วิธีทำให้เว็บไซต์ของคุณปลอดภัยจากการดักฟังและการจี้เบราว์เซอร์

คุณเปิดแท็บกี่ครั้งแล้วเพียงเพื่อออกจากแท็บนั้นเพียงไม่กี่นาที ชั่วโมง หรือแม้แต่ข้ามคืน เมื่อคุณกลับมาที่แท็บนั้น การต้องเข้าสู่ระบบอีกครั้งไม่ใช่เรื่องที่ไม่คาดคิด ท้ายที่สุดแล้ว ใครบ้างที่ติดตามกำหนดการรีเฟรชของแต่ละหน้าและตัวจับเวลาการออกจากระบบ ไม่ใช่เรา! พฤติกรรมประเภทนี้ทำให้หน้าเว็บเสี่ยงต่อการถูกแท็บ - และการโจมตีทางไซเบอร์ประเภทนี้จะโจมตีผู้ใช้ไซต์ที่จัดการกับข้อมูลส่วนตัว เช่น ผู้ให้บริการอีเมลและพอร์ทัลโซเชียลมีเดีย Tabnapping อาศัยความไว้วางใจของผู้ใช้ในเว็บไซต์ที่พวกเขาคุ้นเคย ควบคู่ไปกับความไม่ใส่ใจในรายละเอียด โดยเฉพาะอย่างยิ่งเมื่อพูดถึงแท็บที่พวกเขาเปิด

หมายเหตุ: บางครั้งคุณจะเห็น “tabna pp ing” เขียนเป็น “tabna bb ing” คำว่า "tabnapping" คือการรวมกันของ "tab" และ "การลักพาตัว" มันหมายถึงเหตุผลที่ "แท็บ" เป็นการรวมกันของ "แท็บ" และ "จับ" ไม่ว่าจะด้วยวิธีใด ทั้งคู่อ้างถึงรูปแบบเดียวกัน และในกรณีของเรา เราจะใช้เวอร์ชัน "tabna pp ing"

Tabnapping คืออะไร?

Tabnapping เป็นการโจมตีแบบเจาะจงและการโจมตีแบบฟิชชิ่ง ผู้โจมตีจะสร้างเว็บไซต์ที่แอบอ้างเป็นเว็บไซต์ยอดนิยมโดยใช้แท็บแนป จากนั้นแฮ็กเกอร์จะชักชวนให้ผู้ใช้ส่งข้อมูลการเข้าสู่ระบบรวมถึงรหัสผ่านไปยังไซต์ปลอม บ่อยครั้งที่เว็บไซต์ปลอมดูเหมือนกับเว็บไซต์จริงที่ผู้ใช้เคยเห็นว่าพวกเขาไม่สังเกตเห็นความแตกต่าง ผู้ใช้คิดว่าเว็บไซต์เป็นของแท้และไม่ลังเลที่จะป้อนข้อมูลการเข้าสู่ระบบอย่างที่เคยเป็นมา

สิ่งที่แยกแท็บออกจากการโจมตีแบบฟิชชิ่งประเภทอื่นๆ (เช่น การคลิกลิงก์ที่ปลอมแปลงในอีเมล) ก็คือ ผู้ใช้มักไม่ทราบว่าแท็บนั้นเป็นของปลอม หน้าเข้าสู่ระบบปลอมจะโหลดขึ้นในแท็บที่ เปิดอยู่ในเบราว์เซอร์เป็นเวลานาน คนส่วนใหญ่ไม่คิดว่าแท็บที่พวกเขาเปิดเองถูกยึดครอง

การโจมตีแบบ Tabnapping จะประสบความสำเร็จเป็นพิเศษเมื่อผู้โจมตีสามารถเห็นเว็บไซต์ที่ผู้ใช้โหลดบ่อย พวกเขาสามารถจำลองไซต์ที่ผู้ใช้เข้าสู่ระบบเป็นประจำได้

สมมติว่าคุณเข้าสู่เว็บไซต์ของธนาคารโดยมีวัตถุประสงค์เพื่อเข้าสู่ระบบ คุณตรงไปที่หน้าเข้าสู่ระบบโดยพิมพ์ URL ด้วยตนเอง แต่แล้วคุณก็จมอยู่กับการทำอย่างอื่นในแท็บหรือหน้าต่างอื่น หลังจากผ่านไปหนึ่งชั่วโมง คุณคลิกกลับเข้าไปในแท็บธนาคาร เนื่องจากคุณพร้อมที่จะเข้าสู่ระบบเพื่อตรวจสอบบัญชีของคุณ

