Bitwarden โปรแกรมจัดการรหัสผ่าน ตกเป็นเป้าหมายของแคมเปญฟิชชิ่งผ่านโฆษณาของ Google

Bitwarden และผู้ให้บริการแอปพลิเคชันจัดการรหัสผ่านอื่น ๆ กำลังตกเป็นเป้าหมายในแคมเปญฟิชชิงผ่านโฆษณาของ Google เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน

เนื่องจากปัจจุบันองค์กรต่าง ๆ ต้องมีการใช้รหัสผ่านจำนวนมากบนระบบ จึงทำให้มีความจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่าน โดยนอกจาก KeePass ที่มีการเก็บข้อมูลแบบ Local แล้ว โปรแกรมจัดการรหัสผ่านส่วนใหญ่จะใช้ระบบคลาวด์ ซึ่งทำให้ผู้ใช้งานสามารถเข้าถึงรหัสผ่านผ่านเว็ปไซต์ และแอปพลิเคชันบนมือถือได้

รหัสผ่านเหล่านี้จะถูกจัดเก็บไว้ในระบบคลาวด์ในรูปแบบ "Password Vault" ซึ่งข้อมูลจะถูกเก็บไว้ในรูปแบบที่มีการเข้ารหัส ซึ่งโดยปกติแล้วจะใช้การเข้ารหัสโดยใช้ master passwords ของผู้ใช้งาน

ในวันอังคารที่ผ่านมา (24 ธ.ค. 2565) ผู้ใช้งาน Bitwarden เริ่มพบเห็นโฆษณาบน Google ในผลการค้นหา "bitwarden password manager" โดยโดเมนที่ใช้ในโฆษณาคือ 'appbitwarden.com' และเมื่อคลิกแล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้งานไปยังเว็ปไซต์ 'bitwardenlogin.com'

โดยหน้าเว็ปไซต์ 'bitwardenlogin.com' จะทำการเลียนแบบมาจากหน้าเว็ปไซต์ที่ถูกต้องของหน้าล็อกอิน Bitwarden Web Vault ดังภาพด้านล่าง

จากการทดสอบ หน้าฟิชชิ่งจะยอมรับข้อมูล credentials ทั้งหมด และเมื่อกดส่งข้อมูลไปแล้ว มันจะทำการเปลี่ยนเส้นทางผู้ใช้กลับไปยังหน้าเข้าสู่ระบบของ Bitwarden ที่ถูกต้องจริง ๆ

โดยการทดสอบดังกล่าวมีการใช้ข้อมูล credentials ปลอม ดังนั้นจึงทำให้ไม่สามารถตรวจสอบได้ว่าเพจฟิชชิ่งมีความพยายามขโมยคุกกี้เซสชั่น (authentication tokens) จาก MFA เช่นเดียวกับเพจฟิชชิ่งอื่น ๆ หรือไม่

โดยไม่ใช่แค่ Bitwarden เท่านั้นที่ตกเป็นเป้าหมายของหน้าฟิชชิงที่เป็นอันตรายในโฆษณาของ Google

MalwareHunterTeam นักวิจัยด้านความปลอดภัยยังพบโฆษณาของ Google ที่ปลอมเป็นโปรแกรมจัดการรหัสผ่านอย่าง 1Password อีกด้วย

การป้องกันรหัสผ่าน

  1. ควรตรวจสอบให้แน่ใจว่ากำลังกรอกข้อมูล credentials บนเว็ปไซต์ที่ถูกต้อง
  2. ในกรณีที่ป้อนข้อมูล credentials ไปแล้วบนเว็ปไซต์ฟิชชิ่ง ควรรีบเปิดตั้งค่า multi-factor

authentication และเปลี่ยนรหัสผ่านโดยเร็วที่สุด
โดยวิธีการเปิดใช้งาน MFA ที่ดีที่สุด ได้แก่ hardware security keys (ดีที่สุด แต่ยุ่งยากที่สุด) รองลงมาคือ authentication app (ใช้งานง่าย และสะดวก) และง่ายที่สุดคือ SMS verification (สามารถถูกแฮ็กได้ในการโจมตีแบบ sim swapping)

แต่ถึงแม้จะมีการเปิดการใช้งาน MFA แล้ว บัญชีก็ยังอาจเสี่ยงต่อการโจมตีจากฟิชชิ่งในรูปแบบ advanced adversary-in-the-middle (AiTM)

โดยการโจมตีจากฟิชชิ่งในรูปแบบ AiTM คือเมื่อผู้โจมตีใช้เครื่องมือเฉพาะทาง เช่น Evilginx2, Modlishka และ Muraena เพื่อสร้างหน้า Landing Page ฟิชชิ่ง ที่จะมีการสร้าง Reverse proxy ไปยังหน้าเว็ปไซต์ที่ถูกต้อง

โดยวิธีนี้เมื่อผู้ใช้งานป้อนข้อมูล credentials และ MFA ข้อมูลนี้จะถูกส่งต่อไปยังเว็ปไซต์จริงด้วย จากนั้นเมื่อผู้ใช้งานกำลังเข้าสู่ระบบ เว็บไซต์ที่ถูกต้องจะส่งคุกกี้เซสชันที่ผ่านการตรวจสอบ MFA เรียบร้อยกลับมาให้ ทำให้เว็ปไซต์ฟิชชิ่งลักษณะนี้สามารถขโมย token เพื่อนำไปใช้ในภายหลังได้

ที่มา : bleepingcomputer