เหมือนจริงเกิน! ภัยใหม่หลอกกรอกรหัสให้แฮ็กเกอร์โดยไม่รู้ตัว

เคยอยู่ดีๆ ก็มีเด้งหน้าต่างให้ “ล็อกอินด้วย Google / Facebook / Microsoft” ตอนกดเข้าเว็บหรือกดแชร์อะไรบางอย่างไหม ซึ่งก็ต้องกรอกรหัสเพื่อใช้งานต่อได้อย่างต่อเนื่อง แต่ต่อไปจะกรอกอะไรพวกนี้เราก็ต้องเช็กให้ละเอียดขึ้นกว่าเดิม

เพราะตอนนี้แฮ็กเกอร์สามารถสร้างหน้าต่างล็อกอินปลอมที่เนียนเหมือนของจริงได้แล้ว แบบที่ดูไม่ออกด้วยซ้ำว่าเป็นของปลอม นี่คือภัยที่ชื่อว่า Browser-in-the-Browser (BitB)  และมันกำลังกลายเป็นหนึ่งในการโจมตีที่โตเร็วที่สุดในโลกไซเบอร์ เพราะมันไม่ต้องแฮกอะไรเลย แค่รอให้เรา “ยอมส่งรหัสให้เอง” แบบเต็มใจ

BitB ทำงานง่าย แต่อันตรายมาก

แฮ็กเกอร์จะสร้างหน้าต่างล็อกอินเหมือนเว็บจริงทั้งหมด ไม่ว่าจะโลโก้ ช่องกรอกอีเมล แถบ https:// หรือปุ่ม Continue ซึ่งทุกอย่างปลอมหมด เป็นแค่ HTML/CSS ที่ถูกออกแบบให้เหมือนหน้าต่างเบราว์เซอร์ พอเรากรอกข้อมูลและรหัส 2FA (การยืนยันตัวตนแบบสองขั้นตอน) จะถูกส่งไปให้แฮ็กเกอร์ทันที

ซึ่งเกิดขึ้นจริงแล้ว เมื่อทีมวิจัยของ Silent Push พบว่ามีการ phishing ที่เล็งไปที่ผู้เล่น Counter-Strike 2 บน Steam โดยแฮ็กเกอร์สร้างหน้าต่างล็อกอินปลอมให้เหมือน Steam เป๊ะๆ และใช้ชื่อทีม eSports ดัง อย่าง Navi เป็นเหยื่อล่อเพื่อหลอกให้ผู้เล่นกรอกบัญชี พอกรอกเสร็จ ข้อมูลบัญชีจะถูกขโมยไป และอาจถูกขายต่อบนตลาดออนไลน์

นี่ไม่ใช่เรื่องไกลตัว เพราะในปีที่ผ่านมา มีเหตุการณ์ phishing ผ่านเบราว์เซอร์มากถึง 752,000 ครั้ง เพิ่มขึ้น 140% เมื่อเทียบกับปีก่อนหน้า นอกจากนี้ “zero‑hour phishing” หรือการโจมตีแบบใหม่ที่ระบบยังตรวจจับไม่ได้ ก็เพิ่มขึ้นถึง 130% ซึ่งกว่า 51% ของการโจมตีแบบนี้ ใช้เทคนิคแอบอ้างแบรนด์ อย่าง Microsoft, Facebook หรือ Netflix เพื่อหลอกให้คนกรอกข้อมูล

และนี่แหละคือจุดอันตรายของ BitB มันใช้ “ความคุ้นเคยของคนเป็นอาวุธ” เพราะเราจะต้องเจอ ป๊อปอัปล็อกอินแบบนี้ทุกวัน ไม่ว่าจะสมัครสมาชิกเว็บ กดเชื่อมบัญชีเกม หรือใช้ Social Login เข้าแอปต่าง ๆ จนสมองเราคิดว่า “เห็นแบบนี้เท่ากับเชื่อได้”

อ่านมาถึงตรงนี้หลายคนอาจจะกลัวป๊อปอัปล็อกอินทุกอันไปเลย แต่ไม่ต้องตกใจไป สิ่งสำคัญคือ การระวังและสร้างนิสัยเช็กความปลอดภัยเสมอ อย่ากดลิงก์มั่วซั่ว ไม่ว่าจะเป็นอีเมล, SMS หรือข้อความแปลก ๆ ที่ส่งมา แม้จะมาจากเพื่อนหรือคนรู้จักก็เถอะ เพราะแฮกเกอร์สามารถปลอมลิงก์ให้เหมือนของจริงได้

ก่อนกรอกข้อมูลอะไรในหน้าต่างป๊อปอัป ให้ลองขยับหน้าต่างดู ถ้าขยับได้แค่ในหน้าเว็บ แต่ลากออกนอกเบราว์เซอร์ไม่ได้ แปลว่านี่คือของปลอมแน่นอน และอย่าติดตั้งส่วนขยายเบราว์เซอร์ที่ไม่จำเป็น ตรวจสอบให้ชัวร์ว่า ผู้พัฒนาเชื่อถือได้ ก่อนติดตั้งทุกครั้ง เพราะบางครั้งส่วนขยายปลอมก็ถูกใช้เป็นช่องทางแฮ็กได้