ในกรณีของการโจมตีแท็บแนป เมื่อถึงจุดนั้น เบราว์เซอร์ได้นำทางไปยังหน้าที่แอบอ้างเป็นเพจของธนาคาร แต่คุณจะเห็นหน้าที่ดูเหมือนหน้าธนาคารที่คุณเคยไปเป็นร้อยครั้งและเปิดก่อนหน้านี้ในวันนั้น

แท็บแนปทำงานอย่างไร

ในเบราว์เซอร์ ลิงก์ภายนอกสามารถเปิดในแท็บหรือหน้าต่างใหม่ได้ หากองค์ประกอบ HTML HREF ระบุแอตทริบิวต์ target=_blank น่าเสียดายที่สิ่งนี้ทำให้ผู้ใช้เสี่ยงต่อการโจมตีแบบแท็บ บางครั้งการแท็บแท็บถือเป็นข้อบกพร่องในการออกแบบในบางเบราว์เซอร์ อย่างไรก็ตาม แม้ว่าเบราว์เซอร์จะไม่เสี่ยงต่อการถูกแฮ็กและจัดการโดยเจตนา แต่การออกแบบที่ช่วยให้แท็บแนปนั้นมีจุดประสงค์

หลังจากโหลดหน้าและเปิดแท็บมาเป็นเวลานาน เบราว์เซอร์สามารถนำทางข้ามที่มาของหน้าในแท็บที่ไม่ได้ใช้งานเหล่านั้น ยังไง? เกี่ยวข้องกับนโยบายต้นกำเนิดเดียวกัน ซึ่งเป็นแนวคิดด้านความปลอดภัยออนไลน์ นี่คือเวลาที่เบราว์เซอร์อนุญาตให้สคริปต์สำหรับหน้าเว็บหนึ่งสามารถเข้าถึงข้อมูลจากหน้าเว็บอื่นได้ หากหน้าเว็บทั้งสองมีที่มาเดียวกัน (ชื่อโฮสต์ หมายเลขพอร์ต และรูปแบบ URI) วัตถุประสงค์ของนโยบายคือการ ป้องกัน กิจกรรมที่เป็นอันตราย หากมีสคริปต์ที่เป็นอันตรายในหน้าแรก สคริปต์นั้นจะไม่รับข้อมูลที่ละเอียดอ่อนจากหน้าเว็บอื่น อย่างไรก็ตาม มาตรการรักษาความปลอดภัยนี้ก็ทำให้การแท็บแท็บเป็นไปได้เช่นกัน

ระหว่างการโจมตี ผู้โจมตีจะส่งหน้าเว็บที่มีแอตทริบิวต์ target=_blank และฝังลิงก์ที่เป็นอันตรายในนั้น ผู้ใช้คลิกลิงก์ที่เป็นอันตรายซึ่งเปิดแท็บใหม่ จากนั้นแฮกเกอร์จะเปลี่ยนแท็บแรกเป็นหน้าฟิชชิ่งปลอม สิ่งนี้หลอกให้ผู้ใช้คิดว่าตนเองออกจากระบบบัญชีและต้องเข้าสู่ระบบใหม่อีกครั้ง

วิธีที่เจ้าของเว็บไซต์สามารถป้องกัน Tabnapping ด้วย rel=”noopener” Attribute

เบราว์เซอร์บางตัวมีส่วนขยายหรือมาตรการรักษาความปลอดภัยอื่นๆ ที่ป้องกันการโจมตีแท็บแนป อย่างไรก็ตาม ไม่ใช่ทุกเบราว์เซอร์ที่อนุญาตให้ปิดใช้งานการเปลี่ยนเส้นทางแท็บที่ไม่ใช้งาน เนื่องจากมีบางกรณีที่เบราว์เซอร์นั้นถูกต้อง และเนื่องจากแท็บแนปนั้นไม่ธรรมดามาก (แต่ยังคงมีความสำคัญเพียงพอสำหรับมาตรการป้องกัน) ผู้จำหน่ายเบราว์เซอร์เหล่านั้นจึงไม่ต้องการเสี่ยงที่จะทำลายแอปพลิเคชันของตนเพื่อประโยชน์ในการปรับปรุงความปลอดภัย นั่นหมายความว่าเบราว์เซอร์บางตัวอาจไม่มีวิธีแก้ปัญหาหรือโปรแกรมแก้ไขเพื่อป้องกันการแท็บ อย่างไรก็ตาม ยังมีขั้นตอนที่คุณสามารถทำได้เพื่อป้องกันการโจมตีผู้อ่านประเภทนี้

