หากคุณเป็นเหมือนคนส่วนใหญ่ คุณต้องอาศัยการป้อนอัตโนมัติของเบราว์เซอร์เพื่อกรอกแบบฟอร์มเว็บที่น่ารำคาญ "ป้อนอัตโนมัติ" ของเบราว์เซอร์จะกรอกข้อมูลของคุณลงในช่องต่างๆ ในแบบฟอร์มบนเว็บโดยอัตโนมัติตามข้อมูลที่คุณเคยป้อนลงในช่องเหล่านี้
ข่าวร้ายก็คือบุคคลที่สามที่ประสงค์ร้ายและแฮกเกอร์หมวกดำสามารถใช้คุณสมบัติป้อนอัตโนมัตินี้ในเบราว์เซอร์เพื่อหลอกให้คุณให้ข้อมูลที่ละเอียดอ่อนของคุณ แฮ็กเกอร์หมวกขาวจากฟินแลนด์ Viljami Kuosmanen ซึ่งเป็นนักพัฒนาเว็บด้วย แสดงในการสาธิต GitHub ว่าผู้โจมตีสามารถจี้คุณลักษณะป้อนอัตโนมัติในปลั๊กอิน โปรแกรมจัดการรหัสผ่าน (และเครื่องมือดังกล่าว) และเบราว์เซอร์
ก่อนที่ Kuosmanen นักวิเคราะห์ด้านความปลอดภัยของ ElevenPaths อย่าง Ricardo Martin Rodriguez ได้ค้นพบช่องโหว่ในการป้อนข้อความอัตโนมัติของเบราว์เซอร์นี้ในปี 2013 จนถึงตอนนี้ Google ยังไม่พบวิธีแก้ปัญหาสำหรับช่องโหว่นี้
เผยแพร่ข้อมูลที่ละเอียดอ่อนของคุณโดยไม่รู้ตัว
บนเว็บไซต์สาธิตการพิสูจน์แนวคิดของ Kuosmanen คุณจะเห็นเว็บฟอร์มง่ายๆ ที่ประกอบด้วยสองฟิลด์เท่านั้น – ชื่อและที่อยู่อีเมล อย่างไรก็ตาม แบบฟอร์มมีฟิลด์ที่ซ่อนอยู่มากมาย (เช่น มองไม่เห็น) อยู่ที่นั่น ช่องที่ซ่อนอยู่เหล่านี้รวมถึงที่อยู่ องค์กร หมายเลขโทรศัพท์ เมือง รหัสไปรษณีย์ และประเทศ
ในแบบฟอร์มที่คล้ายกับด้านบน คุณจะเห็นเฉพาะฟิลด์ชื่อและอีเมล แต่คุณสมบัติป้อนอัตโนมัติของคุณจะกรอกรายละเอียดของคุณในฟิลด์ที่เหลือโดยอัตโนมัติ เว็บฟอร์มฟิชชิ่งแบบด้านบนจะรวบรวมข้อมูลมากกว่าที่คุณทราบเมื่อคุณคลิกปุ่มส่ง
ในการทดสอบเบราว์เซอร์และคุณลักษณะป้อนอัตโนมัติของส่วนขยาย คุณสามารถใช้ไซต์พิสูจน์แนวคิดที่ Kuosmanen ได้ตั้งค่าไว้ เมื่อส่งแบบฟอร์ม ฉันสังเกตเห็นว่าได้รับข้อมูลมากกว่าที่ฉันให้ไว้ ฉันใช้ Mozilla Firefox เวอร์ชันล่าสุดสำหรับการทดสอบนี้ และรู้สึกทึ่งกับข้อมูลที่ฉันได้รั่วไหลออกไป
ในการกรอกข้อมูลทางการเงินอัตโนมัติของ Chrome จะทริกเกอร์คำเตือนสำหรับเว็บไซต์ที่ไม่มี HTTPS จากประสบการณ์ของฉัน แบบฟอร์มของ Kuosmanen พยายามรวบรวมวันที่ที่ฉันกรอกแบบฟอร์ม ที่อยู่ของฉัน หมายเลขบัตรเครดิต CVV วันหมดอายุของบัตรเครดิต เมืองของฉัน ประเทศ อีเมล ชื่อ องค์กร โทรศัพท์ และรหัสไปรษณีย์ของฉัน
แบบฟอร์มพยายามรวบรวมข้อมูลเมตาบางประเภทในเบราว์เซอร์ของฉัน ที่อยู่ IP ปัจจุบันของฉัน และอื่นๆ ดูภาพหน้าจอของฉันด้านล่าง
Apple Safari, Google Chrome และ Opera ล้วนมีความเสี่ยงในระหว่างการทดสอบการโจมตี Kuosmanen
ในเดือนมกราคม 2017 Daniel Veditz วิศวกรด้านความปลอดภัยหลักของ Mozilla กล่าวว่าเบราว์เซอร์ Firefox ไม่สามารถถูกหลอกให้กรอกช่องข้อความโดยทางโปรแกรมได้ ผู้ใช้ Firefox จะปลอดภัยจากการโจมตีป้อนอัตโนมัติของเบราว์เซอร์ (อย่างน้อยก็ในตอนนี้) เนื่องจากเบราว์เซอร์ไม่มีระบบป้อนอัตโนมัติแบบหลายกล่อง เบราว์เซอร์ Firefox ของ Mozilla ทำให้ผู้ใช้จำเป็นต้องเลือกข้อมูลที่กรอกไว้ล่วงหน้าสำหรับแต่ละกล่องข้อความในเว็บฟอร์ม
สรุป:ปิดคุณลักษณะป้อนอัตโนมัติของเบราว์เซอร์
ข้อควรระวังที่ง่ายที่สุดในการป้องกันการโจมตีแบบฟิชชิ่งคือปิดฟีเจอร์ป้อนแบบฟอร์มอัตโนมัติในเบราว์เซอร์ การตั้งค่าส่วนขยาย หรือตัวจัดการรหัสผ่าน โดยค่าเริ่มต้น คุณลักษณะป้อนอัตโนมัติของเบราว์เซอร์จะเปิดอยู่
ในการปิดการป้อนอัตโนมัติใน Chrome:
1. ไปที่ "การตั้งค่า" ของเบราว์เซอร์
2. ค้นหา “การตั้งค่าขั้นสูง” ที่ด้านล่างของหน้า
3. ในพื้นที่ "รหัสผ่านและแบบฟอร์ม" ให้ยกเลิกการเลือก "เปิดใช้งานการป้อนอัตโนมัติ"
ในการปิดการป้อนอัตโนมัติใน Opera:
1. ไปที่การตั้งค่า
2. ไปที่ “ป้อนอัตโนมัติ” แล้วปิด
ในการปิดการป้อนอัตโนมัติใน Safari:
1. ไปที่ “การตั้งค่า”
2. คลิกที่ “ป้อนอัตโนมัติ” เพื่อปิด
หากคุณพบว่าโพสต์นี้มีประโยชน์ โปรดคลิก "ใช่" ด้านล่าง เรายินดีที่จะเห็นความคิดเห็นของคุณเช่นกัน
