานที่ Asahi ในการเขียนแบบอื่นอีกมาก (旭日, 朝陽, 浅緋 ฯลฯ)
การบังคับให้ทั้งหมดนี้ใช้รูปแปลง ASCII แบบตามอำเภอใจนั้นไม่สมเหตุสมผล แค่ชื่อสถานที่ในญี่ปุ่นก็เป็นขนาดนี้แล้ว ยังมีปัญหาการทับซ้อนกันทั่วทั้งเขตวัฒนธรรมอักษรจีนอีก
การที่โดเมนแบบนี้ถูกจดจริงหรือไม่นั้นใกล้เคียงกับปัญหาไก่กับไข่ และพื้นที่ความชนกันข้างต้นก็ดูไม่น่าจะแก้ได้อย่างเรียบร้อยภายในตัวอักษร ASCII
โดเมน ASCII ของโลกตะวันตกที่เสี่ยงต่อการหลอกลวงเป็นปัญหาก็จริง แต่จะเผาบ้านทั้งหลังเพื่อกำจัดตัวเรือดก็คงไม่ได้
อย่างไรก็ตาม สำหรับโดเมนระดับบนสุดเฉพาะอย่าง
.рфผมไม่เห็นว่า Punycode เองเป็นปัญหา เช่นรูปแบบอย่าง кремль.рф ผมคิดว่าโอเคอาจพูดได้ว่าทุกอย่างที่เกิน ASCII นั้นน่าสงสัย แต่คนที่ภาษาแม่ไม่ใช่ภาษาอังกฤษก็จะคัดค้านเสมอ
วิธีหนึ่งในการลดโฆษณาอันตรายคือ ความโปร่งใส โฆษณาแต่ละชิ้นควรมีช่องทางติดต่อทางกฎหมายของผู้ลงโฆษณา คือชื่อบริษัทและประเทศ
อาจไม่ได้แก้ปัญหาได้ทั้งหมด แต่ผู้บริโภคจะหลีกเลี่ยงโฆษณาจากบริษัทในยุโรปตะวันออกที่ดูน่าสงสัยได้ นักวิจัยด้านความปลอดภัยก็จะติดตามผู้กระทำผิดได้ง่ายขึ้น และ Google ในฐานะแพลตฟอร์มโฆษณาก็จะมีความรับผิดชอบในระดับหนึ่ง
Facebook ทำแบบนี้กับโฆษณาการเมืองอยู่แล้ว แปลว่าทำได้
ตราบใดที่รัฐบาลไม่บังคับ หรือความเสี่ยงด้านความรับผิดทางกฎหมายยังไม่สูงเกินไป พวกเขาก็คงไม่ทำเองโดยสมัครใจ
นี่ออกจะเป็นการเกลียดกลัวคนต่างชาติหน่อย ๆ ไม่ใช่หรือ?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...