เพื่อป้องกัน tabnapping ในเว็บไซต์ของคุณ ให้เพิ่ม แอตทริบิวต์ rel=”noopener” ไปยังลิงก์ใดๆ ที่ตั้งค่าให้เปิดในแท็บหรือหน้าต่างใหม่ WordPress จะเพิ่มแอตทริบิวต์นี้ให้คุณโดยอัตโนมัติเมื่อคุณเพิ่มลิงก์แล้วเลือก เปิดในแท็บใหม่

อย่างไรก็ตาม เนื่องจาก rel=”noopener” ใช้งานไม่ได้บน Firefox และเบราว์เซอร์รุ่นเก่าบางรุ่น คุณจึงควรเพิ่มแอตทริบิวต์อื่น: rel=”noreferrer” ซึ่ง WordPress จะเพิ่มลิงก์ในแท็บใหม่หากคุณทันสมัย

ไม่ว่าคุณจะใช้ WordPress หรือไม่ ลิงก์ของคุณควรมีลักษณะเช่นนี้เพื่อป้องกันการแท็บ:

วิธีที่ผู้ใช้สามารถรักษาตัวเองให้ปลอดภัยจากการดักฟัง

เบราว์เซอร์หลักๆ มักจะมีตัวกรองบางประเภทเพื่อกำจัดไซต์ที่เป็นอันตราย เช่นเดียวกับไซต์ที่ถูกกฎหมายที่มีการติดไวรัส ตราบใดที่บัญชีดำของไซต์เหล่านั้นเป็นปัจจุบัน การโจมตีแบบแท็บมักจะถูกบล็อก หากคุณเคยเห็นการแจ้งเตือนว่าไซต์ที่คุณกำลังพยายามเข้าชมนั้นถูกบุกรุก โปรดปฏิบัติตามคำเตือนนั้น มันไม่ใช่เรื่องตลก

ผู้ใช้ควรตรวจสอบ URL เสมอก่อนที่จะป้อนข้อมูลการเข้าสู่ระบบ โดยเฉพาะอย่างยิ่งหากมีแท็บที่เปิดอยู่เป็นเวลานาน ไม่น่าเป็นไปได้ที่ผู้โจมตีจะสามารถปลอม URL ของเว็บไซต์ที่ถูกกฎหมายได้ เพื่อให้สามารถแจกของฟรีได้ว่าเป็นของปลอม ปิดแท็บทันทีหาก ​​URL ส่งแฟล็กสีแดง ห้ามพิมพ์ คลิก หรือโต้ตอบ เพียงแค่ปิดมัน

ผู้จัดการรหัสผ่านก็มีประโยชน์เช่นกัน หากข้อมูลรับรองการเข้าสู่ระบบของคุณเชื่อมโยงกับเว็บไซต์ที่ถูกต้อง ข้อมูลดังกล่าวควรแสดงเมื่อคุณอยู่ในเว็บไซต์จริงเท่านั้น ไม่ใช่เมื่อคุณอยู่ในเว็บไซต์ปลอมที่มีลักษณะคล้ายกัน ผู้จัดการรหัสผ่านประสานงานกับ URL ไม่ใช่ชื่อธุรกิจ หากคุณไม่เห็นป๊อปอัปข้อมูลรับรองการเข้าสู่ระบบ ให้ปิดแท็บแล้วเริ่มใหม่

ภัยคุกคามจากการจี้เบราว์เซอร์ประเภทอื่นๆ

Tabnapping ไม่ใช่ภัยคุกคามการจี้เบราว์เซอร์ประเภทเดียวที่ควรทราบ ผู้โจมตีทางอินเทอร์เน็ตมีหลายวิธีในการรับคลิกและขโมยข้อมูลของคุณ โดยทั่วไป การจี้เบราว์เซอร์เป็นซอฟต์แวร์ที่เปลี่ยนแปลงลักษณะการทำงานหรือลักษณะที่ปรากฏของเบราว์เซอร์ และอาจเปลี่ยนแปลงการตั้งค่าด้วย ทั้งหมดนี้เกิดขึ้นโดยปราศจากความยินยอมของคุณแน่นอน

เป็นผลให้แฮ็กเกอร์สามารถรับรายได้ รวบรวมข้อมูลของคุณและบันทึกการกดแป้นพิมพ์ของคุณ ในที่สุด พวกเขาสามารถขโมยข้อมูลระบุตัวตนของคุณได้หากพวกเขารวบรวมข้อมูลเพียงพอเพื่อสร้างโปรไฟล์ที่สมบูรณ์ของคุณ ประเภทของการจี้เบราว์เซอร์รวมถึง:

