การโจมตีธนาคารด้วยการปลอมโดเมนเพื่อหลอกให้ลูกค้าใส่รหัสผ่านคงเป็นเรื่องที่เราพบเจอกันเรื่อยๆ ที่งาน Kaspersky Security Summit ทาง Kaspersky ก็รายงานถึงธนาคารแห่งหนึ่งในบราซิลที่ถูกขโมยโดเมนจริงของธนาคารไปถึง 5 ชั่วโมง ในช่วงวันที่ 22 ตุลาคมปีที่แล้ว

รายงานไม่ระบุชื่อธนาคารแต่ระบุว่าเป็นธนาคารขนาดใหญ่ มีทรัพย์สินรวม 25,000 ล้านดอลลาร์สหรัฐฯ, ลูกค้ากว่า 5 ล้านคน, และจำนวนสาขา 500 สาขา

คนร้ายสามารถยึดบัญชีจัดการโดเมนจากผู้ให้บริการจดทะเบียนโดเมนได้สำเร็จ และแก้ไขข้อมูลโดเมน 36 รายการกลายเป็นเครื่องของคนร้ายเอง ออกใบรับรองเข้ารหัส หน้าเว็บของธนาคารระหว่างคนที่คนร้ายยึดโดเมนไว้ได้จะหลอกล่อให้ผู้ใช้ติดตั้งมัลแวร์เพื่อขโมยข้อมูลจากธนาคารอื่นๆ ต่อไป พร้อมกับดึงข้อมูลล็อกอินไปยังเซิร์ฟเวอร์ในแคนาดา

ยังไม่ชัดว่าคนร้ายยึดโดเมนไปได้อย่างไร ความเป็นไปได้หนึ่งคือตัวบริษัทจดทะเบียนโดเมนเคยมีช่องโหว่ cross site request forgery มาก่อนและเพิ่งแก้ไขไปเมื่อเดือนมกราคมที่ผ่านมา รายงานของ Kaspersky ระบุว่าคนร้ายเข้าถึงบัญชีโดเมนได้และเตรียมการโจมตีเป็นเวลาห้าเดือนก่อนลงมือจริง

ตอนนี้ CA Browser Forum กำลังพูดคุยกันว่าจะมีทางช่วยป้องกันการโจมตีเช่นนี้อย่างไรได้บ้าง แม้ว่าตอนนี้จะมีช่องทาง ทำ certificate pinning แล้วก็ตาม แต่องค์กรส่วนมากก็ไม่กล้าใช้งานเพราะหากทำผิดพลาดจะมีโอกาสที่ลูกค้าเข้าใช้งานไม่ได้เป็นเวลานาน

ที่มา - Dark Reading, CA/Browser Forum