แฮกเกอร์พาเราเข้าเว็บปลอม ด้วย DNS Hijacking ได้อย่างไร

15 สิงหาคม 2019

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

DNS คืออะไร สำหรับผู้อ่านบางท่านอาจจะไม่ได้สนใจกับความหมายของมันมากนัก แต่ถ้าบอกว่า ทุกครั้งที่เราเข้าเว็บไซต์หน้าใดหน้าหนึ่ง จะเป็นการส่งข้อมูลไปยัง DNS Server ทันที ก็จะพอเข้าใจความสำคัญของมันได้ เพราะหน้าที่หลักสำคัญของ DNS Server ก็คือการแปลงชื่อเว็บไซต์เป็น IP เพื่อเข้าไปถึง Server ที่อยู่ของหน้าเว็บไซต์นั้น ๆ แล้วถ้า DNS พาเราเข้าไปเว็บไซต์ปลอมของแฮกเกอร์แทนเว็บไซต์ของจริงจะเกิดอะไรขึ้น เราอาจจะกรอกข้อมูลที่มีความสำคัญเช่น รหัสผ่าน ส่งไปยัง Server ของแฮกเกอร์ก็เป็นไปได้

โดยผู้ใช้ที่ตกเป็นเหยื่อมักโดนหลอกลวงผ่านทางหน้าเว็บปลอม ต่าง ๆ เช่น Gmail, Netflix, PayPal ฯลฯ หากผู้ใช้งานเผลอกรอกข้อมูลส่วนตัวหรือเข้าสู่ระบบ ก็อาจถูกสวมรอยบัญชีหรือขโมยข้อมูลสำคัญ เช่น บัตรเครดิต หรือเลขบัญชีธนาคารได้ ถึงแม้ผู้ใช้งานจะพิมพ์ URL เว็บไซต์ดังกล่าวโดยตรงและถูกต้องแล้วก็ตาม

ประเภทของภัย DNS Hijacking ที่มักพบหลัก ๆ 4 ประเภทดังนี้

1. การแฮกที่ Router

เมื่อหากซื้อ Router ตัวใหม่มักจะถูกตั้งค่า ชื่อผู้ใช้งาน/รหัสผ่าน แบบ Default เป็นค่าเริ่มต้นจากโรงงาน เช่น ( Admin / 1234 ) ซึ่งผู้ใช้งานทั่วไปลืมหรือไม่ได้เปลี่ยนรหัสผ่าน อาจกลายเป็นช่องโหว่ที่แฮกเกอร์สามารถแฮกเข้าสู่ Router ได้โดยใช้รหัสผ่านที่เป็นค่าเริ่มต้น เพื่อเข้าไปปรับตั้งค่าชี้ DNS ไปยัง DNS Server ของ แฮกเกอร์ได้ หรือในบางครั้ง Router อาจมีช่องโหว่จนทำให้โดนแฮกเพื่อเปลี่ยน DNS ได้เช่นกัน

2. การแฮกเครื่องคอมฯ

แฮกเกอร์จะแอบติดตั้ง Trojan เครื่องคอมฯ เพื่อเปลี่ยนแปลงค่า DNS ในเครื่องเหยื่อ เมื่อเข้าใช้งานจะเปลี่ยนจุดหมายปลายทางไปยังเว็บไซต์ปลอมที่สร้างเหมือนเว็บจริงโดยที่เหยื่อไม่ทันสังเกต

3. การแฮก DNS Server

แฮกเกอร์ลอบเจาะ DNS Server ของ ISPs จากนั้นเปลี่ยนแปลงข้อมูล DNS โดยใช้หลักการเดียวกันกับข้อ 2 เมื่อเปลี่ยนข้อมูล DNS ผู้ใช้งานจะถูกเปลี่ยนจุดหมายปลายทางไปยังเว็บไซต์ที่เป็นอันตรายโดยทันทีหากไม่สังเกตอาจเสี่ยงหลุดข้อมูลสำคัญได้

4. การถูกแอบดักบัญชีผู้ใช้และรหัสผ่าน

วิธีการนี้เรียกว่า Man in the middle (MiTM) โดยแฮกเกอร์จะดักจับข้อมูลระหว่างผู้ใช้และ DNS Server จากนั้นทำการเปลี่ยน IP Address ปลายทางไปยังเว็บไซต์ปลอมของแฮกเกอร์ อาจทำให้ถูกสวมรอยบัญชีและขโมยข้อมูลสำคัญได้เช่นเดียวกัน

วิธีป้องกัน DNS Hijacking

  1. ติดตั้งซอฟต์แวร์ความปลอดภัยและโปรแกรมป้องกันไวรัสที่น่าเชื่อถือและหมั่น Update ซอฟต์แวร์อย่างสม่ำเสมอ
  2. แนะนำให้ใช้ Public DNS Server เช่น Google DNS Server หรือ Cloudflare รวมทั้ง APNIC DNS Server
  3. หมั่นตรวจสอบเสมอว่าค่า DNS มีการแก้ไขหรือไม่
  4. อย่าลืมรีเซ็ตรหัสผ่านจากค่าเริ่มต้นของ Router เป็นรหัสที่ตั้งใหม่ทันทีที่ติดตั้ง รวมถึง Update เฟิร์มแวร์หรือลง Patch เพื่ออุดช่องโหว่ทั้งหมดที่มีอยู่ใน Router
  5. เปิดการรับรองการใช้งานแบบสองปัจจัย (2FA) หากใช้งานในเว็บของบริษัทที่รับจดทะเบียนโดเมน
  6. หลีกเลี่ยงพฤติกรรมเสี่ยงต่าง ๆ เช่น การเข้าเว็บไซต์แปลก ๆ และการดาวน์โหลดของซอฟท์แวร์ฟรีต่าง ๆ
  7. ตรวจสอบ URL ของเว็บไซต์ทุกครั้งเพื่อให้แน่ใจว่าไม่ใช่เว็บไซต์ Phishing หากสังเกตว่าลิงก์ URL แปลก ๆ ให้ปิดเบราว์เซอร์ทันทีและตรวจสอบการตั้งค่า DNS เพื่อหาช่องโหว่ สังเกตง่าย ๆ URL ของเว็บไซต์ Phishing มักจะไม่นำหน้าด้วย https:// เนื่องจากไม่มีใบรับรอง SSL (Secure Sockets Layer)
  8. หลีกเลี่ยง Wi-Fi สาธารณะเมื่อต้องการเข้าสู่เว็บไซต์ที่จำเป็นต้องกรอกข้อมูลการล็อคอิน หรือข้อมูลส่วนตัวที่สำคัญ
  9. ใช้บริการ VPN (Virtual Private Network) ซึ่งวิธีนี้นอกจากเป็นการป้องกันความเป็นส่วนตัวที่มีประสิทธิภาพสูง ยังช่วยป้องกัน DNS Hijacking ได้อีกทางหนึ่งด้วย

อ้างอิงที่มา:

https://cyware.com/news/dns-hijacking-attack-what-is-it-and-how-to-avoid-such-attacks-b46b0503
https://www.vpnmentor.com/blog/what-is-dns-hijacking-and-how-to-stop-it/
https://privacysniffs.com/blog/what-is-dns-hijacking-and-how-to-avoid-it/

บทความที่เกี่ยวข้อง