• แอดแวร์ที่ทำให้เบราว์เซอร์ของคุณท่วมท้นด้วยโฆษณาป๊อปอัปที่จ่ายต่อคลิก การโจมตีประเภทนี้มักจะทำให้คอมพิวเตอร์ของคุณช้าลงเนื่องจากใช้ทรัพยากรจำนวนมาก
• การติดตามคุกกี้เพื่อติดตามสิ่งที่คุณทำทางออนไลน์ ผู้ไม่หวังดีสามารถค้นพบทุกสิ่ง ตั้งแต่ตำแหน่งและที่อยู่ IP ของคุณ ไปจนถึงหน้าที่คุณดูและสิ่งที่คุณค้นหา
• การเปลี่ยนเส้นทางไปยังหน้าเว็บหรือเครื่องมือค้นหาที่เป็นอันตราย หรือการแทนที่หน้าแรกหรือเครื่องมือค้นหาเริ่มต้นของคุณ
• สปายแวร์ที่รวบรวมข้อมูลส่วนตัวของคุณ ซึ่งจะถูกซื้อขายในตลาดข้อมูล (ซึ่งมักจะจบลงด้วยการขโมยข้อมูลประจำตัว)

เพื่อป้องกันตัวเอง ให้ระวังสถานะของเบราว์เซอร์ของคุณและระวังสัญญาณปากโป้งของการแฮ็ก เช่นเดียวกับที่อธิบายไว้ข้างต้น คอยดูส่วนเสริม ส่วนขยาย และปลั๊กอินของเบราว์เซอร์ด้วย หากมีสิ่งผิดปกติหลังจากติดตั้งซอฟต์แวร์ ให้ลบออกทันที คุณควรรักษาเบราว์เซอร์ของคุณให้สะอาดด้วยการล้างและล้างแคชเป็นประจำ และแน่นอน ใช้ซอฟต์แวร์ป้องกันไวรัสเป็นประจำ และหลีกเลี่ยงการใช้ Wi-Fi สาธารณะและ/หรือที่ไม่ปลอดภัยทุกครั้งที่ทำได้

ห่อ

สรุป การโจมตีด้วยการแท็บทำให้ผู้ใช้คิดว่าพวกเขาเปิดแท็บเองและไซต์เพิ่งหมดเวลา หน้าเดิมจะเชื่อมโยงไปยังหน้าที่สอง และหน้าที่สองสามารถเขียนหน้าเดิมใหม่และแทนที่ด้วยเว็บไซต์ฟิชชิ่ง เนื่องจากผู้ใช้เริ่มต้นจากหน้าที่ถูกต้อง จึงไม่น่าเป็นไปได้ที่พวกเขาจะสังเกตเห็นว่าเป็นหน้าแทนที่ การออกแบบหน้าดูเหมือนต้นฉบับ เมื่อผู้ใช้ลงชื่อเข้าใช้หน้า "เดิม" ข้อมูลประจำตัวจะถูกส่งไปยังที่อื่นโดยสิ้นเชิง

เพื่อป้องกันตัวเองให้ปลอดภัยจากการถูกแท็บมากที่สุด อย่าเข้าสู่ระบบในแท็บที่คุณไม่ได้เปิดเอง และถึงแม้คุณคิดว่าคุณเปิดแท็บแล้ว หากคุณกลับมาที่หน้าเข้าสู่ระบบหลังจากที่ไม่ได้ใช้งานมาระยะหนึ่งแล้ว ให้ปิดแท็บนั้นเพื่อความปลอดภัย แล้วกลับไปที่เว็บไซต์เพื่อเปิดแท็บใหม่ ตรวจสอบ URL เสมอด้วย เมื่อพูดถึงภัยคุกคามจากการจี้เบราว์เซอร์อื่นๆ ให้ปฏิบัติตามหลักสุขอนามัยของเบราว์เซอร์ที่ดี — จำกัดและใส่ใจกับซอฟต์แวร์ที่คุณใช้ ล้างแคชของเบราว์เซอร์เป็นประจำ และลงทุนในซอฟต์แวร์ป้องกันไวรัสที่มีคุณภาพ

คุณอาจต้องการอ่านบทความเกี่ยวกับการจี้คุกกี้ของเราและวิธีป้องกัน

คุณเคยแท็บเบราว์เซอร์ของคุณหรือไม่? บอกเราเกี่ยวกับเรื่องนี้ในความคิดเห็น!

ภาพเด่นโดย Legend_art / Shutterstock.com