25 พ.ค. 2023 เวลา 16:24 • วิทยาศาสตร์ & เทคโนโลยี

ความซับซ้อนของแก๊งค์ SMS ตอนที่ 3: CDN

ในตอนที่แล้ว เล่าให้ฟังว่าคนร้ายไปจด Domain Name เพื่อ Map จากชื่อเว็บไปเป็น IP Address แล้ว คราวนี้มาต่อกันว่า คนร้ายโฮสต์ข้อมูลอย่างไร
หากคนร้ายตั้งเว็บไซต์ขึ้นมา แล้วไปโฮสต์อยู่กับที่ไหนที่หนึ่งจะทำให้ถูกปิดได้ง่าย ผ่านหลายช่องทางที่ตำรวจ และรัฐมีความสามารถทำได้ เช่น การบล็อก IP Address หรือการประสานงานกับบริษัทที่โฮสต์เว็บ เพื่อเอาเว็บลง และยังเสี่ยงที่จะถูกเปิดเผยข้อมูลของคนร้ายอีกด้วย
คนร้ายจึงเลือกใช้บริการ CDN ในที่นี้คนร้ายเลือกใช้บริการของ cloudflare CDN เจ้าใหญ่รายหนี่ง
CDN หรือ Content Delivery Network เป็นบริการที่ช่วยให้เจ้าของเว็บให้บริการเว็บได้รวดเร็ว โดยผ่านเครือข่ายของ CDN ในการ Cache ข้อมูล และให้บริการจากจุดที่ใกล้ผู้ใช้มากที่สุด
CDN ใช้ IP Address เพียงไม่กี่ชุด ให้บริการกับเว็บไซต์จำนวนมาก ดังนั้นการบล็อก IP Address จึงทำไม่ได้ เพราะส่งผลกระทบกับเว็ปอื่นตามไปด้วย คนร้ายจึงแค่ใช้บริการ CDN ก็หลบการทำงานของเจ้าหน้าที่ได้จุดหนึ่งแล้ว
นอกจากนั้น อีกกลไกที่จำเป็นคือใบรับรองอิเล็กทรอนิกส์ หรือ ssl certificate ซึ่งจำเป็นต้องใช้ในการติดต่อหาเว็บผ่าน https protocol ซึ่งจำเป็นต้องไปจดทะเบียน คนร้ายก็อาศัยไปจดใบรับรองฟรีผ่าน Let’s encrypt และเอาใบรับรองมาผูกไว้กับ CDN ก็ได้แล้ว
เวลาที่เหยื่อมากด link ใน SMS โทรศัพท์ของเหยื่อก็จะเรียกมายัง CDN ซึ่งคนร้ายได้ใช้ทริกอีกอย่างคือ การ redirect ผ่าน HTTP response code 30x และ header Location
HTTP/2 302
ซึ่งจะทำให้ Browser ของเหยื่อ ทำการ Redirect ไปหาเว็บของไลน์ line.me ซึ่งให้บริการหน้าพิเศษ เพื่อให้ผู้ใช้สามารถ add line id ผ่าน link ได้นั่นเอง
การทำแบบนี้ แทนที่จะทำหน้ากากครอบเอาไว้ ทำให้จากมุมมองของไลน์ มันเป็นเหมือนการที่ผู้ใช้กด link เองตามปกติ เลยป้องกันได้ยากสักนิด เพราะ ip address ที่ access เข้ามาจะเป็น ip address ของเหยื่อเอง
และด้วย CSN ทำให้คนร้ายใกล้ตกเหยื่อสำเร็จแล้ว ในตอนหน้าเรามาคุยกันว่าทำไมคนร้ายถึงเลือกไลน์เป็นเครื่องมือในการตกเหยื่อ

ดูเพิ่มเติมในซีรีส์

โฆษณา